Router(Config)# access-list 108 permit ip any any
Router(Config-if)# ip access-group 108 in
5、 ICMP协议的安全配置。对于进入ICMP流,我们要禁止ICMP协议的ECHO、Redirect、Mask request。也需要禁止TraceRoute命令的探测。对于流出的ICMP流,我们可以允许ECHO、Parameter Problem、Packet too big。还有TraceRoute命令的使用。
! outbound ICMP Control
Router(Config)# access-list 110 deny icmp any any echo Router(Config)# access-list 110 deny icmp any any redirect Router(Config)# access-list 110 deny icmp any any mask-request Router(Config)# access-list 110 permit icmp any any ! Inbound ICMP Control
Router(Config)# access-list 111 permit icmp any any echo
Router(Config)# access-list 111 permit icmp any any Parameter-problem Router(Config)# access-list 111 permit icmp any any packet-too-big Router(Config)# access-list 111 permit icmp any any source-quench Router(Config)# access-list 111 deny icmp any any ! Outbound TraceRoute Control
Router(Config)# access-list 112 deny udp any any range 33400 34400 ! Inbound TraceRoute Control
Router(Config)# access-list 112 permit udp any any range 33400 34400
6、 DDoS(Distributed Denial of Service)的防范。 ! The TRINOO DDoS system
Router(Config)# access-list 113 deny tcp any any eq 27665 Router(Config)# access-list 113 deny udp any any eq 31335 Router(Config)# access-list 113 deny udp any any eq 27444 ! The Stacheldtraht DDoS system
Router(Config)# access-list 113 deny tcp any any eq 16660 Router(Config)# access-list 113 deny tcp any any eq 65000 ! The TrinityV3 System
Router(Config)# access-list 113 deny tcp any any eq 33270 Router(Config)# access-list 113 deny tcp any any eq 39168 ! The SubSeven DDoS system and some Variants
Router(Config)# access-list 113 deny tcp any any range 6711 6712 Router(Config)# access-list 113 deny tcp any any eq 6776 Router(Config)# access-list 113 deny tcp any any eq 6669 Router(Config)# access-list 113 deny tcp any any eq 2222 Router(Config)# access-list 113 deny tcp any any eq 7000 Router(Config)# access-list 113 permit ip any any
Router(Config-if)# ip access-group 113 in
7、 Sql蠕虫的防范 Router(Config)# access-list 114 deny udp any any eq 1434 Router(Config)# access-list 114 permit ip any any
Router(Config-if)# ip access-group 114 in
8、 减少BGP的收敛时间,保证黑客攻击后网络能尽快恢复。
建议增加如下配置:(需在所有运行BGP的路由器上增加)
1、在每个BGP互连的接口上,增加hold-queue 1500命令,将接口的hold-queue由默认的75增加到1500。在做此配置之前需要先检查板卡的内存,确保其free memory至少为20M。 2、增加以下有关TCP的配置,增强BGP的收敛性能。 ip tcp selective-ack ip tcp mss 1460
ip tcp window-size 65535 ip tcp queuemax 50 ip tcp path-mtu-discovery
3、在GSR上,增加ip cef linecard ipc memory 10000命令,提高download FIB的速度。
9、 启用CAR和系统日志等来增强(略)
其他注意事项: 1,及时的升级IOS软件,并且要迅速的为IOS安装补丁。 2,要严格认真的为IOS作安全备份。 3,要为路由器的配置文件作安全备份。 4,购买UPS设备,或者至少要有冗余电源。 5,要有完备的路由器的安全访问和维护记录日志。
关于强化网络互连设备安全配置脚本 (参考)
xjccw_cisco(config)# !
service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担; service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接, service tcp-keepalives-out //允许其他设备使用VTP线路;
service timestamps debug datetime msec show-timezone localtime service timestamps log deatetime msec show-timezone localtime service password-encryption //加密未加密的口令; !
