二.限制远程管理
设备安全保护是要求设备自身具备多种安全保护的功能与能力,从控制平面、管理平面和数据平面三个方面实现立体化全面安全防范机制,使得作为网络基本组成部分的每个元素都能够实现自我保护,自我安全。但网络设备出现安全漏洞的原因很多是由于人为操作不规范引起的。
在本地访问中,只能通过控制台和辅助线路来访问用户EXEC模式。但很多时候是管理员以更多的方式来远程访问中由器,这些方法包括Telnet、SSH、HTTP、HTTPS和SNMP。
管理员应该建立vty访问控制,如果是边界路由器,并且不存在外部管理的可能性,应该阻止外部的vty访问。可以使用ACL授权的特定IP地址能够使用vty,下面的例子中,显示了只授权192.168.0.252主机对网络设备vty 0~4的Telnet连接:
Router(config) # access-list 30 permit 192.168.0.252
Router(config) # line vty 0 4
Router(config-line) # access-class 30 in
有一半以上的管理员习惯用Telnet管理路由器和其他网络设备,建议不要使用它。Telnet通过网络以明文形式发送用户信息。尤其是边界路由器需要利用SSH替代Telnet,尽可能保持远程访问安全。

三.安全的Shell(SSH)
有的时候很怀念UNIX早期时代,由于没有对安全环境的过高的需求,没有必要做这么多的安全加固工作。现在很多的远程工具都是从那个年代沿袭下来的,它们在网络上以明文形式发送信息,黑客利用Sniffer工具很容易就可以窃听到。
提示:SSH是英文Secure Shell的简写形式。通过使用SSH,可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNS欺骗和IP欺骗。使用SSH还有一个额外的好处,就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,不但可以代替Telnet,甚至为PPP连接提供一个安全的“通道”。
要部署SSH需要了解以下知识:
◆SSH有两个版本的SSH可用,版本1和版本。
◆ 要使用SSH必须要配置SSH服务器和客户端。
◆ SSH服务器提供到网络设备IOS CLI的安全连接,该连接的加密的,该连接类似于一个加密的Telnet连接。
◆ SSH客户端运行SSH协议连接到SSH服务器,它必须支持数据加密标准件DES(Date Encryption Stadnard)或是3DES以及口令认证。
◆ 必须拥有一个支持DES和3DES的IOS映像文件,最低应该是Cisco IOS 12.1(3)T版本。

1.SSH服务器配置
可以将路由器上设置一个SSH服务器,基本步骤如下:
步骤 命令 目的
1 Router(config)# hostname Router_name 为路由器指定一个名称
2 Router(config)# ip domain-name DNS_domain_name 为路由器指定一个域名
3 Router(config)# crypto key generate rsa 生成加密密钥
4 Router(config)# username name secret password
Router(config)# line vty 0 4
Router(config-line)# transport input ssh
Router(config-line)# transport input ssh
Router(config-line) login local 在执行这个命令之前,必须为路由器指定一个名称和域名,否则将会得到一个出错消息。建议使用一个至少1024位密钥。在执行这个命令时,它不会出现在正在运行和己保存的配置文件中。
5 Router(config)# ip ssh {[timeout seconds] |
 [authentication-retries integer]} 调整SSH服务器(可选的)
6 Router# show ssh
Router# show ip ssh 验证SSH服务器操作(可选的)
根据上面的配置步骤,我们这里举一个例子:
需要注意到路由器在生成了RSA密钥之后,显示一个了SSH v1.5(cisco支持的V1增强版)己打开的消息。在这个配置案例中,我们还使用了一个标准ACL和access-classs语句来限制能访问通过VTY访问路由器。
Router(config)# hostname DaYuan
DaYuan(config)# ip domain-name Dayuansc.com
DaYuan(config)# crypto key generate rsa
The name for the keys will be: DaYuan.Dayuansc.com Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys ...[OK]
00:02:25: %SSH-5-ENABLED: SSH 1.5 has been enabled
DaYuan(config)# username richard secret bigXdogYlover
DaYuan(config)# username natalie secret BIGxDOGyLOVER
DaYuan(config)# access-list 30 permit 172.16.3.1
DaYuan(config)# line vty 0 4
DaYuan(config-line)# login local
DaYuan(config-line)# access-class 30 in
DaYuan(config-line)# transport input ssh
DaYuan(config-line)# transport output ssh
DaYuan(config-line)# end

