路由器是網(wǎng)絡(luò)中的神經(jīng)中樞,廣域網(wǎng)就是靠一個(gè)個(gè)路由器連接起來(lái)組成的,局域網(wǎng)中也已經(jīng)普片的應(yīng)用到了路由器,在很多企事業(yè)單位,已經(jīng)用到路由器來(lái)接入網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)通訊了,可以說(shuō),曾經(jīng)神秘的路由器,現(xiàn)在已經(jīng)飛入尋常百姓家了.
　　隨著路由器的增多,路由器的安全性也逐漸成為大家探討的一個(gè)熱門話題了,巖冰今天也講一講網(wǎng)絡(luò)安全中路由器的安全配置吧.以下文章是本人在工作過(guò)程中所記錄的學(xué)習(xí)筆記,今天整理出來(lái),跟大家共享,也算是拋磚引玉吧.
　　
　　1.配置訪問(wèn)控制列表:
　　
　　使用訪問(wèn)控制列表的目的就是為了保護(hù)路由器的安全和優(yōu)化網(wǎng)絡(luò)的流量.訪問(wèn)列表的作用就是在數(shù)據(jù)包經(jīng)過(guò)路由器某一個(gè)端口時(shí),該數(shù)據(jù)包是否允許轉(zhuǎn)發(fā)通過(guò),必須先在訪問(wèn)控制列表里邊查找,如果允許,則通過(guò).所以,保護(hù)路由器的前提,還是先考慮配置訪問(wèn)控制列表吧.
　　
　　訪問(wèn)列表有多種形式,最常用的有標(biāo)準(zhǔn)訪問(wèn)列表和擴(kuò)展訪問(wèn)列表.
　　
　　創(chuàng)建一個(gè)標(biāo)準(zhǔn)訪問(wèn)控制列表的基本配置語(yǔ)法:access-list access-list-number{deny|permit} source [source-wildcard]
　　
　　注釋:access-list-number是定義訪問(wèn)列表編號(hào)的一個(gè)值,范圍從1--99.參數(shù)deny或permit指定了允許還是拒絕數(shù)據(jù)包.參數(shù)source是發(fā)送數(shù)據(jù)包的主機(jī)地址.source-wildcard則是發(fā)送數(shù)據(jù)包的主機(jī)的通配符.在實(shí)際應(yīng)用中,如果數(shù)據(jù)包的源地址在訪問(wèn)列表中未能找到,或者是找到了未被允許轉(zhuǎn)發(fā),則該包將會(huì)被拒絕.為了能詳細(xì)解釋一下,下面是一個(gè)簡(jiǎn)單訪問(wèn)列表示例介紹:
　　
　　1) access-list 3 permit 172.30.1.0 0.0.0.255 */指明一個(gè)列表號(hào)為3的訪問(wèn)控制列表,并允許172.30.1.0這個(gè)網(wǎng)段的數(shù)據(jù)通過(guò).0.0.0.255是通配符.
　　2) access-list 3 permit 10.1.1.0 0.0.15.255 */允許所有源地址為從10.1.0.0到10.1.15.255的數(shù)據(jù)包通過(guò)應(yīng)用了該訪問(wèn)列表的路由器接口.
　　3) access-list 3 deny 172.31.1.0 0.0.0.255 */拒絕源IP地址為172.31.1.0到172.31.1.255的數(shù)據(jù)包通過(guò)該訪問(wèn)列表.
　　
　　配置了訪問(wèn)列表后,就要啟用訪問(wèn)控制列表,我們可以在接口配置模式下使用access-group或ip access-class命令來(lái)指定訪問(wèn)列表應(yīng)用于某個(gè)接口.使用關(guān)鍵字in(out)來(lái)定義該接口是出站數(shù)據(jù)包還是入站數(shù)據(jù)包.
　　示例:ip access-group 3 in */定義該端口入站數(shù)據(jù)包必須按照訪問(wèn)列表3上的原則.