no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实际情况做) logging buffered 16384 no logging console enable secret children no enable password ! AAA验证 aaa new-model
aaa authentication login xjccw group radius local username xjccw password 7 095444070D
radius-server host 10.60.4.35 auth-port 1645 acct-port 1646 radius-server timeout 120 radius-server key 7 083946401D ! AAA失效后执行
username xjccw password xjccw
! 关闭http-server no ip http server no ip http secure-server ! 支持非零子网路由及无类路由 ip subzero ip classess ! 关闭不需要的服务
no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为黑客的立足点;
no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS攻击, no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle攻击; !
no boot network //启动过程中用到TFTP,对加载过程没有安全保护;
no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患; !
no services finger //finger检测谁登陆一台主机的程序,如果有黑客知道谁在路由器上,将很 no ip finger //容易得到任何有效用户的用户ID; !
no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供认证功能; no ip source-route //源路由可以在ip包头中指定数据包应该的实际路由,带来网络安全问题; no ip bootp server //容易DOS攻击,bootp没有安全机制;
no ip domain-lookup //可以立即响应“%Unknown command”消息,指示没有可用名称解析; ! 开启cef,快速转发及mpls自身分标签行为 ip cef
! ntp功能启用
clock timezone CHN 8 ntp authenticate ntp update-calendar ntp server 132.163.4.101 ! 环回口 inter lo0 no ip redirects no ip unreachables no ip proxy-arp ! 接口或子接口 inter g*/*
Descri connect to **** //描述接口,使show interface des 更清晰直接; no ip redirects // 黑客通过破坏路由表,利用此功能发起DOS攻击;
no ip unreachables // smurf攻击的形式,利用icmp不可达,更改源地址改为攻击设备地址; no ip mask-reply // smurf攻击的改进版,发起定向广播DOS攻击;
//使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞攻击; no ip directed-broadcast // 定向广播是可路由的,DOS攻击利用此特性; no ip proxy-arp // 关闭代理ARP功能;
no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,
cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS攻击,接口上关闭mop服务; ip route-cache flow //启动 netflow,跟踪DOS攻击源;
ip verify unicast reverse-path //单播逆向路径转发以帮助阻止数据包欺骗; ip access-group BinDu in //病毒ACL接口应用 ip access-group BinDu out ! 病毒ACL配置
deny icmp any any echo-reply //拒绝任何应答
deny icmp any any host-unreachable //拒绝任何无法接通的主机 deny udp any any eq snmp //拒绝引入的SNMP deny tcp any any eq 135 deny udp any any eq 135 deny tcp any any eq 136 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 139 deny tcp any any eq 445 deny udp any any eq 445 deny tcp any any eq 593 deny tcp any any eq 707 deny tcp any any eq 1023 deny udp any any eq 1052 deny tcp any any eq 1068 deny tcp any any eq 1080 deny udp any any eq 1025 deny tcp any any eq 1433 deny tcp any any eq 1434 deny udp any any eq 1434 deny udp any any eq 1978
access-list 101 deny udp any eq 2000 //拒绝引入的openwindows access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows deny udp any any eq 2002
access-list 101 deny udp any any eq 2049 //拒绝引入的NFS access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS deny tcp any any eq 2745 deny tcp any any eq 2847 deny tcp any any eq 3055 deny tcp any any eq 3127 deny tcp any any eq 3128 deny tcp any any eq 3198 deny tcp any any eq 3372 deny udp any any eq 4156 deny tcp any any eq 4444 deny udp any any eq 4444 deny tcp any any eq 4662
deny tcp any any eq 6000 deny tcp any any eq 8006 deny udp any any eq 8006 deny tcp any any eq 8094 deny udp any any eq 8094 deny udp any any eq 10702 deny udp any any eq 13072 deny udp any any eq 16881 deny udp any any eq netbios-ns deny udp any any eq netbios-dgm
access-list 101 permit ip any any //其它均允许 !
logging source-interface Loopback0 logging 10.60.4.49 logging trap informational logging facility local1 !
snmp-server community xjccw RO snmp-server community xjccw2007 RW snmp-server host 10.60.4.49 xjccw ! line con 0
transport input none line aux 0
transport input none no exec line vty 0 4 exec-timeout 60 0 password xjccw
login authentication xjccw access-class Telnet in !
scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数; !