路由器的訪問安全

以路由器R1為例，說明路由器訪問安全的配置。

一：配置IP地址

R1(config)#int f1/0

R1(config-if)#ip add 172.16.1.1 255.255.255.0

R1(config-if)#no sh

R1(config)#int s0/0

R1(config-if)#ip add 172.16.12.1 255.255.255.0

R1(config-if)#no sh

R2(config)#int s0/0

R2(config-if)#ip add 172.16.12.2 255.255.255.0

R2(config-if)#clock rate 64000

R2(config-if)#no sh

PC：IP地址:172.16.1.100/24、網(wǎng)關(guān):172.16.1.1

二：配置密碼和登錄安全

基本登錄安全配置：

R1(config)#clock timezone GMT +8        //配置路由器的時(shí)區(qū)

R1#clock set 15:14:13 12 aug 2012        //配置路由器的時(shí)間

R1(config)#enable secret cisco        //配置特權(quán)模式密碼

R1(config)#service password-encryption        //啟用密碼加密服務(wù)

R1(config)#service tcp-keepalives-in        //路由器沒有收到遠(yuǎn)程系統(tǒng)的響應(yīng)，會(huì)自動(dòng)關(guān)閉TCP連接

R1(config)#line console 0

R1(config-line)#exec-timeout 10 0   //配置控制臺(tái)EXEC會(huì)話超時(shí)時(shí)間為10分鐘，防止用戶忘記注銷或離開

R1(config-line)#transport input none        //阻止通過反向Telnet遠(yuǎn)程訪問TTY線路

R1(config-line)#password cisco

R1(config-line)#login

R1(config)#line vty 0 4

R1(config-line)#exec-timeout 10 0

R1(config-line)#transport input SSH

R1(config-line)#password cisco

R1(config-line)#login        //允許遠(yuǎn)程登錄，使用線路密碼驗(yàn)證

R1(config)#line aux 0        //輔助端口，用于與調(diào)制解調(diào)器連接，提供遠(yuǎn)程管理

R1(config-line)#no exec        //禁用輔助端口(若非絕對(duì)必要，可禁用輔助端口)

說明：

①中國時(shí)區(qū)為：GMT +8；

②在配置特權(quán)模式密碼時(shí)，不建議使用“enable password”命令，因?yàn)樗拿艽a不加密存放；

③在配置“service password-encryption”命令之前配置的密碼不會(huì)被加密，也就是對(duì)于要被加密的密碼，必

  須在密碼配置后使用“service password-encryption”命令進(jìn)行加密；

④拒絕服務(wù)(Dos)：是指攻擊者通過禁用或破壞網(wǎng)絡(luò)、系統(tǒng)或服務(wù)來拒絕為特定用戶提供服務(wù)的一種攻擊方式。

  Dos攻擊包括使系統(tǒng)崩潰或?qū)⑾到y(tǒng)性能降低至無法使用的狀態(tài)，也可以只是簡單地刪除或破壞信息等。路由器

  關(guān)閉沒有收到響應(yīng)的TCP連接可以減少受Dos攻擊的機(jī)會(huì)。

⑤Console(控制臺(tái))端口是進(jìn)行設(shè)備管理和配置的默認(rèn)訪問模式，它通過TTY線路0物理連接到設(shè)備的控制臺(tái)端

  口，默認(rèn)情況下該端口沒有配置密碼。

⑥配置“transport input all”命令后支持所有協(xié)議，如：X.3 PAD、TCP/IP Telnet SSH、UNIX rlogin等。

⑦反向Telnet：路由器異步線路與Modem連接后，就可以建立與Modem的直接Telnet對(duì)話通信，這個(gè)過程也稱為反

  向遠(yuǎn)程登錄Telnet(Reverse Telnet)；反向遠(yuǎn)程登錄的意思是經(jīng)由異步線路啟動(dòng)Telnet對(duì)話,而不是接收傳至

