帥志軍 王和平

本文是江西省教育廳省級課題““網(wǎng)絡(luò)安全與管理”課程項目教學(xué)改革的研究與實踐”的研究成果。

摘要：信息產(chǎn)業(yè)時代最重要、最關(guān)鍵的組成部分就是網(wǎng)絡(luò)，計算機網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用對人類生活方式的影響越來越大。雖然計算機網(wǎng)絡(luò)給人們帶來了巨大的便利，但互聯(lián)網(wǎng)是一個面向大眾的開放系統(tǒng)，對信息的保密和系統(tǒng)的安全考慮得并不完備，存在著安全隱患，網(wǎng)絡(luò)的安全形勢日趨嚴峻。路由器作為因特網(wǎng)上最為重要的設(shè)備之一，路由器的安全將直接影響整個網(wǎng)絡(luò)的安全。保護路由器的安全還是需要網(wǎng)管員配置相關(guān)的安全措施。這就是本課題研究的意義。

關(guān)鍵詞：網(wǎng)絡(luò)安全；SYSLOG；AAA

一、網(wǎng)絡(luò)安全研究的現(xiàn)狀

經(jīng)過調(diào)查，得知目前國內(nèi)有不少高職院校在相關(guān)計算機類專業(yè)中，比如：計算機網(wǎng)絡(luò)技術(shù)、計算機信息管理和信息安全等專業(yè)，都開設(shè)有“網(wǎng)絡(luò)安全與管理”或相近課程。但課程內(nèi)容都沿襲著本科教學(xué)內(nèi)容，偏重原理性知識；在教學(xué)方法與手段上，還基本上是按照本科院校的做法。課程教學(xué)內(nèi)容與教學(xué)手段與高職院校的人才培養(yǎng)目標(biāo)存在一定的差距。

為了使學(xué)生在畢業(yè)后能與所從事的專業(yè)崗位能力要求進行對接，我院在軟件技術(shù)、計算機網(wǎng)絡(luò)技術(shù)、計算機信息管理等專業(yè)中進行了項目教學(xué)方法的探索與實踐，并積累了一定的經(jīng)驗。計算機網(wǎng)絡(luò)的應(yīng)用已經(jīng)涉及到社會的方方面面，網(wǎng)絡(luò)安全管理人才的需求也顯得非常迫切。

二、配置路由器的Syslog，SSH服務(wù)

（一）技術(shù)簡介

路由器密碼配置：黑客可以利用各種不同方法發(fā)現(xiàn)路由器管理密碼。他們可以利用用戶的個人信息猜測密碼，或嗅探包含明文配置文件的數(shù)據(jù)包，黑客也使用類似L0phtCrack和Cain& Abel的工具進行暴力攻擊或猜測密碼。所以，為了保護路由器安全，在使用密碼時應(yīng)遵守一些原則。這些原則可以減少通過猜測和黑客攻擊獲得密碼的機會。

實施了密碼和本地驗證并不能阻止設(shè)備成為被攻擊的目標(biāo)。DoS攻擊發(fā)起很多的連接請求，以至于設(shè)備不能為系統(tǒng)管理員提供正常的登錄服務(wù)。字典攻擊，用于獲取設(shè)備的管理訪問權(quán)限，會嘗試數(shù)千的用戶名和密碼，其結(jié)果類似于DoS攻擊，使得設(shè)備不能處理正常的用戶請求。網(wǎng)絡(luò)需要配置防護系統(tǒng)來檢測和防止此類攻擊。啟動檢測后，網(wǎng)絡(luò)設(shè)備可以通過拒絕進一步的請求連接來防止反復(fù)的失敗嘗試登陸。思科的IOS登錄高級特性在創(chuàng)建虛擬連接（如Telnet、SSH、HTTP）時，為思科IOS設(shè)備提供了更好的安全性，可以減少字典攻擊和防止DoS攻擊。為了獲得更好的虛擬登錄連接的安全性，應(yīng)配置如下參數(shù)：

兩次成功登錄之間的延遲，如果檢測到DoS攻擊，應(yīng)關(guān)閉登錄，為登錄建立系統(tǒng)日志。

（二）路由器遠程管理

在啟動路由器的遠程管理時，最重要的要考慮通過網(wǎng)絡(luò)發(fā)送信息的安全隱患。傳統(tǒng)上，路由器的遠程訪問使用TCP端口23的Telnet。但Telnet是在安全不是問題的年代開發(fā)的，因此所有Telnet流量都使用文明傳輸。使用這個協(xié)議，關(guān)鍵數(shù)據(jù)很容易被攻擊者截獲，如路由器的配置信息。黑客可以利用協(xié)議的分析軟件（如wireshark）抓取管理員計算機發(fā)送的數(shù)據(jù)包。如果獲取了Telnet的初始流量，那么攻擊者就可以知道管理員的用戶名和密碼。所以安全的SSH取代不安全的Telnet是趨勢，SSH已經(jīng)代替Telnet提供遠程路由器的管理，它支持連接的機密性以及會話的完整性。其功能類似帶外的Telnet連接，但其連接加密，運行于22號端口。由于驗證和加密功能，SSH提供通過非安全網(wǎng)絡(luò)的安全通信。

