思科網絡設備安全

1、本文檔描述了如何增強網絡中路由器的安全性，常見的使用方法和相應的配置命令和配置例子。11.1 網絡安全11.1.1 關閉不必要的服務關閉所有路由器或交換機上的不必要的服務，如Finger、Bootp、Http等；Command：Router(config)#no ip finger#關閉finger服務Router(config)# no ip bootp server#關閉bootp服務Router(config)# no ip http server#關閉http服務Example：Router(config)#no ip fingerRouter(config)# no ip bootp

2、 serverRouter(config)# no ip http server11.1.2 設置加密特權密碼使用加密的特權密碼，注意密碼的選擇：n 不要使用登錄名，不管以何種形式（如原樣或顛倒、大寫和重復等）n 不要用名字的第一個、中間一個或最后一個字（不管是現用名還是曾用名）n 不要用最親近的家人的名字（包括配偶、子女、父母和寵物）n 不要用其他任何容易得到的關于你的信息n 不要使用純數字或完全同一個字母組成的口令n 不要使用在英文字典中的單詞n 不要使用短于6位的口令n 不要將口令告訴任何人n 不要將口令電子郵件給任何人n 如果可能，應該使用大小寫混合的字母n 使用包括非字母字符的口令n

3、 使用容易記的口令，這樣就不必將它寫下來n 使用不用看鍵盤就可以很快鍵出的口令Command：Router(config)#enable secret <password>#設置加密的特權密碼Example：Router(config)#enable secret $!ainf0:#設置加密的特權密碼為$!ainf0:11.1.3 打開密碼標記Command：Router(config)#service password-encryption#加密密碼，原先使用明文顯示的密碼將會以密文方式出現 Example：Router(config)#service password-encr

4、yption#加密明文密碼Router#show running-configline vty 0 4 password cisco logging synchronous login! Router#conf tEnter configuration commands， one per line. End with CNTL/Z.Router(config)#service password-encryption Router(config)#ZRouter# show running-configline vty 0 4 password 7 01100F175804 login11.1.

5、4 設置NTP server為了保證全網網絡設備時鐘的同步，必須在網絡設備上配置NTP。Command：Router(config)# ntp server <ntp-server-address>#設置NTP，<ntp-server-address>為時鐘服務器的IP地址Router(config)#ntp update-calendar#將NTP取得的時鐘更新本地的日歷Example：Router(config)# ntp server Router(config)#ntp update-calenda#設置NTP時鐘服務器IP地址為，路由器將使用N

6、TP得到的時鐘作為本地時鐘，同時更新本地的日歷。11.1.5 配置日志在所有的路由器或交換機上配置相應的日志選項。Command：Router(config)# logging buffered <memory-size>#將日志存于內存中，存放日志的內存大小由<memory-size>指定，單位為byte。Router(config)# logging <syslog-host-ip-address>#將日志發(fā)送到Syslog server上，Syslog server由<syslog-host-ip-address>指定。需要預先配置Sysl

7、og serverExample：Router(config)# logging buffered 1024000#在內存中使用1M的空間存放日志Router(config)# logging 10#將日志發(fā)送到IP地址為的Syslog server上11.1.6 設置LOG和DEBUG的時間標記為了方便排錯和日志管理，需要將日志的DEBUG的信息做上時間標志。使用以下命令設置時間標志。Command：Router(config)#service timestamps debug datetime msec localtime#使用本地時間（精確到毫秒）標記DEBUG信息Rou

8、ter(config)#service timestamps log datetime msec localtime#使用本地時間（精確到毫秒）標記日志信息Example：Router(config)#service timestamps debug datetime msec localtimeRouter(config)#service timestamps log datetime msec localtime11.1.7 配置Console、AUX和VTY登錄控制登錄一臺路由器可以通過Console端口、AUX端口和VTY遠程方式，因此對于這三種登錄方式的控制直接影響網絡設備的安全性。

9、在三種登錄方式下需要設置認證、和超時選項。建議認證使用本地用戶名加密碼的方式增加安全性。Command：Router(config-line)#login local#設置登錄時采用本地的用戶數據Router(config-line)#exec-timeout <minutes> < secs>#設置超時時間，<minutes>表示分，< secs>表示秒，超時時間為兩者之和Example：Router(config)#line con 0Router(config-line)#exec-timeout 120 0Router(config-li

