讓我們?nèi)嫫饰鯟isco路由器安全配置問(wèn)題，讓大家學(xué)會(huì)如何配置Cisco路由器，讓大家有一個(gè)更安全的環(huán)境上網(wǎng)。目前大多數(shù)的企事業(yè)單位和部門(mén)連Internet網(wǎng)，通常都是一臺(tái)路由器與ISP連結(jié)實(shí)現(xiàn)。這臺(tái)路由器就是溝通外部Internet和內(nèi)部網(wǎng)絡(luò)的橋梁，如果這臺(tái)路由器能夠合理進(jìn)行安全設(shè)置，那么就可以對(duì)內(nèi)部的網(wǎng)絡(luò)提供一定安全性或?qū)σ延械陌踩嗔艘粚悠琳稀，F(xiàn)在大多數(shù)的路由器都是Cisco公司的產(chǎn)品或與其功能近似，本文在這里就針對(duì)Cisco路由器的安全配置進(jìn)行管理。

考慮到路由器的作用和位置，Cisco路由器安全配置的好壞不僅影響本身的安全也影響整個(gè)網(wǎng)絡(luò)的安全。目前路由器（以Cisco為例）本身也都帶有一定的安全功能，如訪問(wèn)列表、加密等，但是在缺省配置時(shí)，這些功能大多數(shù)都是關(guān)閉的。需要進(jìn)行手工配置。怎樣的配置才能最大的滿足安全的需要，且不降低網(wǎng)絡(luò)的性能？本文從以下幾個(gè)部分分別加以說(shuō)明：

一.Cisco路由器安全配置：口令管理

口令是路由器是用來(lái)防止對(duì)于路由器的非授權(quán)訪問(wèn)的主要手段，是路由器本身安全的一部分。最好的口令處理方法是將這些口令保存在TACACS+或RADIUS認(rèn)證服務(wù)器上。但是幾乎每一個(gè)路由器都要有一個(gè)本地配置口令進(jìn)行權(quán)限訪問(wèn)。如何維護(hù)這部分的安全？

使用enablesecret，enablesecret命令用于設(shè)定具有管理員權(quán)限的口令。并且如果沒(méi)有enablesecret，則當(dāng)一個(gè)口令是為控制臺(tái)TTY設(shè)置的，這個(gè)口令也能用于遠(yuǎn)程訪問(wèn)。這種情況是不希望的。還有一點(diǎn)就是老的系統(tǒng)采用的是enablepassword，雖然功能相似，但是enablepassword采用的加密算法比較弱。

使用servicepassword-encryption，這條命令用于對(duì)存儲(chǔ)在配置文件中的所有口令和類(lèi)似數(shù)據(jù)（如CHAP）進(jìn)行加密。避免當(dāng)配置文件被不懷好意者看見(jiàn)，從而獲得這些數(shù)據(jù)的明文。但是servicepassword-encrypation的加密算法是一個(gè)簡(jiǎn)單的維吉尼亞加密，很容易被破譯。

這主要是針對(duì)enablepassword命令設(shè)置的口令。而enablesecret命令采用的是MD5算法，這種算法很難進(jìn)行破譯的。但是這種MD5算法對(duì)于字典式攻擊還是沒(méi)有辦法。所以不要以為加密了就可以放心了，最好的方法就是選擇一個(gè)長(zhǎng)的口令字，避免配置文件被外界得到。且設(shè)定enablesecret和servicepassword-encryption。

二.Cisco路由器安全配置：控制交互式訪問(wèn)

任何人登錄到路由器上都能夠顯示一些重要的配置信息。一個(gè)攻擊者可以將路由器作為攻擊的中轉(zhuǎn)站。所以需要正確控制路由器的登錄訪問(wèn)。盡管大部分的登錄訪問(wèn)缺省都是禁止的。但是有一些例外，如直連的控制臺(tái)終端等。

控制臺(tái)端口具有特殊的權(quán)限。Cisco路由器安全配置注意的是，當(dāng)路由器重啟動(dòng)的開(kāi)始幾秒如果發(fā)送一個(gè)Break信號(hào)到控制臺(tái)端口，則利用口令恢復(fù)程式可以很容易控制整個(gè)系統(tǒng)。這樣如果一個(gè)攻擊者盡管他沒(méi)有正常的訪問(wèn)權(quán)限，但是具有系統(tǒng)重啟（切斷電源或系統(tǒng)崩潰）和訪問(wèn)控制端口（通過(guò)直連終端、Modem、終端服務(wù)器）的能力就可以控制整個(gè)系統(tǒng)。所以必須保證所有連結(jié)控制端口的訪問(wèn)的安全性。

除了通過(guò)控制臺(tái)登錄路由器外還有很多的方法，根據(jù)配置和操作系統(tǒng)版本的不同，可以支持如Telnet、rlogin、Ssh以及非基于IP的網(wǎng)絡(luò)協(xié)議如LAT、MOP、X.29和V.120等或者M(jìn)odem撥號(hào)。所有這些都涉及到TTY，本地的異步終端和撥號(hào)Modem用標(biāo)準(zhǔn)的"TTYs"。遠(yuǎn)地的網(wǎng)絡(luò)連結(jié)不管采用什么協(xié)議都是虛擬的TTYs，即"VTYs"。要控制路由器的訪問(wèn)，最好就是控制這些TTYs或VTYs，加上一些認(rèn)證或利用login、nopassword命令禁止訪問(wèn)。

