网管程序员论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 2276|回复: 3

Cisco路由器交换机安全配置

[复制链接]
发表于 2007-8-31 12:34:15 | 显示全部楼层 |阅读模式
  一、 网络结构及安全脆弱性   为了使设备配置简单或易于用户使用,Router或Switch初始状态并没有配置安全措施,所以网络具有许多安全脆弱性,因此网络中常面临如下威胁:
  1. DDOS攻击
  2. 非法授权访问攻击。
  口令过于简单,口令长期不变,口令明文创送,缺乏强认证机制。
  3.IP地址欺骗攻击</P>   ….
  利用Cisco Router和Switch可以有效防止上述攻击。
  二、保护路由器
  2.1 防止来自其它各省、市用户Ddos攻击
  最大的威胁:Ddos, hacker控制其他主机,共同向Router访问提供的某种服务,导致Router利用率升高。
  Ddos是最容易实施的攻击手段,不要求黑客有高深的网络知识就可以做到。
  如SMURF DDOS 攻击就是用最简单的命令ping做到的。利用IP 地址欺骗,结合ping就可以实现DDOS攻击。
  防范措施:
  应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击。
以下是引用片段:
  Router(config-t)#no service finger
  Router(config-t)#no service pad
  Router(config-t)#no service udp-small-servers
  Router(config-t)#no service tcp-small-servers
  Router(config-t)#no ip http server
  Router(config-t)#no service ftp
  Router(config-t)#no ip bootp server
  以上均已经配置。
  防止ICMP-flooging攻击。
以下是引用片段:
  Router(config-t)#int e0
  Router(config-if)#no ip redirects
  Router(config-if)#no ip directed-broadcast
  Router(config-if)#no ip proxy-arp
  Router(config-t)#int s0
  Router(config-if)#no ip redirects
  Router(config-if)#no ip directed-broadcast
  Router(config-if)#no ip proxy-arp
  以上均已经配置。
  除非在特别要求情况下,应关闭源路由:
以下是引用片段:
  Router(config-t)#no ip source-route

  以上均已经配置。
  禁止用CDP发现邻近的cisco设备、型号和软件版本。
以下是引用片段:
  Router(config-t)#no cdp run
  Router(config-t)#int s0
  Router(config-if)#no cdp enable
  如果使用works2000网管软件,则不需要此项操作,此项未配置。
  使用CEF转发算法,防止小包利用fast cache转发算法带来的Router内存耗尽、CPU利用率升高。
以下是引用片段:
  Router(config-t)#ip cef
 楼主| 发表于 2007-8-31 12:34:46 | 显示全部楼层
  2.2 防止非法授权访问   通过单向算法对 “enable secret”密码进行加密。
以下是引用片段:
Router(config-t)#enable secret  
Router(config-t)#no enable password
Router(config-t)#service password-encryption?vty端口的缺省空闲超时为10分0秒
Router(config-t)#line vty 0 4
Router(config-line)#exec-timeout 10 0
  应该控制到VTY的接入,不应使之处于打开状态;Console应仅作为最后的管理手段:
  如只允许130.9.1.130 Host 能够用Telnet访问。
以下是引用片段:
  access-list 110 permit ip 130.9.1.130 0.0.0.0 130.1.1.254 0.0.0.0 log
  line vty 0 4
  access-class 101 in
  exec-timeout 5 0
  2.3 使用基于用户名和口令的强认证方法
以下是引用片段:
  Router(config-t)#username admin pass 5 434535e2
  Router(config-t)#aaa new-model
  Router(config-t)#radius-server host 130.1.1.1 key key-string
  Router(config-t)#aaa authentication login neteng group radius local
  Router(config-t)#line vty 0 4
  Router(config-line)#login authen neteng
 楼主| 发表于 2007-8-31 12:35:21 | 显示全部楼层
  三、保护网络   3.1防止IP地址欺骗
  黑客经常冒充地税局内部网IP地址,获得一定的访问权限。
  在省地税局和各地市的WAN Router上配置:
  防止IP地址欺骗--使用基于unicast RPF(逆向路径转发)。包发送到某个接口,检查包的IP地址是否与CEF表中到达此IP地址的最佳路由是从此接口转发,若是,转发,否则,丢弃。
以下是引用片段:
  Router(config-t)#ip cef
  Router(config-t)#interface e0
  Router(config-if)# ip verify unicast reverse-path 101
  Router(config-t)#access-list 101 permit ip any any log
  注意:通过log日志可以看到内部网络中哪些用户试图进行IP地址欺骗。此项已配置。
  防止IP地址欺骗配置访问列表
  防止外部进行对内部进行IP地址:
以下是引用片段:
  Router(config-t)#access-list 190 deny ip 130.9.0.0 0.0.255.255 any
  Router(config-t)#access-list 190 permit ip any any
  Router(config-t)#int s4/1/1.1
  Router(config-if)# ip access-group 190 in
  防止内部对外部进行IP地址欺骗:
以下是引用片段:
  Router(config-t)#access-list 199 permit ip 130.9.0.0 0.0.255.255 any
  Router(config-t)#int f4/1/0
  Router(config-if)# ip access-group 199 in
 楼主| 发表于 2007-8-31 12:35:50 | 显示全部楼层
  四、保护服务器   对于地税局内部的某些Server,如果它不向各地提供服务可以在总局核心Cisco Router上配置空路由。
以下是引用片段:
  ip route 130.1.1.1 255.255.255.255.0 null

  在WAN Router上配置CBAC,cisco状态防火墙,防止Sync Flood攻击
以下是引用片段:
  hr(config)#int s0/0
  hr(config-if)#ip access-group 100 in
  hr(config)#int f0/0
  hr(config-if)#ip inspect insp1 in
  hr(config)#ip inspect audit-trial
  hr(config)#ip inspect name insp1 tcp
  hr(config)#ip inspect max-incomplete high 350
  hr(config)#ip inspect max-incomplete low 240
  hr(config)#ip audit
  hr(config)#access-list 100 permit tcp any 130.1.1.2 eq 80
  在WAN Router 上配置IDS入侵检测系统
以下是引用片段:
  hr(config)#ip audit name audit1 info action alarm
  hr(config)#ip audit name audit1 attack action alarm drop
  reset
  hr(config)#ip audit audit1 notify log
  hr(config)#int s0/0
  hr(config)#ip audit audit1 in

  五、网络运行监视
  配置syslog server,将日志信息发送到syslog server上Syslog Server纪录Router的平时运行产生的一些事件,如广域口的up, down, OSPF Neighbour的建立或断开等,它对统计Router的运行状态、流量的一些状态,电信链路的稳定有非常重要的意义,用以指导对网络的改进。
以下是引用片段:
  Router(config-t)#logg on
  Router(config-t)#logg 172.5.5.5
  Router(config-t)#logg facility local6
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|最新更新|网管程序员社区 鄂ICP备11008024号-3

GMT+8, 2019-11-12 06:44 , Processed in 0.109201 second(s), 22 queries .

Powered by 网管论坛

© 2001-2018 www.027safe.com Inc.

快速回复 返回顶部 返回列表