10、ne)# login localRouter(config-line)#line aux 0Router(config-line)#exec-timeout 120 0Router(config-line)#login localRouter(config-line)#line vty 0 4Router(config-line)#exec-timeout 120 0Router(config-line)#login local11.1.8 限制遠程登錄的范圍缺省情況下，從任何地方都可以登錄網絡設備。為了增加網絡設備的安全性，需要對遠程登錄的范圍進行限制。通常使用訪問控制列表（access-l

11、ist）限制登錄主機的源地址，只有具有符合條件的主機能夠登錄到該網絡設備上。配置分為兩步：1 定義訪問控制列表（access-list）2 應用訪問控制列表（access-list）Command：Router(config)#access-list access-list-number deny | permit source source-wildcard log#設置標準的訪問控制列表，其中access-list-number為1-99Router(config)#access-list access-list-number dynamic dynamic-name timeout mi

12、nutes deny | permit protocol source source-wildcard destination destination-wildcard precedence precedence tos tos log#設置擴展的訪問控制列表，其中access-list-number為100-199Router(config-line)#access-class access-list-number in | out#將訪問控制列表應用在相應的VTY中Example：Router(config)#Router(config)#line vty 0 4Router(config

13、-line)# access-class 10 in#設置只有IP地址在255范圍的主機才能遠程登錄該路由器。11.1.9 配置SNMPCommand：router(config)#snmp-server community string view view-name ro | rw number#設置SNMP只讀或讀寫串，number為Access-list號，限制可以通過SNMP訪問該網絡設備的地址Example：router(config)#snmp-server community crnetaia!nf0 RW 10router(config)#snmp-server

14、 community bjcrnet RO 10router(config)#access-list 10 permit 5 router(config)#access-list 10 permit 9 #設置snmp只讀和讀寫口令，并且只讓5和9兩臺主機可以通過snmp采集路由器數據11.1.10 配置特權等級缺省情況下，Cisco路由器有兩種控制模式：用戶模式和特權模式。用戶模式只有Show的權限和其他一些基本命令；特權模式擁有所有的權限，包括修改、刪除配置。在實際情況下，如果給一個

15、管理人員分配用戶模式權限，可能不能滿足實際操作需求，但是分配給特權模式則權限太大，容易發(fā)生誤操作或密碼泄漏。使用特權等級，可以定制多個等級特權模式，每一個模式擁有的命令可以按需定制。Command：Router(config)# enable secret level level encryption-type password#設置想應級別的特權密碼，level指定特權級別：0-15Router(config)#username username privilege level password password#設置管理人員的登錄用戶名、密碼和相應的特權等級Router(config)#p

16、rivilege mode level level command#設置相應特權等級下的能夠使用的命令，注意：一旦一條命令被賦予一個特權等級，比該特權等級低的其他特權等級均不能使用該命令。Example：Router(config)#enable secret level 5 csico5Router(config)#enable secret level 10 cisco10#設置5級和10級的特權密碼Router(config)#username user5 privilege 10 password password5Router(config)#username user10 priv

17、ilege 10 password password10#設置登錄名為user5的用戶，其特權等級為5、密碼為password5#設置登錄名為user10的用戶，其特權等級為10、密碼為password10Router(config)#privilege exec level 5 show ip routeRouter(config)#privilege exec level 5 show ipRouter(config)#privilege exec level 5 showRouter(config)#privilege exec level 10 debug ppp chapRouter

18、(config)#privilege exec level 10 debug ppp errorRouter(config)#privilege exec level 10 debug ppp negotiationRouter(config)#privilege exec level 10 debug pppRouter(config)#privilege exec level 10 debugRouter(config)#privilege exec level 10 clear ip route *Router(config)#privilege exec level 10 clear