控制TTY，缺省的情況下一個(gè)遠(yuǎn)端用戶可以連結(jié)到一個(gè)TTY，稱為"反向Telnet"，允許遠(yuǎn)端用戶和連接到這個(gè)TTY上的終端或Modem進(jìn)行交互。但是這些特征允許一個(gè)遠(yuǎn)端用戶連接到一個(gè)本地的異步終端口或一個(gè)撥入的Modem端口，從而構(gòu)造一個(gè)假的登錄過(guò)程來(lái)偷盜口令或其他的非法活動(dòng)。所以最好禁止這項(xiàng)功能，可以采用transportinputnone設(shè)置任何異步或Modem不接收來(lái)自網(wǎng)絡(luò)用戶的連結(jié)。如果可能，不要用相同的Modem撥入和撥出，且禁止反向Telnet撥入。

控制VTY，為了保證安全，任何VTY應(yīng)該僅允許指定的協(xié)議建立連結(jié)。利用transportinput命令。如一個(gè)VTY只支持Telnet服務(wù)，可以如下設(shè)置transportinputtelnet。如果路由器操作系統(tǒng)支持SSH，最好只支持這個(gè)協(xié)議，避免使用明文傳送的Telnet服務(wù)。如下設(shè)置：transportinputssh。也可以利用ipaccess-class限制訪問(wèn)VTY的ip地址范圍。

因?yàn)閂TYs的數(shù)目有一定的限制，當(dāng)所有的VTYs用完了，就不能再建立遠(yuǎn)程的網(wǎng)絡(luò)連結(jié)了。這就有可能被利用進(jìn)行Dos（拒絕服務(wù)攻擊）。這里攻擊者不必登錄進(jìn)入，只要建立連結(jié)，到login提示符下就可以，消耗到所有的VTYs。對(duì)于這種攻擊的一個(gè)好的防御方法就是利用ipaccess-class命令限制最后一個(gè)VTYs的訪問(wèn)地址，只向特定管理工作站打開(kāi)。

而其他的VTYs不限制，從而既保證了靈活性，也保證關(guān)鍵的管理工作不被影響。另一個(gè)方法是利用exec-timeout命令，配置VTY的超時(shí)。避免一個(gè)空閑的任務(wù)一直占用VTY。類(lèi)似的也可以用servicetcp-keepalives-in保證Tcp建立的入連結(jié)是活動(dòng)的，從而避免惡意的攻擊或遠(yuǎn)端系統(tǒng)的意外崩潰導(dǎo)致的資源獨(dú)占。更好的保護(hù)VTY的方法是關(guān)閉所有非基于IP的訪問(wèn)，且使用IPSec加密所有的遠(yuǎn)端與路由器的連結(jié)。

三.Cisco路由器安全配置：管理服務(wù)配置

許多的用戶利用協(xié)議如Snmp或Http來(lái)管理路由器。但是利用這些協(xié)議管理服務(wù)時(shí)，就會(huì)存在一定的安全問(wèn)題。Snmp，Snmp是最經(jīng)常用于路由器的管理的協(xié)議。目前使用最多的Snmp版本1，但是這個(gè)版本的Snmp存在著很多的安全問(wèn)題：使用明文認(rèn)證，利用"community"字符串。在周期性輪循時(shí)，重復(fù)的發(fā)送這些"community"。采用容易被欺騙的基于數(shù)據(jù)包的協(xié)議。

所以盡量采用SnmpV2，因?yàn)樗捎没贛D5的數(shù)字認(rèn)證方式，并且允許對(duì)于不同的管理數(shù)據(jù)進(jìn)行限制。如果一定要使用SnmpV1，則要仔細(xì)的配置。如避免使用缺省的community如public，private等。避免對(duì)于每個(gè)設(shè)備都用相同的community，區(qū)別和限制只讀和讀寫(xiě)commnity。對(duì)于SnmpV2，則可能的話對(duì)于不同的路由器設(shè)定不同的MD5安全值。還有就是最好使用訪問(wèn)列表限定可以使用Snmp管理的范圍。

Http：最近的路由器操作系統(tǒng)支持Http協(xié)議進(jìn)行遠(yuǎn)端配置和監(jiān)視。而針對(duì)Http的認(rèn)證就相當(dāng)于在網(wǎng)絡(luò)上發(fā)送明文且對(duì)于Http沒(méi)有有效的基于挑戰(zhàn)或一次性的口令保護(hù)。這使得用Http進(jìn)行管理相當(dāng)危險(xiǎn)。如果選擇使用Http進(jìn)行管理，最好用iphttpaccess-class命令限定訪問(wèn)地址且用iphttpauthentication命令配置認(rèn)證。最好的http認(rèn)證選擇是利用TACACS+或RADIUS服務(wù)器。

