路由器的安全性

限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统（Router(config-line)#exec-timeout 0 59）。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问，用户一定要确保路由器的安全补丁是最新的。漏洞常常是在供应商发行补丁之前被披露，这就使得黑客可以抢在供应商发行补丁之前利用受影响的系统，这需要引起用户的关注。
用户在对路由器配置进行改动之后，需要对其进行监控。如果用户使用SNMP，那么一定要选择功能强大的共用字符串，最好是使用提供消息加密功能的SNMP。如果不通过SNMP管理对设备进行远程配置，用户最好将SNMP设备配置成只读。拒绝对这些设备进行写操作，用户就能防止黑客改动或关闭接口。此外，用户还需将系统日志消息从路由器发送至指定服务器。
为进一步确保安全管理，用户可以使用SSH（Secure shell，安全外壳）等加密机制，利用SSH与路由器建立加密的远程会话。为了加强保护，用户还应该限制SSH会话协商，只允许会话用于同用户经常使用的几个可信系统进行通信。（编者注：有关SSH的内容，可参阅本刊2003年第9期《缝制网络“安全外壳”》一文。）
配置管理的一个重要部分就是确保网络使用合理的路由协议。要避免使用路由信息协议（RIP），RIP属于距离矢量路由选择协议，路由表是从相邻的路由器中进行学习，并且是周期性、频繁地进行更新，占用系统资源，得到的路由信息也是二手信息，也很容易被欺骗而接受不合法的路由更新。用户可以配置边界网关协议（BGP）和开放最短路径优先协议（OSPF）等协议及路由协议之间的再发布，以便在接受路由更新之前，通过发送口令的MD5散列，使用口令验证对方。以上措施有助于确保系统接受的任何路由更新都是正确的。
用户应该实施控制存放、检索及更新路由器配置的配置管理策略，并将配置备份文档妥善保存在安全服务器上，以防新配置遇到问题时用户可以更换、重装或恢复到原先的配置。

路由器三种登录口令设置

用户EXEC模式的安全可以应用于以下三种访问方法中的一种：VTY（Telnet）、AUX和控制台。VTY和AUX端口访问默认需要一个登录密码，如果不设置任何密码，路由器就拒绝建立会话，同时它会返回一个错误消息，说明错误的原因是“密码请求而没有设置”。
控制台端口的默认设置不要求登录密码。一般来说，用login命令配置控制台端口是个明智的做法，这样登录系统就会提示输入一个密码。如果没有设置密码，任何人只要有一个便携式电脑和控制线（全反线），就可以很容易地进入您的设备。
下表给出了这三种访问方法和它们相关的命令语法，可以对每种接入方法设置不同的口令。

到路由器的用户模式。如果用户使用Router(config-line)#no login则可以直接进入到用户模式。

用户名/口令组合认证

可以为不同的用户配置不同的用户名/密码组合来登录到路由器。这些用户名/密码组合可以本地存储在路由器的数据库中，也可以远程存储在一个特定的安全服务器上。
为路由器配置一个本地用户名/密码数据库如下所示：
Router(config)#username  nyist   password  nyist
Router(config)#username  wu   password   wu
Router(config)#line  console  0
Router(config-line)#login  local
关键字local指出了路由器将对照本地数据库检查用户名/密码组合。现在就只有定义过的用户名/密码组合才能从路由器的控制台进入到路由器的用户模式。和Cisco IOS中规定的密码一样，这些密码都是区分大小写的，可以包括字符和数字。用户名则不区分大小写。要进行验证，退出会话，然后从控制台端口登录到路由器，新的访问提示如图1所示：

图1 控制台用户名/口令组合认证

从主机telnet 到路由器，确认您只被提示输入密码。当然您可以配置AUX和VTY，使用本地数据库中用户名/密码组合认证进行登录到路由器。
Router(config)#line  aux  0
Router(config-line)#login  local
Router(config)#line  vty  0  4
Router(config-line)#login  local
现在进行Telnet时路由器的提示信息将改变为如图2所示：

