IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉貼|軟件發(fā)布

您當前所在位置: 首頁網(wǎng)絡安全安全防護 → 安全部署企業(yè)網(wǎng)絡邊界路由器

安全部署企業(yè)網(wǎng)絡邊界路由器

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

  邊界路由器是連接內部局域網(wǎng)和外部Internet的關鍵路由。作為內外網(wǎng)絡之間的橋梁,它的安全運行關系到整個局域網(wǎng)的命運。因為直接與Internet連接,邊界路由器首當其沖是黑客攻擊的重點?;诖?,邊界路由器理應成為網(wǎng)絡管理者重點維護的對象。本文就以Cisco的路由器產(chǎn)品為例,和大家分享邊界路由器的安全部署方案。

  1、安全部署從密碼開始ONG>

  密碼是路由器用來阻止對其進行非授權訪問的主要手段,是路由器本身安全的一部分。對于邊界路由器來說,安全可靠的密碼策略更是必不可少的。

  (1).設置符合復雜性的特權模式進入密碼

  首次登錄路由器后就要為其設置復雜的密碼,例如:"Router(config)#enable secret 55ctocio,.",建議不要采用enable password進行設置。兩者雖然功能相似,但是enable password采用的加密算法比較弱。同時,還要啟用service password-encryption。例如:"Router(config)#service password-encryption"利用這條命令對存儲在配置文件中的所有密碼和類似的數(shù)據(jù)進行加密,以提高密碼的安全性。(圖1)

(2).盡量不要遠程訪問路由器

  如果不需要對路由器進行遠程維護和管理,建議不要開啟遠程訪問。就算開啟了路由器的遠程訪問功能,也要控制遠程訪問的次數(shù)。因為任何人登錄到路由器都會在路由器上顯示一些重要的信息,而這些信息能夠對攻擊者進行網(wǎng)絡滲透提供幫助。另外還有一種情況:攻擊者也許不會通過路由器對局域網(wǎng)實施攻擊,但他會將你的路由器作為一個跳板對其他的目標實施攻擊。這樣,你的路由器被攻擊者利用不說,而且會給你帶來麻煩(嫁禍于人)。基于此,我們一定要控制路由器的遠程訪問。如果情況特殊需要遠程訪問路由器,也一定要設置足夠強的密碼。筆者建議,不要將遠程訪問密碼和特權密碼設置成一樣。

  Router(config)#line vty 0 4

  Router(config-line)#login

  Router(config-line)#password ineing55ete

  (圖2)

(3).設置高強度的Consol端口訪問密碼

  盡管大部分的登錄訪問缺省都是禁止的。但是有一些例外。如直連的控制臺終端等??刂婆_端口具有特殊的權限。特別注意的是,當路由器重啟動的開始幾秒如果發(fā)送一個Break信號到控制臺端口,則利用口令恢復程式可以很容易控制整個系統(tǒng)。這樣如果一個攻擊者盡管他沒有正常的訪問權限,但是具有系統(tǒng)重啟(切斷電源或系統(tǒng)崩潰)和訪問控制端口(通過直連終端、Modem、終端服務器)的能力就可以控制整個系統(tǒng)。所以必須保證所有連結控制端口的訪問的安全性,給Consol端口設置高強度密碼。

  Router(config)#line consol 0

  Router(config-line)#password ewingw58erer

  Router(config-line)#login

  (圖3)


????
??? 2、嚴格配置路由器管理服務

  Cisco路由器集成了許多管理服務,這些服務適用于不同的環(huán)境和應用需求。通常情況下,其中的很多管理服務我們根本用不著。而默認情況下其中的某些管理服務是開啟的,這帶來了一定的安全隱患。最小的服務帶來最大的安全,所以我們應該根據(jù)實際需要對這些管理服務進行嚴格配置。

  (1).建議禁止Http管理服務

  Http管理服務是Cisco提供的基于圖形界面的Web管理方式,方便某些初級用戶的管理需求。但是,開啟Web管理后路由器需要開啟而外的端口(通常是80),而且Http是Cisco存在漏洞比較多的一個服務。對于一個熟練的管理員,有高效的命令行就可以了,完全用不著Web管理方式,因此筆者建議禁止該管理服務服務。

  Router(config)#no ip http server

  HTTP使用的身份識別協(xié)議相當于向整個網(wǎng)絡發(fā)送一個未加密的口令,這使得用HTTP協(xié)議進行管理相當危險。如如果開啟了HTTP服務,最好使用"Router(config)#ip http access-class"命令限制可訪問地址,同時還要設置用戶名和密碼,并且使用"Router(config)#ip http authentication"命令開啟IP驗證。

  Router(config)#username ctocio privilege 10 password ienig56egd

  Router(config)#access-list 10 permit 192.168.1.1

  Router(config)#ip http access-class 10

  Router(config)#ip http server

  (圖4)

(2).建議禁止SNMP服務

  SNMP是英文"Simple Network Management Protocol"的縮寫,中文意思是"簡單網(wǎng)絡管理協(xié)議",它是路由器里最為常用的網(wǎng)管協(xié)議。但是SNMP V1存在很多安全隱患,建議大家通過命令"Router(config)#no snmp-server"將其禁止。如確實要使用該協(xié)議,應盡量使用SNMP V2,因為它是基于MD5的數(shù)字認證方式。另外,應盡可能對不同的路由器設置不同的MD5安全值。

