你的位置：网翼首页>网络学院>网络应用>路由技术>

Cisco 路由器交换机安全配置技术

时间:2008-08-15 02:15:52 来源:互联网实验室作者: 【背景色

】

一、网络结构及安全脆弱性

　　为了使设备配置简单或易于用户使用，Router或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁：

　　1. DDOS攻击

　　2. 非法授权访问攻击。

　　口令过于简单，口令长期不变，口令明文创送，缺乏强认证机制。

　　3.IP地址欺骗攻击

　　….

　　利用Cisco Router和Switch可以有效防止上述攻击。

　　二、保护路由器

　　2.1 防止来自其它各省、市用户Ddos攻击

　　最大的威胁：Ddos, hacker控制其他主机，共同向Router访问提供的某种服务，导致Router利用率升高。

　　Ddos是最容易实施的攻击手段，不要求黑客有高深的网络知识就可以做到。

　　如SMURF DDOS 攻击就是用最简单的命令ping做到的。利用IP 地址欺骗，结合ping就可以实现DDOS攻击。

　　防范措施：

　　应关闭某些缺省状态下开启的服务，以节省内存并防止安全破坏行为/攻击。

　　Router(config-t)#no service finger
　　Router(config-t)#no service pad
　　Router(config-t)#no service udp-small-servers
　　Router(config-t)#no service tcp-small-servers
　　Router(config-t)#no ip http server
　　Router(config-t)#no service ftp
　　Router(config-t)#no ip bootp server

　　以上均已经配置。

　　防止ICMP-flooging攻击。

　　Router(config-t)#int e0
　　Router(config-if)#no ip redirects
　　Router(config-if)#no ip directed-broadcast
　　Router(config-if)#no ip proxy-arp
　　Router(config-t)#int s0
　　Router(config-if)#no ip redirects
　　Router(config-if)#no ip directed-broadcast
　　Router(config-if)#no ip proxy-arp

　　以上均已经配置。

　　除非在特别要求情况下，应关闭源路由:

　　Router(config-t)#no ip source-route

　　以上均已经配置。

　　禁止用CDP发现邻近的cisco设备、型号和软件版本。

　　Router(config-t)#no cdp run
　　Router(config-t)#int s0
　　Router(config-if)#no cdp enable

　　如果使用works2000网管软件，则不需要此项操作，此项未配置。

　　使用CEF转发算法，防止小包利用fast cache转发算法带来的Router内存耗尽、CPU利用率升高。

　　Router(config-t)#ip cef

　　2.2 防止非法授权访问

　　通过单向算法对 “enable secret”密码进行加密。

Router(config-t)#enable secret
Router(config-t)#no enable password
Router(config-t)#service password-encryption?vty端口的缺省空闲超时为10分0秒
Router(config-t)#line vty 0 4
Router(config-line)#exec-timeout 10 0

　　应该控制到VTY的接入，不应使之处于打开状态;Console应仅作为最后的管理手段:

　　如只允许130.9.1.130 Host 能够用Telnet访问。

　　access-list 110 permit ip 130.9.1.130 0.0.0.0 130.1.1.254 0.0.0.0 log
　　line vty 0 4
　　access-class 101 in
　　exec-timeout 5 0

　　2.3 使用基于用户名和口令的强认证方法

　　Router(config-t)#username admin pass 5 434535e2
　　Router(config-t)#aaa new-model
　　Router(config-t)#radius-server host 130.1.1.1 key key-string
　　Router(config-t)#aaa authentication login neteng group radius local
　　Router(config-t)#line vty 0 4
　　Router(config-line)#login authen neteng

网友评论加入收藏打印本文我要推荐关闭此页

上一篇：Cisco路由器用SSH替代Telnet连接下一篇：Photoshop抠取扫描图像中的印章图案

08-15Cisco路由器用SSH替代Telnet连接	08-14局域网中代理路由器的配置
08-18网络安全解析路由器维护与设置	08-18路由器的安全性与可靠性详细说明
08-11巧设无线路由获得更稳定的信号	08-11无线路由器参数设置完全精通
08-20实测无线路由器安全功能的技巧	08-25学会通过性能选择合适的路由器
08-26路由列表故障引发局域网异常	08-27路由器端口映射的原理及设置方法
08-01局域网及路由器故障诊断与排除	08-01企业网中Cisco路由器VOIP配置解析

文章评论

共有 0位网翼网友发表了评论查看完整内容

网翼IT技术教程网站：WWW.WEBYI.COM

Cisco 路由器交换机安全配置技术

相关文章

文章评论

推荐信息

24小时热门信息

最新信息