19、ip routeRouter(config)#privilege exec level 10 clear ipRouter(config)#privilege exec level 10 clear#設置5級和10級特權等級下能夠使用的命令11.2 路由安全11.2.1 路由協(xié)議的安全在OSPF配置中不是必須要和對端路有器建立臨接關系的端口，不把端口放在OSPF的network廣播。在廣播網段最好使用OSPF的端口認證防止其它非法的路由器獲得路由表。Router(config)#ip ospf authentication-key passwordBGP在作EBGP Peer時如有可能，可以采

20、用BGP的鄰居認證。Router(router-config)#neighbor ip-address | peer-group-name password string11.2.2 過濾私有地址路由CRNET二期骨干網均采用合法的IP地址。為防止私有IP進入CRNET骨干網，將在CRNET的各個出口/入口過濾私有地址。因為CRNET的用戶路由均由BGP承載，故過濾私有地址路由的過濾將在EBGP中做入口限制。Router(router-config)#neighbor ip-address | peer-group-name route-map map-name inacceroute-map

21、 route-map deny 10 match ip address 10route-map route-map permit 2011.3 主機安全CRNET二期將利用一期利舊的兩臺PIX為主機（DNS Server、Mail Server、認證服務器、計費服務器等）提供安全保證。防火墻是一種用于保護特別敏感區(qū)域的有效工具，通過它可以實現多種復雜的安全策略，對可疑的數據和請求進行審核和過濾，從而保證內部網絡的安全。另外由于防火墻本身需要對數據包進行深層次的檢查和處理，因此在一些數據流量特別大的地方不太適用，通常的用法是用來保護諸如計費等特別敏感的主機和應用。11.3.1 PIX的工作原理P

22、IX防火墻要求有一個路由器連接到外部網絡，如下圖所示。PIX有兩個ETHERNET接口，一個用于連接內部局域網，另一個用于連接外部路由器。外部接口有一組外部地址，使用他們來與外部網絡通信。內部網絡則配置有一個適合內部網絡號方案的IP地址。PIX的主要工作是在內部計算機需要與外部網絡進行通信時，完成內部和外部地址之間的映射。 配置好PIX防火墻后，從外部世界看來，內部計算機好象就是直接連接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口，所以，向主機傳送信息包需要用到MAC地址。為了使內部主機在數據鏈路層和網絡層上看起來都好象是連接在外部接口上的，PIX運行了代理ARP，代理A

23、RP給外部網絡層IP地址指定數據鏈路MAC地址，這就使得內部計算機看起來像是在數據鏈路層協(xié)議的外部接口上似的。大多數情況下，與外部網絡的通信是從內部網絡中發(fā)出的。由于PIX是對信息包進行操作，而不是在應用過程級（代理服務器則采用這種方法），PIX既可以跟蹤UDP會話，也可以跟蹤TCP連接。當一個計算機希望同外部計算機進行通信時，PIX記錄下內部來源地址，然后從外部地址庫分配一個地址，并記錄下所進行的轉換。這就是人們常說的有界NAT（stateful NAT），這樣，PIX就能記住它在同誰進行交談，以及是哪個計算機首先發(fā)起的對話。只有已被確認的來自外部網絡的信息包才會運行，并進入內部網絡。 不過

24、，有時也需要允許外部計算機發(fā)起同指定的內部計算機的通信。典型的服務包括電子郵件、WWW服務、以及FTP服務。PIX給一個內部地址硬編碼一個外部地址，這個地址是不會過期的。在這種情況下，用到對目標地址和端口號的普通過濾。除非侵入PIX本身，外部用戶仍然是無法了解內部網絡結構的。在不了解內部網絡結構的情況下，惡意用戶就無法從內部主機向內部網絡實施攻擊。 PIX另一個關鍵性的安全特性是對TCP信息包的序列編號進行隨機化處理。由于IP地址電子欺騙的方法早已公布，所以，入侵者已經有可能通過這種方法，控制住一個現成的TCP連接，然后向內部局域網上的計算機發(fā)送它們自己的信息。要想做到這一點，入侵者必須猜出正

