[CCNA图文笔记]-28-思科路由安全浅析

0×1.思科路由密码安全浅析
对路由器最直接有效的攻击手段就是获取管理密码(vty密码和特权密码等),保护路由器密码安全的方法包括:
设置一个复杂的密码:一个强密码应该具有的特点是"包含数字、包含大写字母、包含小写字母、包含特殊符号";不要在密码中使用生日格式如:19901203;不要在密码中使用英文字典中最常用的单词如:hello等;不要在密码中包含电话号码、区号、手机号等。因为这些东西能很容易的放入坏人暴力猜解的字典中进行组合,最后就能获得你的密码。对配置文件中的密码实行加密:在全局配置模式下输入这条命令"service password-encryption"能够对所有密码进行加密,虽然这种加密可以破解,但至少增加了一道防线。特权密码的设置:创建特权密码应该使用"enable secret"而不是"enable password"。设置密码最小长度:在全局配置模式下输入"security passwords min-length 12",可以将密码的最小长度设置成12位。密码存放:不要将密码随便的记录在一台不安全的计算机的文本文件里;如果你将密码写在纸上,在密码更改以前不要随便将这张纸丢进垃圾桶,因为坏人可以从垃圾桶翻出很多敏感信息,其中就包括你的密码,或者你习惯的编码方式。
0×2.如何限制远程访问
可以使用ACL来设置仅允许管理员的IP登录这台设备的VTY终端:
01

R1>
en

02

R1#
conf
t

03

/启用路由密码加密,会将所有配置中的明文密码都加密存放/

04

R1(config)#service
password
-encryption

05

06

/设置密码最小长度是12/

07

R1(config)#security passwords min-length 12

08

09

/如果密码长度不够将不会配置成功/

10

R1(config)#
enable
secret
123

11

% Password too short - must be at least 12 characters. Password configuration failed

12

R1(config)#
enable
secret
www.qingsword.com

13

14

/*

15

  • 使用ACL允许192.168.1.200访问,这里演示使用了一个简单ACL,

16

  • 如果使用其他网管软件管理路由,可以使用复杂ACL允许管理IP和软件相应的端口。

17

*/

18

R1(config)#
access-list
1
permit
192.168.1.200

19

R1(config)#line
vty
0 4

20

R1(config-line)#
password
ccna

21

/因为前面设置了密码最小长度是12个字符,所以这里报错了。/

22

% Password too short - must be at least 12 characters. Password configuration failed

23

R1(config-line)#
password
www.qingsword.com

24

R1(config-line)#
access-class
1 in /将ACL 1应用于VTY/

25

R1(config-line)#
login

26

R1(config-line)#
end

这样设置后,VTY 0-4号线路就只有IP是192.168.1.200这个用户可以连上了。
0×3.如何使用SSH代替Telnet
Telnet使用明文的方式传输密码,在Internet上使用明文传输密码是非常不安全的,可以通过SSH(Secure Shell)远程登录和管理路由,SSH传输的时候使用RSA加密,就算数据包被捕获,也是RSA加密后的数据包。
下面在GNS3中来做一下这个实验,设备连线与IP地址如下图(图1)所示,在R1上配置允许ssh连接的vty线路:


图1
图1

R1配置:
01

Router>
en

02

Router#
conf
t

03

04

/一定要改变路由默认的名称并且配置一个域名,用来生成密钥/

05

Router(config)#
host
R1

06

R1(config)#
ip
domain name www.qingsword.com

07

08

/生成
rsa
非对称密钥,可以看到输出中
key
的名字就是我们上面配置的路由名称和域名的组合/

09

R1(config)#
crypto
key
generate
rsa

10

The name for the keys will be: R1.www.qingsword.com

11

Choose the size of the
key
modulus in the range of 360 to 2048 for your

12

General Purpose Keys. Choosing a
key
modulus greater than 512 may take

13

a few minutes.