  線路的連接，即所謂的正向連接(Forward Connection)。

⑧VTY(虛擬類型終端)端口：默認(rèn)可以使用線路0到4的虛擬類型終端線路，它與Console口相似，也沒預(yù)先配置密

  碼，雖然VTY線路默認(rèn)沒有密碼，但它是不可訪問的，除非鍵入“l(fā)ogin/no login”命令允許遠(yuǎn)程登錄；訪問

  VTY線路有兩種常用的方法：Telnet和SSH協(xié)議。

⑨AUX(輔助)端口：與撥號(hào)調(diào)制解調(diào)器連接，可提供遠(yuǎn)程管理；通過簡單地戰(zhàn)爭撥號(hào)技術(shù)，入侵者可以找到一個(gè)

  未受保護(hù)的調(diào)制解調(diào)器，因此，AUX口配置驗(yàn)證訪問控制或關(guān)閉AUX口是有必要的。

以上配置Console和Telnet的密碼和登錄。但是在上面的配置中沒有辦法區(qū)分不同的用戶，如果需要不同用戶使用各自的密碼登錄需要采用以下配置：

高級(jí)登錄安全配置

R1(config)#aaa new-model       //啟用AAA認(rèn)證功能

R1(config)#aaa authentication login AAA_LOCAL local

                          //定義一個(gè)名字為AAA_LOCAL的認(rèn)證，認(rèn)證方法為從本地讀取用戶信息的login認(rèn)證

R1(config)#username user1 privilege 10 secret WWW,l63.c0m

R1(config)#username user2 privilege 15 secret WWW,ha0l23.c0m  //在本地?cái)?shù)據(jù)庫創(chuàng)建兩個(gè)不同等級(jí)的用戶

R1(config)#line console 0

R1(config-line)#login authentication AAA_LOCAL        //配置Console口登錄進(jìn)行AAA_LOCAL認(rèn)證

R1(config-line)#exec-timeout 5 30        //配置超時(shí)時(shí)間

R1(config)#access-list 5 permit 172.16.0.0 0.0.255.255        //定義標(biāo)準(zhǔn)訪問控制列表5

R1(config)#line vty 0 4

R1(config-line)#login authentication AAA_LOCAL        //配置Telnet口登錄進(jìn)行AAA_LOCAL認(rèn)證

R1(config-line)#access-class 5 in        //限定只允許ACL5指定的計(jì)算機(jī)可以遠(yuǎn)程訪問本路由器

R1(config-line)#exec-timeout 5 30

說明：Cisco IOS提供從0到15的16個(gè)優(yōu)先權(quán)等級(jí)：

①默認(rèn)情況下IOS有3個(gè)預(yù)定義的用戶等級(jí),分別為：

    優(yōu)先權(quán)等級(jí)0：包括disable、enable、exit、help和logout命令；

    優(yōu)先權(quán)等級(jí)1：User EXEC mode，即用戶模式(R1>)的所有用戶級(jí)命令；

    優(yōu)先權(quán)等級(jí)15：Privileged EXEC mode(啟用模式)，包括R1#提示的所有啟動(dòng)級(jí)命令。

②2至14等級(jí)用于用戶自定義的模式；

③“R1(config)#privilege mode level level”命令可以更改、移動(dòng)或設(shè)置上述任一級(jí)別的命令優(yōu)先權(quán)，

    mode：是指路由器上的不同模式，如exec或configure；

    示例：R1(config)#username user3 privilege 5 secret WWW,ba1du.c0m  //創(chuàng)建優(yōu)先權(quán)等級(jí)5的user3用戶

          R1(config)#privilege configure level 5 interface  //移動(dòng)等級(jí)15的“interface”命令到等級(jí)5

④“R1(config-line)#privilege level level”命令可以修改給定線路的優(yōu)先權(quán)等級(jí)。

    示例：R1(config)#line vty 3 4 

          R1(config-line)#privilege level 1        //修改VTY線路3-4的默認(rèn)優(yōu)先權(quán)等級(jí)為1

