除了通过控制台登录路由器外还有很多的方法,根据配置和操作系统版本的不同,可以支持如Telnet、rlogin、Ssh以及非基于IP的网络协议如LAT、MOP、X.29和V.120等或者Modem拨号。所有这些都涉及到TTY,本地的异步终端和拨号Modem用标准的"TTYs"。远地的网络连结不管采用什么协议都是虚拟的TTYs,即"VTYs"。要控制路由器的访问,最好就是控制这些TTYs或VTYs,加上一些认证或利用 login、no password命令禁止访问。
1.控制TTY
缺省的情况下一个远端用户可以连结到一个TTY,称为"反向Telnet",允许远端用户和连接到这个TTY上的终端或Modem进行交互。但是这些特征允许一个远端用户连接到一个本地的异步终端口或一个拨入的Modem端口,从而构造一个假的登录过程来偷盗口令或其他的非法活动。所以最好禁止这项功能,可以采用transport input none设置任何异步或Modem不接收来自网络用户的连结。如果可能,不要用相同的Modem拨入和拨出,且禁止反向Telnet拨入。
2.控制VTY
为了保证安全,任何VTY应该仅允许指定的协议建立连结。利用transport input命令。如一个VTY只支持Telnet服务,可以如下设置transport input telnet。如果路由器操作系统支持SSH,最好只支持这个协议,避免使用明文传送的Telnet服务。如下设置:transport input ssh。也可以利用ip access-class限制访问VTY的ip地址范围。
因为VTYs的数目有一定的限制,当所有的VTYs用完了,就不能再建立远程的网络连结了。这就有可能被利用进行Dos(拒绝服务攻击)。这里攻击者不必登录进入,只要建立连结,到login提示符下就可以,消耗到所有的VTYs。对于这种攻击的一个好的防御方法就是利用ip access-class命令限制最后一个VTYs的访问地址,只向特定管理工作站打开。而其他的VTYs不限制,从而既保证了灵活性,也保证关键的管理工作不被影响。另一个方法是利用exec-timeout命令,配置VTY的超时。避免一个空闲的任务一直占用VTY。类似的也可以用service tcp-keepalives-in 保证Tcp建立的入连结是活动的,从而避免恶意的攻击或远端系统的意外崩溃导致的资源独占。更好的保护VTY的方法是关闭所有非基于IP的访问,且使用 IPSec加密所有的远端与路由器的连结。
三. 管理服务配置
许多的用户利用协议如Snmp或Http来管理路由器。但是利用这些协议管理服务时,就会存在一定的安全问题。
1. Snmp
Snmp是最经常用于路由器的管理的协议。目前使用最多的Snmp 版本1,但是这个版本的Snmp存在着很多的安全问题:
A. 使用明文认证,利用"community"字符串。
B. 在周期性轮循时,重复的发送这些"community"。
C. 采用容易被欺骗的基于数据包的协议。
所以尽量采用Snmp V2,因为它采用基于MD5的数字认证方式,并且允许对于不同的管理数据进行限制。如果一定要使用Snmp V1,则要仔细的配置。如避免使用缺省的community如public,private等。避免对于每个设备都用相同的community,区别和限制只读和读写commnity。对于Snmp V2,则可能的话对于不同的路由器设定不同的MD5安全值。还有就是最好使用访问列表限定可以使用Snmp管理的范围。
2. Http:
最近的路由器操作系统支持Http协议进行远端配置和监视。而针对Http的认证就相当于在网络上发送明文且对于Http没有有效的基于挑战或一次性的口令保护。这使得用Http进行管理相当危险。
如果选择使用Http进行管理,最好用ip http access-class命令限定访问地址且用ip http authentication命令配置认证。最好的http认证选择是利用TACACS+或RADIUS服务器。
上一页 [1] [2]
