五,路由器其他安全配置
1,及時的升級IOS軟件,並且要迅速的爲IOS安裝補丁。
1,及時的升級IOS軟件,並且要迅速的爲IOS安裝補丁。
2,要嚴格認真的爲IOS作安全備份。
3,要爲路由器的配置文件作安全備份。
4,購買UPS設備,或者至少要有冗餘電源。
5,要有完備的路由器的安全訪問和維護記錄日誌。
6,要嚴格設置登錄Banner。必須包含非授權用戶禁止登錄的字樣。
7,IP欺騙得簡單防護。如過濾非公有地址訪問內部網絡。過濾自己內部網絡地址;迴環地址(127.0.0.0/8);RFC1918私有地 址;DHCP自定義地址(169.254.0.0/16);科學文檔作者測試用地址(192.0.2.0/24);不用的組播地址(224.0.0.0 /4);SUN公司的古老的測試地址(20.20.20.0/24;204.152.64.0/23);全網絡地址(0.0.0.0/8)。
|
Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any log Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any log Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any log Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any log Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any log Router(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any log Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any log Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any log Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any log |
8,建議採用訪問列表控制流出內部網絡的地址必須是屬於內部網絡的。如:
|
Router(Config)# no access-list 101
Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.0.255 any Router(Config)# access-list 101 deny ip any any log Router(Config)# interface eth 0/1 Router(Config-if)# description “internet Ethernet” Router(Config-if)# ip address 192.168.0.254 255.255.255.0 Router(Config-if)# ip access-group 101 in |
9,TCP SYN的防範。如:
|
A: 通過訪問列表防範。
Router(Config)# no access-list 106 Router(Config)# access-list 106 permit tcp any 192.168.0.0 0.0.0.255 established Router(Config)# access-list 106 deny ip any any log Router(Config)# interface eth 0/2 Router(Config-if)# description “external Ethernet” Router(Config-if)# ip address 192.168.1.254 255.255.255.0 Router(Config-if)# ip access-group 106 in B:通過TCP截獲防範。(這會給路由器產生一定負載) Router(Config)# ip tcp intercept list 107 Router(Config)# access-list 107 permit tcp any 192.168.0.0 0.0.0.255 Router(Config)# access-list 107 deny ip any any log Router(Config)# interface eth0 Router(Config)# ip access-group 107 in
|
10,LAND.C 進攻的防範。
|
Router(Config)# access-list 107 deny ip host 192.168.1.254 host 192.168.1.254 log
Router(Config)# access-list permit ip any any Router(Config)# interface eth 0/2 Router(Config-if)# ip address 192.168.1.254 255.255.255.0 Router(Config-if)# ip access-group 107 in
|
11,Smurf進攻的防範。
|
Router(Config)# access-list 108 deny ip any host 192.168.1.255 log
Router(Config)# access-list 108 deny ip any host 192.168.1.0 log |
12,ICMP協議的安全配置。對於進入ICMP流,我們要禁止ICMP協議的ECHO、Redirect、Mask request。也需要禁 止TraceRoute命令的探測。對於流出的ICMP流,我們可以允許ECHO、Parameter Problem、Packet too big。 還有TraceRoute命令的使用。
|
! outbound ICMP Control
Router(Config)# access-list 110 deny icmp any any echo log Router(Config)# access-list 110 deny icmp any any redirect log Router(Config)# access-list 110 deny icmp any any mask-request log Router(Config)# access-list 110 permit icmp any any ! Inbound ICMP Control Router(Config)# access-list 111 permit icmp any any echo Router(Config)# access-list 111 permit icmp any any Parameter-problem Router(Config)# access-list 111 permit icmp any any packet-too-big Router(Config)# access-list 111 permit icmp any any source-quench Router(Config)# access-list 111 deny icmp any any log ! Outbound TraceRoute Control Router(Config)# access-list 112 deny udp any any range 33400 34400 ! Inbound TraceRoute Control Router(Config)# access-list 112 permit udp any any range 33400 34400 |
13,DDoS(Distributed Denial of Service)的防範。
|
! The TRINOO DDoS system
Router(Config)# access-list 113 deny tcp any any eq 27665 log Router(Config)# access-list 113 deny udp any any eq 31335 log Router(Config)# access-list 113 deny udp any any eq 27444 log ! The Stacheldtraht DDoS system Router(Config)# access-list 113 deny tcp any any eq 16660 log Router(Config)# access-list 113 deny tcp any any eq 65000 log ! The TrinityV3 System Router(Config)# access-list 113 deny tcp any any eq 33270 log Router(Config)# access-list 113 deny tcp any any eq 39168 log ! The SubSeven DDoS system and some Variants Router(Config)# access-list 113 deny tcp any any range 6711 6712 log Router(Config)# access-list 113 deny tcp any any eq 6776 log Router(Config)# access-list 113 deny tcp any any eq 6669 log Router(Config)# access-list 113 deny tcp any any eq 2222 log Router(Config)# access-list 113 deny tcp any any eq 7000 log |
14,建議啓用SSH,廢棄掉Telnet。但只有支持並帶有IPSec特徵集的IOS才支持SSH。並且IOS12.0-IOS12.2僅支持SSH-V1。如下配置SSH服務的例子:
|
Router(Config)# config t
Router(Config)# no access-list 22 Router(Config)# access-list 22 permit 192.168.0.22 Router(Config)# access-list deny any Router(Config)# username BluShin privilege 10 G00dPa55w0rd ! 設置SSH的超時間隔和嘗試登錄次數 Router(Config)# ip ssh timeout 90 Router(Config)# ip ssh anthentication-retries 2 Router(Config)# line vty 0 4 Router(Config-line)# access-class 22 in Router(Config-line)# transport input ssh Router(Config-line)# login local Router(Config-line)# exit !啓用SSH服務,生成RSA密鑰對。 Router(Config)# crypto key generate rsa The name for the keys will be: router.blushin.org Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys .Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus[512]: 2048 Generating RSA Keys... [OK] Router(Config)# |
15,.配置訪問控制列表:
使用訪問控制列表的目的就是爲了保護路由器的安全和優化網絡的流量.訪問列表的作用就是在數據包經過路由器某一個端口時,該數據包是否允許轉發通過,必須先在訪問控制列表裏邊查找,如果允許,則通過.所以,保護路由器的前提,還是先考慮配置訪問控制列表吧.
