路由器的操作系统(IOS)是路由器最核心的部分,及时升级操作系统能有效地修补漏洞、 获取新功能并提高性能
路由器虽然可以提供 BOOTP, Finger、NTP、Echo、Discard、Chargen、CDP 等网络服务然而这些服务会给路由器造成安全隐患,为了安全,建议关闭这些服务
禁止 CDP (Cisco Discovery Protocol)
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
禁止其他的 TCP、UDP Small 服务
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-small-servers
禁止 Finger 服务
Router(Config)# no ip finger
Router (Config)# no service finger
禁止 HTTP 服务
Router(Config)# no ip http server
禁止 BOOTP 服务
Router(Config)# no ip bootp server
禁止从网络启动和自动从网络下载初始配置文件
Router(Config)# no boot network
Router(Config)# no service config
禁止 IP Source Routing
Router(Config)# no ip source-route
禁止 ARP-Proxy 服务
Router(Config)# no ip proxy-arp
Router(Config-if)# no ip proxy-arp
明确地禁止 IP Directed Broadcast
Router(Config)# no ip directed-broadcast
禁止 IPCIassless
Router(Config)# no ip classless
禁止 ICMP 协议的 IP Unrcachablcs、Redirects、Mask Rcplies
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
禁止 SNMP 协议服务
在禁止时必须删除一些 SNMP 服务的默认配置,或者需要访问列表来过滤
Router(Config) # no snmp-server community public Ro
Router(Config) # no snmp-server community admin RW
Router(Config) # no access-list 70
Router(Config) # access-list 70 deny any
Router(Config) # snmp-server community MoreHardPublic Ro 70
Router(Config) # no snmp-server enable traps
Router(Config) # no snmp-server system-shutdown
Router(Config) # no snmp-server trap-anth
Router(Config) # no snmp-server
Router(Config) # end
禁止 WINS 和 DNS 服务
Router(Config)# no ip domain-lookup
Router(Config)# interface eth0/3
Router(Config)# shutdown
在路由器的网络接口上禁止 IP 直接广播,可以防止 smurf 攻击
router#interface eth 0/0
router#no ip directed-broadcast
为了防止攻击利用路由器的源路由功能,也应对其禁止使用,其配置方法是
router#no ip source-route
路由器给用户提供虚拟终端(VTY)访问,用户可以使用 Telnet 从远程操作路由器。为了保护路由器的虚拟终端安全使用,要求用户必须提供口令认证,并且限制访问网络区域或者主机。
网络攻击者经常通过构造一些恶意数据包来攻击网络或路由器,为了阻断这些攻击,路由器利用 访问控制来禁止这些恶意数据包通行
常见的恶意数据包有以下类型
口令是保护路由器安全的有效方法,但是一旦口令信息泄露就会危及路由器安全。因此,路由器的口令存放应是密文
Router#Enable secret 2Many-Routes-4-U
启用路由器的 IPSec 功能,对路由器之间传输的信息进行加密
修改路由器设备厂商的 SNMP 默认配置,对于其 public 和 private 的验证字一定要设置好, 尤其是 private 的,一定要设置一个安全的、不易猜测的验证字,因为入侵者知道了验证字,就 可以通过 SNMP 改 变路由器的配置。
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼
……