帥志軍 王和平

本文是江西省教育廳省級(jí)課題““網(wǎng)絡(luò)安全與管理”課程項(xiàng)目教學(xué)改革的研究與實(shí)踐”的研究成果。

摘要：信息產(chǎn)業(yè)時(shí)代最重要、最關(guān)鍵的組成部分就是網(wǎng)絡(luò)，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用對(duì)人類生活方式的影響越來(lái)越大。雖然計(jì)算機(jī)網(wǎng)絡(luò)給人們帶來(lái)了巨大的便利，但互聯(lián)網(wǎng)是一個(gè)面向大眾的開(kāi)放系統(tǒng)，對(duì)信息的保密和系統(tǒng)的安全考慮得并不完備，存在著安全隱患，網(wǎng)絡(luò)的安全形勢(shì)日趨嚴(yán)峻。路由器作為因特網(wǎng)上最為重要的設(shè)備之一，路由器的安全將直接影響整個(gè)網(wǎng)絡(luò)的安全。保護(hù)路由器的安全還是需要網(wǎng)管員配置相關(guān)的安全措施。這就是本課題研究的意義。

關(guān)鍵詞：網(wǎng)絡(luò)安全；SYSLOG；AAA

一、網(wǎng)絡(luò)安全研究的現(xiàn)狀

經(jīng)過(guò)調(diào)查，得知目前國(guó)內(nèi)有不少高職院校在相關(guān)計(jì)算機(jī)類專業(yè)中，比如：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)信息管理和信息安全等專業(yè)，都開(kāi)設(shè)有“網(wǎng)絡(luò)安全與管理”或相近課程。但課程內(nèi)容都沿襲著本科教學(xué)內(nèi)容，偏重原理性知識(shí)；在教學(xué)方法與手段上，還基本上是按照本科院校的做法。課程教學(xué)內(nèi)容與教學(xué)手段與高職院校的人才培養(yǎng)目標(biāo)存在一定的差距。

為了使學(xué)生在畢業(yè)后能與所從事的專業(yè)崗位能力要求進(jìn)行對(duì)接，我院在軟件技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)信息管理等專業(yè)中進(jìn)行了項(xiàng)目教學(xué)方法的探索與實(shí)踐，并積累了一定的經(jīng)驗(yàn)。計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用已經(jīng)涉及到社會(huì)的方方面面，網(wǎng)絡(luò)安全管理人才的需求也顯得非常迫切。

二、配置路由器的Syslog，SSH服務(wù)

（一）技術(shù)簡(jiǎn)介

路由器密碼配置：黑客可以利用各種不同方法發(fā)現(xiàn)路由器管理密碼。他們可以利用用戶的個(gè)人信息猜測(cè)密碼，或嗅探包含明文配置文件的數(shù)據(jù)包，黑客也使用類似L0phtCrack和Cain& Abel的工具進(jìn)行暴力攻擊或猜測(cè)密碼。所以，為了保護(hù)路由器安全，在使用密碼時(shí)應(yīng)遵守一些原則。這些原則可以減少通過(guò)猜測(cè)和黑客攻擊獲得密碼的機(jī)會(huì)。

實(shí)施了密碼和本地驗(yàn)證并不能阻止設(shè)備成為被攻擊的目標(biāo)。DoS攻擊發(fā)起很多的連接請(qǐng)求，以至于設(shè)備不能為系統(tǒng)管理員提供正常的登錄服務(wù)。字典攻擊，用于獲取設(shè)備的管理訪問(wèn)權(quán)限，會(huì)嘗試數(shù)千的用戶名和密碼，其結(jié)果類似于DoS攻擊，使得設(shè)備不能處理正常的用戶請(qǐng)求。網(wǎng)絡(luò)需要配置防護(hù)系統(tǒng)來(lái)檢測(cè)和防止此類攻擊。啟動(dòng)檢測(cè)后，網(wǎng)絡(luò)設(shè)備可以通過(guò)拒絕進(jìn)一步的請(qǐng)求連接來(lái)防止反復(fù)的失敗嘗試登陸。思科的IOS登錄高級(jí)特性在創(chuàng)建虛擬連接（如Telnet、SSH、HTTP）時(shí)，為思科IOS設(shè)備提供了更好的安全性，可以減少字典攻擊和防止DoS攻擊。為了獲得更好的虛擬登錄連接的安全性，應(yīng)配置如下參數(shù)：