图2 虚拟终端用户名/密码组合认证

何为AAA

用AAA可以提高网络访问控制的可扩展性，在网络中被广泛应用。AAA的三个部分定义如下：
认证(Authentication)：认证用以确定用户的身份，以及是否允许他们访问网络。认证使网络管理员可以阻止入侵者进入网络。
授权(Authorization)：授权使网络管理员可以限制每个用户可获得的网络服务。授权也有助于限制内部网络对外部访问者的暴露。授权可以使移动用户只需连接到离他最近的本地连接，就能够享有同样的访问特权。我们也可以用授权来规定在某些具体的网络设备上，一名新的系统管理员可以发出哪些命令。
统计(Accounting)：系统管理员也许需要对部门或客户根据网络连接时间或使用的资源（例如所传输的字节）进行收费。统计可以跟踪并记录这类信息。我们也可以使用统计的系统日志（syslog）来跟踪试图进入网络的可疑连接以及跟踪恶意的活动。

AAA在路由器安全中的应用

Cisco IOS  AAA功能提供了几种安全手段。在配置AAA之前制定一个计划是非常重要的，这是因为配置命令会立即生效，很有可能将您自己锁在路由器之外。
输入如下命令实现：
Router(config)#aaa  new-model
Router(config)#username  wushaoxing  password  wushaoxing
Router(config)#aaa  authentication  login default  local  enable
命令aaa  new-model是用来激活AAA功能。输入该命令后，控制台、VTY、AUX等端口就会要求输入一个所需的用户名和密码。命令aaa  authentication  login default  local  enable定义了检查用户名/密码的方式。该命令可以使用多个选项。在本例中，第一个选项“local”指最先检查本地数据库。在使用该方法检查用户名/密码返回错误的情况下，就会启用第二种方法，依次类推。只要指定的认证源（如远程服务器）是不可读的一定出错。命令aaa authentication login default可用的选项如图3所示：

图3 aaa authentication login default可选参数

如果您有一个配置了用户名/密码的TACACS+服务器，就可以用aaa  authentication  login  default  group  tacacs+ local  enable命令来配置路由器。关键字group指定一个服务器组，而参数tacacs+则指定了安全服务器的类型。在这个命令例子中，第二个指定选项则定义了如果TACACS+服务器不可达，就只能使用本地数据库。
从主机Telnet到路由器，确认您被提示输入一个用户名/密码。如用户名输入wushaoxing和密码输入wushaoxing您可以进入到路由器。如图4所示：

图4 AAA在VTY中认证

从路由器中关闭连接，然后再次试着登录。这一次，验证用户名不区分大小写，而密码是区分大小写的。
有些情况下，您想对用户名区分大小写，可以通过配置AAA使得用户名区分大小写，配置命令为：Router(config)#aaa  authentication  login  default  local-case  enable，退出后再次连接进入路由器，验证用户名和密码都需要区分大小写了，注意路由器的IOS要在11.3以上版本。
利用AAA可以为用户设置提示信息。在路由器全局配置模式下输入命令行：
Router(config)#aaa authentication username-prompt "welcome you!Enter you username："
Router(config)#aaa authentication password-prompt "Enter your password："
为了验证新的提示符，可以退出控制台并再次登录。如图5所示：

图5 为用户指定提示信息

测试

在路由器的特权模式下通过debug  aaa  authentication命令打开调试功能，然后从计算机Telnet到路由器上，此时路由器上将会显示建立登录会话的信息，并且在最后还显示status是否成功如图6所示。注意该命令会占用系统的资源，使用完毕后一定要通过no debug all将其关闭。

图六：debug  aaa authentication

总之，随着网络的发展及规模的增加，网络管理员的压力也就越来越大，通过多方面提高路由器的安全性才能保证系统资源免受外界的攻击，提高网络的安全性。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=230&categ_code=10041003