14

15

/*

16

  • 输入密钥长度,直接回车则使用默认长度,

17

  • 长度可以是360到2048。

18

*/

19

How many bits in the modulus [512]:

20

% Generating 512 bit RSA keys, keys will be non-exportable...[OK]

21

22

/配置本地的用户名和密码用于
ssh
验证登陆/

23

R1(config)#
username
qingsword
password
www.qingsword.com

24

25

/配置
vty
线路0~4/

26

R1(config)#line
vty
0 4

27

/仅允许
ssh
登陆/

28

R1(config-line)#
transport
input
ssh

29

/使用本地创建的用户密码验证/

30

R1(config-line)#
login
local

31

R1(config-line)#
exit

32

33

/*
ssh
选项,连接
ssh
后30秒未操作则超时*/

34

R1(config)#
ip
ssh
time-out 30

35

/允许三次密码错误尝试/

36

R1(config)#
ip
ssh
authentication
-retries 3

37

38

/配置特权密码/

39

R1(config)#
enable
secret
www.qingsword.com

40

41

/配置接口IP/

42

R1(config)#
int
s 0/0

43

R1(config-if)#
ip
add
12.1.1.1 255.255.255.0

44

R1(config-if)#
no
shut

45

R1(config-if)#
end

R2配置:
01

R2(config)#
int
s 0/0

02

R2(config-if)#
ip
add
12.1.1.2 255.255.255.0

03

R2(config-if)#
no
shu

04

R2(config-if)#
end

05

06

/完成后确保R2可以
ping
通R1,然后在R2上使用
ssh
命令登陆R1,-l参数后面是R1上创建的用户名/

07

R2#
ssh
-l qingsword 12.1.1.1

08

Password: www.qingsword.com

09

R1>/登陆成功/

10

11

/大家可以尝试下R2上telnet连接R1,如果配置无误此时telnet是无法连接的/

0×4.如何记录日志
通常使用Console端口对路由进行配置时,可以看到来自路由的监控提示消息,比如开启或关闭一个端口就会出现相应的提示,但是通过VTY远程登录的时候却看不到这些提示,也看不到Debug命令的输出,这是因为虚拟终端默认情况下是关闭监控的,可以使用下面的命令来打开监控:
01

/接着上面的实验,在R2
ssh
登陆R1后,在R1上创建一个回环接口/

02

R2#
ssh
-l qingsword 12.1.1.1

03

Password: www.qingsword.com

04

R1>
en

05

Password: www.qingsword.com

06

R1#
conf
t

07

R1(config)#
int
lo
0

08

/切换到R1的控制台,控制台中出现了下面这种新接口启用的输出,但是在
ssh
或telnet登陆窗口却看不到这样的输出/

09

*Mar 1 00:21:00.599: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up

10

11

/
ssh
登陆窗口,使用下面的命令打开远程登录窗口的监控提示/

12

R1(config)#
exit

13

R1#
terminal
monitor

14

% Console already monitors

15

16

/再次创建一个回环接口,这一次
ssh
窗口也出现了提示/

17

R1#
conf
t

18

R1(config)#
int
lo
1

19

*Mar 1 00:23:55.303: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback1, changed state to up

20

21

/关闭远程终端监控功能/

22

R1(config)#
end

23

R1#
terminal
no
monitor

下面是一些和日志记录有关的命令,仅供参考:
01

/关闭日志记录/

02

R1(config)#
no
logging
on

03

04

/开启日志记录/

05

R1(config)#
logging
on

06

07

/设置日志记录缓存,后面的7是最高级别,记录所有信息/

08

R1(config)#
logging
buffered 7

09

10

/给记录的debug消息添加时间戳,单位精确到毫秒/

11

R1(config)#service timestamps debug datetime msec

12

13

/给记录的log消息添加时间戳,单位精确到毫秒/

14

R1(config)#service timestamps log datetime msec

15

R1(config)#
end

16

17

/显示本地缓存中的日志信息/

18

R1#
show
logging

路由缓存的空间是有限的,一般的做法是配置一台日志服务器,将路由和交换机的日志信息发送到服务器上,这样可以避免路由重启或者其他原因导致日志信息的丢失。
0×5.如何禁用思科路由不必要的服务和端口
可以使用下面这条命令来手动或者自动的配置路由,禁用一些不必要的服务和端口:

1

/不带参数,进入交互配置模式,根据提示设置即可/

2

Router#auto secure

3

4

/还有一种简便模式,非交互式,使用的是思科推荐的安全配置(除非你知道自己在做什么,否则不要随意在真实环境中配置下面的语句)/

5

R1#auto secure
no
-interact

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,445评论 6 478
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,889评论 2 381
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,047评论 0 337
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,760评论 1 276
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,745评论 5 367
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,638评论 1 281
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,011评论 3 398
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,669评论 0 258
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,923评论 1 299
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,655评论 2 321
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,740评论 1 330
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,406评论 4 320
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,995评论 3 307
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,961评论 0 19
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,197评论 1 260
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,023评论 2 350
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,483评论 2 342

推荐阅读更多精彩内容