路由器的访问安全 以路由器R1为例,说明路由器访问安全的配置。 R1(config)#int f1/0 R1(config-if)#ip add 172.16.1.1 255.255.255.0 R1(config-if)#no sh R1(config)#int s0/0 R1(config-if)#ip add 172.16.12.1 255.255.255.0 R1(config-if)#no sh R2(config)#int s0/0 R2(config-if)#ip add 172.16.12.2 255.255.255.0 R2(config-if)#clock rate 64000 R2(config-if)#no sh PC:IP地址:172.16.1.100/24、网关:172.16.1.1 二:配置密码和登录安全 基本登录安全配置: R1(config)#clock timezone GMT
+8 R1#clock set 15:14:13 12 aug
2012 R1(config)#enable secret
cisco R1(config)#service
password-encryption R1(config)#service
tcp-keepalives-in R1(config)#line console 0 R1(config-line)#exec-timeout 10
0 R1(config-line)#transport input
none R1(config-line)#password cisco R1(config-line)#login R1(config)#line vty 0 4 R1(config-line)#exec-timeout 10 0 R1(config-line)#transport input SSH R1(config-line)#password cisco R1(config-line)#login R1(config)#line aux
0 R1(config-line)#no
exec 说明: ①中国时区为:GMT +8; ②在配置特权模式密码时,不建议使用“enable password”命令,因为它的密码不加密存放; ③在配置“service password-encryption”命令之前配置的密码不会被加密,也就是对于要被加密的密码,必 ④拒绝服务(Dos):是指攻击者通过禁用或破坏网络、系统或服务来拒绝为特定用户提供服务的一种攻击方式。 ⑤Console(控制台)端口是进行设备管理和配置的默认访问模式,它通过TTY线路0物理连接到设备的控制台端 ⑥配置“transport input all”命令后支持所有协议,如:X.3 PAD、TCP/IP Telnet SSH、UNIX rlogin等。 ⑦反向Telnet:路由器异步线路与Modem连接后,就可以建立与Modem的直接Telnet对话通信,这个过程也称为反 ⑧VTY(虚拟类型终端)端口:默认可以使用线路0到4的虚拟类型终端线路,它与Console口相似,也没预先配置密 ⑨AUX(辅助)端口:与拨号调制解调器连接,可提供远程管理;通过简单地战争拨号技术,入侵者可以找到一个 以上配置Console和Telnet的密码和登录。但是在上面的配置中没有办法区分不同的用户,如果需要不同用户使用各自的密码登录需要采用以下配置: 高级登录安全配置 R1(config)#aaa
new-model R1(config)#aaa authentication login AAA_LOCAL local
R1(config)#username user1
privilege R1(config)#username user2 privilege
15 R1(config)#line console 0 R1(config-line)#login
authentication
AAA_LOCAL R1(config-line)#exec-timeout 5
30 R1(config)#access-list 5 permit 172.16.0.0
0.0.255.255 R1(config)#line vty 0 4 R1(config-line)#login
authentication
AAA_LOCAL R1(config-line)#access-class 5
in R1(config-line)#exec-timeout 5 30 说明:Cisco IOS提供从0到15的16个优先权等级: ①默认情况下IOS有3个预定义的用户等级,分别为: ②2至14等级用于用户自定义的模式; ③“R1(config)#privilege ④“R1(config-line)#privilege level level”命令可以修改给定线路的优先权等级。 以下配置可以防止黑客暴力破解: R1(config)#access-list 10 permit
172.16.1.100 R1(config)#security passwords
min-length R1(config)#security authentication failure rate 5 log
R1(config)#login block-for 60 attempts 3 within 30
R1(config)#login
delay R1(config)#login quiet-mode
access-class
10 R1(config)#login on-failure
log R1(config)#login on-success
log 说明: ①AAA:认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放 ②密码长度至少要8位以上,并要满足复杂性要求。 ③在系统超时前,用户没有任何输入操作将被自动注销,这样可以减少不安全因素。 ④在安静期内允许特定的计算机可以登录的目的:是为了防止黑客利用在多次输错密码后路由器会进入安静期, R1#show
login R1(config)#banner motd
@ R1(config)#banner
login@ R1(config)#banner exec
@ R1(config)#banner
incoming@ R1(config)#banner
