2020年C路由器的安全配置方案

1、安全生產(chǎn)） C 路由器的安全配置方案Cisco 路由器的安全配置方案壹,路由器訪問(wèn)控制的安全配置1, 嚴(yán)格控制能夠訪問(wèn)路由器的管理員。任何壹次維護(hù)都需要記錄備案。2, 建議不要遠(yuǎn)程訪問(wèn)路由器。即使需要遠(yuǎn)程訪問(wèn)路由器，建議使用訪問(wèn)控制列表 和高強(qiáng)度的密碼控制。3, 嚴(yán)格控制 CON 端口的訪問(wèn)。具體的措施有： A,如果能夠開機(jī)箱的，則能夠切斷和 CON 口互聯(lián)的物理線路。B,能夠改變默認(rèn)的連接屬性， 例如修改波特率 (默認(rèn)是 96000 ，能夠改為其他的 ) C,配合使用訪問(wèn)控制列表控制對(duì) CON 口的訪問(wèn)。如： Router(Config)#linecon0Router(Config-line

2、)#TransportinputnoneRouter(Config-line)#LoginlocalRouter(Config-line)#Exec-timeoute50Router(Config-line)#access-class1inRouter(Config-line)#endD,給 CON 口設(shè)置高強(qiáng)度的密碼。4, 如果不使用 AUX 端口，則禁止這個(gè)端口。默認(rèn)是未被啟用。禁止如：Router(Config)#lineaux0Router(Config-line)#transportinputnone5, 建議采用權(quán)限分級(jí)策略。如：Router(Config)#privilegeEX

3、EClevel10telnetRouter(Config)#privilegeEXEClevel10showipaccess-list 6,為特權(quán)模式的進(jìn)入設(shè)置強(qiáng)壯的密碼。不要采用 enablepassword 設(shè)置密碼。而 要采用 enablesecret 命令設(shè)置。且且要啟用 Servicepassword-encryption 。 7,控制對(duì) VTY 的訪問(wèn)。如果不需要遠(yuǎn)程訪問(wèn)則禁止它。如果需要?jiǎng)t壹定要設(shè)置強(qiáng) 壯的密碼。由于 VTY 在網(wǎng)絡(luò)的傳輸過(guò)程中為加密， 所以需要對(duì)其進(jìn)行嚴(yán)格的控制。 如：設(shè)置強(qiáng)壯的密碼； 控制連接的且發(fā)數(shù)目； 采用訪問(wèn)列表嚴(yán)格控制訪問(wèn)的地址； 能夠采用 AAA 設(shè)

4、置用戶的訪問(wèn)控制等。8,IOS 的升級(jí)和備份，以及配置文件的備份建議使用 FTP代替 TFTP。如： Router(Config)#ipftpusernameBluShinRouter(Config)#ipftppassword4tppa55w0rdRouter#copystartup-configftp:9,及時(shí)的升級(jí)和修補(bǔ) IOS 軟件。二,路由器網(wǎng)絡(luò)服務(wù)安全配置1, 禁止 CDP(CiscoDiscoveryProtocol) 。如：Router(Config)#nocdprunRouter(Config-if)#nocdpenable2, 禁止其他的 TCP、 UDPSmall 服務(wù)。

5、3, 禁止 Finger 服務(wù)。Router(Config)#noipfingerRouter(Config)#noservicefinger4, 建議禁止 HTTP 服務(wù)。Router(Config)#noiphttpserver如果啟用了 HTTP 服務(wù)則需要對(duì)其進(jìn)行安全配置：設(shè)置用戶名和密碼；采用訪問(wèn) 列表進(jìn)行控制。如：Router(Config)#usernameBluShinprivilege10G00dPa55w0rd Router(Config)#iphttpauthlocalRouter(Config)#noaccess-list10Router(Config)#access-

6、list10denyanyRouter(Config)#iphttpaccess-class10Router(Config)#iphttpserverRouter(Config)#exit5, 禁止 BOOTp 服務(wù)。Router(Config)#noipbootpserver 禁止從網(wǎng)絡(luò)啟動(dòng)和自動(dòng)從網(wǎng)絡(luò)下載初始配置文件。Router(Config)#nobootnetwork Router(Config)#noservicconfig6, 禁止 IPSourceRouting 。7, 建議如果不需要 ARP-Proxy 服務(wù)則禁止它，路由器默認(rèn)識(shí)開啟的Router(Config)#noipp

7、roxy-arpRouter(Config-if)#noipproxy-arp8, 明確的禁止 IPDirectedBroadcast 。 Router(Config)#noipdirected-broadcast9, 禁止 IPClassless 。Router(Config)#noipclassless10, 禁止 ICMP 協(xié)議的 IPUnreachables,Redirects,MaskReplies 。 Router(Config-if)#noipunreacheablesRouter(Config-if)#noipredirectsRouter(Config-if)#noipmas

