強化路由器管理安全

■ 河南 劉景云

編者按：網絡管理人員經常使用到路由器或交換機進行網絡管理，這就會涉及到許多相關的管理協議，例如Telnet、SSH、基于HTTP/HTTPS 的Web 訪問以及SNMP 等。網絡設備之所以可以接收和執行管理人員發出的指令，其主要是在管理層面發揮作用。在路由器等設備中，管理層面運行在進程級別，即其需要占用設備的CPU 和內存資源。這些設備在高效處理網絡數據的同時，也會面臨一系列的安全風險。

和設備管理相關的安全威脅

在管理層面會面臨一些不可忽視的安全威脅，例如濫用路由器等設備的可用功能。

在默認情況下，網絡設備會經常開啟一些網管服務，但是管理員對安全性認識不足，沒有為其配置必要的安全認證以及授權操作，導致任何用戶都可以連接上來，進入網絡設備的管理界面，進而隨意執行各種操作。這對于網絡安全威脅很大。

解決的方法是采取一些強有力的認證方式，以及使用RDBC（基于策略和規則的訪問控制）等技術，對設備管理進行授權。這樣，當有人試圖對目標網絡設備進行管理時，當連接請求發送到設備上后，設備就會對其進行安全認證，只有通過認證獲得授權后，該用戶才可以訪問該設備，否則其將會被拒之門外。

值得說明的是，RDBC 還可以針對特定的管理命令（例如Enable 等）進行授權，只允許訪問者使用許可范圍的命令，對于之外的命令則禁止使用，這可以進一步保護設備的安全。

對于網絡設備管理會話的欺騙，同樣是不可忽視的安全威脅。當某個合法的用戶訪問目標設備時，在會話建立之后，必然會向該設備發送相關的操作指令。在此期間，如果有不法用戶進行中間人攻擊的話，這些指令就會被其攔截下來。該不法用戶對這些指令進行惡意修改后，再發送給目標設備，實現滲透攻擊的目的。這就是該種攻擊的原理。

解決的方式是對該會話進行加密處理來進行保護。當然，也可以對訪問行為進行過濾，將不安全的用戶設備排除在外。

提高管理安全性的方法

針對管理層面的安全威脅，可以采取相應的技術手段進行防御。例如，部署管理層面的訪問控制（即MPP），其原理是通過訪問控制列表，只允許安全的源來接入網絡設備，并進行網絡管理。部署RBAC 基于規則的訪問控制，在網絡設備上部署安全的SNMP（例如SNMP v3 等）管理機制，針對思科的IOS鏡像進行數字簽名，部署設備中CPU 和內存的閾值等，都可以有效提高管理層面的安全。

在具體部署管理層面安全特性時，需要考慮必要的條件。例如，在設備上允許運行哪些網絡協議，限制哪些不必要的協議，即在設備上運行盡可能少的管理協議，來降低安全風險。

例如，出于安全考慮，最好使用SSH 連接來訪問設備，禁用安全性較差的Telnet訪問。對管理流量進行控制，即允許盡可能少的源對設備進行管理。對管理設備的源會話進行控制，只允許特定的設備訪問網絡設備，禁止無關的設備接入。對用戶的角色進行控制，即不同的用戶扮演不同的角色，擁有不同的管理權限，諸如哪些用戶可以使用哪些管理權限等。部署強有力的管理認證措施，當用戶連接上來后，必須輸入復雜的密碼。

在分配用戶訪問權限時，應該本著權限最小化的原則，為它們分配盡可能小的權限，滿足實際工作需要即可。

例如，可以按照需要規劃不同的管理級別，將不同的用戶劃入對應的級別中，實現權限的區分操作。通過對IOS 鏡像進行簽名，只有被簽名的IOS 才是被授權的ISO，防范黑客在IOS 鏡像中嵌入木馬設置后門等。

相關安全控制技術的特點

下面就在思科的IOS 軟件環境下，分析如何配置管理層面的安全控制策略。

說到安全訪問控制技術，就涉及到一些控制的方法，例如，可以使用基于端口的訪問控制列表，讓合法的流量可以順利通過，丟棄非法的流量，即通過訪問控制列表對管理層面的訪問進行過濾。其優點是可以管控任何服務，限制訪問本設備的任何流量，缺點是當接口數量較多時部署起來比較麻煩。

當然，也可以使用訪問控制列表進行進程級別的訪問控制，部署針對特殊服務的訪問控制列表。例如，可以針對SSH 部署訪問控制策略，當有流量試圖訪問目標設備的SSH 服務時，如果該訪問流量的源位于訪問列表之內，則允許其訪問否則拒絕。其優點是配置簡單便于管理，缺點是其無法限制所有的服務。

通過控制層面的保護技術，來限制管理層面的一些訪問控制?？刂茖用婧凸芾韺用媸蔷o密相關的，不同的網絡設備之間要運行路由協議，必須通過控制層面的一些數據來進行交互。

這些數據的發送之前，必須在設備上針對相關的協議進行管理操作（例如設置相關參數等），之后才通過控制層面發送出去。其優點是管理和配置都比較容易，也可以限制任意服務，缺點是并非所有平臺都對其支持，其對設備和軟件的要求都很高，對于較老版本的設備無法對其提供支持。使用管理層面保護技術（MPP），優點是配置簡單，并支持OOB（帶外管理）訪問控制，缺點是設備需要支持OOB。

搭建所需的網絡環境

這里以一個簡單的網絡來說明如何實現以上保護技術。當然，基于端口的訪問控制即使比較簡單，這里就不再贅述。

在一臺交換機上連接了R1、R2 和R3 三臺路由器，R1 的F0/0 接口和交換機的F0/1 端口連接，R2 的F0/0接口和交換機的F0/20 端口連接，f0/1 接口和交換機的F0/21 端口連接，R3 的F0/0接口和交換機的F0/3 號端口連接。在交換機上執行“cdp neighbors”命令，可以查看連接的端口信息。

