強(qiáng)化路由器管理安全

■ 河南 劉景云

編者按：網(wǎng)絡(luò)管理人員經(jīng)常使用到路由器或交換機(jī)進(jìn)行網(wǎng)絡(luò)管理，這就會涉及到許多相關(guān)的管理協(xié)議，例如Telnet、SSH、基于HTTP/HTTPS 的Web 訪問以及SNMP 等。網(wǎng)絡(luò)設(shè)備之所以可以接收和執(zhí)行管理人員發(fā)出的指令，其主要是在管理層面發(fā)揮作用。在路由器等設(shè)備中，管理層面運(yùn)行在進(jìn)程級別，即其需要占用設(shè)備的CPU 和內(nèi)存資源。這些設(shè)備在高效處理網(wǎng)絡(luò)數(shù)據(jù)的同時，也會面臨一系列的安全風(fēng)險。

和設(shè)備管理相關(guān)的安全威脅

在管理層面會面臨一些不可忽視的安全威脅，例如濫用路由器等設(shè)備的可用功能。

在默認(rèn)情況下，網(wǎng)絡(luò)設(shè)備會經(jīng)常開啟一些網(wǎng)管服務(wù)，但是管理員對安全性認(rèn)識不足，沒有為其配置必要的安全認(rèn)證以及授權(quán)操作，導(dǎo)致任何用戶都可以連接上來，進(jìn)入網(wǎng)絡(luò)設(shè)備的管理界面，進(jìn)而隨意執(zhí)行各種操作。這對于網(wǎng)絡(luò)安全威脅很大。

解決的方法是采取一些強(qiáng)有力的認(rèn)證方式，以及使用RDBC（基于策略和規(guī)則的訪問控制）等技術(shù)，對設(shè)備管理進(jìn)行授權(quán)。這樣，當(dāng)有人試圖對目標(biāo)網(wǎng)絡(luò)設(shè)備進(jìn)行管理時，當(dāng)連接請求發(fā)送到設(shè)備上后，設(shè)備就會對其進(jìn)行安全認(rèn)證，只有通過認(rèn)證獲得授權(quán)后，該用戶才可以訪問該設(shè)備，否則其將會被拒之門外。

值得說明的是，RDBC 還可以針對特定的管理命令（例如Enable 等）進(jìn)行授權(quán)，只允許訪問者使用許可范圍的命令，對于之外的命令則禁止使用，這可以進(jìn)一步保護(hù)設(shè)備的安全。

對于網(wǎng)絡(luò)設(shè)備管理會話的欺騙，同樣是不可忽視的安全威脅。當(dāng)某個合法的用戶訪問目標(biāo)設(shè)備時，在會話建立之后，必然會向該設(shè)備發(fā)送相關(guān)的操作指令。在此期間，如果有不法用戶進(jìn)行中間人攻擊的話，這些指令就會被其攔截下來。該不法用戶對這些指令進(jìn)行惡意修改后，再發(fā)送給目標(biāo)設(shè)備，實(shí)現(xiàn)滲透攻擊的目的。這就是該種攻擊的原理。

解決的方式是對該會話進(jìn)行加密處理來進(jìn)行保護(hù)。當(dāng)然，也可以對訪問行為進(jìn)行過濾，將不安全的用戶設(shè)備排除在外。

提高管理安全性的方法

針對管理層面的安全威脅，可以采取相應(yīng)的技術(shù)手段進(jìn)行防御。例如，部署管理層面的訪問控制（即MPP），其原理是通過訪問控制列表，只允許安全的源來接入網(wǎng)絡(luò)設(shè)備，并進(jìn)行網(wǎng)絡(luò)管理。部署RBAC 基于規(guī)則的訪問控制，在網(wǎng)絡(luò)設(shè)備上部署安全的SNMP（例如SNMP v3 等）管理機(jī)制，針對思科的IOS鏡像進(jìn)行數(shù)字簽名，部署設(shè)備中CPU 和內(nèi)存的閾值等，都可以有效提高管理層面的安全。

