路由器的安全配置-课件.ppt

1、LOGO路由器的安全配置路由器的安全配置中国科技网工作交流会中国科技网工作交流会2010年年4月月16日日何群辉何群辉概述概述v路由器的安全目标路由器的安全目标v路由器安全策略的基础路由器安全策略的基础v可实施的路由器安全配置可实施的路由器安全配置路由器的安全目标路由器的安全目标v防止对路由器的未经授权的访问防止对路由器的未经授权的访问v防止对网络的未经授权的访问防止对网络的未经授权的访问v防止网络数据窃听防止网络数据窃听v防止欺骗性路由更新防止欺骗性路由更新路由器安全策略的基础路由器安全策略的基础v找出需要保护的网络资源找出需要保护的网络资源v确定危险之处确定危险之处v限制访问范围限制访问范

2、围v确定安全措施的代价确定安全措施的代价v物理安全物理安全可实施的路由器安全配置可实施的路由器安全配置v路由器访问安全路由器访问安全v路由器网络服务安全配置路由器网络服务安全配置v访问控制列表和过滤访问控制列表和过滤v路由的安全配置路由的安全配置v日志和管理日志和管理路由器访问安全路由器访问安全 物理运行环境的安全性物理运行环境的安全性v合适的温度和湿度合适的温度和湿度v不受电磁干扰不受电磁干扰v使用使用UPS电源供电等电源供电等路由器访问安全路由器访问安全v交互式访问控制交互式访问控制风险描述被攻击者利用进行被攻击者利用进行Dos，消耗掉所有的，消耗掉所有的VTYs风险等级高高安全措施仅允许

3、的仅允许的ip地址范围可以利用地址范围可以利用ip access-class限制访问限制访问VTY利用利用exec-timeoutexec-timeout命令，配置命令，配置VTYVTY的超时的超时安全措施存在的风险网管员登录路由器不够灵活网管员登录路由器不够灵活使用命令集ip access-list standard 1-99(标准列表标准列表)line vty 0 4 access-class 标准列表号标准列表号 in line vty 0 4 exec-timeout 时间值时间值路由器访问安全路由器访问安全 交互式访问控制交互式访问控制使用实例：使用实例：#仅允许159.226.58

4、.0这一个C的地址、159.226.1.0 32个地址通过vty登录路由器 ciscoenable password:输入enable口令 cisco#config t cisco（config）#ip access-list standard 99#先一个标准控制列表#cisco（config-std-nacl）#permit 159.226.58.0 0.0.0.255 cisco（config-std-nacl）#permit 159.226.1.0 0.0.0.31 cisco（config-std-nacl）#deny any cisco（config-std-nacl）#exit

5、cisco（config）#line vty 0 4#在虚拟终端应用控制列表#cisco(config-line)#access-class 99 in cisco(config-line)#exec-timeout 5#超过5分钟后，无任何操作，就取消该连接会话 cisco(config-line)#exit cisco#write#保存配置路由器访问安全路由器访问安全v 本地口令安全配置本地口令安全配置风险描述加密算法弱的话，口令容易被破解加密算法弱的话，口令容易被破解风险等级高高安全措施设定一个长口令设定一个长口令使用使用enable secret 命令命令使用使用service pas

6、sword-encryption（密码加密服务）（密码加密服务）安全措施存在的风险使用命令集全局配置全局配置enable secretservice password-enacryption路由器访问安全路由器访问安全 本地口令安全配置本地口令安全配置使用实例：使用实例：#设置一个enable口令，同时启用密码加密服务 ciscoenable#没配置特权密码时，输入enable，直接进入特权配置模式#cisco#config t cisco（config）#enable secret 密码 cisco（config）#service password-enacryption路由器网络服务安全配

7、置路由器网络服务安全配置v基于基于TCP和和UDP协议的小服务协议的小服务风险描述如如echo服务，容易被攻击者利用它来发数据包，好像是服务，容易被攻击者利用它来发数据包，好像是路由器本身发送的数据包路由器本身发送的数据包风险等级中中安全措施禁用这些小服务禁用这些小服务安全措施存在的风险使用命令集全局配置全局配置no service tcp-small-servers no service udp-small-servers 路由器网络服务安全配置路由器网络服务安全配置使用实例：使用实例：#如果发现在路由器上启用了这些小服务，就可以通过这些命令禁止，一般来说现在的路由器设备和三层交换机都默认不

