路由器是网络系统的主要设备之一。它的主要功能就是寻址和路由。提起网络安全,我们想到的就是防火墙和防病毒,其实许多网络瘫痪都与路由器有关,路由器作为互联网络的中枢 ,也是网络安全的前沿关口。本文以Cisco路由器为例浅谈路由器安全方面的设置。
一、设置密码
首先,路由器一般有Consle、Aux和Ethernet口可以登录到路由器对它进行配置,这为网络管理员对它进行管理提供了很大的方便,同时也给不速之客提供了可乘之机。为此,首先我们应该给相应的端口加上密码。要注意密码的长度以及数字、字母、符号是否相混合,以防止黑客利用口令或默认口令进行攻击。具体配置如下:
Router (config)#line vty 0 4
Router (config-line)#login
Router (config-line)#password xxxxxxx
Router (config)-#line aux 0
Router (config-line)#login
Router (config-line)#password xxxxxxx
Router (config)#line con 0
Router (config-line)#password xxxxxxx
其次,对超级用户密码的设置应防止配置被修改,一般不要用enable password命令,该命令存在极大的安全漏洞。我们可以利用enable secret命令其加密机制是IOS,采用了MD5散列算法进行加密,具体配置如下:
Router #conf term
Router (config)#enable secret xxxxxxx
再次,要注意路由器的物理安全,不要让管理员以外的其他人随便接近路由器。如果攻击者物理接触路由器后,断电重启,实施“密码修复流程”,进而登录路由器,就可以完全控制路由器。
二、屏蔽HTTP服务
Telnet为管理员提供了一个远程调试路由器的工具,但必须限制登录访问路由器的主机或网段。可通过访问列表的方式来设置,以保证特定主机或网段对VTY(Telnet)端口的访问控制。其配置如下,建立一个标准的访问控制列表(编号从1到99任意选择)
access-list 99 permit 172.16.25.5
该访问列表仅允许以上IP地址的主机对路由器进行Telnet访问。注意:创建该列表。必须指定到路由器端口某个端口上,具体指定方法如下
line vty E0 4
access-class 99 in
||||||以上配置是入站到E0端口的Telnet示例,出站配置采用Out,为了保护路由器的安全设置,也可以限制其Telnet访问的权限。另外,也可以通过访问时间来限制所有端口的登录访问情况,在超时的情况下,将自动断开。
现在许多Cisco设备,都允许使用Web界面来进行控制了,这样可以为初学者提供方便的管理,但是在方便的背后,却隐藏了很大的危机(使用“ip http server”命令可以打开HTTP服务,使用“no ip http server”命令可以关闭HTTP服务)。如果必须使用HTTP服务来管理路由器,为安全考虑最好是配合访问控制列表和AAA认证来做。利用相应访问控制列表“ip http access-class”命令,严格过滤允许的IP地址。建议没有特殊需要,就关闭HTTP服务。
三、配置访问控制列表
使用访问控制列表的目的是为了保护路由器的安全和优化网络的流量。访问列表的作用就是当数据包经过路由器某一个端口时,该数据包在转发通过时,必须先在访问控制列表里边查找,如果允许,则通过。
访问列表分为标准访问列表和扩展访问列表。标准的访问列表只允许过滤源地址,且功能十分有限;扩展的访问列表允许过滤源地址、目的地址和上层应用数据。扩展的IP访问列表,顾名思义,扩展的IP访问列表用于扩展过滤能力。一个扩展的IP访问列表允许用户根据如下内容过滤:
(1)创建标准访问列表
access-list listnumber1 {permit | deny} source-addr [source-mask ]
(2)创建扩展访问列表
access-list listnumber2 {permit | deny }protocol source-addr source-mask [operator port1 [ort2 ]] dest-addr dest-mask [operator port1[port2]][[log]
access-list listnumber 是定义访问列表编号的一个值范围从1到99。参数deny或permit指定了允许还是拒绝数据包。source是发送数据包的主机地址。source-wildcard则是发送数据包的主机的通配符。在实际应用中,如果数据包的源地址在访问列表中未能找到,或者找到了未被允许转发,则该数据包将会被拒绝。protocol为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持。operator指端口操作符。
配置了访问列表后,就要启用访问控制列表,我们必须在接口配置模式下使用access-group或ip access-class命令来指定访问列表应用于某个接口。使用关键字in(out)来定义该接口是出站数据包还是入站数据包。
四、配置最小化IOS
对于路由器来说,服务器的设备越少越安全,因此配置最小化IOS,禁止不必要的功能和服务,可获得最大化的安全。
CDP(Cisco Discovery Protocol)CISCO查找协议,该协议存在于CISCO 11.0以后的版本中,都是默认启动的。在OSI二层(链路层)协议的基础上可发现对端路由器的设备平台、操作系统版本、端口、IP地址等重要信息。可禁止其运行,加强安全性,命令如下:no cdp run。
管理员也可以指定禁止某端口的CDP,比如为了让路由器内部网络使用CDP,而禁止路由器对外网的CDP应答,可以输入相应外网接口命令no cdp enable。
当然,以上措施保护路由器并不完全,在很多实际应用中,还需要很多辅助配置。为了保护路由器,可采用多种安全产品,比如给路由器添加硬件防火墙、配置AAA服务认证、设置IDS入侵检测等,再加上网管高度的责任心,一定可筑起网络安全的长城!