8、k-reply11, 建議禁止 SNMP 協(xié)議服務(wù)。在禁止時(shí)必須刪除壹些 SNMP 服務(wù)的默認(rèn)配置 或者需要訪問(wèn)列表來(lái)過(guò)濾。如：Router(Config)#nosnmp-servercommunitypublicRo Router(Config)#nosnmp-servercommunityadminRWRouter(Config)#noaccess-list70Router(Config)#access-list70denyany Router(Config)#snmp-servercommunityMoreHardPublicRo70Router(Config)#nosnmp-serve

9、renabletraps Router(Config)#nosnmp-serversystem-shutdown12, 如果沒必要?jiǎng)t禁止 WINS 和DNS 服務(wù)Router(Config)#noipdomain-lookup如果需要?jiǎng)t需要配置：Router(Config)#hostnameRouter13,明確禁止不使用的端口。Router(Config)#interfaceeth0/3Router(Config)#shutdown三,路由器路由協(xié)議安全配置1, 首先禁止默認(rèn)啟用的 ARP-Proxy ，它容易引起路由表的混亂。Router(Config)#noipproxy-arp 或者R

10、outer(Config-if)#noipproxy-arp2, 啟用 OSPF路由協(xié)議的認(rèn)證。默認(rèn)的 OSPF 認(rèn)證密碼是明文傳輸?shù)?，建議啟用 MD5 認(rèn)證。且設(shè)置壹定強(qiáng)度密鑰 (key, 相對(duì)的路由器必須有相同的 Key) 。 Router(Config)#routerospf100!啟用 MD5 認(rèn)證。!areaarea-idauthentication 啟用認(rèn)證，是明文密碼認(rèn)證。 ！areaarea-idauthenticationmessage-digest！啟用 MD5 密鑰 Key 為 routerospfkey 。！ ipospfauthentication-keykey啟用認(rèn)

11、證密鑰，但會(huì)是明文傳輸。！ipospfmessage-digest-keykey-id(1-255)md5keyRouter(Config-if)#ipospfmessage-digest-key1md5routerospfkey3, RIP 協(xié)議的認(rèn)證。只有 RIP-V2 支持， RIP-1 不支持。建議啟用 RIP-V2 。且且 采用 MD5 認(rèn)證。普通認(rèn)證同樣是明文傳輸?shù)?。Router(Config)#configterminal!啟用設(shè)置密鑰鏈Router(Config)#keychainmykeychainnameRouter(Config-keychain)#key1！設(shè)置密鑰字串

12、Router(Config-leychain-key)#key-stringMyFirstKeyStringRouter(Config-keyschain)#key2Router(Config-keychain-key)#key-stringMySecondKeyString！啟用 RIP-V2Router(Config)#routerripRouter(Config-router)#version2Router(Config)#interfaceeth0/1!采用 MD5 模式認(rèn)證，且選擇已配置的密鑰鏈4, 啟用 passive-interface 命令能夠禁用壹些不需要接收和轉(zhuǎn)發(fā)路由信息的

13、端口 建議對(duì)于不需要路由的端口， 啟用 passive-interface ?？墒牵?RIP 協(xié)議是只是 禁止轉(zhuǎn)發(fā)路由信息，且沒有禁止接收。在 OSPF 協(xié)議中是禁止轉(zhuǎn)發(fā)和接收路由信 息。!Rip 中，禁止端口 0/3 轉(zhuǎn)發(fā)路由信息Router(Config)#routerRip Router(Config-router)#passive-interfaceeth0/3 ！OSPF 中，禁止端口 0/3 接收和轉(zhuǎn)發(fā)路由信息Router(Config)#routerospf100 Router(Config-router)#passive-interfaceeth0/3 5,啟用訪問(wèn)列表過(guò)濾壹

14、些垃圾和惡意路由信息 ,控制網(wǎng)絡(luò)的垃圾信息流。!禁止路由器接收更新 網(wǎng)絡(luò)的路由信息 Router(Config)#routerospf100Router(Config-router)#distribute-list10in ！禁止路由器轉(zhuǎn)發(fā)傳播 網(wǎng)絡(luò)的路由信息 Router(Config)#routerospf100Router(Config-router)#distribute-list10out6, 建議啟用 IPUnicastReverse-PathVerification 。它能夠檢查源 IP 地址的準(zhǔn)確 性，從而能夠防止壹定的 IPSpooling 。可是它只能在啟用 CEF(Cis

