0×1.思科路由密碼安全淺析
對路由器最直接有效的攻擊手段就是獲取管理密碼（vty密碼和特權密碼等），保護路由器密碼安全的方法包括：
設置一個復雜的密碼：一個強密碼應該具有的特點是"包含數字、包含大寫字母、包含小寫字母、包含特殊符號"；不要在密碼中使用生日格式如:19901203；不要在密碼中使用英文字典中最常用的單詞如：hello等；不要在密碼中包含電話號碼、區號、手機號等。因為這些東西能很容易的放入壞人暴力猜解的字典中進行組合，最后就能獲得你的密碼。對配置文件中的密碼實行加密：在全局配置模式下輸入這條命令"service password-encryption"能夠對所有密碼進行加密，雖然這種加密可以破解，但至少增加了一道防線。特權密碼的設置：創建特權密碼應該使用"enable secret"而不是"enable password"。設置密碼最小長度：在全局配置模式下輸入"security passwords min-length 12"，可以將密碼的最小長度設置成12位。密碼存放：不要將密碼隨便的記錄在一臺不安全的計算機的文本文件里；如果你將密碼寫在紙上，在密碼更改以前不要隨便將這張紙丟進垃圾桶，因為壞人可以從垃圾桶翻出很多敏感信息，其中就包括你的密碼，或者你習慣的編碼方式。
0×2.如何限制遠程訪問
可以使用ACL來設置僅允許管理員的IP登錄這臺設備的VTY終端：
01

R1>
en

02

R1#
conf
t

03

/啟用路由密碼加密，會將所有配置中的明文密碼都加密存放/

04

R1(config)#service
password
-encryption

05

06

/設置密碼最小長度是12/

07

R1(config)#security passwords min-length 12

08

09

/如果密碼長度不夠將不會配置成功/

10

R1(config)#
enable
secret
123

11

% Password too short - must be at least 12 characters. Password configuration failed

12

R1(config)#
enable
secret
www.qingsword.com

13

14

/*

15

• 使用ACL允許192.168.1.200訪問，這里演示使用了一個簡單ACL，

16

• 如果使用其他網管軟件管理路由，可以使用復雜ACL允許管理IP和軟件相應的端口。

17

*/

18

R1(config)#
access-list
1
permit
192.168.1.200

19

R1(config)#line
vty
0 4

20

R1(config-line)#
password
ccna

21

/因為前面設置了密碼最小長度是12個字符，所以這里報錯了。/

22

% Password too short - must be at least 12 characters. Password configuration failed

23

R1(config-line)#
password
www.qingsword.com

24

R1(config-line)#
access-class
1 in /將ACL 1應用于VTY/

25

R1(config-line)#
login

26

R1(config-line)#
end

這樣設置后，VTY 0-4號線路就只有IP是192.168.1.200這個用戶可以連上了。
0×3.如何使用SSH代替Telnet
Telnet使用明文的方式傳輸密碼，在Internet上使用明文傳輸密碼是非常不安全的，可以通過SSH（Secure Shell）遠程登錄和管理路由，SSH傳輸的時候使用RSA加密，就算數據包被捕獲，也是RSA加密后的數據包。
下面在GNS3中來做一下這個實驗，設備連線與IP地址如下圖（圖1）所示，在R1上配置允許ssh連接的vty線路：

圖1

R1配置：
01

Router>
en

02

Router#
conf
t

03

04

/一定要改變路由默認的名稱并且配置一個域名，用來生成密鑰/

05

Router(config)#
host
R1

06

R1(config)#
ip
domain name www.qingsword.com

07

08

/生成
rsa
非對稱密鑰，可以看到輸出中
key
的名字就是我們上面配置的路由名稱和域名的組合/

09

R1(config)#
crypto
key
generate
rsa

10

The name for the keys will be: R1.www.qingsword.com

11

Choose the size of the
key
modulus in the range of 360 to 2048 for your

12

General Purpose Keys. Choosing a
key
modulus greater than 512 may take

13

a few minutes.

