應(yīng)用視點(diǎn):介紹Cisco路由器安全配置
Cisco路由器在路由行業(yè)中占有非常重要的地位,同時(shí)用戶群也很多,了解一些Cisco路由器安全配置還是非常重要的。目前大多數(shù)的企事業(yè)單位和部門連Internet網(wǎng),通常都是一臺(tái)路由器與ISP連結(jié)實(shí)現(xiàn)。
這臺(tái)路由器就是溝通外部Internet和內(nèi)部網(wǎng)絡(luò)的橋梁,如果這臺(tái)路由器能夠合理進(jìn)行安全設(shè)置,那么就可以對(duì)內(nèi)部的網(wǎng)絡(luò)提供一定安全性或?qū)σ延械陌踩嗔艘粚悠琳稀,F(xiàn)在大多數(shù)的路由器都是Cisco公司的產(chǎn)品或與其功能近似,本文在這里就針對(duì)Cisco路由器安全配置進(jìn)行管理。考慮到路由器的作用和位置,路由器配置的好壞不僅影響本身的安全也影響整個(gè)網(wǎng)絡(luò)的安全。目前路由器(以Cisco為例)本身也都帶有一定的安全功能,如訪問(wèn)列表、加密等,但是在缺省配置時(shí),這些功能大多數(shù)都是關(guān)閉的。需要進(jìn)行手工配置。怎樣的配置才能最大的滿足安全的需要,且不降低網(wǎng)絡(luò)的性能?本文從以下幾個(gè)部分分別加以說(shuō)明:
Cisco路由器安全配置. 口令管理
口令是路由器是用來(lái)防止對(duì)于路由器的非授權(quán)訪問(wèn)的主要手段,是路由器本身安全的一部分。最好的口令處理方法是將這些口令保存在TACACS+或RADIUS認(rèn)證服務(wù)器上。但是幾乎每一個(gè)路由器都要有一個(gè)本地配置口令進(jìn)行權(quán)限訪問(wèn)。如何維護(hù)這部分的安全?
1. 使用enable secret
enable secret 命令用于設(shè)定具有管理員權(quán)限的口令。并且如果沒(méi)有enable secret,則當(dāng)一個(gè)口令是為控制臺(tái)TTY設(shè)置的,這個(gè)口令也能用于遠(yuǎn)程訪問(wèn)。這種情況是不希望的。還有一點(diǎn)就是老的系統(tǒng)采用的是enable password,雖然功能相似,但是enable password采用的加密算法比較弱。
2. 使用service password-encryption
這條命令用于對(duì)存儲(chǔ)在配置文件中的所有口令和類似數(shù)據(jù)(如CHAP)進(jìn)行加密。避免當(dāng)配置文件被不懷好意者看見(jiàn),從而獲得這些數(shù)據(jù)的明文。但是service password-encrypation的加密算法是一個(gè)簡(jiǎn)單的維吉尼亞加密,很容易被破譯。這主要是針對(duì)enable password命令設(shè)置的口令。而enable secret命令采用的是MD5算法,這種算法很難進(jìn)行破譯的。但是這種MD5算法對(duì)于字典式攻擊還是沒(méi)有辦法。所以不要以為加密了就可以放心了,最好的方法就是選擇一個(gè)長(zhǎng)的口令字,避免配置文件被外界得到。且設(shè)定enable secret和service password-encryption。
Cisco路由器安全配置. 控制交互式訪問(wèn)
任何人登錄到路由器上都能夠顯示一些重要的配置信息。一個(gè)攻擊者可以將路由器作為攻擊的中轉(zhuǎn)站。所以需要正確控制路由器的登錄訪問(wèn)。盡管大部分的登錄訪問(wèn)缺省都是禁止的。但是有一些例外,如直連的控制臺(tái)終端等。
控制臺(tái)端口具有特殊的權(quán)限。特別注意的是,當(dāng)路由器重啟動(dòng)的開(kāi)始幾秒如果發(fā)送一個(gè)Break信號(hào)到控制臺(tái)端口,則利用口令恢復(fù)程式可以很容易控制整個(gè)系統(tǒng)。這樣如果一個(gè)攻擊者盡管他沒(méi)有正常的訪問(wèn)權(quán)限,但是具有系統(tǒng)重啟(切斷電源或系統(tǒng)崩潰)和訪問(wèn)控制端口(通過(guò)直連終端、Modem、終端服務(wù)器)的能力就可以控制整個(gè)系統(tǒng)。所以必須保證所有連結(jié)控制端口的訪問(wèn)的安全性。
除了通過(guò)控制臺(tái)登錄路由器外還有很多的方法,根據(jù)配置和操作系統(tǒng)版本的不同,可以支持如Telnet、rlogin、Ssh以及非基于IP的網(wǎng)絡(luò)協(xié)議如LAT、MOP、X.29和V.120等或者M(jìn)odem撥號(hào)。所有這些都涉及到TTY,本地的異步終端和撥號(hào)Modem用標(biāo)準(zhǔn)的"TTYs"。遠(yuǎn)地的網(wǎng)絡(luò)連結(jié)不管采用什么協(xié)議都是虛擬的TTYs,即"VTYs"。要控制路由器的訪問(wèn),最好就是控制這些TTYs或VTYs,加上一些認(rèn)證或利用login、no password命令禁止訪問(wèn)。
