防止黑客接管思科路由器（下）

　　由于是安全测试，恢复网站的访问，在cisco路由器上输入命令

　　cisco(config)#int fastEthernet 0/1

　　cisco(config)#no access-list 101 deny ip host 210.224.*.69 any

　　2、防范措施

　　其实上面的测试并非偶然，笔者利用类似的方法就获得过本地电信的两个Cisco路由器的密码，并成功进行登录。那是如何安全部署防止类似的Cisco路由攻击呢?

　　(1).最小权限。Cisco路由器可以通过conso(控制台)和Vty(终端)进行登录，并且其有多个vty。作为管理员要尽可能地少开启vty，并且根据需要为其赋予不同的权限(0-15)。要遵循最小权限原则，只赋予所需的权限即可。特别是Vty权限的设置一定要注意，因为其可以远程登录。另外，路由器的VTY是有限的，当所有的vty用完之后就不能再建立远程连接了，因此我们可以通过exec-timeout命令配置vyt超时，避免因此造成的针对路由器的DOS攻击。(图6)

　(2).口令加强。攻击者控制路由器首先要获取控制台或者终端的登录密码，一条复杂的密码就能够较大程度上杜绝来自于社会工程学的攻击。除了密码足够复杂外，使用enable secret命令口令进行加密，这是一定要做的。从上面的安全测试可以看到就是攻击者者下载到路由器的配置文件，如果密码加密他也无可奈何，因为Cisco的密码是128位加密的几乎没有被破解的可能性。另外，可以使用service password-encryption命令对于存储在路由器配置文件中的所有口令和类似的数据进行加密，这样可以避免明文的配置文件被查看。(图7)

　　(3).访问控制。除了口令加强外，还要做好路由器的访问控制。可以根据安全需要建立相应的访问列表，防范诸如伪造、Dos等恶意攻击。做访问控制，不仅要对外而且要对内的端口进行访问控制，利用我们可以在路由器中建立如下的访问列表

　　Router(config-if)#access-list 101 deny icmp any any redirect

　　Router(config)#access-list 102 deny ip 127.0.0.0 255.255.255.0 any

　　Router(config)#access-list 103 deny ip 224.0.0.0 31.255.255.255 any

　　作用是拒绝所有的Icmp重定向，拒绝Loopback的数据包，拒绝多目地址的数据包。(图8)

　　(4).安全管理。对于cisco路由器的管理，除了可以通过conso和vty之外，有些用户更习惯通过snmp或者http来管理，此时一定要加强安全措施。因为snmp目前使用最多的版本1，是明文认证其采用缺省的community的public和private，上面安全测试中之所以能够下载配置文件就是它导致的，因此我们要尽量采用snmp v2。另外，http也是明文传送的当进行远程口令配置的时候就容易被嗅探，因此我们最好用IP http access-class命令来限定访问地址。(图9)

　　(5).规划网络。基于安全性的考虑，局域网中最好不要该Cisco路由器公网地址，将其直接暴露在Internet中。如果迫不得已，一定要在网络拓扑是做好安全部署，比如利用硬件防火墙或者类似蜜罐技术来保护路由器的安全。

　　总结：路由器特别是Cisco这样的核心路由器，其安全性紧扣网络命门。作为管理员人员，一定要做好安全规划和部署，注意安全细节。希望本文的安全测试能够引起大家最路由器安全的重视，文中提供的防范措施能够助大家进一步加固路由器安全。