以下配置可以防止黑客暴力破解：

R1(config)#access-list 10 permit 172.16.1.100        //定義標(biāo)準(zhǔn)訪問控制列表10

R1(config)#security passwords min-length 8        //配置最小密碼長度

R1(config)#security authentication failure rate 5 log

                          //連續(xù)登錄失敗5次后，默認(rèn)等待15s后才能再次登錄，并會(huì)產(chǎn)生日志，IOS12.3(1)

R1(config)#login block-for 60 attempts 3 within 30

                                       //30s內(nèi)連續(xù)登錄失敗3次后，等待60s(進(jìn)入安靜期)后才能再次登錄

R1(config)#login delay 2        //登錄成功后有2s延遲，即2s后才能再次登錄

R1(config)#login quiet-mode access-class 10  //安靜期內(nèi)ACL10指定的計(jì)算機(jī)仍可以遠(yuǎn)程訪問本路由器

R1(config)#login on-failure log        //登錄失敗會(huì)在日志中記錄

R1(config)#login on-success log        //登錄成功會(huì)在日志中記錄

說明：

①AAA：認(rèn)證(Authentication):驗(yàn)證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù)；授權(quán)(Authorization):依據(jù)認(rèn)證結(jié)果開放

  網(wǎng)絡(luò)服務(wù)給用戶；計(jì)帳(Accounting):記錄用戶對(duì)各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計(jì)費(fèi)系統(tǒng)。

②密碼長度至少要8位以上，并要滿足復(fù)雜性要求。

③在系統(tǒng)超時(shí)前，用戶沒有任何輸入操作將被自動(dòng)注銷，這樣可以減少不安全因素。

④在安靜期內(nèi)允許特定的計(jì)算機(jī)可以登錄的目的：是為了防止黑客利用在多次輸錯(cuò)密碼后路由器會(huì)進(jìn)入安靜期，

  禁止用戶登錄這個(gè)漏洞攻擊，做損人不利己的事:我登錄不了也不讓他人登錄。

R1#show login        //查看和登錄有關(guān)的全部配置信息

配置旗標(biāo)消息：

R1(config)#banner motd @        @        //每日?qǐng)?bào)告旗標(biāo)(MOTD Message-of-the-day banner)

R1(config)#banner login@        @        //登錄旗標(biāo)

R1(config)#banner exec @        @        //EXEC旗標(biāo)

R1(config)#banner incoming@        @        //傳入旗標(biāo)

R1(config)#banner slip-ppp@        @        //SLIP-PPP旗標(biāo)

說明：

①banner motd：當(dāng)用戶與已連接終端的路由器連接時(shí)，即在路由器提示輸入用戶和密碼前出現(xiàn)；

②banner login：在已連接的終端上顯示，即提示輸入用戶和密碼前banner motd之后出現(xiàn)，并僅在從Console口

    登錄時(shí)才出現(xiàn)；

③banner exec：在進(jìn)入exec模式之前提示的信息，即用戶通過了認(rèn)證后；

④banner incoming：在與反向Telnet線路連接的終端上顯示，該旗標(biāo)有助于向用戶提供指令；

⑤banner slip-ppp：常用于兼容非Cisco系列線路Internet協(xié)議(如：SLIP和PPP撥號(hào)軟件連接中)，如果使用默

    認(rèn)旗標(biāo)，會(huì)導(dǎo)致連接問題。

三：配置SSH(安全外殼 Secure Shell)

SSH加密傳輸數(shù)據(jù)，端口號(hào)22；SSHv1對(duì)明文Telnet而言是一個(gè)改進(jìn)，但也存在一些基本缺陷，SSHv2更加安全。

R1(config)#ip domain-name yly.com        //配置域名

R1(config)#crypto key generate rsa        //產(chǎn)生加密密鑰

R1(config)#line vty 0 4

R1(config-line)#transport input ssh        //只允許用戶通過SSH登錄到本路由器

從路由器R2使用SSH遠(yuǎn)程登錄到路由器R1：
R2#ssh -l user1 172.16.12.1        //從R2通過SSH遠(yuǎn)程登錄到R1