兩次成功登錄之間的延遲，如果檢測(cè)到DoS攻擊，應(yīng)關(guān)閉登錄，為登錄建立系統(tǒng)日志。

（二）路由器遠(yuǎn)程管理

在啟動(dòng)路由器的遠(yuǎn)程管理時(shí)，最重要的要考慮通過(guò)網(wǎng)絡(luò)發(fā)送信息的安全隱患。傳統(tǒng)上，路由器的遠(yuǎn)程訪問(wèn)使用TCP端口23的Telnet。但Telnet是在安全不是問(wèn)題的年代開(kāi)發(fā)的，因此所有Telnet流量都使用文明傳輸。使用這個(gè)協(xié)議，關(guān)鍵數(shù)據(jù)很容易被攻擊者截獲，如路由器的配置信息。黑客可以利用協(xié)議的分析軟件（如wireshark）抓取管理員計(jì)算機(jī)發(fā)送的數(shù)據(jù)包。如果獲取了Telnet的初始流量，那么攻擊者就可以知道管理員的用戶名和密碼。所以安全的SSH取代不安全的Telnet是趨勢(shì)，SSH已經(jīng)代替Telnet提供遠(yuǎn)程路由器的管理，它支持連接的機(jī)密性以及會(huì)話的完整性。其功能類似帶外的Telnet連接，但其連接加密，運(yùn)行于22號(hào)端口。由于驗(yàn)證和加密功能，SSH提供通過(guò)非安全網(wǎng)絡(luò)的安全通信。

路由器系統(tǒng)日志： 系統(tǒng)日志是網(wǎng)絡(luò)安全策略的重要內(nèi)容。思科路由器可以根據(jù)配置的變化、ACL違規(guī)行為、接口狀態(tài)和其他事件記錄路由器的日志信息。思科路由器也可以發(fā)送日志信息到不同的設(shè)備上。通過(guò)日志，可以發(fā)現(xiàn)路由器的一些問(wèn)題和故障。

（三）配置網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）

雖然在小型的網(wǎng)絡(luò)中可以使用手工方法，但隨著網(wǎng)絡(luò)的發(fā)展，要確保所有的設(shè)備運(yùn)行于同步的時(shí)間將變得困難。即使在小型的網(wǎng)絡(luò)環(huán)境中，手工方法也并不理想。如果路由器重啟，從哪里獲得網(wǎng)絡(luò)時(shí)間呢？好的方法是在網(wǎng)絡(luò)中配置NTP。NTP可以使得網(wǎng)絡(luò)中的所有路由器的時(shí)間與NTP服務(wù)器同步。

（四）實(shí)驗(yàn)設(shè)計(jì)

網(wǎng)絡(luò)拓?fù)鋱D中有三個(gè)路由器。在所有的路由器上配置NTP和Syslog，在R3上實(shí)現(xiàn)登錄。

NTP協(xié)議能夠利用NTP服務(wù)器同步路由器的時(shí)間。一個(gè)NTP客戶端組，從統(tǒng)一的服務(wù)器獲得時(shí)間和日期信息，使得它們有一致的時(shí)間設(shè)置，Syslog消息更容易分析。這幫助解決網(wǎng)絡(luò)攻擊問(wèn)題。當(dāng)NTP在網(wǎng)絡(luò)中開(kāi)啟，它可以是設(shè)立一個(gè)私人的主時(shí)鐘用來(lái)同步，或在互聯(lián)網(wǎng)上利用NTP服務(wù)器。

