Cisco路由器安全配置( 二 )
2.控制VTY
为了保证安全,任何VTY应该仅答应指定的协议建立连结 。利用transport input命令 。如一个VTY只支持Telnet服务,可以如下设置transport input telnet 。假如路由器操作系统支持SSH,最好只支持这个协议,避免使用明文传送的Telnet服务 。如下设置:transport input ssh 。也可以利用ip Access-class限制访问VTY的ip地址范围 。
因为VTYs的数目有一定的限制,当所有的VTYs用完了,就不能再建立远程的网络连结了 。这就有可能被利用进行Dos(拒绝服务攻击) 。这里攻击者不必登录进入,只要建立连结,到login提示符下就可以,消耗到所有的VTYs 。对于这种攻击的一个好的防御方法就是利用ip access-class命令限制最后一个VTYs的访问地址,只向特定治理工作站打开 。而其他的VTYs不限制,从而既保证了灵活性,也保证要害的治理工作不被影响 。另一个方法是利用exec-timeout命令,配置VTY的超时 。避免一个空闲的任务一直占用VTY 。类似的也可以用service tcp-keepalives-in 保证Tcp建立的入连结是活动的,从而避免恶意的攻击或远端系统的意外崩溃导致的资源独占 。更好的保护VTY的方法是关闭所有非基于IP的访问,且使用IPSec加密所有的远端与路由器的连结 。
三. 治理服务配置
许多的用户利用协议如Snmp或Http来治理路由器 。但是利用这些协议治理服务时,就会存在一定的安全问题 。
1. Snmp
Snmp是最经常用于路由器的治理的协议 。目前使用最多的Snmp 版本1,但是这个版本的Snmp存在着很多的安全问题:
A. 使用明文认证,利用"community"字符串 。
B. 在周期性轮循时,重复的发送这些"community" 。
C. 采用轻易被欺骗的基于数据包的协议 。
所以尽量采用Snmp V2,因为它采用基于MD5的数字认证方式,并且答应对于不同的治理数据进行限制 。假如一定要使用Snmp V1,则要仔细的配置 。如避免使用缺省的community如public,private等 。避免对于每个设备都用相同的community,区别和限制只读和读写commnity 。对于Snmp V2,则可能的话对于不同的路由器设定不同的MD5安全值 。还有就是最好使用访问列表限定可以使用Snmp治理的范围 。
2. Http:
最近的路由器操作系统支持Http协议进行远端配置和监视 。而针对Http的认证就相当于在网络上发送明文且对于Http没有有效的基于挑战或一次性的口令保护 。这使得用Http进行治理相当危险 。
假如选择使用Http进行治理,最好用ip http access-class命令限定访问地址且用ip http authentication命令配置认证 。最好的http认证选择是利用TACACS 或RADIUS服务器 。
四. 日志
利用路由器的日志功能对于安全来说是十分重要的 。Cisco路由器支持如下的日志
1. AAA日志:主要收集关于用户拨入连结、登录、Http访问、权限变化等 。这些日志用TACACS 或RADIUS协议送到认证服务器并本地保存下来 。这些可以用aaa accouting实现 。
2. Snmp trap 日志:发送系统状态的改变到Snmp 治理工作站 。
3. 系统日志:根据配置记录大量的系统事件 。并可以将这些日志发送到下列地方:
a. 控制台端口
b. Syslog 服务器
c. TTYs或VTYs
d. 本地的日志缓存 。
这里最关心的就是系统日志,缺省的情况下这些日志被送到控制台端口,通过控制台监视器来观察系统的运行情况,但是这种方式信息量小且无法记录下来供以后的查看 。最好是使用syslog服务器,将日志信息送到这个服务器保存下来 。
五.路由安全
1.防止伪造:
伪造是攻击者经常使用的方法 。通过路由器的配置可以在一定程度上防止伪造 。通常是利用访问列表,限制通过的数据包的地址范围 。但是有下面几点注重的 。
推荐阅读
- 路由器的类型
- 选择安全路由器的标准
- 连接一个终端到Cisco路由器
- 路由器能否取代防火墙?
- 路由器的安全设计
- 基本的CISCO路由器安全配置
- 路由器的安全与可靠的问题
- 2505路由器HUB端口的安全性配置
- 在低端路由器上实现双机热备份和EIGRP的路由调整实例
- Cisco1600和800系列路由器运行OSPF的注意事项