8、启用这些小服务。ciscoenable password:输入enable口令 cisco#config t cisco（config）#no service tcp-small-servers cisco（config）#no service udp-small-servers路由器网络服务安全配置路由器网络服务安全配置vFinger、NTP、CDP等等服务服务风险描述FingerFinger服务可能被攻击者利用查找用户和口令攻击。服务可能被攻击者利用查找用户和口令攻击。NTPNTP服务，如果没有一个很好的认证，则会影响路由器正确时间，导致日志和其他服务，如果没有一个很好的认证，则会影响路由

9、器正确时间，导致日志和其他任务出错。任务出错。CDPCDP可能被攻击者利用获得路由器的版本等信息，从而进行攻击。可能被攻击者利用获得路由器的版本等信息，从而进行攻击。风险等级中中安全措施禁用禁用Finger和和CDP服务服务如启用如启用NTP服务，需加认证服务，需加认证安全措施存在的风险使用命令集no service fingerntp authenticatentp authentication-key number md5 keyntp trusted-key number ntp server ip address key numberno cdp run（全局配置）（全局配置）no c

10、dp enable（端口配置）（端口配置）路由器网络服务安全配置路由器网络服务安全配置使用实例：使用实例：#如路由器启用了finger服务，可用下列命令禁用finger服务 ciscoenable password:输入enable口令 cisco#config t cisco（config）#no service finger#禁止CDP(Cisco Discovery Protocol）cisco（config）#no cdp#全局模式配置禁止cdp路由器网络服务安全配置路由器网络服务安全配置#ntp的认证配置分中心核心设备配置：cisco（config）#ntp authenticate

11、 cisco（config）#ntp authentication-key 10 md5 ntp密码#定义的认证串并将其赋值#所级路由器配置：cisco（config）#ntp authenticate cisco（config）#ntp authentication-key 10 md5 ntp密码 cisco（config）#ntp trusted-key 10 cisco（config）#ntp server 分中心核心设备loopback地址 key 10 访问控制列表和过滤访问控制列表和过滤v防止外部对内部进行防止外部对内部进行IP地址欺骗地址欺骗风险描述外部网络的非法用户将自己的外

12、部网络的非法用户将自己的IP地址改成内部网络的合法地址改成内部网络的合法IP地址，从而获得局域网的非法访问权限。地址，从而获得局域网的非法访问权限。风险等级中中安全措施利用控制列表禁止源地址为内部地址的数据包利用控制列表禁止源地址为内部地址的数据包使用使用ipip verify unicast verify unicast reverse-path reverse-path丢弃欺骗性数据包丢弃欺骗性数据包安全措施存在的风险使用使用ipip verify unicast verify unicast reverse-path reverse-path对路由器的性能影对路由器的性能影响较大，最好是

13、用在外部连入路由器的状态，并且把内存响较大，最好是用在外部连入路由器的状态，并且把内存加大些，否则可能会死机加大些，否则可能会死机使用命令集ipip access-list access-list（全局配置）（全局配置）ipip access-group access-group（端口配置）（端口配置）ipip cef cef （全局配置）（全局配置）ipip verify unicast verify unicast reverse-path reverse-path（端口配置）（端口配置）访问控制列表和过滤访问控制列表和过滤 防止外部防止外部IP地址欺骗地址欺骗使用实例：使用实例：#防止外

14、部对内部159.226.1.0一个C地址进行ip地址欺骗 cisco（config）#ip access-list extended 101#定义扩展列表号 cisco（config-ext-nacl）#deny ip 159.226.1.0 0.0.0.255 any cisco（config-ext-nacl）#permint any any cisco（config-ext-nacl）#exit cisco(config)#interface GigabitEthernet0/1（外口端口号）cisco(config-if)#ip access-group 101 in#在外口的in方向

15、上应用该扩展列表访问控制列表和过滤访问控制列表和过滤 防止外部防止外部IP地址欺骗地址欺骗使用实例：使用实例：cisco（config）#ip cef#启用快速交换 cisco（config）#interface g0/0 （外口端口）cisco（config-if）#ip verify unicast reverse-ip verify unicast reverse-path aclpath acl#在接口上启用Unicast RPF，ACL为可选项 注意：对路由器的性能性能影响较大，最好是用在外部连入路由器的状态，并且把内存加大些，否则可能会死机的。访问控制列表和过滤访问控制列表和过滤