1.控制TTY
缺省的情況下一個(gè)遠(yuǎn)端用戶可以連結(jié)到一個(gè)TTY,稱為"反向Telnet",允許遠(yuǎn)端用戶和連接到這個(gè)TTY上的終端或Modem進(jìn)行交互。但是這些特征允許一個(gè)遠(yuǎn)端用戶連接到一個(gè)本地的異步終端口或一個(gè)撥入的Modem端口,從而構(gòu)造一個(gè)假的登錄過(guò)程來(lái)偷盜口令或其他的非法活動(dòng)。所以最好禁止這項(xiàng)功能,可以采用transport input none設(shè)置任何異步或Modem不接收來(lái)自網(wǎng)絡(luò)用戶的連結(jié)。如果可能,不要用相同的Modem撥入和撥出,且禁止反向Telnet撥入。
2.控制VTY
為了保證安全,任何VTY應(yīng)該僅允許指定的協(xié)議建立連結(jié)。利用transport input命令。如一個(gè)VTY只支持Telnet服務(wù),可以如下設(shè)置transport input telnet。如果路由器操作系統(tǒng)支持SSH,最好只支持這個(gè)協(xié)議,避免使用明文傳送的Telnet服務(wù)。如下設(shè)置:transport input ssh。也可以利用ip access-class限制訪問(wèn)VTY的ip地址范圍。
因?yàn)閂TYs的數(shù)目有一定的限制,當(dāng)所有的VTYs用完了,就不能再建立遠(yuǎn)程的網(wǎng)絡(luò)連結(jié)了。這就有可能被利用進(jìn)行Dos(拒絕服務(wù)攻擊)。這里攻擊者不必登錄進(jìn)入,只要建立連結(jié),到login提示符下就可以,消耗到所有的VTYs。對(duì)于這種攻擊的一個(gè)好的防御方法就是利用ip access-class命令限制最后一個(gè)VTYs的訪問(wèn)地址,只向特定管理工作站打開(kāi)。而其他的VTYs不限制,從而既保證了靈活性,也保證關(guān)鍵的管理工作不被影響。另一個(gè)方法是利用exec-timeout命令,配置VTY的超時(shí)。避免一個(gè)空閑的任務(wù)一直占用VTY。類似的也可以用service tcp-keepalives-in 保證Tcp建立的入連結(jié)是活動(dòng)的,從而避免惡意的攻擊或遠(yuǎn)端系統(tǒng)的意外崩潰導(dǎo)致的資源獨(dú)占。更好的保護(hù)VTY的方法是關(guān)閉所有非基于IP的訪問(wèn),且使用IPSec加密所有的遠(yuǎn)端與路由器的連結(jié)。
Cisco路由器安全配置.路由安全
控制直接廣播
一個(gè)IP直接廣播是一個(gè)目的地為某個(gè)子網(wǎng)的廣播地址的數(shù)據(jù)包,但是這個(gè)發(fā)送主機(jī)的不與這個(gè)目的子網(wǎng)直接相連。所以這個(gè)數(shù)據(jù)包被路由器當(dāng)作普通包轉(zhuǎn)發(fā)直到目的子網(wǎng),然后被轉(zhuǎn)換為鏈路層廣播。由于Ip地址結(jié)構(gòu)的特性,只有直接連接到這個(gè)子網(wǎng)的路由器能夠識(shí)別一個(gè)直接廣播包。針對(duì)這個(gè)功能,目前存在一種攻擊稱為"smurf",攻擊者通過(guò)不斷的發(fā)送一個(gè)源地址為非法地址的直接廣播包到攻擊的子網(wǎng)。從而導(dǎo)致子網(wǎng)的所有主機(jī)向這個(gè)非法地址發(fā)送響應(yīng),最終導(dǎo)致目的網(wǎng)絡(luò)的廣播風(fēng)暴。
對(duì)于這種攻擊可以在Cisco路由器安全配置上的no ip directed-broadcast,但是這種直接廣播包,要被這個(gè)接口轉(zhuǎn)換成鏈路層的廣播而不是拋棄,所以為了更好防止攻擊,最好在將所有可能連接到目的子網(wǎng)的路由器都配置no ip directed-broadcast。
防止路由攻擊
源路由攻擊一種常用攻擊方法,因?yàn)橐恍├系腎p實(shí)現(xiàn)在處理源路由包時(shí)存在問(wèn)題,所以可能導(dǎo)致這些機(jī)器崩潰,所以最好在路由器上關(guān)閉源路由。用命令no ip source-route。Icmp 重定向攻擊也是一種常用的路由攻擊方法。攻擊者通過(guò)發(fā)送錯(cuò)誤的重定向信息給末端主機(jī),從而導(dǎo)致末端主機(jī)的錯(cuò)誤路由。這種攻擊可以通過(guò)在邊界路由器上設(shè)定過(guò)濾所有icmp重定向數(shù)據(jù)來(lái)實(shí)現(xiàn)。但是這只能阻止外部的攻擊者,如果攻擊者和目的主機(jī)在同一個(gè)網(wǎng)段則沒(méi)有辦法。
當(dāng)路由器采用動(dòng)態(tài)協(xié)議時(shí),攻擊者可以偽造路由包,破壞路由器的路由表。為了防止這種攻擊可以利用訪問(wèn)列表(distribute-list in)限定正確路由信息的范圍。并且如果可能則采用認(rèn)證機(jī)制。如Rip 2或ospf支持認(rèn)證等。
