綠色資源網(wǎng):您身邊最放心的安全下載站! 最新軟件|熱門排行|軟件分類|軟件專題|廠商大全

綠色資源網(wǎng)

技術(shù)教程
您的位置:首頁系統(tǒng)集成網(wǎng)絡(luò)安全 → 史上最細致的Cisco路由安全配置

史上最細致的Cisco路由安全配置

我要評論 2011/01/31 13:33:56 來源:綠色資源網(wǎng) 編輯:綠色資源站 [ ] 評論:0 點擊:239次

  很多網(wǎng)絡(luò)管理員在剛開始使用思科路由器時都會忽略安全設(shè)置,本文介紹的內(nèi)容非常適合此類應(yīng)用者在使用思科路由器時對網(wǎng)絡(luò)安全進行配置。

  一.路由器“訪問控制”的安全配置

  1.嚴格控制可以訪問路由器的管理員。任何一次維護都需要記錄備案。

  2.建議不要遠程訪問路由器。即使需要遠程訪問路由器,建議使用訪問控制列表和高強度的密碼控制。

  3.嚴格控制CON端口的訪問。具體的措施有:

  A.如果可以開機箱的,則可以切斷與CON口互聯(lián)的物理線路。

  B.可以改變默認的連接屬性,例如修改波特率(默認是96000,可以改為其他的)。

  C.配合使用訪問控制列表控制對CON口的訪問。

  如:Router(Config)#Access-list 1 permit 192.168.0.

  Router(Config)#line con 0 

  Router(Config-line)#Transport input none 

  Router(Config-line)#Login local 

  Router(Config-line)#Exec-timeoute 5 0 

  Router(Config-line)#access-class 1 in 

  Router(Config-line)#end

  D.給CON口設(shè)置高強度的密碼。

  4.如果不使用AUX端口,則禁止這個端口。默認是未被啟用。禁止如:

  Router(Config)#line aux 0 

  Router(Config-line)#transport input none 

  Router(Config-line)#no exec

  5.建議采用權(quán)限分級策略。如:

  Router(Config)#username BluShin privilege 10 G00dPa55w0rd 

  Router(Config)#privilege EXEC level 10 telnet 

  Router(Config)#privilege EXEC level 10 show ip access-list

  6.為特權(quán)模式的進入設(shè)置強壯的密碼。不要采用enable password設(shè)置密碼。而要采用enable secret命令設(shè)置。并且要啟用Service password-encryption。

  7.控制對VTY的訪問。如果不需要遠程訪問則禁止它。如果需要則一定要設(shè)置強壯的密碼。由于VTY在網(wǎng)絡(luò)的傳輸過程中為加密,所以需要對其進行嚴格的控制。如:設(shè)置強壯的密碼;控制連接的并發(fā)數(shù)目;采用訪問列表嚴格控制訪問的地址;可以采用AAA設(shè)置用戶的訪問控制等。

  8.IOS的升級和備份,以及配置文件的備份建議使用FTP代替TFTP。如:

  Router(Config)#ip ftp username BluShin 

  Router(Config)#ip ftp password 4tppa55w0rd 

  Router#copy startup-config ftp:

  9.及時的升級和修補IOS軟件。

 二.路由器“網(wǎng)絡(luò)服務(wù)”的安全配置

  1.禁止CDP(Cisco Discovery Protocol)。如:

  Router(Config)#no cdp run 

  Router(Config-if)# no cdp enable

  2.禁止其他的TCP、UDP Small服務(wù)。

  Router(Config)# no service tcp-small-servers 

  Router(Config)# no service udp-samll-servers

  3.禁止Finger服務(wù)。

  Router(Config)# no ip finger 

  Router(Config)# no service finger

  4.建議禁止HTTP服務(wù)。

  Router(Config)# no ip http server

  如果啟用了HTTP服務(wù)則需要對其進行安全配置:設(shè)置用戶名和密碼;采用訪問列表進行控制。如:

  Router(Config)# username BluShin privilege 10 G00dPa55w0rd 

  Router(Config)# ip http auth local 

  Router(Config)# no access-list 10 

  Router(Config)# access-list 10 permit 192.168.0.1 

  Router(Config)# access-list 10 deny any 

  Router(Config)# ip http access-class 10 

  Router(Config)# ip http server 

  Router(Config)# exit

  5.禁止BOOTp服務(wù)。

  Router(Config)# no ip bootp server

  禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件。

  Router(Config)# no boot network 

  Router(Config)# no servic config

  6.禁止IP Source Routing。

  Router(Config)# no ip source-route

  7.建議如果不需要ARP-Proxy服務(wù)則禁止它,路由器默認識開啟的。

  Router(Config)# no ip proxy-arp 

  Router(Config-if)# no ip proxy-arp

  8.明確的禁止IP Directed Broadcast。

  Router(Config)# no ip directed-broadcast

  9.禁止IP Classless。

  Router(Config)# no ip classless

  10.禁止ICMP協(xié)議的IP Unreachables,Redirects,Mask Replies。

  Router(Config-if)# no ip unreacheables 

  Router(Config-if)# no ip redirects 

  Router(Config-if)# no ip mask-reply

  11.建議禁止SNMP協(xié)議服務(wù)。在禁止時必須刪除一些SNMP服務(wù)的默認配置?;蛘咝枰L問列表來過濾。如: 