15、coExpressForwarding) 的路由器上使用。Router#configt !啟用 CEFRouter(Config)#ipcef！啟用 UnicastReverse-PathVerificationRouter(Config)#interfaceeth0/1Router(Config)#ipverifyunicastreverse-path 四,路由器審核安全配置,路由器其他安全配置1, 及時(shí)的升級(jí) IOS 軟件，且且要迅速的為 IOS 安裝補(bǔ)丁。2, 要嚴(yán)格認(rèn)真的為 IOS 作安全備份。3, 要為路由器的配置文件作安全備份。4, 購(gòu)買 UPS 設(shè)備，或者至少要有冗余電源。5,

16、要有完備的路由器的安全訪問(wèn)和維護(hù)記錄日志。6, 要嚴(yán)格設(shè)置登錄 Banner 。必須包含非授權(quán)用戶禁止登錄的字樣。7,IP 欺騙得簡(jiǎn)單防護(hù)。 如過(guò)濾非公有地址訪問(wèn)內(nèi)部網(wǎng)絡(luò)。 過(guò)濾自己內(nèi)部網(wǎng)絡(luò)地址； 回環(huán)地址 ；RFC1918 私有地址； DHCP 自定義地址 ；科學(xué)文檔作者測(cè)試用地址 ；不用的組播地址 ；SUNX 公司的古老的測(cè)試地址 ； 全網(wǎng)絡(luò)地址 。8,建議采用訪問(wèn)列表控制流出內(nèi)部網(wǎng)絡(luò)的地址必須是屬于內(nèi)部網(wǎng)絡(luò)的。如：Router(Config)#noaccess-list101Router(Config)#access-list101denyipanyanylogRouter(Config

17、)#interfaceeth0/1Router(Config- if)#description “ internetEthernet ”Router(Config-if)#ipaccess-group101in9,TCPSYN 的防范。如：A:通過(guò)訪問(wèn)列表防范。Router(Config)#noaccess-list106edRouter(Config)#interfaceeth0/2Router(Config- if)#description “ externalEthernet ”Router(Config-if)#ipaccess-group106inB：通過(guò) TCP截獲防范。 (這會(huì)給

18、路由器產(chǎn)生壹定負(fù)載 )Router(Config)#iptcpinterceptlist107Router(Config)#access-list107denyipanyanylogRouter(Config)#interfaceeth0Router(Config)#ipaccess-group107in10,LAND.C 進(jìn)攻的防范。Router(Config)#access-listpermitipanyanyRouter(Config)#interfaceeth0/2Router(Config-if)#ipaccess-group107in11,Smurf 進(jìn)攻的防范。12,ICMP 協(xié)

19、議的安全配置。對(duì)于進(jìn)入 ICMP 流，我們要禁止 ICMP 協(xié)議的 ECHO 、Redirect 、Maskrequest 。也需要禁止 TraceRoute 命令的探測(cè)。對(duì)于流出的 ICMP流，我們能夠允許 ECHO 、ParameterProblem 、Packettoobig 。仍有 TraceRoute 命令的使用。!outboundICMPControl Router(Config)#access-list110denyicmpanyanyecholog Router(Config)#access-list110denyicmpanyanyredirectlog Router(Con

20、fig)#access-list110denyicmpanyanymask-requestlog Router(Config)#access-list110permiticmpanyany!InboundICMPControl Router(Config)#access-list111permiticmpanyanyechoRouter(Config)#access-list111permiticmpanyanyParameter-problem Router(Config)#access-list111permiticmpanyanypacket-too-bigRouter(Config)#

21、access-list111permiticmpanyanysource-quench Router(Config)#access-list111denyicmpanyanylog !OutboundTraceRouteControlRouter(Config)#access-list112denyudpanyanyrange3340034400 !InboundTraceRouteControlRouter(Config)#access-list112permitudpanyanyrange3340034400 13,DDoS(DistributedDenialofService) 的防范。

22、!TheTRINOODDoSsystem Router(Config)#access-list113denytcpanyanyeq27665log Router(Config)#access-list113denyudpanyanyeq31335log!TheStacheldtrahtDDoSsystemRouter(Config)#access-list113denytcpanyanyeq16660logRouter(Config)#access-list113denytcpanyanyeq65000log!TheTrinityV3SystemRouter(Config)#access-list113denytcpanyanyeq33270logRouter(Config)#access-list113denytcpanyanyeq39168log !TheSubSevenDDoSsystemandsomeVariantsRouter(Config)#access-list113denytcpanyanyrange67116712log Router(Config)#access-list113denytcpanyanyeq6776logRouter(Config)#access-list113denytcpan