學(xué)習(xí)啦>學(xué)習(xí)電腦>網(wǎng)絡(luò)知識(shí)>路由器>路由器設(shè)置>cisco思科>

如何安全部署企業(yè)網(wǎng)絡(luò)邊界cisco路由器

時(shí)間: 權(quán)威724 分享

  思科cisco依靠自身的技術(shù)和對(duì)網(wǎng)絡(luò)經(jīng)濟(jì)模式的深刻理解,使其成為了網(wǎng)絡(luò)應(yīng)用的成功實(shí)踐者之一,其出產(chǎn)的路由器設(shè)備也是全球一流,那么你知道如何安全部署企業(yè)網(wǎng)絡(luò)邊界cisco路由器嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于如何安全部署企業(yè)網(wǎng)絡(luò)邊界cisco路由器的相關(guān)資料,供你參考。

  安全部署企業(yè)網(wǎng)絡(luò)邊界cisco路由器1、安全部署從密碼開始

  密碼是路由器用來阻止對(duì)其進(jìn)行非授權(quán)訪問的主要手段,是路由器本身安全的一部分。對(duì)于邊界路由器來說,安全可靠的密碼策略更是必不可少的。

  (1).設(shè)置符合復(fù)雜性的特權(quán)模式進(jìn)入密碼

  首次登錄路由器后就要為其設(shè)置復(fù)雜的密碼,例如:“Router(config)#enable secret 55ctocio,.”,建議不要采用enable password進(jìn)行設(shè)置。兩者雖然功能相似,但是enable password采用的加密算法比較弱。同時(shí),還要啟用service password-encryption。例如:“Router(config)#service password-encryption”利用這條命令對(duì)存儲(chǔ)在配置文件中的所有密碼和類似的數(shù)據(jù)進(jìn)行加密,以提高密碼的安全性。(圖1)

  (2).盡量不要遠(yuǎn)程訪問路由器

  如果不需要對(duì)路由器進(jìn)行遠(yuǎn)程維護(hù)和管理,建議不要開啟遠(yuǎn)程訪問。就算開啟了路由器的遠(yuǎn)程訪問功能,也要控制遠(yuǎn)程訪問的次數(shù)。因?yàn)槿魏稳说卿浀铰酚善鞫紩?huì)在路由器上顯示一些重要的信息,而這些信息能夠?qū)粽哌M(jìn)行網(wǎng)絡(luò)滲透提供幫助。另外還有一種情況:攻擊者也許不會(huì)通過路由器對(duì)局域網(wǎng)實(shí)施攻擊,但他會(huì)將你的路由器作為一個(gè)跳板對(duì)其他的目標(biāo)實(shí)施攻擊。這樣,你的路由器被攻擊者利用不說,而且會(huì)給你帶來麻煩(嫁禍于人)?;诖?,我們一定要控制路由器的遠(yuǎn)程訪問。如果情況特殊需要遠(yuǎn)程訪問路由器,也一定要設(shè)置足夠強(qiáng)的密碼。筆者建議,不要將遠(yuǎn)程訪問密碼和特權(quán)密碼設(shè)置成一樣。

  Router(config)#line vty 0 4

  Router(config-line)#login

  Router(config-line)#password ineing55ete

  (圖2)

  (3).設(shè)置高強(qiáng)度的Consol端口訪問密碼

  盡管大部分的登錄訪問缺省都是禁止的。但是有一些例外。如直連的控制臺(tái)終端等。控制臺(tái)端口具有特殊的權(quán)限。特別注意的是,當(dāng)路由器重啟動(dòng)的開始幾秒如果發(fā)送一個(gè)Break信號(hào)到控制臺(tái)端口,則利用口令恢復(fù)程式可以很容易控制整個(gè)系統(tǒng)。這樣如果一個(gè)攻擊者盡管他沒有正常的訪問權(quán)限,但是具有系統(tǒng)重啟(切斷電源或系統(tǒng)崩潰)和訪問控制端口(通過直連終端、Modem、終端服務(wù)器)的能力就可以控制整個(gè)系統(tǒng)。所以必須保證所有連結(jié)控制端口的訪問的安全性,給Consol端口設(shè)置高強(qiáng)度密碼。

  Router(config)#line consol 0

  Router(config-line)#password ewingw58erer

  Router(config-line)#login

  (圖3)

  安全部署企業(yè)網(wǎng)絡(luò)邊界cisco路由器2、嚴(yán)格配置路由器管理服務(wù)

  Cisco路由器集成了許多管理服務(wù),這些服務(wù)適用于不同的環(huán)境和應(yīng)用需求。通常情況下,其中的很多管理服務(wù)我們根本用不著。而默認(rèn)情況下其中的某些管理服務(wù)是開啟的,這帶來了一定的安全隱患。最小的服務(wù)帶來最大的安全,所以我們應(yīng)該根據(jù)實(shí)際需要對(duì)這些管理服務(wù)進(jìn)行嚴(yán)格配置。

  (1).建議禁止Http管理服務(wù)

  Http管理服務(wù)是Cisco提供的基于圖形界面的Web管理方式,方便某些初級(jí)用戶的管理需求。但是,開啟Web管理后路由器需要開啟而外的端口(通常是80),而且Http是Cisco存在漏洞比較多的一個(gè)服務(wù)。對(duì)于一個(gè)熟練的管理員,有高效的命令行就可以了,完全用不著Web管理方式,因此筆者建議禁止該管理服務(wù)服務(wù)。

