Cisco路由器的安全配置简易方案2

五,路由器其他安全配置

[/b]1,及时的升级IOS软件，并且要迅速的为IOS安装补丁。
2,要严格认真的为IOS作安全备份。
3,要为路由器的配置文件作安全备份。
4,购买UPS设备，或者至少要有冗余电源。
5,要有完备的路由器的安全访问和维护记录日志。
6,要严格设置登录Banner。必须包含非授权用户禁止登录的字样。
7,IP欺骗得简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址；回环地址(127.0.0.0/8)；RFC1918私有地 址；DHCP自定义地址(169.254.0.0/16)；科学文档作者测试用地址(192.0.2.0/24)；不用的组播地址(224.0.0.0 /4)；SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23)；全网络地址(0.0.0.0/8)。

Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 any log Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any log Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any log Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any log Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any log Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any log Router(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any log Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any log Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any log Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any log[/i][/b]

8,建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。如：

Router(Config)# no access-list 101 Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.0.255 any Router(Config)# access-list 101 deny ip any any log Router(Config)# interface eth 0/1 Router(Config-if)# description “internet Ethernet” Router(Config-if)# ip address 192.168.0.254 255.255.255.0 Router(Config-if)# ip access-group 101 in [/i][/b]

9,TCP SYN的防范。如：

A: 通过访问列表防范。 Router(Config)# no access-list 106 Router(Config)# access-list 106 permit tcp any 192.168.0.0 0.0.0.255 established Router(Config)# access-list 106 deny ip any any log Router(Config)# interface eth 0/2 Router(Config-if)# description “external Ethernet” Router(Config-if)# ip address 192.168.1.254 255.255.255.0 Router(Config-if)# ip access-group 106 in [/i][/b]B：通过TCP截获防范。(这会给路由器产生一定负载[/b]) Router(Config)# ip tcp intercept list 107 Router(Config)# access-list 107 permit tcp any 192.168.0.0 0.0.0.255 Router(Config)# access-list 107 deny ip any any log Router(Config)# interface eth0 Router(Config)# ip access-group 107 in [/i][/b]

10,LAND.C 进攻的防范。

Router(Config)# access-list 107 deny ip host 192.168.1.254 host 192.168.1.254 log Router(Config)# access-list permit ip any any Router(Config)# interface eth 0/2 Router(Config-if)# ip address 192.168.1.254 255.255.255.0 Router(Config-if)# ip access-group 107 in[/i][/b]

11,Smurf进攻的防范。

Router(Config)# access-list 108 deny ip any host 192.168.1.255 log Router(Config)# access-list 108 deny ip any host 192.168.1.0 log [/i][/b]

12,ICMP协议的安全配置。对于进入ICMP流，我们要禁止ICMP协议的ECHO、Redirect、Mask request。也需要禁 止TraceRoute命令的探测。对于流出的ICMP流，我们可以允许ECHO、Parameter Problem、Packet too big。 还有TraceRoute命令的使用。

! outbound ICMP Control Router(Config)# access-list 110 deny icmp any any echo log Router(Config)# access-list 110 deny icmp any any redirect log Router(Config)# access-list 110 deny icmp any any mask-request log Router(Config)# access-list 110 permit icmp any any ! Inbound ICMP Control Router(Config)# access-list 111 permit icmp any any echo Router(Config)# access-list 111 permit icmp any any Parameter-problem Router(Config)# access-list 111 permit icmp any any packet-too-big Router(Config)# access-list 111 permit icmp any any source-quench Router(Config)# access-list 111 deny icmp any any log ! Outbound TraceRoute Control Router(Config)# access-list 112 deny udp any any range 33400 34400 ! Inbound TraceRoute Control Router(Config)# access-list 112 permit udp any any range 33400 34400 [/i][/b]

13,DDoS(Distributed Denial of Service)的防范。

! The TRINOO DDoS system Router(Config)# access-list 113 deny tcp any any eq 27665 log Router(Config)# access-list 113 deny udp any any eq 31335 log Router(Config)# access-list 113 deny udp any any eq 27444 log ! The Stacheldtraht DDoS system Router(Config)# access-list 113 deny tcp any any eq 16660 log Router(Config)# access-list 113 deny tcp any any eq 65000 log ! The TrinityV3 System Router(Config)# access-list 113 deny tcp any any eq 33270 log Router(Config)# access-list 113 deny tcp any any eq 39168 log ! The SubSeven DDoS system and some Variants Router(Config)# access-list 113 deny tcp any any range 6711 6712 log Router(Config)# access-list 113 deny tcp any any eq 6776 log Router(Config)# access-list 113 deny tcp any any eq 6669 log Router(Config)# access-list 113 deny tcp any any eq 2222 log Router(Config)# access-list 113 deny tcp any any eq 7000 log[/i][/b]

14,建议启用SSH，废弃掉Telnet。但只有支持并带有IPSec特征集的IOS才支持SSH。并且IOS12.0-IOS12.2仅支持SSH-V1。如下配置SSH服务的例子：

