基本的CISCO路由器安全配置

　　路由器是網(wǎng)絡(luò)中的神經(jīng)中樞,廣域網(wǎng)就是靠一個(gè)個(gè)路由器連接起來組成的,局域網(wǎng)中也已經(jīng)普片的應(yīng)用到了路由器,在很多企事業(yè)單位,已經(jīng)用到路由器來接入網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)通訊了,可以說,曾經(jīng)神秘的路由器,現(xiàn)在已經(jīng)飛入尋常百姓家了.

　　隨著路由器的增多,路由器的安全性也逐漸成為大家探討的一個(gè)熱門話題了,筆者今天也講一講網(wǎng)絡(luò)安全中路由器的安全配置吧.以下文章是本人在工作過程中所記錄的學(xué)習(xí)筆記,今天整理出來,跟大家共享,也算是拋磚引玉吧.

　　1.配置訪問控制列表

　　使用訪問控制列表的目的就是為了保護(hù)路由器的安全和優(yōu)化網(wǎng)絡(luò)的流量.訪問列表的作用就是在數(shù)據(jù)包經(jīng)過路由器某一個(gè)端口時(shí),該數(shù)據(jù)包是否允許轉(zhuǎn)發(fā)通過,必須先在訪問控制列表里邊查找,如果允許,則通過.所以,保護(hù)路由器的前提,還是先考慮配置訪問控制列表吧.

　　訪問列表有多種形式,最常用的有標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表.

　　創(chuàng)建一個(gè)標(biāo)準(zhǔn)訪問控制列表的基本配置語(yǔ)法:access-list access-list-number{deny|permit} source [source-wildcard]

　　注釋:access-list-number是定義訪問列表編號(hào)的一個(gè)值,范圍從1--99.參數(shù)deny或permit指定了允許還是拒絕數(shù)據(jù)包.參數(shù)source是發(fā)送數(shù)據(jù)包的主機(jī)地址.source-wildcard則是發(fā)送數(shù)據(jù)包的主機(jī)的通配符.在實(shí)際應(yīng)用中,如果數(shù)據(jù)包的源地址在訪問列表中未能找到,或者是找到了未被允許轉(zhuǎn)發(fā),則該包將會(huì)被拒絕.為了能詳細(xì)解釋一下,下面是一個(gè)簡(jiǎn)單訪問列表示例介紹:

　　1) access-list 3 permit 172.30.1.0 0.0.0.255 */指明一個(gè)列表號(hào)為3的訪問控制列表,并允許172.30.1.0這個(gè)網(wǎng)段的數(shù)據(jù)通過.0.0.0.255是通配符.

　　2) access-list 3 permit 10.1.1.0 0.0.15.255 */允許所有源地址為從10.1.0.0到10.1.15.255的數(shù)據(jù)包通過應(yīng)用了該訪問列表的路由器接口.

　　3) access-list 3 deny 172.31.1.0 0.0.0.255 */拒絕源IP地址為172.31.1.0到172.31.1.255的數(shù)據(jù)包通過該訪問列表.

　　配置了訪問列表后,就要啟用訪問控制列表,我們可以在接口配置模式下使用access-group或ip access-class命令來指定訪問列表應(yīng)用于某個(gè)接口.使用關(guān)鍵字in(out)來定義該接口是出站數(shù)據(jù)包還是入站數(shù)據(jù)包.

　　示例:ip access-group 3 in */定義該端口入站數(shù)據(jù)包必須按照訪問列表3上的原則.

　　由于標(biāo)準(zhǔn)訪問控制列表對(duì)使用的端口不進(jìn)行區(qū)別,所以,引入了擴(kuò)展訪問控制列表(列表號(hào)從100--199).擴(kuò)展訪問列表能夠?qū)?shù)據(jù)包的源地址,目的地址和端口等項(xiàng)目進(jìn)行檢查,這其中,任何一個(gè)項(xiàng)目都可以導(dǎo)致某個(gè)數(shù)據(jù)包不被允許經(jīng)過路由器接口.簡(jiǎn)單的配置示例:

　　1) ip access-list 101 permit tcp any host 10.1.1.2 established log

　　2) ip access-list 101 permit tcp any host 172.30.1.3 eq www log

　　3) ip access-list 101 permit tcp any host 172.30.1.4 eq ftp log

　　4) ip access-list 101 permit tcp any host 172.30.1.4 log

#p#副標(biāo)題#e#

　　注釋

 

　　第一行允許通過TCP協(xié)議訪問主機(jī)10.1.1.2,如果沒個(gè)連接已經(jīng)在主機(jī)10.1.1.2和某個(gè)要訪問的遠(yuǎn)程主機(jī)之間建立,則該行不會(huì)允許任何數(shù)據(jù)包通過路由器接口,除非回話是從內(nèi)部企業(yè)網(wǎng)內(nèi)部發(fā)起的.第二行允許任何連接到主機(jī)172.30.1.3來請(qǐng)求www服務(wù),而所有其他類型的連接將被拒絕,這是因?yàn)樵谠L問列表自動(dòng)默認(rèn)的在列表尾部,有一個(gè)deny any any語(yǔ)句來限制其他類型連接.第三行是拒絕任何FTP連接來訪問172.30.1.4主機(jī).第四行是允許所有類型的訪問連接到172.30.1.4主機(jī).