　　
　　由于標(biāo)準(zhǔn)訪問(wèn)控制列表對(duì)使用的端口不進(jìn)行區(qū)別,所以,引入了擴(kuò)展訪問(wèn)控制列表(列表號(hào)從100--199).擴(kuò)展訪問(wèn)列表能夠?qū)?shù)據(jù)包的源地址,目的地址和端口等項(xiàng)目進(jìn)行檢查,這其中,任何一個(gè)項(xiàng)目都可以導(dǎo)致某個(gè)數(shù)據(jù)包不被允許經(jīng)過(guò)路由器接口.簡(jiǎn)單的配置示例:
　　
　　1) ip access-list 101 permit tcp any host 10.1.1.2 established log
　　2) ip access-list 101 permit tcp any host 172.30.1.3 eq www log
　　3) ip access-list 101 permit tcp any host 172.30.1.4 eq ftp log
　　4) ip access-list 101 permit tcp any host 172.30.1.4 log
　　
　　注釋:
　　
　　第一行允許通過(guò)TCP協(xié)議訪問(wèn)主機(jī)10.1.1.2,如果沒(méi)個(gè)連接已經(jīng)在主機(jī)10.1.1.2和某個(gè)要訪問(wèn)的遠(yuǎn)程主機(jī)之間建立,則該行不會(huì)允許任何數(shù)據(jù)包通過(guò)路由器接口,除非回話是從內(nèi)部企業(yè)網(wǎng)內(nèi)部發(fā)起的.第二行允許任何連接到主機(jī)172.30.1.3來(lái)請(qǐng)求www服務(wù),而所有其他類型的連接將被拒絕,這是因?yàn)樵谠L問(wèn)列表自動(dòng)默認(rèn)的在列表尾部,有一個(gè)deny any any語(yǔ)句來(lái)限制其他類型連接.第三行是拒絕任何FTP連接來(lái)訪問(wèn)172.30.1.4主機(jī).第四行是允許所有類型的訪問(wèn)連接到172.30.1.4主機(jī).
　　
　　2.保護(hù)路由器的密碼
　　
　　1)禁用enable password命令,改密碼加密機(jī)制已經(jīng)很古老,存在極大安全漏洞,必須禁用,做法是:no enable password
　　
　　2)利用enable secret命令設(shè)置密碼,該加密機(jī)制是IOS采用了MD5散列算法進(jìn)行加密,具體語(yǔ)法是:enable secret[level level] {password|encryption-type encrypted-password}
　　舉例:
　　Ro(config-if)#enable secret level 9 ~@~!79#^&^089^ */設(shè)置一個(gè)級(jí)別為9級(jí)的~@~!79#^&^089^密碼
　　Ro(config-if)#service router-encryption */啟動(dòng)服務(wù)密碼加密過(guò)程
　　
　　enable secret命令允許管理員通過(guò)數(shù)字0-15,來(lái)指定密碼加密級(jí)別.其默認(rèn)級(jí)別為15.