Router(Config)# config t Router(Config)# no access-list 22 Router(Config)# access-list 22 permit 192.168.0.22 Router(Config)# access-list deny any Router(Config)# username BluShin privilege 10 G00dPa55w0rd [/i][/b]! [/b]设置[/b]SSH[/b]的超时间隔和尝试登录次数[/b] [/b] Router(Config)# ip ssh timeout 90 Router(Config)# ip ssh anthentication-retries 2 Router(Config)# line vty 0 4 Router(Config-line)# access-class 22 in Router(Config-line)# transport input ssh Router(Config-line)# login local Router(Config-line)# exit [/i][/b]！启用[/b]SSH[/b]服务，生成[/b]RSA[/b]密钥对。[/b] Router(Config)# crypto key generate rsa The name for the keys will be: router.blushin.org Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys .Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus[512]: 2048 Generating RSA Keys... [OK] Router(Config)# [/i][/b]

15,.配置访问控制列表:
　使用访问控制列表的目的就是为了保护路由器的安全和优化网络的流量.访问列表的作用就是在数据包经过路由器某一个端口时,该数据包是否允许转发通过,必须先在访问控制列表里边查找,如果允许,则通过.所以,保护路由器的前提,还是先考虑配置访问控制列表吧.
访问列表有多种形式,最常用的有标准访问列表和扩展访问列表[/b].
1）创建一个标准访问控制列表的基本配置语法:

(config)#access-list access-list-number[/i][/b]{deny|permit} source[/i][/b] [source-wildcard] 　　 参数注释: access-list-number[/b]是定义访问列表编号的一个值,范围从1--99.参数 deny[/b]或[/b]permit[/b]指定了允许还是拒绝数据包. source[/b]是发送数据包的主机地址. source-wildcard[/b]则是发送数据包的主机的通配符.在实际应用中,如果数据包的源地址在访问列表中未能找到,或者是找到了未被允许转发,则该包将会被拒绝. 简单访问列表示例: 　　access-list 3 permit 172.30.1.0 0.0.0.255 [/b]*/指明一个列表号为3的访问控制列表,并允许172.30.1.0这个网段的数据通过.0.0.0.255是通配符. 　　access-list 3 permit 10.1.1.0 0.0.15.255[/b] */允许所有源地址为从10.1.0.0到10.1.15.255的数据包通过应用了该访问列表的路由器接口. access-list 3 deny 172.31.1.0 0.0.0.255 [/b]*/拒绝源IP地址为172.31.1.0到172.31.1.255的数据包通过该访问列表. 　　配置了访问列表后,就要启用访问控制列表,我们可以在接口配置模式下使用access-group[/b]或ip access-class[/b]命令来指定访问列表应用于某个接口.使用关键字in(out)[/b]来定义该接口是出站数据包还是入站数据包. 示例: ip access-group 3 in *[/b]/定义该端口入站数据包必须按照访问列表3上的原则.

　　
2）扩展访问控制列表

由于标准访问控制列表对使用的端口不进行区别,所以,引入了扩展访问控制列表([/b]列表号从[/b]100--199)[/b].扩展访问列表能够对数据包的源地址,目的地址和端口等项目进行检查,这其中,任何一个项目都可以导致某个数据包不被允许经过路由器接口. 　　简单的配置示例: 　　[/i][/b](config)#ip access-list 101 permit tcp any host 10.1.1.2 established log[/b] 　　[/b](config)#ip access-list 101 permit tcp any host 172.30.1.3 eq www log[/b] 　　[/b](config)#ip access-list 101 permit tcp any host 172.30.1.4 eq ftp log[/b] (config)# ip access-list 101 permit tcp any host 172.30.1.4 log[/b] 　　 　　注释[/b]:[/b] 　　第一行允许通过TCP协议访问主机10.1.1.2,如果没个连接已经在主机10.1.1.2和某个要访问的远程主机之间建立,则该行不会允许任何数据包通过路由器接口,除非回话是从内部企业网内部发起的.第二行允许任何连接到主机172.30.1.3来请求www服务,而所有其他类型的连接将被拒绝, 这是因为在访问列表自动默认的在列表尾部,有一个deny any any语句来限制其他类型连接.第三行是拒绝任何FTP连接来访问172.30.1.4主机.第四行是允许所有类型的访问连接到172.30.1.4主机.

[/b]
16,控制telnet访问控制
　　
为了保护路由器访问控制权限,必须限制登陆访问路由器的主机,针对VTY(telnet)端口访问控制的方法,具体配置要先建立一个访问控制列表,如下示例

建立一个标准的访问控制列表([/b]编号从1--99[/b]任意选择)[/b]: 　　(config)#access-list 90 permit 172.30.1.45[/b] 　　(config)#access-list 90 permit 10.1.1.53[/b] 该访问列表仅允许以上两个IP地址之一的主机对路由器进行telnet访问, 注意:创建该列表后必须指定到路由器端口某个端口上,具体指定方法如下: 　　(config)#line vty E0 4[/b] 　　(config-line)#access-class 90 in[/b] 　　以上配置是入站到E0端口的telnet示例,出站配置采用out.[/b] 为了保护路由器的安全设置,也可以限制其telnet访问的权限 通过分配管理密码来限制一个管理员只能有使用show命令的配置如下: 　　enable secret level 6 123456[/b] 　　privilege exec 6 show[/b] 　　 　　给其分配密码为123456,telnet进入路由器后,只能用show命令,其他任何设置权限全部被限制.另外,也可以通过访问时间来限制所有端口的登陆访问情况,在超时的情况下,将自动断开,下面是一个配置所有端口访问活动3分30秒的设置示例: 　　exec-timeout 3 30[/b]