路由器和交换机在当今企业网络组建中,已是必不可少的组成部分,作为网络中的最主要设备之一,其安全配置和优化显得十分重要。主要从以下几个方面对其进行安全管理。
控制通过交换机或路由器入侵
控制对交换机或路由器的入侵
控制交换机或路由器的管理员访问权限
路由器和交换机的物理防护
1.1路由器的安全管理
从严格的意义上讲,路由器本身就是一台具备特殊使命的电脑,通常来说,攻击者攻击路由器的手法与袭击网上其他计算机的手法大同小异。
我们可以通过下列五种方法配置路由器。
(1)通过console口接终端或运行终端仿真软件的计算机。
(2)通过aux可连接modem,通过电话线与远方的终端或运行终端仿真软件的计算机相连。
(3)通过网络中的TFTP服务器。
(4)通过Telnet程序。
(5)通过网络中的snmp网管工作站。
通过以上方法可以方便的配置路由器,但同时也留下了安全隐患,一般来讲,针对路由器的攻击主要分为以上两种类型。
(1)通过某种手段或路径获取管理权限,直接侵入到系统的内部。
(2)采用远程攻击的办法,造成路由器崩溃死机或是运行效率显著下降。
相对而言,前者的难度要大一些。
所以路由器的安全问题可以从下面着手解决:
1.阻止非必要的数据流
从因特网进入路由器的传入数据流来自未知的不受信任的用户,这些用户要求访问企业内部的web服务器,可以使用访问控制列表acl让这些用户只能访问一组特定的ip地址和端口号。并限制这些用户无法访问其他端口号或ip地址。
例如,我们可以在路由器上的广域网接口上启用扩展acl,实现对外部icmp报文回显的屏蔽,能够有效防止攻击者通过相关的回显内容搜集到路由4器的相关信息,下列语句可实现该设置。
router(config)#access-list 101 deny icmp any 202.100.2.1 0.0.0.255 echo
router(config)#access-list 101 permit any any
router(config-if)#ip access group 101 in
cisco路由器和交换机使用专用协议--cisco发现协议cdp来发现邻居的cisco设备的相关信息,此协议安全性能薄弱,因此在边界路由器中绝对禁用cdp,可能还需要根据管理软件的要求在内部路由器和交换机中禁用该协议。下列为禁用该协议的语句。
router(config)#no cdp run
router(config-if)#no cdp enable
2.加强管理和访问控制
(1)应用强密码策略
不管是enable口令,telnet口令,还是其他的口令,在设置时应尽可能的使用强密码策略,创建口令时一定要混合使用大小写、数字和符号,并对其进行加密,并且要启用server password-encryption命令。
router(config)#server Password-encryption
router(config)#enable secret password
(2)控制远程访问与控制台访问
要严格控制对路由器vty的访问,如果不需要远程访问则禁止他,如果需要则一定要设置强壮的密码。由于vty在网络的传输过程中数据是不加密的,所以需要对其进行严格的控制。
如:设置强壮的密码,控制连接的并发数目,采用访问控制列表,严格控制访问的地址。可以通过命令exec-time 10来确保会话在未用状态超过十分钟后被关闭。下列为实现该设置的语句。
router(config)#line vty 0 15
router(config-line)#login
router(config-line)#password password
router(config-line)#exec-timeout 10
严格控制对console端口与aux端口的访问,为console端口设置高强度密码,aux端口默认是开启的。如果不启用关闭它,实现语句如下:
router(config)#line con 0
router(config-line)transport input none
router(config-line)#password password
router(config)#line aux 0
router(config-line)#transport input none
router(config-line)#no exec
(3)关于基于web的配置
Cisco在iOS版本中加入了可以通过web方式来管理路由器的特性。这对于不熟悉cisco设置的人来说,无疑是一件方便的事情。但在引入了方便管理的同时,安全隐患也随之产生,如果启用了web管理方式,很容易绕过用户认证或者遭遇dos攻击。因此,管理员应当禁止web配置,禁止web管理非常简单,只需下面语句即可。
router(config)#no ip http server
3.关闭其他不必要的服务
在已部署的路由器中,每个已打开的端口都与一个侦听服务相关联。为了降低攻击的可能性,必须关闭不必要的默认服务,例如bootb和dns服务做很少使用。此外,还应扫描路由器都打得开哪些端口,把不必要的端口给关掉,下列语句可实现该设置。
router(config)#no ip domain-lookup
router(config)#no ip bootp server
router(config)#no snmp-server
router(config)#no snmp-server community public RO
router(config)#no snmp-server community admin RW
4.定期审查和查看日志
大多数的路由器都有日志功能,日志功能可记录所有被拒绝的有入侵企图的操作,应养成定期备份和查看日志的好习惯。利用路由器的日志功能对于安全来说是十分重要的,cisco路由器支持如下的日志。
(1)AAA日志:主要收集关于用户波路连接,登陆,http访问权限变化等信息。这些日志用tacacs+radius协议送到认证服务器币并本地保存下来。
(2)SNMP Trap日志:发送系统状态的改变到sn mp管理工作站。在网络管理工作站上启用smap trap监视链路的拓补改变,当路由器上的一条链路断开的时候,网络管理工作站就能接受到链路改变trap信息。
(3)系统日志:根据配置记录大量的系统事件,并可以将这些日志发送到下列地方。
控制台端口
syslog服务器
这里我最关注的就是系统日志,默认的情况下,这些日志被送到控制台端口。通过控制台监视来观察系统的运行情况,但是这种方式信息量小,且无法记录下来供以后查看。下面语句为通过Show命令来查看系统当前正在运行的情况。
router#show configuration
router#show running-config
建议使用syslog服务器,将路由器日志信息发送到linux或windows下的syslog日志服务器长期保存下来以后查看。
1.2交换机的安全管理
交换机在内部网络中占有重要的定位,通常是整个内部网络的核心所在。交换机实际是一个为转发数据包优化的计算机,是计算机就有被攻击的可能,比如非法获取交换机的控制权,导致网络瘫痪,另一方面也会受到DOS攻击,但与路由器相比,交换机的安全性常被忽视。其实为路由器定义的许多安全概念同样适用于交换机。
1.修补程序和更新
必须尽早安装和测试修补程序的更新。
2.使用管理访问控制系统
使用与路由器相同的方法来控制交换机的管理访问。
3.禁用未使用的端口
为了防止攻击者接入未使用的端口,应禁用交换机中未使用的以太网端口。
4.关闭危险服务
确保所有未使用的服务都已禁用,此外,确保禁用http。
5.利用vlan技术
vlan可以分隔网段,不同vlan之间的通信必须通过网络层的路由来完成,否则,即便是同一交换机上的端口。假如他们不处于一个vlan,则绝对无法进行数据通信。同时利用acl来保护交换机以及限制vlan之间的数据流,使用vlan之间的acl可对来自内部的入侵提供直接的保护。
分享不易,如果对你有帮助喜欢这篇文章请点个赞或者关注。谢谢!
……