|
淺談路由器交換機的技術(shù)應(yīng)用
(作者未知) 2010/4/29
淺談路由器交換機的技術(shù)應(yīng)用
網(wǎng)絡(luò)的工作方式是使用兩種設(shè)備��,交換機和路由器將計算機和外圍設(shè)備連接起來�。這兩種工具使連接到網(wǎng)絡(luò)上的設(shè)備之間以及其它網(wǎng)絡(luò)相互通信。雖然路由器和交換機看起來很像�����,但是它們在網(wǎng)絡(luò)中的功能卻截然不同:交換機主要用于將一棟大廈或一個校園里的多臺設(shè)備連接到同一個網(wǎng)絡(luò)上�����。路由器主要用于將多個網(wǎng)絡(luò)連接起來�����。首先���,路由器會分析網(wǎng)絡(luò)發(fā)送的數(shù)據(jù),改變數(shù)據(jù)的打包方式���,然后將數(shù)據(jù)發(fā)送到另一個網(wǎng)絡(luò)上或者其他類型的網(wǎng)絡(luò)上����。它們將公司與外界連接起來,保護信息不受安全威脅��,甚至可以決定哪些計算機擁有更高的優(yōu)先級����。
系統(tǒng)管理員和安全專家經(jīng)常花費大量的精力配置各種防火墻�����、Web服務(wù)器和那些組成企業(yè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)備��。但是�,他們經(jīng)常會忽略路由器和交換機。這經(jīng)常會導(dǎo)致黑客監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包�����、修改路由和其他一些惡意攻擊行為�����。本文對Cisco路由器和交換機技術(shù)應(yīng)用進行分析和探討�����。
1網(wǎng)絡(luò)基礎(chǔ)設(shè)備的問題
盡管很多攻擊的目標(biāo)是終端主機——如web服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器���,許多用戶忽略了網(wǎng)絡(luò)基礎(chǔ)設(shè)備的安全問題����。路由器和交換機不僅可以被攻擊還可以作為黑客進行攻擊的工具��,還是黑客收集有用信息的合適設(shè)備��。Cisco路由器和交換機有自己的操作系統(tǒng)��,或者被稱為Cisco IOS(網(wǎng)絡(luò)操作系統(tǒng))����。同其他操作系統(tǒng)一樣���,早期的版本有許多漏洞����,如果用戶沒有升級���,會帶來很多問題�����。
從應(yīng)用的角度看�����,路由器和交換機不僅可以作為攻擊目標(biāo)���,還可以幫助黑客隱瞞身份����、創(chuàng)建監(jiān)聽設(shè)備或者產(chǎn)生噪音�����。例如���,很多Cisco交換機可以創(chuàng)建一個監(jiān)視端口來監(jiān)聽交換機的其他端口���。這樣管理員和黑客就可以把交換機上看到的網(wǎng)絡(luò)數(shù)據(jù)包備份到一個指定的交換機端口。盡管管理員努力在系統(tǒng)中杜絕集線器造成的監(jiān)聽問題���,但是如果黑客可以通過交換機訪問網(wǎng)絡(luò)��,網(wǎng)絡(luò)安全便面臨危險����。
2定期升級系統(tǒng)
任何系統(tǒng)都必須注重及時升級。Cisco公司一直注重IOS在版本更新����、升級與發(fā)布策略,且Cisco公布的系統(tǒng)版本相對穩(wěn)定����。分析網(wǎng)絡(luò)基礎(chǔ)設(shè)備時要做的第一件事情就是調(diào)查在系統(tǒng)上運行的各種IOS系統(tǒng)的情況。使用Show Version命令可以方便地查到這些信息�。如果用戶發(fā)現(xiàn)系統(tǒng)中有的10S系統(tǒng)版本比較老,在進行升級前最好與升級所花費的精力和金錢比較一下����,考慮一下“如果沒有問題���,不需要升級”這句話����。比IOS系統(tǒng)版本更重要的是這個版本是否已超過了使用周期。Cisco定義了三種階段:
早期開發(fā)階段(Early Deployment�����,ED)���。這個時期的10S系統(tǒng)有一些還不成熟的新特性�����, 會有許多毛病�����。
局部開發(fā)階段(Limited Deployment�����,LD)�����。處于這個狀態(tài)的IOS主要是針對ED系統(tǒng)中漏洞而進行改進的版本����。
普通開發(fā)階段(General Deployment,GD)����。這個階段的IOS系統(tǒng)更強調(diào)系統(tǒng)的穩(wěn)定性,基本上沒有漏洞�。
盡管用戶都希望使用最新的I0S系統(tǒng),但我還要提醒用戶注意自己的實際需求���,GD版本將指出系統(tǒng)的大量已經(jīng)發(fā)現(xiàn)的漏洞�,通常是一個已經(jīng)解決了發(fā)現(xiàn)的漏洞的版本��。除非發(fā)現(xiàn)此版本的系統(tǒng)有很嚴(yán)重的漏洞這別無選擇�,只有升級。
3配置Cisco路由器
Cisco路由器在主機級上比UNIX系統(tǒng)容易保護����,這是因為系統(tǒng)提供的可遠程訪問的服務(wù)較少。路由器要進行復(fù)雜的路由計算并在網(wǎng)絡(luò)中起著舉足輕重的作用����,它沒有BIND、IMAP��、POP���、sendmail等服務(wù)——而這些是UNIX系統(tǒng)中經(jīng)常出問題的部分�。
盡管訪問路由器的方式相對少一些��,但是還要進行進一步的配置以限制對路由器更深一步的訪問��。
3.1保護登錄點
大多數(shù)Cisco路由器還是通過遠程登錄方式進行控制的��,沒有采用任何形式的加密方法��。采用遠程登錄方式進行的通信都是以明文傳輸�,很容易泄露登錄口令。盡管Cisco IOS12.1采用了SSH l的加密手段��,仍然存在很多問題�。
在Cisco公司考慮使用SSH之前(希望他們采用SSH 2版本),用戶都只能使用Telnet�。但是,還是有很多方法可以控制對路由器的訪問��,從而限制非授權(quán)用戶對路由器的訪問�。登錄到路由器的方式有:通過物理控制臺端口;通過物理輔助端口�����;通過其他物理串行端口(僅指在具有端口的模型上);通過遠程登錄方式進入一個單元的IP地址中���。前三種方式需要物理接口�,這樣很容易控制�����。下面主要討論第四種方式��。
Cisco路由器有5個可以遠程登錄的虛擬終端或稱為vty����。采用遠程登錄時要注意兩點。首先�,要確認通過所有的vty登錄都需要口令。配置時可以采用如下命令:
Router1 (config)#line v(未完���,下一頁)
|