16、防止外部的非法探测防止外部的非法探测风险描述非法访问者对内部网络发起攻击前，往往会用非法访问者对内部网络发起攻击前，往往会用ping或其或其他命令探测网络，了解网络的结构及相关信息。他命令探测网络，了解网络的结构及相关信息。风险等级低低安全措施用控制列表阻止用用控制列表阻止用ping和和traceroute探测探测安全措施存在的风险使用命令集ip access-list interface g0/0ip access-group 102 out（端口配置）（端口配置）访问控制列表和过滤访问控制列表和过滤 防止外部的非法探测防止外部的非法探测 使用实例：使用实例：cisco（config）#ip

17、 access-list extended 102 cisco（config-ext-nacl）#deny icmp any any echo#阻止ping探测网络 cisco（config-ext-nacl）#deny icmp any any time-exceeded#阻止阻止阻止答复输出，不阻止探测进入答复输出，不阻止探测进入 cisco（config-ext-nacl）#permint any any cisco(config-ext-nacl)#exit cisco（config）#interface g0/0#在外口上应用该列表 cisco（config-if）#ip acces

18、s-group 102 out访问控制列表和过滤访问控制列表和过滤v 阻止对关键端口的非法访问阻止对关键端口的非法访问v 针对针对sql-slammer、Netbios_Worm.Dvldr_蠕虫的访问列表蠕虫的访问列表风险描述 防止遭受蠕虫、震荡波等病毒的攻击防止遭受蠕虫、震荡波等病毒的攻击风险等级高高安全措施使用控制列表保护关键端口使用控制列表保护关键端口安全措施存在的风险使用命令集ip access-list（全局配置）（全局配置）interface g0/0ip access-group 150 in（端口配置）（端口配置）访问控制列表和过滤访问控制列表和过滤 阻止对关键端口的非法访问

19、阻止对关键端口的非法访问使用实例：使用实例：cisco（config）#ip access-list extended 150 cisco（config-ext-nacl）#deny deny tcp any any eqdeny tcp any any eq 135#135#禁止使用禁止使用RPCRPC远程过程调用服务端口远程过程调用服务端口 cisco（config-ext-nacl）#deny deny tcp any any eqdeny tcp any any eq 139#139#禁止使用对外禁止使用对外提供共享服务端口提供共享服务端口 cisco（config-ext-nacl）

20、#deny deny udp any any eqdeny udp any any eq 135 135 cisco（config-ext-nacl）#deny deny tcp any any eqdeny tcp any any eq 137#137#禁止提供名称禁止提供名称服务端口服务端口 cisco（config-ext-nacl）#deny deny tcp any any eqdeny tcp any any eq 138#138#禁止提供名称禁止提供名称服务端口服务端口 cisco（config-ext-nacl）#permint any any cisco(config-ext

21、-nacl)#exit cisco（config）#interface g0/0#在外口上应用该列表 cisco（config-if）#ip access-group 150 in访问控制列表和过滤访问控制列表和过滤 针对针对sql-slammer、Netbios_Worm.Dvldr_蠕虫的访问列表蠕虫的访问列表使用实例：使用实例：cisco（config）#ip access-list extended 150 cisco（config-ext-nacl）#deny deny udp any any eqdeny udp any any eq 1434#1434#用于控制用于控制slamm

22、er wormslammer worm cisco（config-ext-nacl）#deny deny tcp any any eqdeny tcp any any eq 445#445#用于控制蠕虫的扫描和感染用于控制蠕虫的扫描和感染 cisco（config-ext-nacl）#deny deny tcp any any eqdeny tcp any any eq 5554#5554#防止震荡波病毒攻击防止震荡波病毒攻击 cisco（config-ext-nacl）#deny deny tcp any any eqdeny tcp any any eq 9996#9996#防止震荡波病毒

23、攻击防止震荡波病毒攻击 cisco（config-ext-nacl）#deny deny tcp any any eqdeny tcp any any eq 5800#5800#用于防止受感染的系统用于防止受感染的系统被远程控制被远程控制 cisco（config-ext-nacl）#deny deny tcp any any eqdeny tcp any any eq 5900#5900#用于防止受感染的系统用于防止受感染的系统被远程控制被远程控制 cisco（config-ext-nacl）#deny 250 any any250 any any#防止防止Dvldr32蠕虫攻击蠕虫攻击 c