  Router(Config)# no snmp-server community public Ro 

  Router(Config)# no snmp-server community admin RW 

  Router(Config)# no access-list 70 

  Router(Config)# access-list 70 deny any 

  Router(Config)# snmp-server community MoreHardPublic Ro 70 

  Router(Config)# no snmp-server enable traps 

  Router(Config)# no snmp-server system-shutdown 

  Router(Config)# no snmp-server trap-anth 

  Router(Config)# no snmp-server 

  Router(Config)# end

  12.如果沒必要則禁止WINS和DNS服務(wù)。

  Router(Config)# no ip domain-lookup

  如果需要則需要配置:

  Router(Config)# hostname Router 

  Router(Config)# ip name-server 202.102.134.96  

  13.明確禁止不使用的端口。

  Router(Config)# interface eth0/3 

  Router(Config)# shutdown

三.路由器“路由協(xié)議”的安全配置

  1.首先禁止默認啟用的ARP-Proxy,它容易引起路由表的混亂。

  Router(Config)# no ip proxy-arp 或者 

  Router(Config-if)# no ip proxy-arp 

  2.啟用OSPF路由協(xié)議的認證。默認的OSPF認證密碼是明文傳輸?shù)模ㄗh啟用MD5認證。

  并設(shè)置一定強度密鑰(key,相對的路由器必須有相同的Key)。

  Router(Config)# router ospf 100 

  Router(Config-router)# network 192.168.100.0 0.0.0.255 area 100 

  ! 啟用MD5認證。 

  ! area area-id authentication 啟用認證,是明文密碼認證。 

  !area area-id authentication message-digest 

  Router(Config-router)# area 100 authentication message-digest 

  Router(Config)# exit 

  Router(Config)# interface eth0/1 

  !啟用MD5密鑰Key為routerospfkey。 

  !ip ospf authentication-key key 啟用認證密鑰,但會是明文傳輸。 

  !ip ospf message-digest-key key-id(1-255) md5 key 

  Router(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey 

  3.RIP協(xié)議的認證。只有RIP-V2支持,RIP-1不支持。建議啟用RIP-V2。

  并且采用MD5認證。普通認證同樣是明文傳輸?shù)摹?/p>

  Router(Config)# config terminal 

  ! 啟用設(shè)置密鑰鏈 

  Router(Config)# key chain mykeychainname 

  Router(Config-keychain)# key 1 

  !設(shè)置密鑰字串 

  Router(Config-leychain-key)# key-string MyFirstKeyString 

  Router(Config-keyschain)# key 2 

  Router(Config-keychain-key)# key-string MySecondKeyString 

  !啟用RIP-V2 

  Router(Config)# router rip 

  Router(Config-router)# version 2 

  Router(Config-router)# network 192.168.100.0 

  Router(Config)# interface eth0/1 

  ! 采用MD5模式認證,并選擇已配置的密鑰鏈 

  Router(Config-if)# ip rip authentication mode md5 

  Router(Config-if)# ip rip anthentication key-chain mykeychainname  

  4.啟用passive-interface命令可以禁用一些不需要接收和轉(zhuǎn)發(fā)路由信息的端口。

  建議對于不需要路由的端口,啟用passive-interface。

  但是,在RIP協(xié)議是只是禁止轉(zhuǎn)發(fā)路由信息,并沒有禁止接收。在OSPF協(xié)議中是禁止轉(zhuǎn)發(fā)和接收路由信息。

  ! Rip中,禁止端口0/3轉(zhuǎn)發(fā)路由信息 

  Router(Config)# router Rip 

  Router(Config-router)# passive-interface eth0/3  

  !OSPF中,禁止端口0/3接收和轉(zhuǎn)發(fā)路由信息 

  Router(Config)# router ospf 100 

  Router(Config-router)# passive-interface

關(guān)鍵詞:Cisco,路由安全配置

閱讀本文后您有什么感想? 已有 人給出評價!

  • 0 歡迎喜歡
  • 0 白癡
  • 0 拜托
  • 0 哇
  • 0 加油
  • 0 鄙視