slip-ppp@ ①banner motd:当用户与已连接终端的路由器连接时,即在路由器提示输入用户和密码前出现; ②banner login:在已连接的终端上显示,即提示输入用户和密码前banner motd之后出现,并仅在从Console口 ③banner exec:在进入exec模式之前提示的信息,即用户通过了认证后; ④banner incoming:在与反向Telnet线路连接的终端上显示,该旗标有助于向用户提供指令; ⑤banner slip-ppp:常用于兼容非Cisco系列线路Internet协议(如:SLIP和PPP拨号软件连接中),如果使用默 三:配置SSH(安全外壳 Secure Shell) SSH加密传输数据,端口号22;SSHv1对明文Telnet而言是一个改进,但也存在一些基本缺陷,SSHv2更加安全。 R1(config)#ip domain-name
yly.com R1(config)#crypto key generate
rsa R1(config)#line vty 0 4 R1(config-line)#transport input
ssh 从路由器R2使用SSH远程登录到路由器R1: 我们也可以从计算机PC使用SSH登录到路由器R1: 说明:SSH生成密钥的关键字名就是“hostname.ip domain-name”,所以需要配置域名;如果公司有自己的域 四:关闭不必要的服务 默认时,Cisco路由器在第2层、3层、4层和7层上有着各种各样的服务器,在不影响我们使用的情况下,为了安全起见可以把不必要的服务关闭。 R1(config)#no cdp
run R1(config)#no ip
source-route R1(config)#no ip http
server R1(config)#no service
tcp-small-servers R1(config)#no service
udp-small-servers R1(config)#no ip
finger R1(config)#no ip
identd R1(config)#no ip bootp
server R1(config)#no service
dhcp R1(config)#no tftp-server
flash:[file_name] R1(config)#no ftp-server
enable R1(config)#no service
config R1(config)#no service
pad R1(config)#no ip
name-server R1(config)#no ip
domain-lookup R1(config)#no boot
network R1(config)#no service
config R1(config)#no
snmp-server R1(config)#int f1/0 R1(config-if)#no ip
proxy-arp R1(config-if)#no ip
directed-broadcast R1(config-if)#no ip
redirects R1(config-if)#no ip
unreachables R1(config-if)#no ip
mask-reply R1(config)#no ip
gratuitous-arps 说明: ①IP源路由选择(Source ②TCP/UDP小型服务器:小型服务器也就是端口号不大于19的服务(TCP如:应答、字符发生器、丢弃和日期,UDP ③查找器:查找器协议使用TCP端口号79,网络用户使用查找器用户协议可获得包含设备上现有用户的列表(显示 ④识别(auth)协议(Identd):允许任意主机要求路由器对其进行识别,可将Identd作为一个侦察工具,默认情况 ⑤BOOTP和DHCP服务:DHCP基于BOOTP,使用UDP端口号67,BOOTP服务现已被DHCP代替了。当禁用BOOTP和DHCP服 ⑥简单文件传输协议(TFTP)服务:Cisco路由器或路由器上的闪存可作为TFTP服务器,系统向以file_name这个文 ⑦文件传输(FTP)服务:Cisco路由器也作为FTP服务器,FTP服务用于传输到达或来自于路由器的文件(如:系统 ⑧半自动设备配置:Cisco IOS提供了一种策略,可直接从网络服务器把设备配置自动下载到设备。它有几种方 ⑨代理ARP(Prox ARP):它ARP协议的一个变种,就是通过使用一个主机(通常为Router),来作为指定的设备对另 ⑩IP直接广播功能:所有的路由器都不转发目的地址为受限的广播地址的数据报,这样的数据报仅出现在本地网 IP重定向:分组从其被接受的接口离开时,给主机发送一个ICMP重定向消息,表示使用默认网关地址执行后续 五:Auto-Secure特性 Cisco设备提供了多种服务,监视和维护安全等级并且识别每项服务是一项十分困难的任务,新版的IOS提供了自动配置路由器安全的单一CLI宏命令“auto secure”来协助完成这项任务。Auto-Secure是一项有效地特性,人们无需专门申请安全操作,能迅速保护网络;也不需要彻底了解所有Cisco IOS特性,简化了路由器安全配置,且增强了路由器配置。Auto-Secure特性可在IOS 12.3(1)及其以后版本中使用。 说明:IOS 12.3(8)T之前的版本中,Auto-Secure配置回滚不可用;IOS 12.3(8)T及其以后版本中可用。也就是 该命令执行的功能: ①禁用可被利用进行网络攻击的公共IP服务。 ②当受到攻击时,启用可以帮助网络进行防御的IP服务和特性。 该命令的两种模式: ①交互模式:该模式会提示用户启用和禁用服务及其它安全功能的选项,这是默认模式。 ②非交互模式:使用[no-interact]参数进入该模式,它使用Cisco默认设置自动配置“auto secure”命令。 R1#auto secure R1#show auto secure
config 六:路由器日志 R1(config)#logging
on PC(telnet/ssh):R1#terminal monitor R1(config)#logging
buffered R1#show
logging R1#show
logging ①日志有0-7,共8个等级。等级0最为严重;等级7最不重要,为debug信息。 ②这里有一个简单的免费服务器《Router Syslog》: |
|