24、isco（config-ext-nacl）#deny 0 any any any any#用于控制用于控制ipip 协议为协议为0 0的流量的流量 cisco（config-ext-nacl）#permint any any cisco(config-ext-nacl)#exit cisco（config）#interface g0/0#在外口上应用该列表 cisco（config-if）#ip access-group 150 in路由的安全路由的安全v 防止防止Icmp 重定向攻击重定向攻击v 禁止使用源路由禁止使用源路由v 防止本网络做为中间代理防止本网络做为中间代理风险描述攻击者通过发

25、送错误的重定向信息给末端主机，从而导致末端主机的错误路由攻击者通过发送错误的重定向信息给末端主机，从而导致末端主机的错误路由源路由选择使入侵者可以为内部网的数据报指定一个非法的路由源路由选择使入侵者可以为内部网的数据报指定一个非法的路由攻击者可能会盗用内部攻击者可能会盗用内部IPIP地址进行非法访问地址进行非法访问风险等级中中安全措施禁止外部用户使用禁止外部用户使用ICMP重定向重定向禁止使用源路由禁止使用源路由ARPARP命令将固定命令将固定IPIP地址绑定到某一地址绑定到某一MACMAC地址地址设置禁止直接广播设置禁止直接广播使用命令集no ip redirects（端口配置）（端口配置）

26、no ip source-route （全局配置）（全局配置）arp 固定固定IP地址地址 MAC地址地址 arpa （全局配置）（全局配置）no ip directed-broadcast（端口配置）（端口配置）路由的安全路由的安全使用实例使用实例:cisco（config）#arp 159.226.0.6 xxxx.xxxx.xxxx arpa#mac地址绑定地址绑定 cisco（config）#no ip source-route#禁止使用源路由禁止使用源路由 cisco（config）#interface g0/0 cisco（config-if）#no ip directed-bro

27、adcast#端口上设置禁止端口上设置禁止发送广播包发送广播包 cisco（config）#no ip redirects#禁止使用禁止使用IP重定向重定向日志和管理日志和管理v 日志的保存和管理风险描述记录用户登录、权限变化、配置改变及系统状态变化的记录用户登录、权限变化、配置改变及系统状态变化的信息，有利于排障和审核信息，有利于排障和审核风险等级低低安全措施推荐保存到日志服务器或更改本地缓存日志的大小推荐保存到日志服务器或更改本地缓存日志的大小安全措施存在的风险使用命令集全局配置全局配置logging syslog服务器服务器IP地址地址logging source-interface l

28、ogging buffered 日志缓存大小日志缓存大小日志和管理日志和管理使用实例：使用实例：#指定日志服务器 cisco(config)#logging syslog 159.226.8.181 cisco(config)#logging source-interface Loopback 0#定义本地缓存大小 cisco(config)#logging buffered 1000000路由管理服务的安全配置路由管理服务的安全配置风险描述大部分管理员喜欢使用大部分管理员喜欢使用publicpublic和和privateprivate设置只读字串设置只读字串和读写字串和读写字串，利用这两个口

29、令可以获取该路由器的几，利用这两个口令可以获取该路由器的几乎一切信息乎一切信息风险等级中中安全措施ACLACL规则限定只能从合适的主机或网络接受访问所在设规则限定只能从合适的主机或网络接受访问所在设备的备的SNMPSNMP请求请求只配置只读只配置只读安全措施存在的风险使用命令集ip access-list interface g0/0ip access-group 150 insnmp-server community路由管理服务的安全配置路由管理服务的安全配置续续使用实例：使用实例：cisco（config）#ip access-list extended 150 cisco（config-ext-nacl）#permit udp 159.226.0.0 0.0.255.255 any eq 161 log cisco（config-ext-nacl）#permint any any cisco(config-ext-nacl)#exit cisco（config）#interface g0/0#在外口上应用该列表 cisco（config-if）#ip access-group 150 in#启用只读（RO）SNMP的能力cisco（config）#snmp-server community secert RO LOGO谢谢！谢谢！