返回
如何防范交换机攻击

如何防范交换机攻击

ID:16925903

大小:16.30 KB

页数:6页

时间:2018-08-26

如何防范交换机攻击_第1页
如何防范交换机攻击_第2页
如何防范交换机攻击_第3页
如何防范交换机攻击_第4页
如何防范交换机攻击_第5页
资源描述:

《如何防范交换机攻击》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、与路由器不同,交换机的安全威胁主要来自局域网内部。出于无知、好奇,甚至是恶意,某些局域网用户会对交换机进行攻击。不管他们的动机是什么,这都是管理员们不愿看到的。为此,除了在规定、制度上进行规范外,管理员们要从技术上做好部署,让攻击者无功而返。本文以Cisco交换机的安全部署为例,和大家分享自己的经验。  1、细节设置,确保交换机接入安全  (1).配置加密密码  尽可能使用EnableSecret特权加密密码,而不使用EnablePassword创建的密码。  (2).禁用不必要或不安全的服务  在交换机上尤其是三层交换机上,不同的厂商默认开启了不同的服务、

2、特性以及协议。为提高安全,应只开启必须的部分,多余的任何东西都可能成为安全漏洞。可结合实际需求,打开某些必要的服务或是关闭一些不必要的服务。下面这些服务通常我们可以直接将其禁用。  禁用HttpServer  noiphttpserver  禁用IP源路由,防止路由欺骗  noipsourceroute  禁用Finger服务  noservicefinger  禁用Config服务  noserviceconfig  禁用Hootp服务  noiPhootpserver  禁用小的UDP服务  noserviceudp-small-s  禁用小的TCP服务

3、  noservicetcp-small-s20currencydeposit,weprescribeapassonaregularbasis,qilucardaccountonaregularbasis),certificatebondsandsavingsbonds(electronic);3.notdrawnonabanksavingscertificate,certificatebondsapplyformortgageloans,acceptingonlythelender  (3).控制台和虚拟终端的安全部署  在控制台上使用与虚拟终端(Vty)

4、线路上配置认证,另外,还需要对Vty线路使用简  单的访问控制列表。  Switch(config)#access-list1permit192.168.1.1  Switch(config)#linevty04  Switch(config-line)#access-class1in  (4).用SSH代替Telnet  Telnet是管理员们连接至交换机的主要通道,但是在Telnet会话中输入的每个字节都将会被明文发送,这可以被类似Sniffer这样的软件嗅探获取用户名、密码等敏感信息。因此,使用安全性能更高的SSH强加密无疑比使用Telnet更加安全。

5、  Switch(config)#hostnametest-ssh  test-ssh(config)#ipdomain-namenet.ctocio.com  test-ssh(config)#usernametestpassword0test  test-ssh(config)#linevty04  test-ssh(config-line)#loginlocal  test-ssh(config)#cryptokeygeneratersaThenameforthekeyswillbe:test-ssh.net.ctocio.com  test-ssh(

6、config)#ipsshtime-out180  test-ssh(config)#ipsshauthentication-retries5  简单说明,通过上述配置将交换机命名为test-ssh,域名为net.ctocio.com,创建了一个命名test密码为test的用户,设置ssh的关键字名为test-ssh.net.ctocio.com,ssh超时为180秒,最大连接次数为5次。  (5).禁用所有未用的端口  关于这一点,笔者见过一个案例:某单位有某员工“不小心”将交换机两个端口用网线直接连接,(典型的用户无知行为),于是整个交换机的配置数据被清

7、除了。在此,笔者强烈建议广20currencydeposit,weprescribeapassonaregularbasis,qilucardaccountonaregularbasis),certificatebondsandsavingsbonds(electronic);3.notdrawnonabanksavingscertificate,certificatebondsapplyformortgageloans,acceptingonlythelender大同仁一定要将未使用的端口ShutDown掉。并且,此方法也能在一定程度上防范恶意用户连接此端

8、口并协商中继模式。  (6).确保STP的安全  保

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。