淺談思科路由器使用安全對策

摘要：路由器作為重要的網絡通信設備，它的安全性關系著整個網絡的安全。從加強人員的安全教育、確保路由器物理安全、加強用戶賬戶和口令的管理、限制對路由器的非法訪問、關閉不必要的服務 5 個方面探討了確保路由器安全的措施。

關鍵詞：思科路由器；使用安全；訪問控制

路由器是局域網中重要的網絡設備，它主要在網絡層實現子網之間及內外網數據的轉發，是不同網絡間進行數據通信的必經通道。目前很多路由器也可以集成防火墻等安全模塊，因而路由器通常也會成為防止外網入侵的第一道屏障。攻擊者如果獲得路由器的控制權，他們就既可以竊取路由器中的重要信息，又可以以該路由器為跳板去進一步攻擊其他網絡設備。對于大多數局域網來說，加強路由器的安全防護已經變得十分必要。本文結合最常用的思科路由器介紹一些安全防護措施。路由器的安全包含兩方面的含義：路由器自身的安全和路由器中數據的安全。路由器自身安全主要指確保物理安全，主要是防止非法用戶對路由器進行關機、重啟、添加/移除模塊等操作。數據安全主要指路由器啟動所必需的操作系統、配置文件及工作過程中生成的路由表、日志等相關信息不被非法獲取、修改、破壞。配置文件和路由表等數據可以反應網絡的拓撲結構、安全設置及網絡數據包轉發的依據等信息，一旦泄露或損壞會造成較大安全隱患。

當前針對路由器的攻擊可以大體分為兩種方式：非法接入和拒絕服務攻擊（Denial of Service， DoS）。非法接入是指未授權用戶通過種種手段非法接入到路由器上獲得控制權，繼而進行修改配置文件、添刪路由信息等危害路由安全的操作；拒絕服務攻擊主要是向目標路由器發送大量的無用信息從而消耗目標的系統資源使之無法響應正常的用戶請求，進而使得目標系統因遭受某種程度的破壞而不能繼續提供正常的服務，甚至導致物理上的癱瘓或崩潰的攻擊手段。針對這些攻擊手法我們可以采取以下措施來保障路由器安全。

一、加強人員的安全教育

對于網絡安全來講，任何情況下人的因素都是第一位的。再嚴密的防范措施最終都是要靠網絡的使用者來執行的，如果使用者特別是網絡管理員沒有良好的安全防范意識，一切技術手段都是空談。因此管理部門首先要注意加強人員的安全教育，提高人員的安全意識；其次制定合理的規章制度，規范人員的日常使用行為；再次要進行分權管理，將使用者分為管理員和普通用戶等不同身份并授予不同權限，盡可能降低風險的發生。

二、確保路由器的物理安全

物理安全主要指設備本身的安全。管理人員可以采用以下幾種方式保證路由器的物理安全：一是將關鍵設備單獨放置在有專人值守的房間；二是為設備配備 UPS 電源；三是限制人員出入；四是為設備提供專用機柜并加鎖，以防止有人擅自打開設備并添加或更換 PCMCIA 卡等模塊。

三、加強用戶賬戶和口令的管理

路由器可以使用用戶賬戶和密碼來識別用戶接入，合理地創建用戶賬戶并指定合適的密碼，可提高設備的安全性。除了創建進行網絡管理的管理員賬戶之外，還可以為一般的網絡使用者創建一些普通用戶賬戶。為每一個用戶創建一個用戶名，可以方便管理，提高安全性。這些賬戶應該根據用戶的身份和需要通過Priviledge level 命令為不同的用戶指定不同的用戶級別，使之擁有不同的權限。管理者還要注意及時清理那些為臨時使用者創建的臨時賬戶。黑客攻擊前通常會利用默認口令、弱口令或密碼破解軟件對目標系統進行口令攻擊。Cisco 設備擁有控制臺（Console）、AUX、虛擬類型終端（VTY）、特權用戶等幾種口令，它們主要在路由器進行本地/遠程登錄及登錄后在不同視圖間進行切換時提供密碼保護。我們要盡量選用好記的并符合密碼復雜性要求的口令。較長的并且包含字母、數字及特殊符號等多種字符的密碼能夠有效防止黑客對口令進行暴力破解。另外設置密碼的有效期限并定期更換密碼也是保護口令的好方法。

特權用戶口令的設置可以使用 enable password 命令和enable secret 命令。 由于 enable password 命令設置的口令以明文形式存在于配置文件中，所以要盡量使用采用 MD5 散列算法對口令進行加密的 enable secret 命令設置特權用戶口令。為防止黑客通過讀取配置文件而得到各種密碼，可以使用 servicepassword-encryption 命令對系統中的口令進行加密。

四、限制對路由器的非法訪問

路由器的接入方式有以下幾種： 通過主控 Console 口接終端配置；在 AUX 口進行遠程配置；利用虛擬類型終端（VTY）端口通過telnet 或 SSH 進行配置；從 TFTP Server 上下載配置；通過 Web頁面進行配置。這其中最常用的是通過 Console 口直接配置和通過 Telnet 或 SSH 進行遠程配置。通過 Console 口訪問，需要路由器和終端利用專用線纜直接相連，用戶接入后將默認獲得最高權限，因此加強對 Console 口的接入限制十分必要。我們首先加強對設備本身的安全保護，從物理上保障路由器不被非法接入。如果不是必需，建議禁止通過 AUX、TFTP、VTY 及 Web 頁面等遠程方式訪問路由器。如果確實需要通過 VTY 進行遠程訪問，建議使用SSH而不是Telnet進行遠程連接。對于通過VTY登錄的用戶，最好進行身份認證：小型網絡可以使用本地認證，而規模較大的網絡建議使用RADIUS/TACACS認證。另外還可以結合使用訪問控制列表來指定能夠訪問Console口和VTY端口的主機，禁止其他主機訪問，同時可用 Exec-timeoute 命令規定會話的空閑超時時間。

五、關閉不必要的服務

默認情況下，Cisco 路由器會開啟許多網絡服務功能（根據IOS的版本不同會有所區別），而這些網絡服務功能很多時候并沒有被使用，但開啟它們卻會給系統留下了安全隱患。因此，為了提高網絡的安全性要盡量關閉那些不必要的服務。

六結語

通過以上安全措施，可以為路由器建立一道保護屏障，有效防止用戶的非法接入，從而保障網絡設備的安全。

參考文獻：

[1] 張秀梅.網絡入侵防御系統的分析與設計[J].信息與電腦，2009（7）：1-2.

[2] 馬麗，袁建生，王雅超.基于行為的入侵防御系統研究[J].網絡安全技術與應用，2010（6）：33-35.

[3] 郭翔，謝宇飛，李銳.校園網層次型網絡安全設計[J].科技資訊，2010（9）：26.