四.Cisco路由器安全配置：日志

利用路由器的日志功能對(duì)于安全來(lái)說(shuō)是十分重要的。Cisco路由器支持如下的日志
◆AAA日志：主要收集關(guān)于用戶撥入連結(jié)、登錄、Http訪問(wèn)、權(quán)限變化等。
◆這些日志用TACACS+或RADIUS協(xié)議送到認(rèn)證服務(wù)器并本地保存下來(lái)。
◆這些可以用aaaaccouting實(shí)現(xiàn)。
◆Snmptrap日志：發(fā)送系統(tǒng)狀態(tài)的改變到Snmp管理工作站。
◆系統(tǒng)日志：根據(jù)配置記錄大量的系統(tǒng)事件。并可以將這些日志發(fā)送到下列地方：
◆控制臺(tái)端口
◆Syslog服務(wù)器
◆TTYs或VTYs
◆本地的日志緩存。

這里最關(guān)心的就是系統(tǒng)日志，缺省的情況下這些日志被送到控制臺(tái)端口，通過(guò)控制臺(tái)監(jiān)視器來(lái)觀察系統(tǒng)的運(yùn)行情況，但是這種方式信息量小且無(wú)法記錄下來(lái)供以后的查看。最好是使用syslog服務(wù)器，將日志信息送到這個(gè)服務(wù)器保存下來(lái)。

五．Cisco路由器安全配置：路由安全

防止偽造：偽造是攻擊者經(jīng)常使用的方法。通過(guò)路由器的配置可以在一定程度上防止偽造。通常是利用訪問(wèn)列表，限制通過(guò)的數(shù)據(jù)包的地址范圍。但是有下面幾點(diǎn)注意的。

◆可以在網(wǎng)絡(luò)的任何一點(diǎn)進(jìn)行限制，但是最好在網(wǎng)絡(luò)的邊界路由器上進(jìn)行，因?yàn)樵诰W(wǎng)絡(luò)內(nèi)部是難于判斷地址偽造的。

◆最好對(duì)接口進(jìn)入的數(shù)據(jù)進(jìn)行訪問(wèn)控制（用ipaccess-grouplistin）。因?yàn)檩敵隽斜磉^(guò)濾只保護(hù)了位于路由器后的網(wǎng)絡(luò)部分，而輸入列表數(shù)據(jù)過(guò)濾還保護(hù)了路由器本身不受到外界的攻擊。

◆不僅對(duì)外部的端口進(jìn)行訪問(wèn)控制，還要對(duì)內(nèi)部的端口進(jìn)行訪問(wèn)控制。因?yàn)榭梢苑乐箒?lái)自內(nèi)部的攻擊行為。

下面是一個(gè)是一個(gè)訪問(wèn)列表的例子：
◆ipaccess-listnumberdenyicmpanyanyredirect拒絕所有的Icmp重定向
◆ipaccess-listnumberdenyiphost127.0.0.00.255.255.255any拒絕Loopback的數(shù)據(jù)包
◆ipaccess-listnumberdenyip224.0.0.031.255.255.255any拒絕多目地址的數(shù)據(jù)包

除了訪問(wèn)列表的限制外，還可以利用路由器的RPF檢查（ipverifyunicastrpf）。這項(xiàng)功能主要用于檢查進(jìn)入接口的數(shù)據(jù)包的源地址，根據(jù)路由表判斷是不是到達(dá)這個(gè)源地址的路由是不是也經(jīng)過(guò)這個(gè)接口轉(zhuǎn)發(fā)，如果不是則拋棄。這進(jìn)一步保證了數(shù)據(jù)源的正確性。但是這種方式不適合非對(duì)稱的路由，即A到B的路由與B到A的路由不相同。所以需要判斷清楚路由器的具體配置。

控制直接廣播，一個(gè)IP直接廣播是一個(gè)目的地為某個(gè)子網(wǎng)的廣播地址的數(shù)據(jù)包，但是這個(gè)發(fā)送主機(jī)的不與這個(gè)目的子網(wǎng)直接相連。所以這個(gè)數(shù)據(jù)包被路由器當(dāng)作普通包轉(zhuǎn)發(fā)直到目的子網(wǎng)，然后被轉(zhuǎn)換為鏈路層廣播。由于Ip地址結(jié)構(gòu)的特性，只有直接連接到這個(gè)子網(wǎng)的路由器能夠識(shí)別一個(gè)直接廣播包。

針對(duì)Cisco路由器安全配置，目前存在一種攻擊稱為"smurf"，攻擊者通過(guò)不斷的發(fā)送一個(gè)源地址為非法地址的直接廣播包到攻擊的子網(wǎng)。從而導(dǎo)致子網(wǎng)的所有主機(jī)向這個(gè)非法地址發(fā)送響應(yīng)，最終導(dǎo)致目的網(wǎng)絡(luò)的廣播風(fēng)暴。對(duì)于這種攻擊可以在路由器的接口上設(shè)置noipdirected。