四. 日志

　　利用路由器的日志功能对于安全来说是十分重要的。Cisco路由器支持如下的日志
　　1． AAA日志：主要收集关于用户拨入连结、登录、Http访问、权限变化等。这些日志用TACACS+或RADIUS协议送到认证服务器并本地保存下来。这些可以用aaa accouting实现。
　　2． Snmp trap 日志：发送系统状态的改变到Snmp 管理工作站。
　　3． 系统日志：根据配置记录大量的系统事件。并可以将这些日志发送到下列地方：
　　　a． 控制台端口 
　　　b． Syslog 服务器 
　　　c． TTYs或VTYs
　　　d． 本地的日志缓存。
　　这里最关心的就是系统日志，缺省的情况下这些日志被送到控制台端口，通过控制台监视器来观察系统的运行情况，但是这种方式信息量小且无法记录下来供以后的查看。最好是使用syslog服务器，将日志信息送到这个服务器保存下来。

五．路由安全
1．防止伪造：
　　伪造是攻击者经常使用的方法。通过路由器的配置可以在一定程度上防止伪造。通常是利用访问列表，限制通过的数据包的地址范围。但是有下面几点注意的。
　　A． 可以在网络的任何一点进行限制，但是最好在网络的边界路由器上进行，因为在网络内部是难于判断地址伪造的。
　　B． 最好对接口进入的数据进行访问控制（用ip access-group list in）。因为输出列表过滤只保护了位于路由器后的网络部分，而输入列表数据过滤还保护了路由器本身不受到外界的攻击。
　　C． 不仅对外部的端口进行访问控制，还要对内部的端口进行访问控制。因为可以防止来自内部的攻击行为。
　　下面是一个是一个访问列表的例子：
　　ip access-list number deny icmp any any redirect 拒绝所有的Icmp 重定向
　　ip access-list number deny ip host 127.0.0.0 0.255.255.255 any 拒绝Loopback的数据包
　　ip access-list number deny ip 224.0.0.0 31.255.255.255 any 拒绝多目地址的数据包
　　除了访问列表的限制外，还可以利用路由器的RPF检查（ip verify unicast rpf）。这项功能主要用于检查进入接口的数据包的源地址，根据路由表判断是不是到达这个源地址的路由是不是也经过这个接口转发，如果不是则抛弃。这进一步保证了数据源的正确性。但是这种方式不适合非对称的路由，即A到B的路由与B到A的路由不相同。所以需要判断清楚路由器的具体配置。

2．控制直接广播
　　一个IP直接广播是一个目的地为某个子网的广播地址的数据包，但是这个发送主机的不与这个目的子网直接相连。所以这个数据包被路由器当作普通包转发直到目的子网，然后被转换为链路层广播。由于Ip地址结构的特性，只有直接连接到这个子网的路由器能够识别一个直接广播包。针对这个功能，目前存在一种攻击称为"smurf"，攻击者通过不断的发送一个源地址为非法地址的直接广播包到攻击的子网。从而导致子网的所有主机向这个非法地址发送响应，最终导致目的网络的广播风暴。
　　对于这种攻击可以在路由器的接口上设置no ip directed-broadcast，但是这种直接广播包，要被这个接口转换成链路层的广播而不是抛弃，所以为了更好防止攻击，最好在将所有可能连接到目的子网的路由器都配置no ip directed-broadcast。

3． 防止路由攻击
　　源路由攻击一种常用攻击方法，因为一些老的Ip实现在处理源路由包时存在问题，所以可能导致这些机器崩溃，所以最好在路由器上关闭源路由。用命令no ip source-route。
　　Icmp 重定向攻击也是一种常用的路由攻击方法。攻击者通过发送错误的重定向信息给末端主机，从而导致末端主机的错误路由。这种攻击可以通过在边界路由器上设定过滤所有icmp重定向数据来实现。但是这只能阻止外部的攻击者，如果攻击者和目的主机在同一个网段则没有办法。
　　当路由器采用动态协议时，攻击者可以伪造路由包，破坏路由器的路由表。为了防止这种攻击可以利用访问列表（distribute-list in）限定正确路由信息的范围。并且如果可能则采用认证机制。如Rip 2或ospf支持认证等。

六. 流量管理

　　目前大多数的Dos攻击都是通过发送大量的无用包，从而占用路由器和带宽的资源，导致网络和设备过载，这种攻击也称为"洪泛攻击"。对于这种攻击的防范首先要明确瓶颈在哪里。例如：如果攻击导致线路阻塞，则在线路的源路由节点进行过滤可以有效的防止，但是在线路的目的路由端进行过滤，就没有什么效果。并且要注意路由器本身也可能成为攻击的对象，而且这种情况更加糟糕。对于这种类型攻击的防范有如下：
　　1． 网络保护：
　　利用路由器的Qos功能来分担负载来防止一些洪泛攻击。方式有WFQ，CAR，GTS等。但是要注意的是每种方式的应用不同。如WFQ防止ping 攻击比SYN攻击更有效。所以要正确选择方式，才能有效的防止攻击。
　　2． 路由器本身保护：
　　路由器虽然能保护网络中其他部分避免过载，但是本身也需要保护不受到攻击。应有的安全配置有：
　　a． 采用CEF交换模式而不是传统的路由表Cache方式，因为采用CEF方式，对于出现的新目的地不需要构筑路由Cache入口。所以这种方式对于SYN攻击能够更好的防止（因为SYN攻击用的是随机的源地址）
　　b． 使用scheduler interval 或scheduler allocate。因为当大量的数据包要路由器快速转发情况下，可能路由器花费大量的时间处理网络接口的中断，导致其他的任务无法正常工作。为了避免这种情况，可以使用scheduler interval或scheduler allocate命令路由器在规定的时间间隔内停止处理中断去处理其他事件。这种方式的副作用很小，不会影响网络的正常传输。
　　c． 设定缺省路由到空设备（ip route 0.0.0.0 0.0.0.0 null 0 255）：
　　这个设置可以很好抛弃掉不可达的目的地值得数据包，增加路由器的性能。

七．服务管理

　　路由器通常都提供很多的服务如Finger、Telnet等，但是这些服务中一些能够被攻击者利用，所以最好禁止所有不需要的服务。
　　1．Cisco路由器提供一些基于TCP和UDP协议的小服务如：echo、chargen和discard。这些服务很少被使用，而且容易被攻击者利用来越过包过滤机制。如echo服务，就可以被攻击者利用它发送数据包，好像这些数据包来自路由器本身。所以最好禁止这些服务，可以利用no service tcp-small-servers 和 no service udp-small-servers命令来实现。
　　2．Finger、NTP、CDP：
　　Finger服务可能被攻击者利用查找用户和口令攻击。NTP不是十分危险的，但是如果没有一个很好的认证，则会影响路由器正确时间，导致日志和其他任务出错。CDP可能被攻击者利用获得路由器的版本等信息，从而进行攻击。所以对于上面的几种服务如果没有十分必要的需求，最好禁止他们。可以用no service finger、no ntp enabel、no cdp running（或no cdp enable ）实现。

　　通过采用和遵循上面的配置就可以实现一个路由器的基本的安全，但是这对于一个严格要求的安全环境是不够的，因为还有很多的攻击无法从路由器上过滤，且对于来自内部网络的攻击，路由器是无能力进行保证的。但是通过一个路由器的安全配置，能够为网络的安全建立一个外部的屏障，减轻了内部防火墙的负担，并且保证了路由器本身的安全。所以路由器的安全配置还是十分重要。

转载地址：http://www.net130.com/CMS/Pub/Tech/tech_zh/2005_11_17_18321_2.htm