我們也可以從計(jì)算機(jī)PC使用SSH登錄到路由器R1：

說明：SSH生成密鑰的關(guān)鍵字名就是“hostname.ip domain-name”，所以需要配置域名；如果公司有自己的域

  名，請(qǐng)使用它，否則隨便配置一個(gè)。

四：關(guān)閉不必要的服務(wù)

默認(rèn)時(shí)，Cisco路由器在第2層、3層、4層和7層上有著各種各樣的服務(wù)器，在不影響我們使用的情況下，為了安全起見可以把不必要的服務(wù)關(guān)閉。

R1(config)#no cdp run         //禁用CDP協(xié)議

R1(config)#no ip source-route        //禁用IP源路由頭選項(xiàng)功能

R1(config)#no ip http server        //關(guān)閉HTTP服務(wù)，關(guān)閉后無法用瀏覽器來配置路由器了

R1(config)#no service tcp-small-servers        //關(guān)閉TCP小型服務(wù)器

R1(config)#no service udp-small-servers        //關(guān)閉UDP小型服務(wù)器

R1(config)#no ip finger        或R1(config)#no service finger        //關(guān)閉查找器協(xié)議功能

R1(config)#no ip identd        //禁用識(shí)別協(xié)議，默認(rèn)是關(guān)閉的

R1(config)#no ip bootp server       //禁用BOOTP服務(wù)

R1(config)#no service dhcp        //禁用DHCP服務(wù)，默認(rèn)是開啟的

R1(config)#no tftp-server flash:[file_name]        //禁用TFTP服務(wù)，默認(rèn)是關(guān)閉的

R1(config)#no ftp-server enable        //禁用FTP服務(wù)，默認(rèn)是關(guān)閉的

R1(config)#no service config        和R1(config)#no boot network        //禁用自動(dòng)下載配置文件

R1(config)#no service pad        //禁用PAD(PAD設(shè)備與訪問服務(wù)器之間的命令和連接)，默認(rèn)是開啟的

R1(config)#no ip name-server        //刪除路由器設(shè)置的DNS服務(wù)器的地址

R1(config)#no ip domain-lookup        //禁用路由器作為DNS客戶端的功能

R1(config)#no boot network        //禁用網(wǎng)絡(luò)啟動(dòng)

R1(config)#no service config        //禁用在網(wǎng)絡(luò)上查找配置文件的功能

R1(config)#no snmp-server        //禁用SNMP協(xié)議

R1(config)#int f1/0

R1(config-if)#no ip proxy-arp        //禁用代理ARP功能，默認(rèn)是開啟的

R1(config-if)#no ip directed-broadcast        //禁用IP直接廣播功能

R1(config-if)#no ip redirects        //禁用IP重定向

R1(config-if)#no ip unreachables        //禁用ICMP不可達(dá)消息

R1(config-if)#no ip mask-reply          //禁用IP掩碼應(yīng)答功能，默認(rèn)是關(guān)閉的

R1(config)#no ip gratuitous-arps        //禁用無償ARP協(xié)議，默認(rèn)所有接口都是開啟的

說明：

①IP源路由選擇(Source Routing)：IP協(xié)議允許主機(jī)指定一條通往IP網(wǎng)絡(luò)的路由即允許(或需要)分組的源提供路

  由信息。在IP頭中源路由選擇為一個(gè)選項(xiàng)，Cisco IOS支持IP頭選項(xiàng)并檢查每個(gè)分組的IP頭選項(xiàng)(檢查包括：嚴(yán)

  格源路由、松散源路由、記錄路由和時(shí)間戮)，當(dāng)IOS遇到一個(gè)具有無效選項(xiàng)的分組時(shí)，會(huì)向分組的源發(fā)出一個(gè)