配置路由器，以允許軟件時(shí)鐘由NTP時(shí)間服務(wù)器來(lái)同步，此外，定期更新路由硬件時(shí)鐘信息從NTP服務(wù)器。否則，硬件時(shí)鐘會(huì)逐漸不準(zhǔn)確，軟件時(shí)鐘和硬件時(shí)鐘彼將會(huì)失去同步。

Syslog服務(wù)器在本實(shí)驗(yàn)會(huì)提供消息記錄。配置路由器，以確定遠(yuǎn)程主機(jī)（Syslog服務(wù)器）能夠接受日志消息。

配置路由器的時(shí)間戳消息服務(wù)，顯示正確的時(shí)間和日期的Syslog消息，在使用Syslog來(lái)監(jiān)視網(wǎng)絡(luò)攻擊很重要。如果消息的正確時(shí)間和日期不知道，是很難確定網(wǎng)絡(luò)問(wèn)題有何引起。

R2可以看成ISP（Internet Service Provider），有兩個(gè)遠(yuǎn)程網(wǎng)絡(luò)連接到它：R1和R2。在R3的本地管理員可以實(shí)現(xiàn)路由器的管理以及解決問(wèn)題，然而，R3作為一個(gè)管理角色，ISP需要能夠訪問(wèn)到R3，實(shí)施偶爾的故障排除和更新。所以要提供一個(gè)安全的訪問(wèn)方式，現(xiàn)在主要使用SSH，而不使用不安全的telnet。使用CLI來(lái)配置SSH安全連接。SSH將所有通過(guò)網(wǎng)絡(luò)的信息都進(jìn)行加密，并且提供遠(yuǎn)程計(jì)算機(jī)的身份驗(yàn)證。SSH正在迅速取代telnet成為網(wǎng)絡(luò)管理專業(yè)人員的工具。

三、路由器的AAA認(rèn)證

網(wǎng)絡(luò)必須設(shè)計(jì)為能夠控制允許誰(shuí)連接到網(wǎng)絡(luò)，以及在連接到網(wǎng)絡(luò)時(shí)允許做什么。這些設(shè)計(jì)規(guī)則在網(wǎng)絡(luò)安全策略中定義。網(wǎng)絡(luò)安全策略規(guī)定網(wǎng)絡(luò)管理員、公司用戶、遠(yuǎn)程用戶、商業(yè)合作伙伴以及客戶如何訪問(wèn)網(wǎng)絡(luò)資源。網(wǎng)絡(luò)安全策略還要求實(shí)現(xiàn)一個(gè)能夠跟蹤誰(shuí)在何時(shí)登陸進(jìn)網(wǎng)絡(luò)以及在登陸進(jìn)網(wǎng)絡(luò)期間行為的記賬。只使用用戶模式或特權(quán)模式加口令的方法來(lái)管理網(wǎng)絡(luò)接入是不夠的，而且不具備良好的擴(kuò)展性。使用認(rèn)證、授權(quán)和記賬（Authentication， Authorization and Accounting， AAA）協(xié)議則為實(shí)現(xiàn)可擴(kuò)展的訪問(wèn)安全性提供了必要的機(jī)制。

【參考文獻(xiàn)】

[1]張宏科，蘇偉.路由器原理與技術(shù)[M].北京：高等教育出版社，2010

[2]Wendell Odom.Routers and Routing Basics[M].北京：人民郵電出版社，2008

[3]王達(dá).路由器配置與管理完全手冊(cè)-cisco篇[M].武漢華中科技大學(xué)出版社，2011

作者簡(jiǎn)介：

帥志軍（1977-），男，江西南昌人，講師，江西現(xiàn)代職業(yè)技術(shù)學(xué)院教師，碩士，主要研究方向：網(wǎng)絡(luò)安全、硬件和軟件。

王和平（1968-），男，江西吉安人，教授，江西現(xiàn)代職業(yè)技術(shù)學(xué)院信息工程分院計(jì)算機(jī)系主任，主要研究方向：網(wǎng)絡(luò)安全、硬件和軟件。