路由器常规安全配置
本文將以Cisco2621路由器為例,詳細介紹將一臺路由器配置為堡壘路由器的實現(xiàn)方法,使之成為校園網(wǎng)抵御外部***的第一道安全屏障。 一、基于訪問表的安全防范策略 1. 防止外部IP地址欺騙 外部網(wǎng)絡的用戶可能會使用內(nèi)部網(wǎng)的合法IP地址或者回環(huán)地址作為源地址,從而實現(xiàn)非法訪問。針對此類問題可建立如下訪問列表:
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.0.255.255 any
阻止源地址為私有地址的所有通信流。
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
阻止源地址為回環(huán)地址的所有通信流。
access-list 101 deny ip 224.0.0.0 7.255.255.255 any
阻止源地址為多目的地址的所有通信流。
access-list 101 deny ip host 0.0.0.0 any
阻止沒有列出源地址的通信流。 注:可以在外部接口的向內(nèi)方向使用101過濾。 2. 防止外部的非法探測 非法訪問者對內(nèi)部網(wǎng)絡發(fā)起***前,往往會用ping或其他命令探測網(wǎng)絡,所以可以通過禁止從外部用ping、traceroute等探測網(wǎng)絡來進行防范。可建立如下訪問列表:
access-list 102 deny icmp any any echo
阻止用ping探測網(wǎng)絡。
access-list 102 deny icmp any any time-exceeded
阻止用traceroute探測網(wǎng)絡。 注:可在外部接口的向外方向使用102過濾。在這里主要是阻止答復輸出,不阻止探測進入。 3. 保護路由器不受*** 路由器一般可以通過telnet或SNMP訪問,應該確保Internet上沒有人能用這些協(xié)議***路由器。假定路由器外部接口serial0的IP為 200.200.200.1,內(nèi)部接口fastethernet0的IP為200.200.100.1。可以生成阻止telnet、SNMP服務的向內(nèi)過濾保護路由器。建立如下訪問列表:
access-list 101 deny tcp any 200.200.200.1 0.0.0.0 eq 23
access-list 101 deny tcp any 200.200.100.1 0.0.0.0 eq 23
access-list 101 deny udp any 200.200.200.1 0.0.0.0 eq 161
access-list 101 deny udp any 200.200.100.1 0.0.0.0 eq 161
注: 在外部接口的向內(nèi)方向使用101過濾。當然這會對管理員的使用造成一定的不便,這就需要在方便與安全之間做出選擇。 4. 阻止對關(guān)鍵端口的非法訪問 關(guān)鍵端口可能是內(nèi)部系統(tǒng)使用的端口或者是防火墻本身暴露的端口。對這些端口的訪問應該加以限制,否則這些設備就很容易受到***。建立如下訪問列表:
access-list 101 deny tcp any any eq 135
access-list 101 deny tcp any any eq 137
access-list 101 deny tcp any any eq 138
access-list 101 deny tcp any any eq 139
access-list 101 deny udp any any eq 135
access-list 101 deny udp any any eq 137
access-list 101 deny udp any any eq 138
access-list 101 deny udp any any eq 139
