培養(yǎng)目標通過本章的學習，希望您能夠：熟悉終端訪問安全配置掌握路由器網(wǎng)絡服務原理及配置方法掌握路由器路由協(xié)議安全配置方法掌握路由器使用網(wǎng)絡加密安全配置方法8.1終端訪問安全配置Cisco路由器和交換機都是采用相同的IOS，而終端訪問安全配置功能是由IOS提供的，所以管理員也可以將這些安全防御措施應用于路由器配置中。配置控制臺訪問口令：Switch(config)##linecon0Switch(config-line)#passwordcisco配置虛擬終端訪問口令登陸密碼設置配置和管理SSH終端訪問限制配置特權(quán)等級8.1終端訪問安全配置Cisco路由器和交換機都是采用相同的IOS，而終端訪問安全配置功能是由IOS提供的，所以管理員也可以將這些安全防御措施應用于路由器配置中。配置控制臺訪問口令：配置虛擬終端訪問口令Switch(config)#linevty04Switch(config-line)#passwordciscoSwitch(config-line)#login登陸密碼設置配置和管理SSH終端訪問限制配置特權(quán)等級8.1終端訪問安全配置Cisco路由器和交換機都是采用相同的IOS，而終端訪問安全配置功能是由IOS提供的，所以管理員也可以將這些安全防御措施應用于路由器配置中。配置控制臺訪問口令：配置虛擬終端訪問口令登陸密碼設置Switch(config)#enablepasswordpassword配置和管理SSH終端訪問限制配置特權(quán)等級8.1終端訪問安全配置Cisco路由器和交換機都是采用相同的IOS，而終端訪問安全配置功能是由IOS提供的，所以管理員也可以將這些安全防御措施應用于路由器配置中。配置控制臺訪問口令：配置虛擬終端訪問口令登陸密碼設置Switch(config)#enablepasswordpassword配置和管理SSH終端訪問限制配置特權(quán)等級8.1終端訪問安全配置Cisco路由器和交換機都是采用相同的IOS，而終端訪問安全配置功能是由IOS提供的，所以管理員也可以將這些安全防御措施應用于路由器配置中。配置控制臺訪問口令：配置虛擬終端訪問口令登陸密碼設置配置和管理SSH終端訪問限制#linevty04exec-timeoutsecondsloginlocal配置特權(quán)等級8.1終端訪問安全配置Cisco路由器和交換機都是采用相同的IOS，而終端訪問安全配置功能是由IOS提供的，所以管理員也可以將這些安全防御措施應用于路由器配置中。配置控制臺訪問口令：配置虛擬終端訪問口令登陸密碼設置配置和管理SSH終端訪問限制配置特權(quán)等級Switch(config)#enablesecret[levellevel]{password}usernameusernameprivilegelevelpasswordpasswordprivilegemodelevellevelcommand8.2網(wǎng)絡服務管理Cisco路由器支持第2、3、4和7層上的大量網(wǎng)絡服。其中部分服務屬于應用層協(xié)議，用于允許用戶和主機進程連接到路由器。其它服務則是用于支持傳統(tǒng)或特定配置的自動進程和設置，這些服務具有潛在的安全風險。8.2網(wǎng)絡服務管理功能描述默認狀態(tài)備注Cisco發(fā)現(xiàn)協(xié)議

(CDP)運行在

Cisco設備之間的第

2層專有協(xié)議。啟用CDP很少用到；將其禁用。TCP小型服務器標準

TCP網(wǎng)絡服務：echo、chargen等等。>=11.3：禁用11.2：啟用這是一項較舊的功能；將其明確禁用。UDP小型服務器標準

UDP網(wǎng)絡服務：echo、discard等等。>=11.3：禁用11.2：啟用這是一項較舊的功能；將其明確禁用。FingerUNIX用戶查找服務，允許遠程列出用戶列表。啟用未授權(quán)用戶不需要知道此信息；將其禁用。HTTP服務器某些

CiscoIOS設備允許通過

Web進行配置。依設備而定若未使用，則明確禁用此功能；否則需限制訪問權(quán)。BOOTP服務器允許其它路由器從此設備啟動的一項服務。啟用此功能很少用，而且可能帶來安全隱患；將其禁用。IP源路由一項