在具體部署管理層面安全特性時，需要考慮必要的條件。例如，在設(shè)備上允許運(yùn)行哪些網(wǎng)絡(luò)協(xié)議，限制哪些不必要的協(xié)議，即在設(shè)備上運(yùn)行盡可能少的管理協(xié)議，來降低安全風(fēng)險。

例如，出于安全考慮，最好使用SSH 連接來訪問設(shè)備，禁用安全性較差的Telnet訪問。對管理流量進(jìn)行控制，即允許盡可能少的源對設(shè)備進(jìn)行管理。對管理設(shè)備的源會話進(jìn)行控制，只允許特定的設(shè)備訪問網(wǎng)絡(luò)設(shè)備，禁止無關(guān)的設(shè)備接入。對用戶的角色進(jìn)行控制，即不同的用戶扮演不同的角色，擁有不同的管理權(quán)限，諸如哪些用戶可以使用哪些管理權(quán)限等。部署強(qiáng)有力的管理認(rèn)證措施，當(dāng)用戶連接上來后，必須輸入復(fù)雜的密碼。

在分配用戶訪問權(quán)限時，應(yīng)該本著權(quán)限最小化的原則，為它們分配盡可能小的權(quán)限，滿足實(shí)際工作需要即可。

例如，可以按照需要規(guī)劃不同的管理級別，將不同的用戶劃入對應(yīng)的級別中，實(shí)現(xiàn)權(quán)限的區(qū)分操作。通過對IOS 鏡像進(jìn)行簽名，只有被簽名的IOS 才是被授權(quán)的ISO，防范黑客在IOS 鏡像中嵌入木馬設(shè)置后門等。

相關(guān)安全控制技術(shù)的特點(diǎn)

下面就在思科的IOS 軟件環(huán)境下，分析如何配置管理層面的安全控制策略。

說到安全訪問控制技術(shù)，就涉及到一些控制的方法，例如，可以使用基于端口的訪問控制列表，讓合法的流量可以順利通過，丟棄非法的流量，即通過訪問控制列表對管理層面的訪問進(jìn)行過濾。其優(yōu)點(diǎn)是可以管控任何服務(wù)，限制訪問本設(shè)備的任何流量，缺點(diǎn)是當(dāng)接口數(shù)量較多時部署起來比較麻煩。

當(dāng)然，也可以使用訪問控制列表進(jìn)行進(jìn)程級別的訪問控制，部署針對特殊服務(wù)的訪問控制列表。例如，可以針對SSH 部署訪問控制策略，當(dāng)有流量試圖訪問目標(biāo)設(shè)備的SSH 服務(wù)時，如果該訪問流量的源位于訪問列表之內(nèi)，則允許其訪問否則拒絕。其優(yōu)點(diǎn)是配置簡單便于管理，缺點(diǎn)是其無法限制所有的服務(wù)。

通過控制層面的保護(hù)技術(shù)，來限制管理層面的一些訪問控制?？刂茖用婧凸芾韺用媸蔷o密相關(guān)的，不同的網(wǎng)絡(luò)設(shè)備之間要運(yùn)行路由協(xié)議，必須通過控制層面的一些數(shù)據(jù)來進(jìn)行交互。

這些數(shù)據(jù)的發(fā)送之前，必須在設(shè)備上針對相關(guān)的協(xié)議進(jìn)行管理操作（例如設(shè)置相關(guān)參數(shù)等），之后才通過控制層面發(fā)送出去。其優(yōu)點(diǎn)是管理和配置都比較容易，也可以限制任意服務(wù)，缺點(diǎn)是并非所有平臺都對其支持，其對設(shè)備和軟件的要求都很高，對于較老版本的設(shè)備無法對其提供支持。使用管理層面保護(hù)技術(shù)（MPP），優(yōu)點(diǎn)是配置簡單，并支持OOB（帶外管理）訪問控制，缺點(diǎn)是設(shè)備需要支持OOB。