25、確的序列編號。在通常的TCP/IP中實現是很容易的，因為每次初始化連接時，大都采用一個相同的編號來啟動會話。而PIX則使用了一種數學算法來隨機化產生序列編號，這實際上使得攻擊者已經不可能猜出連接所使用的序列編號了。 11.3.2 PIX配置配置PIX防火墻是一個比較直接的工作，在提供相同級別的安全服務情況下，PIX的配置相比設置代理服務器要簡單的多。從理論上講，所需做的就是指定一個IP地址和一個用來對外部進行訪問的地址庫，一個針對內部連接的IP地址和網絡掩嗎、RIP、超時以及其他附屬安全信息。下面介紹一個PIX防火墻實際配置案例，供大家參考。因為路由器的配置在安全性方面和PIX防火墻是相輔相成

26、的，所以路由器的配置實例也一并列出。 1. PIX 防火墻 ip address outside /設置PIX防火墻的外部地址 ip address inside /設置PIX防火墻的內部地址 global 1 0-54 /設置一個內部計算機與INTERNET 上計算機進行通信時所需的全局地址池 nat 1 /允許網絡地址為 的網段地址被PIX翻譯成外部地址 static 1 0 /網管工作站固定使用的外部地址為1 c

27、onduit 1 514 udp .1 55 /允許從RTRA發(fā)送到到 網管工作站的系統(tǒng)日志包通過PIX防火墻 mailhost 0 /允許從外部發(fā)起的對 郵件服務器的連接（0） telnet 0 /允許網絡管理員通過 遠程登錄管理IPX防火墻 syslog facility 20.7 syslog host 0 /在位于網管工作站上的 日志服務器上記錄所有事件日志 2. 路由器RTRA - RTRA是外部防護路由器，它必須保護PIX防火墻免受直接攻

28、擊，保護FTP/HTTP服務器，同時作為一個警報系統(tǒng)，如果有人攻入此路由器，管理可以立即被通知。 no service tcp small-servers /阻止一些對路由器本身的攻擊 logging trap debugging /強制路由器向系統(tǒng)日志服務器 發(fā)送在此路由器發(fā)生的每一個事件， 包括被存取列表拒絕的包和路由器配置的改變； 這個動作可以作為對系統(tǒng)管理員的早期預警， 預示有人在試圖攻擊路由器，或者已經攻入路由器， 正在試圖攻擊防火墻 logging 1 /此地址是網管工作站的外部地址， 路由器將記錄所有事件到此 主機上enable secret xxxxxxxx

29、xxx interface Ethernet 0 ip address interface Serial 0 ip unnumbered ethernet 0 ip access-group 110 in /保護PIX防火墻和HTTP/FTP 服務器以及防衛(wèi)欺騙攻擊（見存取列表） access-list 110 deny ip 55 any log / 禁止任何顯示為來源于路由器RTRA 和PIX防火墻之間的信息包，這可以防止欺騙攻擊 access-list 110 deny ip any host 131.

30、1.23.2 log /防止對PIX防火墻外部接口的直接 攻擊并記錄到系統(tǒng)日志服務器任何企圖連接 PIX防火墻外部接口的事件r access-list 110 permit tcp any 55 established /允許已經建立的TCP會話的信息包通過 access-list 110 permit tcp any host eq ftp /允許和FTP/HTTP服務器的FTP連接 access-list 110 permit tcp any host eq ftp-data /允許和FTP/HTTP服務器的F

31、TP數據連接 access-list 110 permit tcp any host eq www /允許和FTP/HTTP服務器的HTTP連接 access-list 110 deny ip any host log /禁止和FTP/HTTP服務器的別的連接 并記錄到系統(tǒng)日志服務器任何 企圖連接FTP/HTTP的事件 access-list 110 permit ip any 55 /允許其他預定在PIX防火墻 和路由器RTRA之間的流量 line vty 0 4 login password xxxxxxxxx

32、x access-class 10 in /限制可以遠程登錄到此路由器的IP地址 access-list 10 permit ip 1 /只允許網管工作站遠程登錄到此路由器， 當你想從INTERNET管理此路由器時， 應對此存取控制列表進行修改 3. 路由器RTRB - RTRB是內部網防護路由器，它是你的防火墻的最后一道防線，是進入內部網的入口. logging trap debugging logging 0 /記錄此路由器上的所有活動到 網管工作站上的日志服務器，包括配置的修改 interface Ethernet 0 ip address 10.1