2.SSH客户端访问连接
除了作为一台服务器之处,很多网络设备也支持配置成SSH客户端。但是,如果要在Cisco设备配置SSH客户端,必须在完成服务器端前面部分的步骤1到3以后才可用。
当完成了这些小骤以后,能从路由器上发起SSH客户端连接。这可以使用以下EXEC命令来完成:
ssh [-l username] [-c {des | 3des}] [-o number of passwd prompts #] [-p port_#] {IP_Address | hostname} [command]
SSH命令有很多参数。当访问一个远程资源时,要求给出一个用户名进行认证;使用本地认证数据库或外部安全服务器亦是如此。使用-1选项来指定用户名,还可以使用-C选项来指定加密算法。为了改变口令提示符的号在码,使用-o number of passwd prompts选项。另外,SSH默认地使用端口22,但可以使用-P选项改变它。最后,必须输入的一个参数是目的SSH服务器的地址或名称。
下面是一个客户端连接的例子:
DaYuan# ssh -l richard 192.168.1.254
Password: cisco
DaYuan>

四.HTTP访问
绝大多数的路由器都支持使用权Web浏览器来访问和管理的方法。这对于那些不熟悉IOS命令行的管理员来说是一个很方便的功能。
提示:即使Web浏览器的GUI界面可以提供了一个良好的路由器控制接口,但除去家用路由器外,一些企业级别的网络设备还是不能从一个Web浏览器执行所有的配置和管理选项。

1.配置HTTP访问
默认情况下,企业级路由器上的HTTP服务器功能是关闭的。要配置HTTP访问,使用以下步骤:
步骤 命令 目的
1 Router(config)# ip http server 该命令在路则器上打开HTTP服务器功能。
2 Router(config)# ip http authentication {aaa | enable | local} 使用该命令后面的三种基本的方法一执行HTTP认证。
AAA参数将在第x章中讨论。Local参数指定使用用户名和口令本地认证数据库存来认证。
Enable参数指定EXEC访问权。需要指定级别为15的访问权,即特权级EXEC访问权,是极其危险的。
3 Router(config)# ip http access-class standard_ACL_# 限制通过HTTP的访问管理端IP地址等。
4 Router(config)# ip http port port_# 默认情况下,路由器使用标准的80端口作为HTTP连接使用。可以使用该命令改变这个端口到一个不同的号码。
5 Router(config)# ip http path URL_location 改变HTML文件的位置。默认情况下,路由器使用Flash保存该文件,但如果Flash中没有足够的存储空间 ,可以将HTML文件移到不同的位置,如PCMCIA卡。
6 Router(config)# ip http max-connections #_of_connections 限制HTTP连接的数目。
7 Router(config)# ip http timeout policy idle seconds life seconds requests number 改变HTTP连接的空闲超时值,默认值是180秒。
http://Router's_IP_address 在Web浏览器中测试。
在使用HTTP访问来管理路由器时会带来一些安全问题。首先,任何用户名和口令网络中都以明文形式发送,任何操作和命令的执行也是如此。所以,在公共网络上决不要使用HTTP来管理路由器,可以使用HTTPS(将在下一部分讨论)替代HTTP,或者VPN(保护HTTP连接。

