路由器安全

目前大多数的企事业单位和部门连Internet网，通常都是一台路由器与ISP连结实现。这台路由器就是沟通外部Internet和内部网络的桥梁，如果这台路由器能够合理进行安全设置，那么就可以对内部的网络提供一定安全性或对已有的安全多了一层屏障。现在大多数的路由器都是Cisco公司的产品或与其功能近似，本文在这里就针对Cisco路由器的安全配置进行管理。
　　考虑到路由器的作用和位置，路由器配置的好坏不仅影响本身的安全也影响整个网络的安全。目前路由器（以Cisco为例）本身也都带有一定的安全功能，如访问列表、加密等，但是在缺省配置时，这些功能大多数都是关闭的。需要进行手工配置。怎样的配置才能最大的满足安全的需要，且不降低网络的性能？本文从以下几个部分分别加以说明：

一、口令管理

　　口令是路由器是用来防止对于路由器的非授权访问的主要手段，是路由器本身安全的一部分。最好的口令处理方法是将这些口令保存在TACACS+或RADIUS认证服务器上。但是几乎每一个路由器都要有一个本地配置口令进行权限访问。如何维护这部分的安全？

1．使用enablesecret
　　enablesecret命令用于设定具有管理员权限的口令。并且如果没有enablesecret，则当一个口令是为控制台TTY设置的，这个口令也能用于远程访问。这种情况是不希望的。还有一点就是老的系统采用的是enablepassword，虽然功能相似，但是enablepassword采用的加密算法比较弱。

2．使用servicepassword-encryption
　　这条命令用于对存储在配置文件中的所有口令和类似数据（如CHAP）进行加密。避免当配置文件被不怀好意者看见，从而获得这些数据的明文。但是servicepassword-encrypation的加密算法是一个简单的维吉尼亚加密，很容易被破译。这主要是针对enablepassword命令设置的口令。而enablesecret命令采用的是MD5算法，这种算法很难进行破译的。但是这种MD5算法对于字典式攻击还是没有办法。
　　所以不要以为加密了就可以放心了，最好的方法就是选择一个长的口令字，避免配置文件被外界得到。且设定enablesecret和servicepassword-encryption。