33、0.254.2 no ip proxy-arp ip access-group 110 in access-list 110 permit udp host 55 /允許通向網管工作站的系統(tǒng)日志信息 access-list 110 deny ip any host log /禁止所有別的從PIX防火墻發(fā)來的信息包 access-list permit tcp host 55 eq smtp /允許郵件主機和內部郵件服務器的SMTP郵件連接 a

34、ccess-list deny ip host 55 /禁止別的來源與郵件服務器的流量 access-list deny ip any 55 /防止內部網絡的信任地址欺騙 access-list permit ip 55 55 /允許所有別的來源于PIX防火墻 和路由器RTRB之間的流量 line vty 0 4 login password xxxxxxxxxx access-class 10 in /限制可以遠程

35、登錄到此路由器上的IP地址 access-list 10 permit ip 0 /只允許網管工作站遠程登錄到此路由器，當你想從INTERNET管理此路由器時，應對此存取控制列表進行修改 按以上設置配置好PIX防火墻和路由器后，PIX防火墻外部的攻擊者將無法在外部連接上找到可以連接的開放端口，也不可能判斷出內部任何一臺主機的IP地址，即使告訴了內部主機的IP地址，要想直接對它們進行Ping和連接也是不可能的。 這樣就可以對整個內部網進行有效的保護，防止外部的非法攻擊。 11.4 攻擊防護11.4.1 防止DoS攻擊DoS攻擊幾乎是從互聯網絡的誕生以來伴隨著互聯網絡的發(fā)展而一直

36、存在也不斷發(fā)展和升級。CRNET二期骨干網也要考慮到DoS攻擊的存在，并做好相應的防范。從某種程度上可以說，DoS攻擊永遠不會消失而且從技術上目前沒有非常根本的解決辦法。 DoS技術嚴格的說只是一種破壞網絡服務的技術方式，具體的實現多種多樣，但都有一個共同點，就是其根本目的是使受害主機或網絡失去及時接受處理外界請求，或無法及時回應外界請求。 對于DoS攻擊，可以采用以下方法防范：1、使用 ip verfy unicast reverse-path 網絡接口命令 這個功能檢查每一個經過路由器的數據包。在路由器的CEF（Cisco ExpressForwarding）表該數據 包所到達網

37、絡接口的所有路由項中，如果沒有該數據包源IP地址的路由，路由器將丟棄該數據包。例如： 路由器接收到一個源IP地址為的數據包，如果CEF路由表中沒有為IP地址提供任何路由 （即反向數據包傳輸時所需的路由），則路由器會丟棄它。 單一地址反向傳輸路徑轉發(fā)（Unicast Reverse Path Forwarding）在ISP（局端）實現阻止SMURF攻擊和 其它基于IP地址偽裝的攻擊。這能夠保護網絡和客戶免受來自互聯網其它地方的侵擾。使用Unicast RPF 需要打開路由器的"CEF swithing"或"C

38、EF distributed switching"選項。不需要將輸入接口配置為CEF 交換（switching）。只要該路由器打開了CEF功能，所有獨立的網絡接口都可以配置為其它交換（switching） 模式。RPF（反向傳輸路徑轉發(fā)）屬于在一個網絡接口或子接口上激活的輸入端功能，處理路由器接收的 數據包。 在路由器上打開CEF功能是非常重要的，因為RPF必須依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0 及以上版本中，但不支持Cisco IOS 11.2或11.3版本。2、使用訪問控制列表（ACL）過濾RF

39、C 1918中列出的所有地址 參考以下例子：interface xy ip access-group 101 in access-list 101 deny ip 55 any access-list 101 deny ip 55 any access-list 101 deny ip 55 any access-list 101 permit ip any any3、參照RFC 2267，使用訪問控制列表（AC