IP功能，允許數(shù)據(jù)包指明自己的路由。啟用此功能很少用，而且容易被攻擊者利用；將其禁用。代理

ARP路由器會作為第

2層地址解析的代理。啟用除非路由器用作

LAN網(wǎng)橋，否則禁用此服務。IP定向廣播數(shù)據(jù)包可以識別廣播的目標

LAN。>=11.3：啟用定向廣播可能被用于攻擊；將其禁用。簡單網(wǎng)絡管理協(xié)議路由器支持

SNMP遠程查詢和配置。啟用若未使用，則明確禁用此功能；否則需限制訪問權(quán)。域名服務路由器可以執(zhí)行

DNS域名解析。啟用（廣播）明確設置

DNS服務器地址，或者禁用

DNS。8.2網(wǎng)絡服務管理CDP(CiscoDiscoveryProtocol}Cisco查找協(xié)議)協(xié)議存在于CiscoIOS11.0以后的版本中，而且都是默認啟動的。在OSIJ層(鏈路層)協(xié)議的基礎上可發(fā)現(xiàn)對端路由器的設備平臺、操作系統(tǒng)版本、端口、IP地址等重要信息Router(Config)#nocdprunRouter(Config-if)#nocdpenablePART/01禁用CDP服務8.2網(wǎng)絡服務管理Cisco路由器提供一些基于TCP和UDP協(xié)議的小服務如：echo、chargen和discard。這些小服務很少被使用，而且容易被攻擊者利用來越過包過濾機制。Router(Config)#noservicetcp-small-serversRouter(Config)#noserviceudp-samll-serversPART/02禁用TCP、UDPSmall服務8.2網(wǎng)絡服務管理Finger服務可能被攻擊者利用查找用戶和口令攻擊。NTP不是十分危險的，但是如果沒有一個很好的認證，則會影響路由器正確時間，導致日志和其他任務出錯。Router(Config)#noipfingerRouter(Config)#noservicefingerRouter(Config)#nontpPART/03禁用Finger、NTP服務8.2網(wǎng)絡服務管理IP協(xié)議允許一臺主機指定數(shù)據(jù)包通過你的網(wǎng)絡的路由，而不是允許網(wǎng)絡組件確定最佳的路徑。這個功能的合法的應用是用于診斷連接故障。但是，這種用途很少應用。這項功能最常用的用途是為了偵察目的對你的網(wǎng)絡進行鏡像，或者用于攻擊者在你的專用網(wǎng)絡中尋找一個后門。Router(Config)#noipsource-routePART/04禁用IP路由8.2網(wǎng)絡服務管理拒絕服務攻擊使用假冒的源地址向你的網(wǎng)絡廣播地址發(fā)送一個“ICMPecho”請求。這要求所有的主機對這個廣播請求做出回應，這種情況會降低網(wǎng)絡性能。Router(Config)#noipdirected-broadcastPART/05禁用IP直接廣播8.2網(wǎng)絡服務管理BootP是一個UDP服務，可以用來給一臺無盤工作站指定地址信息，目前BootP在網(wǎng)絡環(huán)境中使用得很少，由于沒有認證機制，任何人都能對BootP服務的路由器提出請求，容易遭遇DoS攻擊。還會被黑客利用分配的一個IP地址作為局部路由器通過“中間人”（man-in-middle）方式進行攻擊。Router(Config)#noipbootpserverPART/06禁用BOOTP路由8.2網(wǎng)絡服務管理通過源路由，攻擊者能夠在IP包頭中指定數(shù)據(jù)包實際要經(jīng)過的路徑。禁用源路由，防止路由信息泄露。Router(Config)#noipsource-routePART/07禁用IPSourceRouting不同于本地廣播，直連廣播是能夠被路由的，某些DoS攻擊通過在網(wǎng)絡中泛洪直連廣播來攻擊網(wǎng)絡。Router(Config)#noipdirected-broadcastPART/08禁用IPDirectedBroadcast8.2網(wǎng)絡服務管理禁止默認啟用的ARP-Proxy，它容易引起路由表的混亂。Router(Config)#noipproxy-arpPART/09禁用ARP-ProxySNMP可以用來遠程監(jiān)控和管理Cisco設備。然而，SNMP存在很多安全問題，特別是SNMPv1和v2中，如果必須使用，應該使用SNMP第3版。要關閉SNMP服務可以使用如下命令。Router(Config)#nosnmp-serverPART/10禁用SNMP協(xié)議8.2網(wǎng)絡服務管理較新的ciscoIOS版本支持使用HTTP協(xié)議的基于web遠程管理功能。因為在大多數(shù)cisco路由器的IOS版本中，web訪問功能還沒有完善，它們可以被利用來監(jiān)控、配置和攻擊一個路由器。Router(Config)#no