5. 對內(nèi)部網(wǎng)的重要服務器進行訪問限制 對于沒有配備專用防火墻的校園網(wǎng),采用動態(tài)分組過濾技術(shù)建立對重要服務器的訪問限制就顯得尤為重要。對于配備了專用防火墻的校園網(wǎng),此項任務可以在防火墻上完成,這樣可以減輕路由器的負擔。無論是基于路由器實現(xiàn),還是在防火墻上完成設置,首先都應該制定一套訪問規(guī)則。可以考慮建立如下的訪問規(guī)則: ● 允許外部用戶到Web服務器的向內(nèi)連接請求。 ● 允許Web服務器到外部用戶的向外答復。 ● 允許外部SMTP服務器向內(nèi)部郵件服務器的向內(nèi)連接請求。 ● 允許內(nèi)部郵件服務器向外部SMTP服務器的向外答復。 ● 允許內(nèi)部郵件服務器向外DNS查詢。 ● 允許到內(nèi)部郵件服務器的向內(nèi)的DNS答復。 ● 允許內(nèi)部主機的向外TCP連接。 ● 允許對請求主機的向內(nèi)TCP答復。 其他訪問規(guī)則可以根據(jù)各自的實際情況建立。列出允許的所有通信流后,設計訪問列表就變得簡單了。注意應將所有向內(nèi)對話應用于路由器外部接口的IN方向,所有向外對話應用于路由器外部接口的OUT方向。 二、常見***手段及其對策 1. 防止外部ICMP重定向欺騙 ***者有時會利用ICMP重定向來對路由器進行重定向,將本應送到正確目標的信息重定向到它們指定的設備,從而獲得有用信息。禁止外部用戶使用ICMP重定向的命令如下:
interface serial0 no ip redirects
2. 防止外部源路由欺騙 源路由選擇是指使用數(shù)據(jù)鏈路層信息來為數(shù)據(jù)報進行路由選擇。該技術(shù)跨越了網(wǎng)絡層的路由信息,使***者可以為內(nèi)部網(wǎng)的數(shù)據(jù)報指定一個非法的路由,這樣原本應該送到合法目的地的數(shù)據(jù)報就會被送到***者指定的地址。禁止使用源路由的命令如下:
no ip source-route
3. 防止盜用內(nèi)部IP地址 ***者可能會盜用內(nèi)部IP地址進行非法訪問。針對這一問題,可以利用Cisco路由器的ARP命令將固定IP地址綁定到某一MAC地址之上。具體命令如下:
arp 固定IP地址 MAC地址 arpa
4. 在源站點防止smurf 要在源站點防止smurf,關(guān)鍵是阻止所有的向內(nèi)回顯請求。這就要防止路由器將指向網(wǎng)絡廣播地址的通信映射到局域網(wǎng)廣播地址。可以在LAN接口方式中輸入如下命令:
no ip directed-broadcast
三、關(guān)閉路由器上不用的服務 路由器除了可以提供路徑選擇外,它還是一臺服務器,可以提供一些有用的服務。路由器運行的這些服務可能會成為敵人***的突破口,為了安全起見,最好關(guān)閉這些服務
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.0.255.255 any
阻止源地址為私有地址的所有通信流。
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
阻止源地址為回環(huán)地址的所有通信流。
access-list 101 deny ip 224.0.0.0 7.255.255.255 any
阻止源地址為多目的地址的所有通信流。
access-list 101 deny ip host 0.0.0.0 any
阻止沒有列出源地址的通信流。 注:可以在外部接口的向內(nèi)方向使用101過濾。 2. 防止外部的非法探測 非法訪問者對內(nèi)部網(wǎng)絡發(fā)起***前,往往會用ping或其他命令探測網(wǎng)絡,所以可以通過禁止從外部用ping、traceroute等探測網(wǎng)絡來進行防范。可建立如下訪問列表:
access-list 102 deny icmp any any echo
阻止用ping探測網(wǎng)絡。
access-list 102 deny icmp any any time-exceeded
阻止用traceroute探測網(wǎng)絡。 注:可在外部接口的向外方向使用102過濾。在這里主要是阻止答復輸出,不阻止探測進入。 3. 保護路由器不受*** 路由器一般可以通過telnet或SNMP訪問,應該確保Internet上沒有人能用這些協(xié)議***路由器。假定路由器外部接口serial0的IP為 200.200.200.1,內(nèi)部接口fastethernet0的IP為200.200.100.1。可以生成阻止telnet、SNMP服務的向內(nèi)過濾保護路由器。建立如下訪問列表:
access-list 101 deny tcp any 200.200.200.1 0.0.0.0 eq 23
access-list 101 deny tcp any 200.200.100.1 0.0.0.0 eq 23
