路由器的安全管理
通常将网络中直接面向用户连接或访问网络的部分称为接入层,将接入层与核心层之间的部分称为分布层,而将网络的核心部分称为核心层,核心层的主要目的在于通过高速转发通信,提供优化,可靠的骨干传输结构,而一旦路由器收到攻击,就有可能导致全网的瘫痪。因此路由器的安全问题也就显得格外重要。
口令是控制访问路由器的一种方式。可以在路由器上配置口令,或者使用例如TACACS+或RADIUS等认证服务器。在口令保护之外,应当将对路由器的交互访问限制到必须的用户和协议。应当只使用能对路由器恰当的管理和功能必要的协议,并且将访问权限严格限制在你所知道安全的IP子网。即使存在访问控制,仍有可能有恶意用户试图恶意影响路由器正常工作。应采取行动减少路由器收到拒绝服务攻击的机会。
一、 口令类型和加密
应使用一些认证机制来控制所有的访问。若无法使用TACACS+或RADIUS,应使用enable secret口令类型保护特权EXEC模式的路由器访问,此方式将口令使用不可逆转加密功能存储,能提供更好的安全性。尽量不要使用enable password,虽然可追加数字7,使用密文,但后面只能是加密后的字符,一般不能直接使用,也可使用明文密码,然后键入service password-encryption命令对明文密码加密,但加密等级较弱,不推荐。建议使用service password-encryption命令加密所有明文密码防止显示配置时旁观者看到口令,这些口令包括用户名口令、认证密钥口令、特权命令口令、控制台和虚拟终端线路访问口令以及BGP邻居口令。
二、 控制交互式访问
应控制对路由器的交互式访问。使用ACL指定允许连接到线路的源目网络号以及使用的源目端口号或协议,拒绝其他所有。在有远程访问时,应尽量使用SSH而不要使用telnet,因为使用telnet时传输过程中是明文的密码,可能会被嗅探到密码。
三、 减少拒绝服务攻击的危险
拒绝服务(DoS)对某些资源作决绝访问攻击。而DoS或DDoS攻击方式比较多而且实现的方式都比较简单但造成的危害却往往比较大。例如,一般路由器上只有有限的vty端口可用,当所有端口都被入侵者堵塞时就会拒绝管理员的登录。对此,我们可以在最后一个vty端口上配置限制性的ACL以只允许指定的管理工作站访问。同时,还应配置exec-timeout命令,防止空闲的会话无限制的占用vty。配置Service tcp-keepalive-in命令在收到的连接上配置TCP keepalive消息,防止恶意攻击和远端系统崩溃引起的“orphaned”会话。
其中一种攻击方式是利用ping程序进行源IP假冒的直接广播进行攻击。使用一个伪造的源地址向目标网段的直接广播地址发送一个ICMP echo请求包,此网段的其他主机就会回应此请求包,拥有该伪造IP的真实主机就会接受到大量的数据包而崩溃。可以使用命令no ip directed-broadcast防止此类攻击。
源路由选择欺骗是利用IP数据包中的选项IP Source Routing来指定路由,其虚假的源地址能够使路由器忽略路由表将数据发往虚假的源地址上。使用no ip source route关闭源路由功能。
使用命令ip verify unicast reverse-path来防止IP欺骗的问题。使用此命令的前提是已开启CEF。
当路由器受到某些暴力攻击时会处理大量的中断而没有时间处理其他事件。Scheduler interval 命令可以使其在规定的时间间隔停止处理中断,使其去处理其他事务。
四、 减少开放的服务
开放的服务越多机器就越不安全,所以应当开放尽量少的服务。可视情况酌情关闭以下服务:
no service tcp-small servers
no service udp-small servers
no service finger
no ip service bootp server
五、 AAA服务器(选做)
如果条件允许的话可以选择部署AAA服务器(RADIUS或者TACACS+)。
