SNAC对加强Cisco路由器安全配置

　何时

　　无论什么时候发现系统漏洞，你都应该安装补丁进行更新。每年最少应该检查路由器的安全策略一次。

　　何因

　　路由器的作用是控制访问流量、抵御攻击、保护其他网络组件并且帮助维护网络流量的完整性和机密性。
 
　　策略

　　国家安全局系统和网络攻击中心（SNAC）编写了一篇关于路由安全配置向导的两页摘要，该向导简练地介绍了快速、有效加强Cisco路由器安全性能的方法－－其他厂商的路由器也可以按照这个配置向导进行操作。

　　一般推荐配置

　　建立并且维护一个路由安全策略。该策略应该确定谁有权力登录、配置和升级路由器，它也应该大致描绘出登录和管理的操作步骤。

　　对路由器配置文件进行脱机安全备份并利用日志进行管理。也就是说，保证所有路由器配置文件的脱机备份与实际运行的路由器配置文件同步  。这对于诊断可疑攻击和修复系统具有极大的帮助。
 
　　在访问列表中记录网络用户和服务要求的协议、端口和IP地址，明确禁用其他的协议、端口和地址。

　　将路由器操作系统升级到最新标准版（GD）的互连网络操作系统IOS。

　　定期对路由器进行安全检查，尤其在有任何主要配置改变的情况下。

　　路由器访问推荐配置

　　关闭路由器上不必要的服务。首先在路由器上运行show proc命令查看服务，然后关闭不需要的功能和服务。有一些服务在大部分情况下应该关闭，包括：small services (echo, discard, chargen, 等), BOOTP, Finger, HTTP and SNMP。那些允许特定数据包通过路由器、或者可能发送特殊数据包的服务和用于远程路由器配置的服务都应该关闭。包括：CDP, remote config和source routing。

　　配置更安全的密码。采用enable secret命令设置基于MD5算法的特权密码。同时，设置控制端口密码、辅助端口密码和虚拟终端密码。而且启  用Service password-encryption功能保护用户和控制台密码。

　　如果你的路由器支持SSH的话，建议启用SSH，让所有的远程管理员通过SSH进行远程维护。

　　访问列表推荐配置

　　确保创建访问列表时首先使用高级命令“no access-list nnn”清除掉nnn以前的任何版本的访问列表。

　　采用访问列表严格控制访问的地址。例如在边界路由器上，只允许内部地址通过内部接口访问路由器、流入内部地址的数据流只能通过外部接口访问路由器。阻塞外部接口上的非法地址。这样做除了能防止攻击者使用路由器攻击其他站点以外，也有助于保护易受攻击的内部主机或网络。这种方法可能不太适用于复杂的网络。

　　遇到明显有问题或者源、目的地址是保留地址的数据包时，例如：地址0.0.0.0/8, 10.0.0.0/8, 169.254.0.0/16, 172.16.0.0/20 和   192.168.0.0/16。我们应该过滤掉该数据包。再连接到外部可疑网络的接口上，这种保护应该作为全面数据过滤的一部分。

　　如果输入的数据包的源地址为任何内部网络地址，那么我们也应该过滤掉该数据包。这样可以阻止对TCP序列号的猜测和其他攻击。将这种保护手段写入访问列表用于过滤连接到外部可疑网络的接口。

　　过滤用回环地址封装的数据包，如：127.0.0.0/8，因为这些数据包不是真实的数据。

　　如果网络不需要IP组播的话，阻塞组播数据包。

　　阻塞广播包。（注意：这样可能会阻塞DHCP和BOOTP服务，但是这些服务不应该在外部接口上使用，也不应该通过边界路由器。）

　　很多远程探测利用ICMP回应和重定向进行攻击，并且屏蔽请求信息。因此需要阻塞它们。

　　阻塞具有相同源地址和目的地址的数据包。（即：对路由器自身的“登录”攻击）。将这种保护写入访问列表限制每个端口上的入网数据流量 。

　　日志和调试推荐配置

　　打开路由器的日志管理，利用它记录每一个企图访问内部主机而产生的错误和阻塞数据包。确保路由器阻塞可疑网络对内部主机的访问。

　　在路由器的日志里记录登录的时间信息。为了让管理员可以更准确的跟踪网络攻击，至少需要配置两台NTP服务器以确保时间信息的准确性。

　　如果你的网络需要SNMP协议的话，就配置一个SNMP ACL和一个很难猜到SNMP community字符串。