access-list 101 deny udp any 200.200.200.1 0.0.0.0 eq 161
access-list 101 deny udp any 200.200.100.1 0.0.0.0 eq 161
注: 在外部接口的向內(nèi)方向使用101過濾。當然這會對管理員的使用造成一定的不便,這就需要在方便與安全之間做出選擇。 4. 阻止對關(guān)鍵端口的非法訪問 關(guān)鍵端口可能是內(nèi)部系統(tǒng)使用的端口或者是防火墻本身暴露的端口。對這些端口的訪問應該加以限制,否則這些設備就很容易受到***。建立如下訪問列表:
access-list 101 deny tcp any any eq 135
access-list 101 deny tcp any any eq 137
access-list 101 deny tcp any any eq 138
access-list 101 deny tcp any any eq 139
access-list 101 deny udp any any eq 135
access-list 101 deny udp any any eq 137
access-list 101 deny udp any any eq 138
access-list 101 deny udp any any eq 139
5. 對內(nèi)部網(wǎng)的重要服務器進行訪問限制 對于沒有配備專用防火墻的校園網(wǎng),采用動態(tài)分組過濾技術(shù)建立對重要服務器的訪問限制就顯得尤為重要。對于配備了專用防火墻的校園網(wǎng),此項任務可以在防火墻上完成,這樣可以減輕路由器的負擔。無論是基于路由器實現(xiàn),還是在防火墻上完成設置,首先都應該制定一套訪問規(guī)則。可以考慮建立如下的訪問規(guī)則: ● 允許外部用戶到Web服務器的向內(nèi)連接請求。 ● 允許Web服務器到外部用戶的向外答復。 ● 允許外部SMTP服務器向內(nèi)部郵件服務器的向內(nèi)連接請求。 ● 允許內(nèi)部郵件服務器向外部SMTP服務器的向外答復。 ● 允許內(nèi)部郵件服務器向外DNS查詢。 ● 允許到內(nèi)部郵件服務器的向內(nèi)的DNS答復。 ● 允許內(nèi)部主機的向外TCP連接。 ● 允許對請求主機的向內(nèi)TCP答復。 其他訪問規(guī)則可以根據(jù)各自的實際情況建立。列出允許的所有通信流后,設計訪問列表就變得簡單了。注意應將所有向內(nèi)對話應用于路由器外部接口的IN方向,所有向外對話應用于路由器外部接口的OUT方向。 二、常見***手段及其對策 1. 防止外部ICMP重定向欺騙 ***者有時會利用ICMP重定向來對路由器進行重定向,將本應送到正確目標的信息重定向到它們指定的設備,從而獲得有用信息。禁止外部用戶使用ICMP重定向的命令如下:
interface serial0 no ip redirects
2. 防止外部源路由欺騙 源路由選擇是指使用數(shù)據(jù)鏈路層信息來為數(shù)據(jù)報進行路由選擇。該技術(shù)跨越了網(wǎng)絡層的路由信息,使***者可以為內(nèi)部網(wǎng)的數(shù)據(jù)報指定一個非法的路由,這樣原本應該送到合法目的地的數(shù)據(jù)報就會被送到***者指定的地址。禁止使用源路由的命令如下:
no ip source-route
3. 防止盜用內(nèi)部IP地址 ***者可能會盜用內(nèi)部IP地址進行非法訪問。針對這一問題,可以利用Cisco路由器的ARP命令將固定IP地址綁定到某一MAC地址之上。具體命令如下:
arp 固定IP地址 MAC地址 arpa
4. 在源站點防止smurf 要在源站點防止smurf,關(guān)鍵是阻止所有的向內(nèi)回顯請求。這就要防止路由器將指向網(wǎng)絡廣播地址的通信映射到局域網(wǎng)廣播地址。可以在LAN接口方式中輸入如下命令:
no ip directed-broadcast
三、關(guān)閉路由器上不用的服務 路由器除了可以提供路徑選擇外,它還是一臺服務器,可以提供一些有用的服務。路由器運行的這些服務可能會成為敵人***的突破口,為了安全起見,最好關(guān)閉這些服務
轉(zhuǎn)載于:https://blog.51cto.com/shi99410/88689
總結(jié)
- 上一篇: 凸现三围的健身运动法
- 下一篇: :架构优化在何时,方成为公司的推动力与核