　　2.保護(hù)路由器的密碼

　　1)禁用enable password命令,改密碼加密機(jī)制已經(jīng)很古老,存在極大安全漏洞,必須禁用,做法是:no enable password

　　2)利用enable secret命令設(shè)置密碼,該加密機(jī)制是IOS采用了MD5散列算法進(jìn)行加密,具體語(yǔ)法是:enable secret[level level] {password|encryption-type encrypted-password}

　　舉例

　　Ro(config-if)#enable secret level 9 ~@~!79#^&^089^ */設(shè)置一個(gè)級(jí)別為9級(jí)的~@~!79#^&^089^密碼

　　Ro(config-if)#service router-encryption */啟動(dòng)服務(wù)密碼加密過程

　　enable secret命令允許管理員通過數(shù)字0-15,來指定密碼加密級(jí)別.其默認(rèn)級(jí)別為15.

　　3.控制telnet訪問控制

　　為了保護(hù)路由器訪問控制權(quán)限,必須限制登陸訪問路由器的主機(jī),針對(duì)VTY(telnet)端口訪問控制的方法,具體配置要先建立一個(gè)訪問控制列表,如下示例,建立一個(gè)標(biāo)準(zhǔn)的訪問控制列表(編號(hào)從1--99任意選擇):

　　access-list 90 permit 172.30.1.45

　　access-list 90 permit 10.1.1.53

　　該訪問列表僅允許以上兩個(gè)IP地址之一的主機(jī)對(duì)路由器進(jìn)行telnet訪問,注意:創(chuàng)建該列表后必須指定到路由器端口某個(gè)端口上,具體指定方法如下:

　　line vty E0 4

　　access-class 90 in

　　以上配置是入站到E0端口的telnet示例,出站配置采用out,在這里將不再詳細(xì)贅述.為了保護(hù)路由器的安全設(shè)置,也可以限制其telnet訪問的權(quán)限,比如:通過分配管理密碼來限制一個(gè)管理員只能有使用show命令的配置如下:

　　enable secret level 6 123456

　　privilege exec 6 show

　　給其分配密碼為123456,telnet進(jìn)入路由器后,只能用show命令,其他任何設(shè)置權(quán)限全部被限制.另外,也可以通過訪問時(shí)間來限制所有端口的登陸訪問情況,在超時(shí)的情況下,將自動(dòng)斷開,下面是一個(gè)配置所有端口訪問活動(dòng)3分30秒的設(shè)置示例:

　　exec-timeout 3 30

#p#副標(biāo)題#e#

　　4.禁止CDP

 

　　CDP(Cisco Discovery Protocol)CISCO查找協(xié)議,該協(xié)議存在CISCO11.0以后的IOS版本中,都是默認(rèn)啟動(dòng)的,他有一個(gè)缺陷就是:對(duì)所有發(fā)出的設(shè)備請(qǐng)求都做出應(yīng)答.這樣將威脅到路由器的泄密情況,因此,必須禁止其運(yùn)行,方法如下:

　　no cdp run

　　管理員也可以指定禁止某端口的CDP,比如:為了讓路由器內(nèi)部網(wǎng)絡(luò)使用CDP,而禁止路由器對(duì)外網(wǎng)的CDP應(yīng)答,可以輸入以下接口命令:

　　no cdp enable

　　5.HTTP服務(wù)的配置

　　現(xiàn)在許多CISCO設(shè)備,都允許使用WEB界面來進(jìn)行控制配置了,這樣可以為初學(xué)者提供方便的管理,但是,在這方便的背后,卻隱藏了很大的危機(jī),為了能夠配置好HTTP服務(wù),本文也提一下如何配置吧.

　　使用ip http server命令可以打開HTTP服務(wù),使用no ip http server命令可以關(guān)閉HTTP服務(wù).為了安全考慮,如果需要使用HTTP服務(wù)來管理路由器的話,最好是配合訪問控制列表和AAA認(rèn)證來做,也可以使用enable password命令來控制登陸路由器的密碼.具體的配置是在全局模式下來完成的,下面是我們創(chuàng)建一個(gè)簡(jiǎn)單的標(biāo)準(zhǔn)訪問控制列表配合使用HTTP服務(wù)的示例:

　　ip http server */打開HTTP服務(wù)

　　ip http port 10248 */定義10248端口為HTTP服務(wù)訪問端口

　　access-list 80 permit host 10.0.0.1 */創(chuàng)建標(biāo)準(zhǔn)訪問列表80,只允許10.0.0.1主機(jī)通過

　　ip http access-class 80 */定義了列表號(hào)為80的標(biāo)準(zhǔn)訪問列表為HTTP服務(wù)允許訪問的

　　ip http authentication aaa tacacs */增加AAA認(rèn)證服務(wù)來驗(yàn)證HTTP控制的主機(jī)

　　6.寫在最后的話

　　保護(hù)路由器并不是這樣簡(jiǎn)單的事情,在很多實(shí)際應(yīng)用中,還需要很多輔助配置.為了保護(hù)路由器,各種各樣的安全產(chǎn)品都相繼出現(xiàn),比如給路由器添加硬件防火墻,配置AAA服務(wù)認(rèn)證,設(shè)置IDS入侵檢測(cè)等等吧.為了維護(hù)路由器的安全穩(wěn)定工作,我要告訴大家最重要的還是配置最小化IOS,沒有服務(wù)的設(shè)備,肯定沒有人能夠入侵,最小化的服務(wù)就是我們最大化的安全。