搭建所需的網(wǎng)絡(luò)環(huán)境

這里以一個簡單的網(wǎng)絡(luò)來說明如何實(shí)現(xiàn)以上保護(hù)技術(shù)。當(dāng)然，基于端口的訪問控制即使比較簡單，這里就不再贅述。

在一臺交換機(jī)上連接了R1、R2 和R3 三臺路由器，R1 的F0/0 接口和交換機(jī)的F0/1 端口連接，R2 的F0/0接口和交換機(jī)的F0/20 端口連接，f0/1 接口和交換機(jī)的F0/21 端口連接，R3 的F0/0接口和交換機(jī)的F0/3 號端口連接。在交換機(jī)上執(zhí)行“cdp neighbors”命令，可以查看連接的端口信息。

在交換機(jī)上執(zhí)行“conf t”命令，進(jìn)入全局配置模式，執(zhí)行“vlan 10” “name luyou1”，創(chuàng)建VLAN10，并為其設(shè)置名稱。執(zhí)行“vlan 20” “name luyou2”命令，創(chuàng)建VLAN 20，并為其設(shè)置名稱。執(zhí)行：

將F0/1，F(xiàn)0/22 設(shè)置為Access 接口，加入到VLAN 10 中，并讓其收斂的更快速。

執(zhí)行以下命令：

將F0/3，F(xiàn)0/21 設(shè)置為Access 接口，加入到VLAN 10 中，并讓其收斂的更快速。

這樣，就將上述不同的端口規(guī)劃到不同的VALN，實(shí)現(xiàn)了邏輯上分隔。在R1 上進(jìn)入全局配置模式，執(zhí)行以下命令，設(shè)置f0/0 端口的IP：

執(zhí)行“ip route 0.0.0.0 0.0.0.0 10.1.1.2”命令，設(shè)置其默認(rèn)路徑，指定下一條的地址。同樣地，在R2 上執(zhí)行以下命令，分別設(shè)置兩個端口的IP：

在R3 上執(zhí)行以下命令：

設(shè)置這些端口的地址以及默認(rèn)路由信息。

針對特殊服務(wù)，配置管控規(guī)則

組建好了所需的網(wǎng)絡(luò)環(huán)境后，在R2 的全局配置模式下執(zhí)行“l(fā)ine vty 0 15” 和“end”命令，開啟VTY 訪問接口。

執(zhí) 行“username user1 password mima1”命令，為其設(shè)置訪問的賬戶名和密碼。執(zhí)行“l(fā)ine vty 0 10”“l(fā)ogin local” “end”命令，完成VTY 的配置操作。

在R2 上執(zhí)行“ip domain name xxx.com”命令，創(chuàng)建一個域名。然后執(zhí)行“crypt key generate rsa modulus 1024”命令，產(chǎn)生開啟SSH 服務(wù)所需的密碼。之后可以通過VTY 訪問R2。

例如，可以在R1 上執(zhí)行“telnet 10.1.1.2”命令，并輸入上述賬戶名和密碼，可以進(jìn)入R2 管理界面。或者在R1 執(zhí)行“ssh -l user1 10.1.1.2”命令，輸入密碼后，通過SSH 方式進(jìn)入R2 管理界面。當(dāng)然，在R3 上也可以執(zhí)行同樣的登錄操作。

為了提高安全性，只允許特定的流量通過SSH 和SNMP對R2 進(jìn)行管理。為此，我們可以在R2 上執(zhí)行：

可以創(chuàng)建名為“100”的訪問控制列表，并且只允許指定的IP 范圍執(zhí)行訪問操作，對于非法的訪問彈出Log信息。

執(zhí)行“l(fā)ine vty 0 10”“access-class 100 in tran sport input ssh”命令，只允許上述ACL 列表中指定的范圍的IP 訪問，其余的流量將被禁止。