在交換機上執行“conf t”命令，進入全局配置模式，執行“vlan 10” “name luyou1”，創建VLAN10，并為其設置名稱。執行“vlan 20” “name luyou2”命令，創建VLAN 20，并為其設置名稱。執行：

將F0/1，F0/22 設置為Access 接口，加入到VLAN 10 中，并讓其收斂的更快速。

執行以下命令：

將F0/3，F0/21 設置為Access 接口，加入到VLAN 10 中，并讓其收斂的更快速。

這樣，就將上述不同的端口規劃到不同的VALN，實現了邏輯上分隔。在R1 上進入全局配置模式，執行以下命令，設置f0/0 端口的IP：

執行“ip route 0.0.0.0 0.0.0.0 10.1.1.2”命令，設置其默認路徑，指定下一條的地址。同樣地，在R2 上執行以下命令，分別設置兩個端口的IP：

在R3 上執行以下命令：

設置這些端口的地址以及默認路由信息。

針對特殊服務，配置管控規則

組建好了所需的網絡環境后，在R2 的全局配置模式下執行“line vty 0 15” 和“end”命令，開啟VTY 訪問接口。

執 行“username user1 password mima1”命令，為其設置訪問的賬戶名和密碼。執行“line vty 0 10”“login local” “end”命令，完成VTY 的配置操作。

在R2 上執行“ip domain name xxx.com”命令，創建一個域名。然后執行“crypt key generate rsa modulus 1024”命令，產生開啟SSH 服務所需的密碼。之后可以通過VTY 訪問R2。

例如，可以在R1 上執行“telnet 10.1.1.2”命令，并輸入上述賬戶名和密碼，可以進入R2 管理界面?；蛘咴赗1 執行“ssh -l user1 10.1.1.2”命令，輸入密碼后，通過SSH 方式進入R2 管理界面。當然，在R3 上也可以執行同樣的登錄操作。

為了提高安全性，只允許特定的流量通過SSH 和SNMP對R2 進行管理。為此，我們可以在R2 上執行：

可以創建名為“100”的訪問控制列表，并且只允許指定的IP 范圍執行訪問操作，對于非法的訪問彈出Log信息。

執行“line vty 0 10”“access-class 100 in tran sport input ssh”命令，只允許上述ACL 列表中指定的范圍的IP 訪問，其余的流量將被禁止。

這樣就只能在R1 上通過SSH 訪問R2 的管理界面，在R3 上則禁止訪問。因為R1的地址設置符合要求，這樣即使有人知道了連接密碼，在R3 上也無法對R2 進行管理，這有效提高了管理的安全性。

在R2 全局模式下執行“snmp-server community xxxxxx ro 100”命令，這樣只有該ACL 指定的流量才可以通過SNMP 對R2 進行訪問。其中的“xxxxxx”為具體的團體名。

使用控制層面保護，實現安全訪問

除了針對特殊服務配置安全訪問規則外，還可以使用控制層面的保護機制來實現安全訪問。

首先在R2 上執行“no access -list 100” “line vty 0 10” “transport input all” “no access-class 100 in”等命令，清除上面的規則。然后執行“ip accesslist extended kzcaq”命令，來創建名為“kzcaq”的擴展控制列表。執行“deny tcp 10.1.1.0 0.0.0.255 any eq 22” “deny tcp 10.1.1.1.0 0.0.0.255 any eq 23”命令，禁止指定的IP 范圍訪問本機的TCP 22 和23 端口，即將這些流量排除在外。執行“permit tcp any any eq 22” “permit tcp any any eq 23” “exit”命令，允許其余的任意地址訪問本機的TCP 222 和23 端口。

這樣，只有符合要求的流量才可以訪問。執行“classmap routecpp”命令，創建名為“routecpp”的Class-MAP。執行“match accessgroup name kzcaq”命令，將上述指定的流量匹配過來。執行“exit” “policymap xycpp1”命令，創建名為“xycpp1”的Policy-MAP。執行“class routecpp”“drop” “exit” “controlplane host” “servicepolicy input xycpp1” “end”命令，將上述許可的流量丟棄。對于上述禁止的流量來說，則允許其訪問R2 上的SSH 和Telnet 服務。這是因為使用了“drop”命令的緣故。從R1 的地址發起的連接所產生的流量位于非丟棄的范圍，所以可以從R1 上使用Telnet 或者SSH 連接，對R2 進行管理。

使用MPP 實現安全訪問

使用管理層面安全控制，需要指定路由器上一個接口作為OOB 控制之用。其實現方法與上述基本相同，所不同的在于最后的指令。即將其中的“service-policy input xycpp1”指令進行修改，并替換為“managementinterface f0/0 allow snmp ssh”命令，也就是將“f0/0”接口設置為帶外網管接口，只允許SNMP 和SSH 進行連接。當然，還可以設置其他的訪問方式，包括FTP、HTTP、HTTPS、TFTP 以及Telnet 等。

其余的命令和上例基本相同。由于沒有使用Telnet服務，所以可以將上述“deny tcp 10.1.1.0 0.0.0.255 any eq 23”改為“deny udp 10.1.1.0 0.0.0.255 any eq 161”，來允許SNMP 服務。之后在R2 上執行“show mana gement-interface”命令，顯示管理接口以及允許的訪問協議。

這樣，R1 就可以通過SSH或者SNMP 方式順利訪問R2，而R3 則無法訪問。

注意，如果要刪除上述命令，建議使用“no manage ment-interface f0/0 allow”命令來實現。