路由器系統(tǒng)日志： 系統(tǒng)日志是網(wǎng)絡(luò)安全策略的重要內(nèi)容。思科路由器可以根據(jù)配置的變化、ACL違規(guī)行為、接口狀態(tài)和其他事件記錄路由器的日志信息。思科路由器也可以發(fā)送日志信息到不同的設(shè)備上。通過日志，可以發(fā)現(xiàn)路由器的一些問題和故障。

（三）配置網(wǎng)絡(luò)時間協(xié)議（NTP）

雖然在小型的網(wǎng)絡(luò)中可以使用手工方法，但隨著網(wǎng)絡(luò)的發(fā)展，要確保所有的設(shè)備運行于同步的時間將變得困難。即使在小型的網(wǎng)絡(luò)環(huán)境中，手工方法也并不理想。如果路由器重啟，從哪里獲得網(wǎng)絡(luò)時間呢？好的方法是在網(wǎng)絡(luò)中配置NTP。NTP可以使得網(wǎng)絡(luò)中的所有路由器的時間與NTP服務(wù)器同步。

（四）實驗設(shè)計

網(wǎng)絡(luò)拓撲圖中有三個路由器。在所有的路由器上配置NTP和Syslog，在R3上實現(xiàn)登錄。

NTP協(xié)議能夠利用NTP服務(wù)器同步路由器的時間。一個NTP客戶端組，從統(tǒng)一的服務(wù)器獲得時間和日期信息，使得它們有一致的時間設(shè)置，Syslog消息更容易分析。這幫助解決網(wǎng)絡(luò)攻擊問題。當(dāng)NTP在網(wǎng)絡(luò)中開啟，它可以是設(shè)立一個私人的主時鐘用來同步，或在互聯(lián)網(wǎng)上利用NTP服務(wù)器。

配置路由器，以允許軟件時鐘由NTP時間服務(wù)器來同步，此外，定期更新路由硬件時鐘信息從NTP服務(wù)器。否則，硬件時鐘會逐漸不準確，軟件時鐘和硬件時鐘彼將會失去同步。

Syslog服務(wù)器在本實驗會提供消息記錄。配置路由器，以確定遠程主機（Syslog服務(wù)器）能夠接受日志消息。

配置路由器的時間戳消息服務(wù)，顯示正確的時間和日期的Syslog消息，在使用Syslog來監(jiān)視網(wǎng)絡(luò)攻擊很重要。如果消息的正確時間和日期不知道，是很難確定網(wǎng)絡(luò)問題有何引起。

R2可以看成ISP（Internet Service Provider），有兩個遠程網(wǎng)絡(luò)連接到它：R1和R2。在R3的本地管理員可以實現(xiàn)路由器的管理以及解決問題，然而，R3作為一個管理角色，ISP需要能夠訪問到R3，實施偶爾的故障排除和更新。所以要提供一個安全的訪問方式，現(xiàn)在主要使用SSH，而不使用不安全的telnet。使用CLI來配置SSH安全連接。SSH將所有通過網(wǎng)絡(luò)的信息都進行加密，并且提供遠程計算機的身份驗證。SSH正在迅速取代telnet成為網(wǎng)絡(luò)管理專業(yè)人員的工具。

三、路由器的AAA認證

網(wǎng)絡(luò)必須設(shè)計為能夠控制允許誰連接到網(wǎng)絡(luò)，以及在連接到網(wǎng)絡(luò)時允許做什么。這些設(shè)計規(guī)則在網(wǎng)絡(luò)安全策略中定義。網(wǎng)絡(luò)安全策略規(guī)定網(wǎng)絡(luò)管理員、公司用戶、遠程用戶、商業(yè)合作伙伴以及客戶如何訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)安全策略還要求實現(xiàn)一個能夠跟蹤誰在何時登陸進網(wǎng)絡(luò)以及在登陸進網(wǎng)絡(luò)期間行為的記賬。只使用用戶模式或特權(quán)模式加口令的方法來管理網(wǎng)絡(luò)接入是不夠的，而且不具備良好的擴展性。使用認證、授權(quán)和記賬（Authentication， Authorization and Accounting， AAA）協(xié)議則為實現(xiàn)可擴展的訪問安全性提供了必要的機制。

【參考文獻】

[1]張宏科，蘇偉.路由器原理與技術(shù)[M].北京：高等教育出版社，2010

[2]Wendell Odom.Routers and Routing Basics[M].北京：人民郵電出版社，2008

[3]王達.路由器配置與管理完全手冊-cisco篇[M].武漢華中科技大學(xué)出版社，2011

作者簡介：

帥志軍（1977-），男，江西南昌人，講師，江西現(xiàn)代職業(yè)技術(shù)學(xué)院教師，碩士，主要研究方向：網(wǎng)絡(luò)安全、硬件和軟件。

王和平（1968-），男，江西吉安人，教授，江西現(xiàn)代職業(yè)技術(shù)學(xué)院信息工程分院計算機系主任，主要研究方向：網(wǎng)絡(luò)安全、硬件和軟件。