訪問列表有多種形式,最常用的有標準訪問列表和擴展訪問列表.
1)創建一個標準訪問控制列表的基本配置語法:
|
(config)#access-list
access-list-number{deny|permit} source
[source-wildcard]
參數註釋:
access-list-number是定義訪問列表編號的一個值,範圍從1--99.參數
deny或permit指定了允許還是拒絕數據包.
source是發送數據包的主機地址.
source-wildcard則是發送數據包的主機的通配符.在實際應用中,如果數據包的源地址在訪問列表中未能找到,或者是找到了未被允許轉發,則該包將會被拒絕.
簡單訪問列表示例:
access-list
3 permit 172.30.1.0 0.0.0.255 */指明一個列表號爲3的訪問控制列表,並允許172.30.1.0這個網段的數據通過.0.0.0.255是通配符.
access-list
3 permit 10.1.1.0 0.0.15.255 */允許所有源地址爲從10.1.0.0到10.1.15.255的數據包通過應用了該訪問列表的路由器接口.
access-list
3 deny 172.31.1.0 0.0.0.255 */拒絕源IP地址爲172.31.1.0到172.31.1.255的數據包通過該訪問列表.
配置了訪問列表後,就要啓用訪問控制列表,我們可以在接口配置模式下使用access-group或ip access-class命令來指定訪問列表應用於某個接口.使用關鍵字in(out)來定義該接口是出站數據包還是入站數據包.
示例:
ip
access-group 3 in */定義該端口入站數據包必須按照訪問列表3上的原則.
|
2)擴展訪問控制列表
|
由於標準訪問控制列表對使用的端口不進行區別,所以,引入了擴展訪問控制列表(列表號從100--199).擴展訪問列表能夠對數據包的源地址,目的地址和端口等項目進行檢查,這其中,任何一個項目都可以導致某個數據包不被允許經過路由器接口.
簡單的配置示例:
(config)#ip access-list 101 permit tcp any host
10.1.1.2 established log
(config)#ip
access-list 101 permit tcp any host 172.30.1.3 eq www log
(config)#ip
access-list 101 permit tcp any host 172.30.1.4 eq ftp log
(config)# ip access-list 101 permit tcp any host
172.30.1.4 log
註釋:
第一行允許通過TCP協議訪問主機10.1.1.2,如果沒個連接已經在主機10.1.1.2和某個要訪問的遠程主機之間建立,則該行不會允許任何數據包通過路由器接口,除非回話是從內部企業網內部發起的.第二行允許任何連接到主機172.30.1.3來請求www服務,而所有其他類型的連接將被拒絕, 這是因爲在訪問列表自動默認的在列表尾部,有一個deny any any語句來限制其他類型連接.第三行是拒絕任何FTP連接來訪問172.30.1.4主機.第四行是允許所有類型的訪問連接到172.30.1.4主機.
|
16,控制telnet訪問控制
爲了保護路由器訪問控制權限,必須限制登陸訪問路由器的主機,針對VTY(telnet)端口訪問控制的方法,具體配置要先建立一個訪問控制列表,如下示例
|
建立一個標準的訪問控制列表(編號從1--99任意選擇):
(config)#access-list 90 permit 172.30.1.45
(config)#access-list 90 permit 10.1.1.53
該訪問列表僅允許以上兩個IP地址之一的主機對路由器進行telnet訪問,
注意:創建該列表後必須指定到路由器端口某個端口上,具體指定方法如下:
(config)#line vty E0 4
(config-line)#access-class 90 in
以上配置是入站到E0端口的telnet示例,出站配置採用out.
爲了保護路由器的安全設置,也可以限制其telnet訪問的權限
通過分配管理密碼來限制一個管理員只能有使用show命令的配置如下:
enable
secret level 6 123456
privilege exec 6 show
給其分配密碼爲123456,telnet進入路由器後,只能用show命令,其他任何設置權限全部被限制.另外,也可以通過訪問時間來限制所有端口的登陸訪問情況,在超時的情況下,將自動斷開,下面是一個配置所有端口訪問活動3分30秒的設置示例:
exec-timeout
3 30
|