1、LOGO路由器的安全配置中国科技网工作交流会2010年 4月 16日何群辉概述v路由器的安全目标v路由器安全策略的基础v可实施的路由器安全配置路由器的安全目标v防止对路由器的未经授权的访问v防止对网络的未经授权的访问v防止网络数据窃听v防止欺骗性路由更新路由器安全策略的基础v找出需要保护的网络资源v确定危险之处v限制访问范围v确定安全措施的代价v物理安全可实施的路由器安全配置v路由器访问安全v路由器网络服务安全配置v访问控制列表和过滤v路由的安全配置v日志和管理路由器访问安全 物理运行环境的安全性v合适的温度和湿度v不受电磁干扰v使用 UPS电源供电等路由器访问安全v交互式访问控制风险描述 被
2、攻击者利用进行 Dos,消耗掉所有的 VTYs风险等级 高安全措施 仅允许的 ip地址范围可以利用 ip access-class限制访问VTY利用 exec-timeout命令,配置 VTY的超时安全措施存在的风险网管员登录路由器不够灵活使用命令集 ip access-list standard 1-99(标准列表 )line vty 0 4 access-class 标准列表号 in line vty 0 4 exec-timeout 时间值路由器访问安全 交互式访问控制使用实例:#仅允许 159.226.58.0这一个 C的地址、 159.226.1.0 32个地址通过 vty登录路由器
3、ciscoenablepassword:输入 enable口令cisco#config tcisco( config) #ip access-list standard 99 #先一个标准控制列表 #cisco( config-std-nacl) #permit 159.226.58.0 0.0.0.255cisco( config-std-nacl) #permit 159.226.1.0 0.0.0.31cisco( config-std-nacl) #deny anycisco( config-std-nacl) #exitcisco( config) #line vty 0 4 #在虚
4、拟终端应用控制列表 #cisco(config-line)#access-class 99 incisco(config-line)#exec-timeout 5 #超过 5分钟后,无任何操作,就取消该连接会话cisco(config-line)#exitcisco#write #保存配置路由器访问安全v 本地口令安全配置风险描述 加密算法弱的话,口令容易被破解风险等级 高安全措施 设定一个长口令使用 enable secret 命令使用 service password-encryption(密码加密服务)安全措施存在的风险使用命令集 全局配置enable secretservice password-enacryption路由器访问安全 本地口令安全配置使用实例:#设置一个 enable口令,同时启用密码加密服务ciscoenable #没配置特权密码时,输入enable,直接进入特权配置模式 #cisco#config t cisco( config) # enable secret 密码cisco( config) # service password-enacryption