  ICMP參數(shù)問題消息，并丟棄該分組。源路由選擇信息會(huì)對(duì)所經(jīng)過的網(wǎng)絡(luò)中的路由產(chǎn)生影響，當(dāng)指定源路由選擇

  時(shí)，則IOS根據(jù)在消息中發(fā)現(xiàn)的指定源路由轉(zhuǎn)發(fā)分組，也就是它可以強(qiáng)迫分組選用一條特定的路由通過網(wǎng)絡(luò)，

  而并不遵循路由選擇表中的路由。攻擊者可以利用IP源路由選擇獲取一個(gè)未授權(quán)的路徑訪問，把本來指向其它

  網(wǎng)絡(luò)路徑的分組重新路由到攻擊者的路徑，默認(rèn)情況下所有IOS均啟用IP源路由。

②TCP/UDP小型服務(wù)器：小型服務(wù)器也就是端口號(hào)不大于19的服務(wù)(TCP如：應(yīng)答、字符發(fā)生器、丟棄和日期，UDP

  如：應(yīng)答、字符發(fā)生器和丟棄)，可以從網(wǎng)絡(luò)上的主機(jī)訪問小型服務(wù)器。IOS 11.2及以前的版本除外，默認(rèn)情

  況下IOS都禁用了TCP和UDP小型服務(wù)器。

③查找器：查找器協(xié)議使用TCP端口號(hào)79，網(wǎng)絡(luò)用戶使用查找器用戶協(xié)議可獲得包含設(shè)備上現(xiàn)有用戶的列表(顯示

  的信息包括：系統(tǒng)運(yùn)行的進(jìn)程、line號(hào)碼、連接名、閑置時(shí)間和終端位置)，這相當(dāng)于“show users”命令。

  入侵者通過檢查遠(yuǎn)程主機(jī)和網(wǎng)絡(luò)設(shè)備，就可以收集這些網(wǎng)絡(luò)設(shè)備的信息，默認(rèn)情況下IOS 12.1(5)和12.1(5)T

  及以后的版本都禁用了查找器協(xié)議。

④識(shí)別(auth)協(xié)議(Identd)：允許任意主機(jī)要求路由器對(duì)其進(jìn)行識(shí)別，可將Identd作為一個(gè)偵察工具，默認(rèn)情況

  下所有IOS都禁用識(shí)別支持。

⑤BOOTP和DHCP服務(wù)：DHCP基于BOOTP，使用UDP端口號(hào)67，BOOTP服務(wù)現(xiàn)已被DHCP代替了。當(dāng)禁用BOOTP和DHCP服

  務(wù)時(shí)，UDP端口67將丟棄所有傳入分組，并發(fā)送ICMP端口不可達(dá)的消息作為響應(yīng)。

⑥簡單文件傳輸協(xié)議(TFTP)服務(wù)：Cisco路由器或路由器上的閃存可作為TFTP服務(wù)器，系統(tǒng)向以file_name這個(gè)文

  件名發(fā)出TFTP請(qǐng)求的任何客戶端發(fā)出一個(gè)包含在ROM中的系統(tǒng)鏡像副本或包含在閃存中的系統(tǒng)鏡像。必須禁用

  這項(xiàng)服務(wù)，以防止未經(jīng)授權(quán)對(duì)路由器閃存進(jìn)行讀寫，默認(rèn)情況下所有IOS版本都禁用TFTP服務(wù)。

⑦文件傳輸(FTP)服務(wù)：Cisco路由器也作為FTP服務(wù)器，F(xiàn)TP服務(wù)用于傳輸?shù)竭_(dá)或來自于路由器的文件(如：系統(tǒng)

  鏡像文件、備份配置和數(shù)據(jù)記錄均可源于路由器或傳送至路由器)。必須禁用該服務(wù)，以防止未經(jīng)授權(quán)從路由

  器進(jìn)行讀寫，默認(rèn)情況下所有IOS版本都禁用FTP服務(wù)。

⑧半自動(dòng)設(shè)備配置：Cisco IOS提供了一種策略，可直接從網(wǎng)絡(luò)服務(wù)器把設(shè)備配置自動(dòng)下載到設(shè)備。它有幾種方

