Enter configuration commands, one per line. End with CNTL/Z.
cisco(config)#int
cisco(config)#interface fastEthernet 0/1
cisco(config-if)#access-list 101 deny ip host 210.224.*.69 any
cisco(config)#access-list 101 permit ip any any
上面的cisco命令是创建访问控制列表,阻止通过路由器的fastEthernet 0/1对IP地址为210.224.*.69(web服务器)的访问。(图4)
命令完成后在浏览器中输入http://www.*.co.jp访问,不出所料网页不能打开。(图5)
由于是安全测试,恢复网站的访问,在cisco路由器上输入命令
cisco(config)#int fastEthernet 0/1
cisco(config)#no access-list 101 deny ip host 210.224.*.69 any
上一页 [1] [2] [3] 下一页
2、防范措施
其实上面的测试并非偶然,笔者利用类似的方法就获得过本地电信的两个Cisco路由器的密码,并成功进行登录。那是如何安全部署防止类似的Cisco路由攻击呢?
(1).最小权限。Cisco路由器可以通过conso(控制台)和Vty(终端)进行登录,并且其有多个vty。作为管理员要尽可能地少开启vty,并且根据需要为其赋予不同的权限(0-15)。要遵循最小权限原则,只赋予所需的权限即可。特别是Vty权限的设置一定要注意,因为其可以远程登录。另外,路由器的VTY是有限的,当所有的vty用完之后就不能再建立远程连接了,因此我们可以通过exec-timeout命令配置vyt超时,避免因此造成的针对路由器的DOS攻击。(图6)
(2).口令加强。攻击者控制路由器首先要获取控制台或者终端的登录密码,一条复杂的密码就能够较大程度上杜绝来自于社会工程学的攻击。除了密码足够复杂外,使用enable secret命令口令进行加密,这是一定要做的。从上面的安全测试可以看到就是攻击者者下载到路由器的配置文件,如果密码加密他也无可奈何,因为Cisco的密码是128位加密的几乎没有被破解的可能性。另外,可以使用service password-encryption命令对于存储在路由器配置文件中的所有口令和类似的数据进行加密,这样可以避免明文的配置文件被查看。(图7)
(3).访问控制。除了口令加强外,还要做好路由器的访问控制。可以根据安全需要建立相应的访问列表,防范诸如伪造、Dos等恶意攻击。做访问控制,不仅要对外而且要对内的端口进行访问控制,利用我们可以在路由器中建立如下的访问列表
Router(config-if)#access-list 101 deny icmp any any redirect
Router(config)#access-list 102 deny ip 127.0.0.0 255.255.255.0 any
Router(config)#access-list 103 deny ip 224.0.0.0 31.255.255.255 any
作用是拒绝所有的Icmp重定向,拒绝Loopback的数据包,拒绝多目地址的数据包。(图8)