考虑到路由器的作用和位置,路由器配置的好坏不仅影响本身的安全也影响整个网络的安全。目前路由器(以Cisco为例)本身也都带有一定的安全功能,如访问列表、加密等,但是在缺省配置时,这些功能大多数都是关闭的。需要进行手工配置。怎样的配置才能最大的满足安全的需要,且不降低网络的性能?本文从以下几个部分分别加以说明:
一. 口令治理
口令是路由器是用来防止对于路由器的非授权访问的主要手段,是路由器本身安全的一部分。最好的口令处理方法是将这些口令保存在TACACS 或RADIUS认证服务器上。但是几乎每一个路由器都要有一个本地配置口令进行权限访问。如何维护这部分的安全?
1. 使用enable secret
enable secret 命令用于设定具有治理员权限的口令。并且假如没有enable secret,则当一个口令是为控制台TTY设置的,这个口令也能用于远程访问。这种情况是不希望的。还有一点就是老的系统采用的是enable passWord,虽然功能相似,但是enable password采用的加密算法比较弱。
2. 使用service password-encryption
这条命令用于对存储在配置文件中的所有口令和类似数据(如CHAP)进行加密。避免当配置文件被不怀好意者看见,从而获得这些数据的明文。但是service password-encrypation的加密算法是一个简单的维吉尼亚加密,很轻易被破译。这主要是针对enable password命令设置的口令。而enable secret命令采用的是MD5算法,这种算法很难进行破译的。但是这种MD5算法对于字典式攻击还是没有办法。