查看: 2951|回复: 5

[交换网技术] [转帖]网络安全方案：cisco路由器安全防护 [复制链接]

enuoCM

军衔等级：

大校

注册：2004-8-11 点赞数

1

发表于 2004-12-5 13:16:00 |显示全部楼层

客户需要一个自己也说不清的需求：保障网络的安全。于是本人收集整理了一个所谓的网络安全方案，结果客户很满意，决定把他当作模板来部署他们的网络。与大家共享，并希翼大家都来补充完善。

一、路由器访问控制的安全配置
1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。
2,对于远程访问路由器，建议使用访问控制列表和高强度的密码控制。
3,严格控制CON端口的访问，给CON口设置高强度的密码。
4,如果不使用AUX端口，则禁止这个端口。默认是未被启用。禁止命令为：
Router(Config)#line aux 0
Router(Config-line)#transport input none
Router(Config-line)#no exec
5,建议采用权限分级策略。如：
Router(Config)#username BluShin privilege 10 G00dPa55w0rd
Router(Config)#privilege EXEC level 10 telnet
Router(Config)#privilege EXEC level 10 show ip access-list
6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。
7,控制对VTY的访问。需要设置强壮的密码。由于VTY在网络的传输过程中不加密，所以需要对其进行严格的控制。如：设置强壮的密码；控制连接的并发数目；采用访问列表严格控制访问的地址；可以采用AAA设置用户的访问控制等。
8,IOS的升级和备份，以及配置文件的备份建议使用FTP代替TFTP。如：
Router(Config)#ip ftp username BluShin
Router(Config)#ip ftp password 4tppa55w0rd
Router#copy startup-config ftp:
9,及时的升级和修补IOSApp。

二、路由器网络服务安全配置
1、禁止CDP(Cisco Discovery Protocol)。如：
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
2、禁止其他的TCP、UDP Small服务。
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-small-servers
3、禁止Finger服务。
Router(Config)# no ip finger
Router(Config)# no service finger
4、禁止HTTP服务。
Router(Config)# no ip http server
5、禁止BOOTp服务。
Router(Config)# no ip bootp server
禁止从网络启动和自动从网络下载初始配置文件。
Router(Config)# no boot network
Router(Config)# no servic config
6、禁止IP Source Routing。
Router(Config)# no ip source-route
7、建议如果不需要ARP-Proxy服务则禁止它，路由器默认识开启的。
Router(Config)# no ip proxy-arp
Router(Config-if)# no ip proxy-arp
8、明确的禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast
9、禁止IP Classless。
Router(Config)# no ip classless
10、禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
11、建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如：
Router(Config)# no snmp-server community ro
Router(Config)# no snmp-server community rw

三、路由器防止攻击的安全配置
1、TCP SYN的防范。如：
A: 通过访问列表防范。
Router(Config)# no access-list 106
Router(Config)# access-list 106 permit tcp any 192.168.0.0 0.0.0.255 established
Router(Config)# access-list 106 deny ip any any log
Router(Config)# interface eth 0/2
Router(Config-if)# description “external Ethernet”
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 106 in
B：通过TCP截获防范。
Router(Config)# ip tcp intercept list 107
Router(Config)# access-list 107 permit tcp any 192.168.0.0 0.0.0.255
Router(Config)# access-list 107 deny ip any any log
Router(Config)# interface eth0
Router(Config)# ip access-group 107 in

2、LAND.C 进攻的防范。
Router(Config)# access-list 107 deny ip host 192.168.1.254 host 192.168.1.254 log
Router(Config)# access-list permit ip any any
Router(Config)# interface eth 0/2
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 107 in

3、Smurf攻击的防范。
Router(Config-if)#no ip directed-broadcast
Router(Config)# access-list 108 deny ip any host 192.168.1.255 log
Router(Config)# access-list 108 deny ip any host 192.168.1.0 log

4、ICMP协议的安全配置。对于进入ICMP流，大家要禁止ICMP协议的ECHO、Redirect、Mask request。也需要禁止TraceRoute命令的探测。对于流出的ICMP流，大家可以允许ECHO、Parameter Problem、Packet too big。还有TraceRoute命令的使用。
! outbound ICMP Control
Router(Config)# access-list 110 deny icmp any any echo log
Router(Config)# access-list 110 deny icmp any any redirect log
Router(Config)# access-list 110 deny icmp any any mask-request log
Router(Config)# access-list 110 permit icmp any any
! Inbound ICMP Control
Router(Config)# access-list 111 permit icmp any any echo
Router(Config)# access-list 111 permit icmp any any Parameter-problem
Router(Config)# access-list 111 permit icmp any any packet-too-big
Router(Config)# access-list 111 permit icmp any any source-quench
Router(Config)# access-list 111 deny icmp any any log
! Outbound TraceRoute Control
Router(Config)# access-list 112 deny udp any any range 33400 34400
! Inbound TraceRoute Control
Router(Config)# access-list 112 permit udp any any range 33400 34400

5.DDoS(Distributed Denial of Service)的防范。
! The TRINOO DDoS system
Router(Config)# access-list 113 deny tcp any any eq 27665 log
Router(Config)# access-list 113 deny udp any any eq 31335 log
Router(Config)# access-list 113 deny udp any any eq 27444 log
! The Stacheldtraht DDoS system
Router(Config)# access-list 113 deny tcp any any eq 16660 log
Router(Config)# access-list 113 deny tcp any any eq 65000 log
! The TrinityV3 System
Router(Config)# access-list 113 deny tcp any any eq 33270 log
Router(Config)# access-list 113 deny tcp any any eq 39168 log
! The SubSeven DDoS system and some Variants
Router(Config)# access-list 113 deny tcp any any range 6711 6712 log
Router(Config)# access-list 113 deny tcp any any eq 6776 log
Router(Config)# access-list 113 deny tcp any any eq 6669 log
Router(Config)# access-list 113 deny tcp any any eq 2222 log
Router(Config)# access-list 113 deny tcp any any eq 7000 log

举报本楼

本帖有 5 个回帖，您需要登录后才能浏览登录 | 注册

返回列表

手机版|C114 ( 沪ICP备12002291号-1 )|联系大家 |网站地图

GMT+8, 2024-11-24 02:55 , Processed in 0.483815 second(s), 16 queries , Gzip On.

Discuz Licensed

[交换网技术] [转帖]网络安全方案：cisco路由器安全防护 [复制链接]

爱心徽章，06年为希翼小学奉献爱心纪念徽章

爱心徽章，09年为家园助学活动奉献爱心纪念徽章

		自动登录	找回密码
密码			注册