返回
[精品]Cisco路由器安全配置指导

[精品]Cisco路由器安全配置指导

ID:46291139

大小:73.50 KB

页数:4页

时间:2019-11-22

[精品]Cisco路由器安全配置指导_第1页
[精品]Cisco路由器安全配置指导_第2页
[精品]Cisco路由器安全配置指导_第3页
[精品]Cisco路由器安全配置指导_第4页
资源描述:

《[精品]Cisco路由器安全配置指导》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Cisco路由器安全配置目前大多数的企事业单位和部门连Internet网,通常都是一台路由器与ISP连结实现。这台路市器就是沟通外部Internet和内部网络的桥梁,如果这台路由器能够合理进行安全设置,那么就可以对内部的网络提供一定安全性或对已有的安全多了一层屏障。现在大多数的路由器都是Cisco公司的产品或与其功能近似,本文在这里就针对Cisco路由器的安全配置进行管理。考虑到路由器的作用和位置,路由器配置的好坏不仅影响木身的安全也影响整个网络的安全。目前路由器(以Cisco为例)本身也都带有一定的安全功能,如访问列表、加密等

2、,但是在缺省配置时,这些功能大多数都是关闭的。需要进行手工配置。怎样的配置才能最大的满足安全的需要,且不降低网络的性能?本文从以下儿个部分分别加以说明:%1.口令管理口令是路由器是用来防止对于路由器的非授权访问的主要手段,是路由器本身安全的一部分。最好的口令处理方法是将这些口令保存在TACACS+或RADIUS认证服务器上。但是儿乎每一个路由器都要有一个木地配置口令进行权限访问。如何维护这部分的安全?1.使用enablesecretenablesecret命令用于设定具有管理员权限的口令。并且如果没有enablesecret,则

3、当一个口令是为控制台TTY设置的,这个口令也能用于远程访问。这种情况是不希望的。还有一点就是老的系统采用的是enablepassword,虽然功能相似,但是enablepassword采用的加密算法比较弱。2・使用servicepassword-encryption这条命令用于对錘在配置文件中的所有口令和类似数据(如CHAP)进行加密。避免当配置文件被不怀好意者看见,从而获得这些数据的明文。但是servicepeissword-encrypeition的加密算法是一个简单的维吉尼亚加密,很容易被破译。这主要是针对enablepa

4、ssword命令设置的口令。而enablesecret命令采用的是MD5算法,这种算法很难进行彼译的。但是这种MD5算法对于字典式攻击还是没有办法。所以不耍以为加密了就可以放心了,最好的方法就是选择一个长的口令字,避免配置文件被外界得到。且设定enablesecret和servicepassword-cncryption。%1.控制交互式访问任何人登录到路由器上都能够显示一些重要的配置信息。一个攻击者可以将路由器作为攻击的屮转站。所以需要正确控制路由器的登录访问。尽管大部分的登录访问缺省都是禁止的。但是有一些例外,如直连的控制台

5、终端等。控制台端口具有特殊的权限。特别注意的是,当路由器重启动的开始儿秒如果发送一个Break信号到控制台端口,则利用口令恢复程式可以很容易控制整个系统。这样如果一个攻击者尽管他没有正常的访问权限,但是具有系统重启(切断电源或系统崩溃)和访问控制端口(通过直连终端、Modem.终端服务器)的能力就可以控制整个系统。所以必须保证所有连结控制端口的访问的安全性。除了通过控制台登录路曲器外还冇很多的方法,根据配置和竝系统版本的不同,可以支持如Telnet、rlogin、Ssh以及非基于IP的网络协议如LAT、MOP、X.29和V.12

6、0等或者Modem拨号。所有这些都涉及到TTY,本地的异步终端和拨号Modem用标准的〃TTYsS远地的网络连结不管采用什么协议都是虚拟的TTYs,即〃VTYs〃。要控制路由器的访问,最好就是控制这些TTYs或VTYs,加上一些认证或利用login、nopassword命令禁止访问。1.控制TTY缺省的情况下一个远端用户可以连结到一个TTY,称为〃反向Telnet",允许远端用户和连接到这个TTY上的终端或Modem进行交互。但是这些特征允许一个远端用户连接到一个本地的异步终端口或一个拨入的Modern端口,从而构造一个假的登录

7、过程來偷盗I」令或其他的非法活动。所以最好禁止这项功能,可以采用transportinputnone设置任何异步或Modem不接收来自网络用户的连结。如果可能,不要用相同的Modem拨入和拨出,且禁止反向Telnet拨入。2.控制VTY为了保证安全,任何VTY应该仅允许指定的协议建立连结。利用transportinput命令。如一个VTY只支持Telnet服务,可以如卜设置transportinputtelneto如果路由器操作系统支持SSH,最好只支持这个协议,避免使用明文传送的Telnet服务。如下设置:transporti

8、nputssh。也可以利用ipaccess-class限制访问VTY的ip地址范围。因为VTYs的数目有一定的限制,当所有的VTYs用完了,就不能再建立远程的网络连结了。这就冇可能被利用进行Dos(拒绝服务攻击)。这里攻击者不必登录进入,只要建立连结,到logi

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。