  如果一定要使用SNMP V1,那么必須要刪除SNMP的默認配置,如缺省的community public/private等。如筆者曾經(jīng)寫過一篇文章《防止黑客接管思科路由器》(鏈接地址為:http://networking.ctocio.com.cn/tips/429/8542429.shtml),就是利用了管理員并沒有修改SNMP的默認設置,利用工具下載了路由器的配置文件進而控制路由器的案例。

  禁止pulic的只讀屬性和admin的讀寫屬性

  Router(config)#no snmp-server community public ro

  Router(config)#no snmp-server community admin rw

  (圖5)

? (3).關閉IP直接廣播(IP Directed Broadcast)

  DDOS(拒絕服務)是網(wǎng)絡宿敵而且?guī)缀鯖]有有效的防御措施,Smurf攻擊是一種拒絕服務攻擊。局域網(wǎng)中的服務器會應答各種網(wǎng)絡指令,通常情況下它并不管這個指令是誰發(fā)出的。在這種攻擊中,攻擊者使用假冒的源地址向你的網(wǎng)絡廣播地址發(fā)送一個"ICMP ech0"請求。這要求所有的主機對這個廣播請求做出回應,這種情況至少會降低你的網(wǎng)絡性能。大家可參考你的路由器信息文件,了解如何關閉IP直接廣播。例如,可以使用"Router(config)#no ip source-route"這個指令關閉路由器的IP直接廣播地址。

  (4).封鎖ICMP ping請求

  Ping命令的主要目的是識別目前正在使用的主機是否活動,ping通常用于更大規(guī)模的協(xié)同性攻擊之前的偵察活動,這是攻擊者在攻擊之前首先要做的測試。通過取消遠程用戶接收ping請求的應答能力,就能夠在一定程度上避開那些無人注意的掃描活動或者防御那些尋找容易攻擊的目標的黑客實施進一步的工具。當然,這樣做實際上并不能保護你的路由器不受攻擊,但是這將使你不太可能成為一個攻擊目標,降低的被攻擊的幾率。

  有的時候,我們需要發(fā)ICMP ping包探測Internet中的某個IP。所以一個折中的方案是:對于進入局域網(wǎng)的ICMP數(shù)據(jù)包我們要禁止ICMP協(xié)議的ECHO、Redirect、Mask request,也需要禁止TraceRoute命令的探測。對于流出的ICMP數(shù)據(jù)包我們可以允許ECHO、Parameter Problem、Packet too big和TraceRoute命令的使用。

  屏蔽外部ping包

  Router(Config)#access-list 110 deny icmp any any echo log

  Router(Config)#access-list 110 deny icmp any any redirect log

  Router(Config)#access-list 110 deny icmp any any mask-request log

  Router(Config)#access-list 110 permit icmp any any

  允許內部ping包

  Router(Config)#access-list 111 permit icmp any any echo

  Router(Config)#access-list 111 permit icmp any any Parameter-problem

  Router(Config)#access-list 111 permit icmp any any packet-too-big

  Router(Config)#access-list 111 permit icmp any any source-quench

  Router(Config)#access-list 111 deny icmp any any log

  屏蔽外部TraceRoute

  Router(Config)#access-list 112 deny udp any any range 33400 34400

  允許內部TraceRoute

  Router(Config)#access-list 112 permit udp any any range 33400 34400

  (圖6)??

3、按需定制訪問控制列表

  訪問控制列表(ACL)可以實現(xiàn)網(wǎng)絡通信流量的控制。合理應用路由器(尤其是邊緣路由器)的訪問控制列表功能,將對網(wǎng)絡的安全起到很好的保護作用,如拒絕非公有地址訪問內部網(wǎng)絡以及一些垃圾和惡意路由信息等。下面提供筆者在實戰(zhàn)中設置的訪問控制策略供大家借鑒:

  (1).拒絕回環(huán)地址127.0.0.0/8

  Router(Config)#access-list 100 deny ip 127.0.0.0 0.255.255.255 any log

  (2).拒絕RFCl918私有地址

  Router(Config)#access-list 100 deny ip 192.168.0.0 0.0.255.255 any log

  Router(Config)#access-list 100 deny ip 172.16.0.0 0.15.255.255 any log

  Router(Config)#access-l

關鍵詞標簽:安全部署,企業(yè)網(wǎng)絡,邊

相關閱讀

文章評論
發(fā)表評論

熱門文章 火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速 火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法 火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法 網(wǎng)絡安全管理軟件-PCHunter使用教程 網(wǎng)絡安全管理軟件-PCHunter使用教程 騰訊QQ密碼防盜十大建議 騰訊QQ密碼防盜十大建議

相關下載

    人氣排行 火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法 網(wǎng)絡安全管理軟件-PCHunter使用教程 xp系統(tǒng)關閉445端口方法_ 教你如何關閉xp系統(tǒng)445端口 什么是IPS(入侵防御系統(tǒng)) 企業(yè)網(wǎng)絡安全事件應急響應方案 ARP協(xié)議的反向和代理 Windows Server 2008利用組策略的安全設置