  Router(config)#no ip http server

  HTTP使用的身份識(shí)別協(xié)議相當(dāng)于向整個(gè)網(wǎng)絡(luò)發(fā)送一個(gè)未加密的口令,這使得用HTTP協(xié)議進(jìn)行管理相當(dāng)危險(xiǎn)。如如果開啟了HTTP服務(wù),最好使用“Router(config)#ip http access-class”命令限制可訪問地址,同時(shí)還要設(shè)置用戶名和密碼,并且使用“Router(config)#ip http authentication”命令開啟IP驗(yàn)證。

  Router(config)#username ctocio privilege 10 password ienig56egd

  Router(config)#access-list 10 permit 192.168.1.1

  Router(config)#ip http access-class 10

  Router(config)#ip http server

  (圖4)

  2).建議禁止SNMP服務(wù)

  SNMP是英文“Simple Network Management Protocol”的縮寫,中文意思是“簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議”,它是路由器里最為常用的網(wǎng)管協(xié)議。但是SNMP V1存在很多安全隱患,建議大家通過命令“Router(config)#no snmp-server”將其禁止。如確實(shí)要使用該協(xié)議,應(yīng)盡量使用SNMP V2,因?yàn)樗腔贛D5的數(shù)字認(rèn)證方式。另外,應(yīng)盡可能對(duì)不同的路由器設(shè)置不同的MD5安全值。

  如果一定要使用SNMP V1,那么必須要?jiǎng)h除SNMP的默認(rèn)配置,如缺省的community public/private等。如筆者曾經(jīng)寫過一篇文章《防止黑客接管思科路由器》(鏈接地址為:http://networking.ctocio.com.cn/tips/429/8542429.shtml),就是利用了管理員并沒有修改SNMP的默認(rèn)設(shè)置,利用工具下載了路由器的配置文件進(jìn)而控制路由器的案例。

  禁止pulic的只讀屬性和admin的讀寫屬性

  Router(config)#no snmp-server community public ro

  Router(config)#no snmp-server community admin rw

  (圖5)

  (3).關(guān)閉IP直接廣播(IP Directed Broadcast)

  DDOS(拒絕服務(wù))是網(wǎng)絡(luò)宿敵而且?guī)缀鯖]有有效的防御措施,Smurf攻擊是一種拒絕服務(wù)攻擊。局域網(wǎng)中的服務(wù)器會(huì)應(yīng)答各種網(wǎng)絡(luò)指令,通常情況下它并不管這個(gè)指令是誰發(fā)出的。在這種攻擊中,攻擊者使用假冒的源地址向你的網(wǎng)絡(luò)廣播地址發(fā)送一個(gè)“ICMP ech0”請(qǐng)求。這要求所有的主機(jī)對(duì)這個(gè)廣播請(qǐng)求做出回應(yīng),這種情況至少會(huì)降低你的網(wǎng)絡(luò)性能。大家可參考你的路由器信息文件,了解如何關(guān)閉IP直接廣播。例如,可以使用“Router(config)#no ip source-route”這個(gè)指令關(guān)閉路由器的IP直接廣播地址。

  (4).封鎖ICMP ping請(qǐng)求

  Ping命令的主要目的是識(shí)別目前正在使用的主機(jī)是否活動(dòng),ping通常用于更大規(guī)模的協(xié)同性攻擊之前的偵察活動(dòng),這是攻擊者在攻擊之前首先要做的測(cè)試。通過取消遠(yuǎn)程用戶接收ping請(qǐng)求的應(yīng)答能力,就能夠在一定程度上避開那些無人注意的掃描活動(dòng)或者防御那些尋找容易攻擊的目標(biāo)的黑客實(shí)施進(jìn)一步的工具。當(dāng)然,這樣做實(shí)際上并不能保護(hù)你的路由器不受攻擊,但是這將使你不太可能成為一個(gè)攻擊目標(biāo),降低的被攻擊的幾率。

  有的時(shí)候,我們需要發(fā)ICMP ping包探測(cè)Internet中的某個(gè)IP。所以一個(gè)折中的方案是:對(duì)于進(jìn)入局域網(wǎng)的ICMP數(shù)據(jù)包我們要禁止ICMP協(xié)議的ECHO、Redirect、Mask request,也需要禁止TraceRoute命令的探測(cè)。對(duì)于流出的ICMP數(shù)據(jù)包我們可以允許ECHO、Parameter Problem、Packet too big和TraceRoute命令的使用。

  屏蔽外部ping包

  Router(Config)#access-list 110 deny icmp any any echo log

  Router(Config)#access-list 110 deny icmp any any redirect log

  Router(Config)#access-list 110 deny icmp any any mask-request log

  Router(Config)#access-list 110 permit icmp any any

  允許內(nèi)部ping包

  Router(Config)#access-list 111 permit icmp any any echo

  Router(Config)#access-list 111 permit icmp any any Parameter-problem

  Router(Config)#access-list 111 permit icmp any any packet-too-big

  Router(Config)#access-list 111 permit icmp any any source-quench

  Router(Config)#access-list 111 deny icmp any any log

  屏蔽外部TraceRoute

  Router(Config)#access-list 112 deny udp any any range 33400 34400

  允許內(nèi)部TraceRoute

  Router(Config)#access-list 112 permit udp any any range 33400 34400

  (圖6)

569691