這樣就只能在R1 上通過SSH 訪問R2 的管理界面，在R3 上則禁止訪問。因?yàn)镽1的地址設(shè)置符合要求，這樣即使有人知道了連接密碼，在R3 上也無法對R2 進(jìn)行管理，這有效提高了管理的安全性。

在R2 全局模式下執(zhí)行“snmp-server community xxxxxx ro 100”命令，這樣只有該ACL 指定的流量才可以通過SNMP 對R2 進(jìn)行訪問。其中的“xxxxxx”為具體的團(tuán)體名。

使用控制層面保護(hù)，實(shí)現(xiàn)安全訪問

除了針對特殊服務(wù)配置安全訪問規(guī)則外，還可以使用控制層面的保護(hù)機(jī)制來實(shí)現(xiàn)安全訪問。

首先在R2 上執(zhí)行“no access -list 100” “l(fā)ine vty 0 10” “transport input all” “no access-class 100 in”等命令，清除上面的規(guī)則。然后執(zhí)行“ip accesslist extended kzcaq”命令，來創(chuàng)建名為“kzcaq”的擴(kuò)展控制列表。執(zhí)行“deny tcp 10.1.1.0 0.0.0.255 any eq 22” “deny tcp 10.1.1.1.0 0.0.0.255 any eq 23”命令，禁止指定的IP 范圍訪問本機(jī)的TCP 22 和23 端口，即將這些流量排除在外。執(zhí)行“permit tcp any any eq 22” “permit tcp any any eq 23” “exit”命令，允許其余的任意地址訪問本機(jī)的TCP 222 和23 端口。

這樣，只有符合要求的流量才可以訪問。執(zhí)行“classmap routecpp”命令，創(chuàng)建名為“routecpp”的Class-MAP。執(zhí)行“match accessgroup name kzcaq”命令，將上述指定的流量匹配過來。執(zhí)行“exit” “policymap xycpp1”命令，創(chuàng)建名為“xycpp1”的Policy-MAP。執(zhí)行“class routecpp”“drop” “exit” “controlplane host” “servicepolicy input xycpp1” “end”命令，將上述許可的流量丟棄。對于上述禁止的流量來說，則允許其訪問R2 上的SSH 和Telnet 服務(wù)。這是因?yàn)槭褂昧恕癲rop”命令的緣故。從R1 的地址發(fā)起的連接所產(chǎn)生的流量位于非丟棄的范圍，所以可以從R1 上使用Telnet 或者SSH 連接，對R2 進(jìn)行管理。

使用MPP 實(shí)現(xiàn)安全訪問

使用管理層面安全控制，需要指定路由器上一個接口作為OOB 控制之用。其實(shí)現(xiàn)方法與上述基本相同，所不同的在于最后的指令。即將其中的“service-policy input xycpp1”指令進(jìn)行修改，并替換為“managementinterface f0/0 allow snmp ssh”命令，也就是將“f0/0”接口設(shè)置為帶外網(wǎng)管接口，只允許SNMP 和SSH 進(jìn)行連接。當(dāng)然，還可以設(shè)置其他的訪問方式，包括FTP、HTTP、HTTPS、TFTP 以及Telnet 等。

其余的命令和上例基本相同。由于沒有使用Telnet服務(wù)，所以可以將上述“deny tcp 10.1.1.0 0.0.0.255 any eq 23”改為“deny udp 10.1.1.0 0.0.0.255 any eq 161”，來允許SNMP 服務(wù)。之后在R2 上執(zhí)行“show mana gement-interface”命令，顯示管理接口以及允許的訪問協(xié)議。

這樣，R1 就可以通過SSH或者SNMP 方式順利訪問R2，而R3 則無法訪問。

注意，如果要刪除上述命令，建議使用“no manage ment-interface f0/0 allow”命令來實(shí)現(xiàn)。