2.HTTPS安全访问
可以使用HTTPS代替HTTP,这是一种支持安全套接层(Secure Socket Layer,SSL)的HTTP。思科和华为等企业级路由器上支持SSL3.0版本,但必须升级IOS的版本支持SSL。需要注意,HTTPS使用TCP端口443。如果过滤流量进入路由器,则需要允许这个端口的连接。
在一个HTTPS连接中有3个主要的组件:
◆ 服务器和客户端设备
使用HTTPS服务器和客户端,可以确保在任何数据通过网络发送前,数据需要通过加密和数据包签名保护(通常驻称为数据包认证和完整性检测)方式进行发送前的处理。这一过程阻止了所有的监听会话劫持攻击。
◆ 加密集
加密集定义了保护安全连接网络设备方法,也称其为“变换集”或者加密算法。加密算法用是用来保护信息的机密性。在路由器和其他网络设备中大多支持DES、RC4和平3DES算法。每个被发送的数据包都使用一个散列功能来签名。连接的远程端用数字签名来确定加密的数据包内容是否被篡改,数字前面中常用的方法是配置MD5和SHA来保护数据包的完整性。
◆ 证书授权
证书权威(Certi.cate Authority,CA)用来发布和管理证书。CA是提供第三方安全解决方案的主流方法,CA可以身份冒用地址冒用等90%以上的攻击方式。路由器的HTTPS功能使用证书和一个CA来实现这个功能。然而,对于中小型网络来说,设置和维护一个CA可能太昂贵并且难于负担。
HTTPS配置的步骤(非CA结构)如下:
步骤 命令 目的
1 Router(config)# no ip http server 关闭HTTP服务器
2 Router(config)# hostname Router_name
Router(config)# ip domain-name domain_name 指定主机名和域名
3 Router(config)# ip http server-secure 打开HTTPS服务器
4 Router(config)# ip http secure-port port_# 该命令用于改变默认443端口号
https://IP_address_of_server 在Web浏览器中测试。

五.SNMP安全
简单网络管理协议(SNMP)是目前应用最为广泛的网络管理协议。从1990年RFC 1157定义了SNMP(simple network management protocol)的第一个版本SNMP v1,到1993年发布了SNMPv2,在到1996年发布的SNMP v2c是SNMP v2的修改版本。
在使用SNMP时,当特定的事件发生时,代理能主动地发送通告消息(指陷阱(trap)和通知(inform)到管理程序。例如:当一个接口连接或断开时、路由器重启时,路由器能发送一个陷阱消息,陷阱消息是无连接的,而通知消息是有连接的。
SNMP在90年代初得到了迅猛发展,同时也暴露出了明显的不足,如:难以实现大量的数据传输、缺少身份验证(Authentication)和加密(Privacy)机制。
IETF SNMP v3工作组于1998年提出了互联网建议RFC 2271-2275,正式形成SNMP v3。
SNMP V3是因为SNMP V1和V2的安全局限性而开发的。它基于一个允许使用权用户和组进行认证的安全模型,并且能加密数据包内容。RFC 2570定义了SNMP V3,并提供了三种基本的安全功能:
◆ 认证:验证从一个有效的源收到SNMP消息,防止仿冒攻击。
◆ 完整性:验证SNMP消息在两个设备之传输时没有被子篡改,防止会话动持攻击。
◆ 机密性:加密SNMP数据包的内容,防止监听攻击。
提示:SNMP使用UDP端口161。然而,SNMP通告消息则使用UDP端口162发送的。所以,需要转发SNMP信息通过一台过滤设备,必须允许这些协议通过过滤。
在使用SNMP管理路由器和其他网络设备是需要注意以下几点:
◆ 慎重使用RW参数(RO只读,RW是读写)。
◆ 不用使用容易被猜测出的团体字符串,如public和private,建议使用工具生成包含数字和字母的随机字符串。
◆ 使用权ACL限制到路由器的SNMP访问。
◆ 使用VPN来保护代理和管理设备之间的SNMP流量。
◆ 路由器不对外部提供SNMP的响应请求。

网络系统是一个复杂的计算机系统,这就造成了物理上、操作上和管理上的种种漏洞。再加上有些网络管理人员对于网络设备自身防护的轻视,这都会给企业网络带来不稳定的因素,加强边界设备(如路由器)的自身防护是在入口上保证安全的第一步。

文章如转载,请注明转载自:http://www.5iadmin.com/post/599.html