思科路由安全浅析

　　今天，这篇文章主要对Cisco路由密码的安全、远程访问的设置以及怎样使用SSH代替Telnet进行安全的登录、日志的记录、不常用服务以及端口的禁用等等进行简单的介绍。

　　（一）思科路由密码安全浅析

　　对路由器最直接有效的攻击手段是获取管理密码，就是说vty密码和特权密码等，保护路由器密码安全的方法包括：

　　设置一个复杂的密码：一个强密码应该具有的特点为：包含数字、包含大写字母、包含小写字母、包含特殊符号。尽量别在密码中使用生日格式如:19901203；别在密码中使用英文字典中最常用的单词如：hello等等；不要在密码中包含电话号码、区号、手机号等等。原因是这些东西很容易的放入坏人暴力猜解的字典中进行组合，这样就能获得你的密码。

　　对配置文件中的密码实行加密：在全局配置模式下输入命令"servicepassword-encryption"，就能对所有密码进行加密，即使能被破解，但是至少增加了一道防线。

　　特权密码的设置：创建特权密码要使用"enablesecret"，而不是"enablepassword"。

　　设置密码最小长度：在全局配置模式下输入"securitypasswordsmin-length12"，就能把密码的最小长度设置为12位。

　　密码存放：不要把密码随意记录在不安全的计算机的文本文件里，要是把密码写在纸上，在密码更改前就不要随便丢掉，原因是坏人可以从垃圾桶翻出很多敏感信息，包括你的密码或是习惯的编码方式。

　　（二）限制远程访问

　　使用ACL来设置只允许管理员的IP登录这台设备的VTY终端：

　　设置后，VTY0-4号线路就只有用户IP是192.168.1.200能连上。

　　（三）使用SSH代替Telnet

　　Telnet使用明文的方式传输密码，在Internet上使用明文传输密码很不安全，能通过SSH远程登录和管理路由，SSH传输的时候用RSA加密，就算数据包被捕获，也只是RSA加密后的数据包。

　　然后，在GNS3中来做这个实验，设备连线与IP地址如图，在R1上配置允许ssh连接的vty线路：

　　R1配置：

　　R2配置：

　　（四）记录日志

　　一般，使用Console端口对路由进行配置的时侯，能看到来自路由的监控提示的消息。例如，开启或者关闭一个端口会出现对应的提示，通过VTY远程登录时就看不到这些提示，也不能看到debug命令的输出，是由于虚拟终端默认情况下是关闭监控的，能使用下面的命令打开监控：

　　以下是与日志记录有关的命令：

　　路由缓存的空间是有限的，一般会配置一台日志服务器，将路由和交换机的日志信息发送到服务器上，就能避免路由重启或由于其他原因导致日志信息的丢失。

　　（五）禁用思科路由不必要的服务和端口

　　能用以下命令来进行手动或自动的配置路由，避免用不必要的服务和端口：

　　上面就是关于Cisco路由密码的安全、远程访问的设置以及怎么使用SSH代替Telnet进行安全的登录、日志的记录、不常用服务和端口的禁用等等的全部内容了。如果希望能够学习到更多关于CCNA的内容，那就请继续关注我们的网站：课课家教育吧。