  法可以實(shí)現(xiàn)，但不建議用戶使用，因?yàn)榘雅渲梦募螺d到設(shè)備的過程是明文傳輸?shù)?，容易遭受未授?quán)查看。

⑨代理ARP(Prox ARP)：它ARP協(xié)議的一個(gè)變種,就是通過使用一個(gè)主機(jī)(通常為Router)，來作為指定的設(shè)備對(duì)另

  一設(shè)備的ARP請(qǐng)求作出應(yīng)答。對(duì)于沒有配置默認(rèn)網(wǎng)關(guān)的計(jì)算機(jī)要和其他網(wǎng)絡(luò)中的計(jì)算機(jī)實(shí)現(xiàn)通信，網(wǎng)關(guān)收到源

  計(jì)算機(jī)的ARP請(qǐng)求會(huì)使用自己的MAC地址與目標(biāo)計(jì)算機(jī)的IP地址對(duì)源計(jì)算機(jī)進(jìn)行應(yīng)答。它能使得在不影響路由表

  的情況下添加一個(gè)新的Router，使得子網(wǎng)對(duì)該主機(jī)來說變得更透明化。同時(shí)也會(huì)帶來巨大的風(fēng)險(xiǎn)，除了ARP欺

  騙，和某個(gè)網(wǎng)段內(nèi)的ARP增加，最重要的就是無法對(duì)網(wǎng)絡(luò)拓?fù)溥M(jìn)行網(wǎng)絡(luò)概括。代理ARP的使用一般是使用在沒有

  配置默認(rèn)網(wǎng)關(guān)和路由策略的網(wǎng)絡(luò)上的。

⑩IP直接廣播功能：所有的路由器都不轉(zhuǎn)發(fā)目的地址為受限的廣播地址的數(shù)據(jù)報(bào)，這樣的數(shù)據(jù)報(bào)僅出現(xiàn)在本地網(wǎng)

  絡(luò)中。一個(gè)路由器必須轉(zhuǎn)發(fā)指向網(wǎng)絡(luò)的廣播，但它也必須有一個(gè)不進(jìn)行轉(zhuǎn)發(fā)的選擇:當(dāng)一個(gè)主機(jī)向某個(gè)廣播域

  的全部主機(jī)發(fā)送廣播報(bào)文，但是發(fā)送者并不處在這個(gè)廣播域內(nèi)，這個(gè)時(shí)候，希望有一種能夠以單播數(shù)據(jù)報(bào)文穿

  過路由網(wǎng)絡(luò)，但到達(dá)目的網(wǎng)絡(luò)時(shí)，以廣播方式發(fā)送，這時(shí)需要就開啟“ip directed-broadcast”命令。在IOS

  的早期版本中，需要對(duì)每個(gè)已知接口使用“no ip directed-broadcast”命令轉(zhuǎn)發(fā)分組；默認(rèn)情況下IOS 12.0

  及以后版本都禁用IP直播，當(dāng)接口使用“no ip directed-broadcast”命令時(shí)，該接口會(huì)丟棄所有直播分組。

IP重定向：分組從其被接受的接口離開時(shí)，給主機(jī)發(fā)送一個(gè)ICMP重定向消息，表示使用默認(rèn)網(wǎng)關(guān)地址執(zhí)行后續(xù)

  轉(zhuǎn)發(fā)。在IOS的早期版本中，如果在一個(gè)接口配置了HSRP，則接口默認(rèn)禁用ICMP重定向消息，IOS 12.1(3)T及

  其后續(xù)版本，如果配置了HSRP則默認(rèn)啟用ICMP重定向消息；尤其應(yīng)在不信任的網(wǎng)絡(luò)接口禁用這項(xiàng)服務(wù)，因?yàn)樗?/font>