ip

http

serverPART/11禁用HTTP缺省情況下，Cisco路由器DNS服務會向55廣播地址發(fā)送名字查詢。應該避免使用這個廣播地址，因為攻擊者可能會借機偽裝成一個DNS服務器。Router(Config)#noipdomain-lookuPART/12禁用域名服務8.3路由協(xié)議安全RIP沒有鄰居的概念，所以自己并不知道發(fā)出去的路由更新是不是有路由器收到，同樣也不知道會被什么樣的路由器收到，因為RIP的路由更新是明文的，網(wǎng)絡中無論誰收到，都可以讀取里面的信息，這就難免會有不懷好意者竊聽RIP的路由信息。為了防止路由信息被非法竊取，RIPver2可以相互認證，只有能夠通過認證的路由器，才能夠獲得路由更新。RIPver2可以支持明文與MD5認證。純文本身份驗證傳送的身份驗證口令為純文本，它會被網(wǎng)絡探測器確定，所以不安全，不建議使用。而RIPver1是不支持認證的。PART/01啟用RIPv2身份驗證8.3路由協(xié)議安全路由器之間，當一方開啟認證之后，另一方也同樣需要開啟認證，并且密碼一致，才能讀取路由信息。認證是基于接口配置的，密碼使用keychain來定義，keychain中可以定義多個密碼，每個密碼都有一個序號，RIPver2在認證時，只要雙方最前面的一組密碼相同，認證即可通過，雙方密碼序號不一定需要相同，keychain名字也不需要相同，在某些低版本IOS中，會要求雙方的密碼序號必須相同，才能認證成功，所以建議大家配置認證時，雙方都配置相同的序號和密碼。PART/01啟用RIPv2身份驗證8.3路由協(xié)議安全步驟1：在路由器模式下配置一個密鑰鏈（key-chain），一個密鑰鏈可以包含多個密鑰。

router(config)#keychainkey-chain-name：密鑰鏈名稱。步驟2：定義密鑰編號。

router(config-keychain)#keykey-number：密鑰編號。步驟3：定義密鑰。

Router(config-keychain-key)#key-stringstringstring：密鑰字符串。執(zhí)行驗證的雙方密鑰字符串必須一致。PART/01啟用RIPv2身份驗證8.3路由協(xié)議安全步驟4：在需要執(zhí)行路由信息驗證更新的接口上應用密鑰鏈。

router(config-if)#ipripauthenticationkey-chainkey-chain-namekey-chain-name：使用的密鑰鏈名稱。

以上配置是明文驗證需要配置的內(nèi)容，即默認驗證方法。如果需要密文驗證，則要附加下面的命令：步驟5：聲明驗證模式。router(config-if)#ip

rip

authentication

mode

md5

驗證MD5身份驗證：使用debugiprip命令可以觀察驗證是否成功的信息。PART/01啟用RIPv2身份驗證8.3路由協(xié)議安全PART/01啟用RIPv2身份驗證8.3路由協(xié)議安全我們可以在相同OSPF區(qū)域的路由器上啟用身份驗證功能。只有經(jīng)過身份驗證的同一區(qū)域的路由器才能互相通告路由信息。在默認情況下，OSPF不使用區(qū)域驗證。通過兩種方法可啟用身份驗證功能：純文本身份驗證和消息摘要（md5）身份驗證。純文本身份驗證傳送的身份驗證口令為純文本，它會被網(wǎng)絡探測器確定，所以不安全，不建議使用。消息摘要身份驗證在傳輸身份驗證口令前要對口令進行加密，所以一般建議使用此種方法進行身份驗證。使用身份驗證時，區(qū)域內(nèi)所有的路由器接口必須使用相同的身份驗證方法。起用身份驗證必須在路由器接口配置模式下，為區(qū)域的每個路由器接口配置口令PART/02啟用OSPF身份驗證8.3路由協(xié)議安全我們可以在相同OSPF區(qū)域的路由器上啟用身份驗證功能。只有經(jīng)過身份驗證的同一區(qū)域的路由器才能互相通告路由信息。在默認情況下，OSPF不使用區(qū)域驗證。通過兩種方法可啟用身份驗證功能：純文本身份驗證和消息摘要（md5）身份驗證。純文本身份驗證傳送的身份驗證口令為純文本，它會被網(wǎng)絡探測器確定，所以不安全，不建議使用。消息摘要身份驗證在傳輸身份驗證口令前要對口令進行加密，所以一般建議使用此種方法進行身份驗證。使用身份驗證時，區(qū)域內(nèi)所有的路由器接口必須使用相同的身份驗證方法。起用身份驗證必須在路由器接口配置模式下，為區(qū)域的每個路由器接口配置口令PART/02啟用OSPF身份驗證8.3路由協(xié)議安全PART/02啟用OSPF身份驗證驗證MD5身份驗證：使用showipospfinterface命令可以查看為接口配置的身份驗證類型，如此輸出所示。這里，已配置了Serial0接口以使用密鑰ID“1”進行MD5身份驗證。

8.4使用網(wǎng)絡加密IPsec協(xié)議不是一個單獨的協(xié)議，它給出了應用于IP層上網(wǎng)絡數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括網(wǎng)絡認證協(xié)議AH（AuthenticationHeader，認證頭）、ESP（EncapsulatingSecurityPayload，封裝安全載荷）、IKE（InternetKeyExchange，因特網(wǎng)密鑰交換）和用于網(wǎng)絡認證及加密的一些算法等。其中，AH協(xié)議和ESP協(xié)議用于提供安全服務，IKE協(xié)議用于密鑰交換。PART/01Ipsec協(xié)議簡介8.4使用網(wǎng)絡加密IPsec提供了兩種安全機制：認證和加密。認證機制使IP通信的數(shù)據(jù)接收方能夠確認數(shù)據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在