　　
　　3.控制telnet訪問(wèn)控制
　　
　　為了保護(hù)路由器訪問(wèn)控制權(quán)限,必須限制登陸訪問(wèn)路由器的主機(jī),針對(duì)VTY(telnet)端口訪問(wèn)控制的方法,具體配置要先建立一個(gè)訪問(wèn)控制列表,如下示例,建立一個(gè)標(biāo)準(zhǔn)的訪問(wèn)控制列表(編號(hào)從1--99任意選擇):
　　
　　access-list 90 permit 172.30.1.45
　　access-list 90 permit 10.1.1.53
　　
　　該訪問(wèn)列表僅允許以上兩個(gè)IP地址之一的主機(jī)對(duì)路由器進(jìn)行telnet訪問(wèn),注意:創(chuàng)建該列表后必須指定到路由器端口某個(gè)端口上,具體指定方法如下:
　　
　　line vty E0 4
　　access-class 90 in
　　
　　以上配置是入站到E0端口的telnet示例,出站配置采用out,在這里將不再詳細(xì)贅述.為了保護(hù)路由器的安全設(shè)置,也可以限制其telnet訪問(wèn)的權(quán)限,比如:通過(guò)分配管理密碼來(lái)限制一個(gè)管理員只能有使用show命令的配置如下:
　　
　　enable secret level 6 123456
　　privilege exec 6 show
　　
　　給其分配密碼為123456,telnet進(jìn)入路由器后,只能用show命令,其他任何設(shè)置權(quán)限全部被限制.另外,也可以通過(guò)訪問(wèn)時(shí)間來(lái)限制所有端口的登陸訪問(wèn)情況,在超時(shí)的情況下,將自動(dòng)斷開(kāi),下面是一個(gè)配置所有端口訪問(wèn)活動(dòng)3分30秒的設(shè)置示例:
　　
　　exec-timeout 3 30
　　
　　4.禁止CDP
　　
　　CDP(Cisco Discovery Protocol)CISCO查找協(xié)議,該協(xié)議存在CISCO11.0以后的IOS版本中,都是默認(rèn)啟動(dòng)的,他有一個(gè)缺陷就是:對(duì)所有發(fā)出的設(shè)備請(qǐng)求都做出應(yīng)答.這樣將威脅到路由器的泄密情況,因此,必須禁止其運(yùn)行,方法如下:
　　
　　no cdp run
　　管理員也可以指定禁止某端口的CDP,比如:為了讓路由器內(nèi)部網(wǎng)絡(luò)使用CDP,而禁止路由器對(duì)外網(wǎng)的CDP應(yīng)答,可以輸入以下接口命令:
　　
　　no cdp enable
　　
　　5.HTTP服務(wù)的配置
　　
　　現(xiàn)在許多CISCO設(shè)備,都允許使用WEB界面來(lái)進(jìn)行控制配置了,這樣可以為初學(xué)者提供方便的管理,但是,在這方便的背后,卻隱藏了很大的危機(jī),為了能夠配置好HTTP服務(wù),本文也提一下如何配置吧.
　　
　　使用ip http server命令可以打開(kāi)HTTP服務(wù),使用no ip http server命令可以關(guān)閉HTTP服務(wù).為了安全考慮,如果需要使用HTTP服務(wù)來(lái)管理路由器的話,最好是配合訪問(wèn)控制列表和AAA認(rèn)證來(lái)做,也可以使用enable password命令來(lái)控制登陸路由器的密碼.具體的配置是在全局模式下來(lái)完成的,下面是我們創(chuàng)建一個(gè)簡(jiǎn)單的標(biāo)準(zhǔn)訪問(wèn)控制列表配合使用HTTP服務(wù)的示例:
　　ip http server */打開(kāi)HTTP服務(wù)
　　ip http port 10248 */定義10248端口為HTTP服務(wù)訪問(wèn)端口
　　access-list 80 permit host 10.0.0.1 */創(chuàng)建標(biāo)準(zhǔn)訪問(wèn)列表80,只允許10.0.0.1主機(jī)通過(guò)
　　ip http access-class 80 */定義了列表號(hào)為80的標(biāo)準(zhǔn)訪問(wèn)列表為HTTP服務(wù)允許訪問(wèn)的
　　ip http authentication aaa tacacs */增加AAA認(rèn)證服務(wù)來(lái)驗(yàn)證HTTP控制的主機(jī)
　　
　　6.寫在最后的話
　　保護(hù)路由器并不是這樣簡(jiǎn)單的事情,在很多實(shí)際應(yīng)用中,還需要很多輔助配置.為了保護(hù)路由器,各種各樣的安全產(chǎn)品都相繼出現(xiàn),比如給路由器添加硬件防火墻,配置AAA服務(wù)認(rèn)證,設(shè)置IDS入侵檢測(cè)等等吧.為了維護(hù)路由器的安全穩(wěn)定工作,我要告訴大家最重要的還是配置最小化IOS,沒(méi)有服務(wù)的設(shè)備,肯定沒(méi)有人能夠入侵,最小化的服務(wù)就是我們最大化的安全