许多网络管理员在首次使用Cisco路由器时会忽略安全设置。本文介绍的内容非常适合此类应用在使用Cisco路由器时配置网络安全。
一、路由器访问控制的安全配置
1.严格控制可以访问路由器的管理员。任何维护都需要记录和存档。
2.建议不要远程访问路由器。即使需要远程访问路由器,也建议使用访问控制列表和强密码控制。
3.严格控制端口的访问。具体措施是:
A.如果机箱可以打开,就可以切断连接到con端口的物理线路。
B.您可以更改默认的连接属性,例如波特率(默认值为96000,可以更改为其他值)。
C.使用访问控制列表来控制对端口的访问。
例如路由器(配置)# access-list1permit 192.168.0。
路由器(配置)#线路配置0
路由器(配置行)#传输输入无
路由器(配置行)#登录本地
路由器(配置线路)#执行超时5 0
路由器(配置线)#接入-1类
路由器(配置行)#end
D.为CON端口设置一个强密码。
4.如果不使用AUX端口,则禁止使用该端口。默认情况下不启用。如禁止:
路由器(配置)#线路辅助0
路由器(配置行)#传输输入无
路由器(配置行)#无执行
5.建议采用权限分级策略。比如:
路由器(配置)#用户名BluShin特权10 G00dPa55w0rd
路由器(配置)#特权执行10级远程登录
路由器(配置)#特权执行级别10显示ip访问列表
6.为特权模式设置一个强密码。不要使用启用密码来设置密码。而是使用enable secret命令来设置。并启用服务密码加密。
7.控制对VTY的访问。如果不需要,禁用远程访问。如有必要,请务必设置强密码。因为VTY在网络传输过程中是加密的,所以需要严格控制。比如设置强密码;控制连接的并发数量;使用访问列表严格控制访问地址;AAA可以用来设置用户的访问控制等。
8.对于8,建议使用FTP而不是TFTP。IOS升级和备份,以及配置文件的备份。比如:
路由器(配置)#ip ftp用户名BluShin
路由器(配置)#ip ftp密码4tppa55w0rd
路由器#复制启动配置ftp:
9.及时升级和修补IOS软件。
二。路由器“网络服务”的安全配置
1.禁止CDP(思科发现协议)。比如:
路由器(配置)#无cdp运行
路由器(配置-if)#无cdp启用
2.禁止其他TCP和UDP小服务。
路由器(配置)#无服务TCP-小型服务器
路由器(配置)#无服务UDP-samll-服务器
3.手指服务是禁止的。
路由器(配置)#无ip指针
路由器(配置)#无服务指针
4.建议禁用HTTP服务。
路由器(配置)#无ip http服务器
如果启用了HTTP服务,需要进行安全配置:设置用户名和密码;使用访问列表进行控制。比如:
路由器(配置)#用户名BluShin特权10 G00dPa55w0rd
路由器(配置)# ip http认证本地
路由器(配置)#无访问列表10
路由器(配置)#访问列表10允许192.168.0.1
路由器(配置)#访问列表10拒绝任何
路由器(配置)# ip http访问-10类
路由器(配置)# ip http服务器
路由器(配置)#退出
5.禁止BOOTp服务。
路由器(配置)#无ip bootp服务器
禁止从网络启动,自动从网络下载初始配置文件。
路由器(配置)#无引导网络
路由器(配置)#无服务配置
6.禁止IP源路由。
路由器(配置)#无ip源路由
7.建议如果不需要ARP-Proxy服务,应该禁止,路由器知道默认开启。
路由器(配置)#无ip代理-arp
路由器(配置-if)#无ip代理-arp
8.明确禁止IP定向广播。
路由器(配置)#无ip定向广播
9.禁止IP无类。
路由器(配置)#无ip无类
10.禁止IP不可达、重定向和屏蔽ICMP协议副本。
路由器(配置-if)#无ip不可达
路由器(配置-if)#无ip重定向
路由器(配置-if)#无ip掩码-回复
11.建议禁止SNMP协议服务。某些SNMP服务的默认配置在被禁止时必须被删除。或者您需要访问列表来过滤。比如:
路由器(配置)#无SNMP-服务器社区公共Romania罗马尼亚
路由器(配置)#没有SNMP-服务器社区管理员辐射武器(radiation weapon的缩写)
路由器(配置)#无访问列表70
路由器(配置)#访问列表70拒绝任何
路由器(配置)# SNMP-服务器社区更硬公共Ro 70
路由器(配置)#无simple network management protocol 简单网络管理协议服务器启用陷阱
路由器(配置)#没有SNMP-服务器系统-关闭
路由器(配置)#没有SNMP-服务器陷阱-安东尼
路由器(配置)#无simple network management protocol 简单网络管理协议服务器
路由器(配置)#结束
12.如果没必要则禁止视窗网际网路名称服务和域名服务器(域名服务器)服务。
路由器(配置)#无互联网协议(Internet Protocol的缩写)域-查找
如果需要则需要配置:
路由器(配置)#主机名路由器
路由器(配置)# ip名称-服务器202.102.134.96
13.明确禁止不使用的端口。
路由器(配置)#接口eth0/3
路由器(配置)#关闭
三。路由器'路由协议'的安全配置
1.首先禁止默认启用的空袭预防措施代理,它容易引起路由表的混乱。
路由器(配置)#无互联网协议(Internet Protocol的缩写)代理-arp或者
路由器(配置-如果)#无互联网协议(Internet Protocol的缩写)代理-arp
2.启用开放式最短路径优先(开放式最短路径优先内部网关协议)路由协议的认证。默认的开放式最短路径优先(开放式最短路径优先内部网关协议)认证密码是明文传输的,建议启用讯息摘要5认证。
并设置一定强度密钥(关键,相对的路由器必须有相同的关键点).
路由器(配置)#路由器ospf 100
路由器(配置路由器)#网络192.168.100.0 0.0.0.255区域100
!启用讯息摘要5认证。
!区域区域身份认证启用认证,是明文密码认证。
!面积面积标识认证消息摘要
路由器(配置路由器)#区域100认证消息摘要
路由器(配置)#退出
路由器(配置)#接口eth0/1
!启用讯息摘要5密钥钥匙为routerospfkey。
!ip ospf验证密钥密钥启用认证密钥,但会是明文传输。
!ip ospf消息摘要密钥密钥id(1-255) md5密钥
路由器(配置-if)# ip ospf消息-摘要-密钥1 md5 routerospfkey
3.长裂口协议的认证。只有里普V2支持,RIP-1不支持。建议启用瑞普-V2。
并且采用讯息摘要5认证。普通认证同样是明文传输的。
路由器(配置)#配置终端
!启用设置密钥链
路由器(配置)#钥匙链我的钥匙串名称
路由器(配置-钥匙串)#键一
!设置密钥字串
路由器(配置密钥链)#密钥串MyFirstKeyString
路由器(配置密钥链)#密钥2
路由器(Config-keychain-key)# key-string我的第二个密钥字符串
!启用里普V2
路由器(配置)#路由器裂口
路由器(配置路由器)#版本2
路由器(配置路由器)#网络192.168.100.0
路由器(配置)#接口eth0/1
!采用讯息摘要5模式认证,并选择已配置的密钥链
路由器(配置-if)# ip rip身份验证模式讯息摘要5
路由器(配置-if)# ip rip认证密钥链我的钥匙串名称
4.启用无源接口命令可以禁用一些不需要接收和转发路由信息的端口。
建议对于不需要路由的端口,启用被动接口。
但是,在长裂口协议是只是禁止转发路由信息,并没有禁止接收。在开放式最短路径优先(开放式最短路径优先内部网关协议)协议中是禁止转发和接收路由信息。
!裂口中,禁止端口0/3转发路由信息
路由器(配置)#路由器裂口
路由器(配置路由器)#无源接口eth0/3
!开放式最短路径优先(开放式最短路径优先内部网关协议)中,禁止端口0/3接收和转发路由信息
路由器(配置)#路由器ospf 100
路由器(配置路由器)#被动接口