40、L）過濾進出報文參考以下例子： ISP中心 - ISP端邊界路由器 - 客戶端邊界路由器 - 客戶端網絡 ISP端邊界路由器應該只接受源地址屬于客戶端網絡的通信，而客戶端網絡則應該只接受源地址未被客戶端網 絡過濾的通信。以下是ISP端邊界路由器的訪問控制列表（ACL）例子： access-list 190 permit ip 客戶端網絡 客戶端網絡掩碼 any access-list 190 deny ip any any log interface 內部網絡接口 網絡接口號 ip access-group 190 in 以下是客 戶端邊界路由器的ACL例子： access-list 187

41、deny ip 客戶端網絡 客戶端網絡掩碼 any access-list 187 permit ip any any access-list 188 permit ip 客戶端網絡 客戶端網絡掩碼 any access-list 188 deny ip any any interface 外部網絡接口 網絡接口號 ip access-group 187 in ip access-group 188 out如果打開了CEF功能，通過使用單一地址反向路徑轉發(fā)（Unicast RPF），能夠充分地縮短訪問控制列表（ACL）的長度以提高路由器性能。為了支持Unicast RPF，只需在路由器完全打開

42、CEF；打開這個功能的網絡接口并不需要是CEF交換接口。4、使用CAR（Control Access Rate）限制ICMP數據包流量速率參考以下例子：interface xyrate-limit output access-group 2020 3000000 512000 786000 conform-actiontransmit exceed-action dropaccess-list 2020 permit icmp any any echo-reply5、設置SYN數據包流量速率 interface intrate-limit output access-group 153 450

43、00000 100000 100000 conform-actiontransmit exceed-action droprate-limit output access-group 152 1000000 100000 100000 conform-actiontransmit exceed-action dropaccess-list 152 permit tcp any host eq wwwaccess-list 153 permit tcp any host eq www established在實現應用中需要進行必要的修改，替換： 45000000為最大連接帶寬 1000000為S

44、YN flood流量速率的30%到50%之間的數值。 burst normal（正常突變）和 burst max（最大突變）兩個速率為正確的數值。注意，如果突變速率設置超過30%，可能會丟失許多合法的SYN數據包。使用"show interfaces rate-limit"命令查看該網絡接口的正常和過度速率，能夠幫助確定合適的突變速率。這個SYN速率限制數值設置標準是保證正常通信的基礎上盡可能地小。警告：一般推薦在網絡正常工作時測量SYN數據包流量速率，以此基準數值加以調整。必須在進行測量時確保網絡的正常工作以避免出現較大誤差。另外，建議考慮在可能成為SYN攻擊的主機上安裝

45、IP Filter等IP過濾工具包。6、搜集證據并聯系網絡安全部門或機構如果可能，捕獲攻擊數據包用于分析。建議使用SUN工作站或Linux等高速計算機捕獲數據包。常用的數據包捕獲工具包括TCPDump和snoop等?；菊Z法為： tcpdump -i interface -s 1500 -w capture_file snoop -d interface -o capture_file -s 1500 本例中假定MTU大小為1500。如果MTU大于1500，則需要修改相應參數。將這些捕獲的數據包和日志作為證據提供給有關網絡安全部門或機構。11.4.2 紀錄、追蹤攻擊對于已知IP地址的攻擊，可以

46、采用access-list過濾，并紀錄攻擊的情況。 參考以下命令：access-list access-list-number deny | permit source source-wildcard log access-list access-list-number deny | permit protocol source source-wildcard destination destination-wildcard precedence precedence tos tos log通過show access-list可以察看符合該access-list的數據包的數量。第六章 網絡安全ISP運營商今天面臨著有關安全方面的多種威脅，這些威脅有的可能是隨機的，也有可能是惡意的，但其后果都一樣的：妨礙用戶及 ISP運營商的正常運行。從系統(tǒng)角度來看，網絡安全不是一個簡單的產品問題，網絡安全首先是個系統(tǒng)問題?；ヂ摼W安全手冊RFC 2196 “Site Security Handbook”是一個非常好的范例。從路由設備的安全方面考慮，我們建議廣東163省骨干網采取以下措施。6.1廣域網安全策略實施在廣域網安全實施方案中，具體建議如下：1、采用了分層的網絡拓撲結構，把骨干網與用戶網絡隔離開來。2、廣域網路由協(xié)議選用支持多路由接入的協(xié)議。3、各節(jié)點采用雙路由接入，