14

15

/*

16

• 輸入密鑰長度，直接回車則使用默認長度，

17

• 長度可以是360到2048。

18

*/

19

How many bits in the modulus [512]:

20

% Generating 512 bit RSA keys, keys will be non-exportable...[OK]

21

22

/配置本地的用戶名和密碼用于
ssh
驗證登陸/

23

R1(config)#
username
qingsword
password
www.qingsword.com

24

25

/配置
vty
線路0~4/

26

R1(config)#line
vty
0 4

27

/僅允許
ssh
登陸/

28

R1(config-line)#
transport
input
ssh

29

/使用本地創建的用戶密碼驗證/

30

R1(config-line)#
login
local

31

R1(config-line)#
exit

32

33

/*
ssh
選項，連接
ssh
后30秒未操作則超時*/

34

R1(config)#
ip
ssh
time-out 30

35

/允許三次密碼錯誤嘗試/

36

R1(config)#
ip
ssh
authentication
-retries 3

37

38

/配置特權密碼/

39

R1(config)#
enable
secret
www.qingsword.com

40

41

/配置接口IP/

42

R1(config)#
int
s 0/0

43

R1(config-if)#
ip
add
12.1.1.1 255.255.255.0

44

R1(config-if)#
no
shut

45

R1(config-if)#
end

R2配置：
01

R2(config)#
int
s 0/0

02

R2(config-if)#
ip
add
12.1.1.2 255.255.255.0

03

R2(config-if)#
no
shu

04

R2(config-if)#
end

05

06

/完成后確保R2可以
ping
通R1，然后在R2上使用
ssh
命令登陸R1，-l參數后面是R1上創建的用戶名/

07

R2#
ssh
-l qingsword 12.1.1.1

08

Password: www.qingsword.com

09

R1>/登陸成功/

10

11

/大家可以嘗試下R2上telnet連接R1，如果配置無誤此時telnet是無法連接的/

0×4.如何記錄日志
通常使用Console端口對路由進行配置時，可以看到來自路由的監控提示消息，比如開啟或關閉一個端口就會出現相應的提示，但是通過VTY遠程登錄的時候卻看不到這些提示，也看不到Debug命令的輸出，這是因為虛擬終端默認情況下是關閉監控的，可以使用下面的命令來打開監控：
01

/接著上面的實驗，在R2
ssh
登陸R1后，在R1上創建一個回環接口/

02

R2#
ssh
-l qingsword 12.1.1.1

03

Password: www.qingsword.com

04

R1>
en

05

Password: www.qingsword.com

06

R1#
conf
t

07

R1(config)#
int
lo
0

08

/切換到R1的控制臺，控制臺中出現了下面這種新接口啟用的輸出，但是在
ssh
或telnet登陸窗口卻看不到這樣的輸出/

09

*Mar 1 00:21:00.599: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up

10

11

/在
ssh
登陸窗口，使用下面的命令打開遠程登錄窗口的監控提示/

12

R1(config)#
exit

13

R1#
terminal
monitor

14

% Console already monitors

15

16

/再次創建一個回環接口，這一次
ssh
窗口也出現了提示/

17

R1#
conf
t

18

R1(config)#
int
lo
1

19

*Mar 1 00:23:55.303: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback1, changed state to up

20

21

/關閉遠程終端監控功能/

22

R1(config)#
end

23

R1#
terminal
no
monitor

下面是一些和日志記錄有關的命令，僅供參考：
01

/關閉日志記錄/

02

R1(config)#
no
logging
on

03

04

/開啟日志記錄/

05

R1(config)#
logging
on

06

07

/設置日志記錄緩存，后面的7是最高級別，記錄所有信息/

08

R1(config)#
logging
buffered 7

09

10

/給記錄的debug消息添加時間戳，單位精確到毫秒/

11

R1(config)#service timestamps debug datetime msec

12

13

/給記錄的log消息添加時間戳，單位精確到毫秒/

14

R1(config)#service timestamps log datetime msec

15

R1(config)#
end

16

17

/顯示本地緩存中的日志信息/

18

R1#
show
logging

路由緩存的空間是有限的，一般的做法是配置一臺日志服務器，將路由和交換機的日志信息發送到服務器上，這樣可以避免路由重啟或者其他原因導致日志信息的丟失。
0×5.如何禁用思科路由不必要的服務和端口
可以使用下面這條命令來手動或者自動的配置路由，禁用一些不必要的服務和端口：

1

/不帶參數，進入交互配置模式，根據提示設置即可/

2

Router#auto secure

3

4

/還有一種簡便模式，非交互式，使用的是思科推薦的安全配置（除非你知道自己在做什么，否則不要隨意在真實環境中配置下面的語句）/

5

R1#auto secure
no
-interact