|
淺談路由器交換機(jī)的技術(shù)應(yīng)用
(作者未知) 2010/4/29
(接上頁)ty 0 4
Router1 (config)#password fabi0!
這樣通過vty登錄時需要輸人口令“fabi0!”��。其次����,用戶可以增加控制級別來防止黑客的入侵,可以同時綁定5個vty�。具體的命令如下:
Router1 (config)#line vty 0 4
Router1 (config-line)#exec-timeout 1
Router1 (config-line)#exit
Router1 (config)#service tcp-keepalives.in
這些命令設(shè)置vty的時間限制為1分鐘,限制TCP連接的時間長度����。除了上述命令,用戶還可以設(shè)置標(biāo)準(zhǔn)的訪問列表以限制可以遠(yuǎn)程登錄到路由器本身內(nèi)的工作站的數(shù)量��。例如,假定系統(tǒng)的管理網(wǎng)段是10.1.1.0��,你將被遠(yuǎn)程登錄的地方���,下列命令可以限制對該范圍內(nèi)的進(jìn)站遠(yuǎn)程登錄會話的數(shù)量����,命令如下:
Router1 (config)#access-list 1 permit 10.1.1.0 0.0.0.255
Router1 (config)#access-list 1 deny any
Router1 (config)#line vty 0 4
Router1 (config.line)#access-class 1 in
說到考慮物理訪問�,有兩點(diǎn)要注意:控制臺端口和輔助管理端口,輔助端口是為通過調(diào)制解調(diào)器等設(shè)備訪問路由器而設(shè)置的�,對這個端口進(jìn)行保護(hù)很重要��?梢酝ㄟ^如下命令:
Router1 (config)#line aux 0
Router1 (config)#line console 0
Router1 (config.line)#password fabi0����!
3.2系統(tǒng)日志管理
多個用戶共享一個賬戶是無法區(qū)分他們之間的活動的。默認(rèn)的情況下�,Cisco設(shè)備有兩級的訪問模式:用戶模式和特權(quán)用戶模式。用戶可以認(rèn)為特權(quán)用戶同UNIX中的root或Windows NT中的系統(tǒng)管理員是類似的����。
一般情況下,用戶認(rèn)證時不需要用戶名只需要口令�����。普通用戶登錄模式和特權(quán)用戶登錄模式都是如此��。但是許多機(jī)構(gòu)是很多人同時共享同一口令�����,這樣就有許多人共享路由器的口令��。通過將RADIUS或者TACACS和AAA(認(rèn)證��、授權(quán)和審計)相結(jié)合����,系統(tǒng)管理員可以將路由器基本結(jié)構(gòu)信息存貯在NDS、AD或者其他中心口令庫中���。通過這種認(rèn)證方式可以強(qiáng)制用戶在登錄時輸入賬戶名和口令����,這樣便于清除審計痕跡����。
3.3取消不必要的服務(wù)
首先����,取消一些不重要的���、很少被使用服務(wù)����;取消finger服務(wù)����,因?yàn)樗鼤o黑客提供許多有用信息。取消finger服務(wù)后��,還要確認(rèn)沒有打開HTTP(Web)服務(wù)器��。雖然系統(tǒng)的默認(rèn)配置是這樣的��,還必須經(jīng)過用戶再確認(rèn)一下���。Cisco設(shè)備有Cisco專用協(xié)議�����,CDP(Cisco Discovery Protocol)�����。同finger一樣��,CDP本身沒有什么威脅���,但是它可以讓黑客獲得許多自己無法訪問的信息。
4網(wǎng)絡(luò)管理注意事項(xiàng)
限制終端訪問和取消不必要的服務(wù)是保護(hù)系統(tǒng)安全的重要部分��。但是只進(jìn)行這些工作是遠(yuǎn)遠(yuǎn)不夠的��,在管理方面還有很多有關(guān)系統(tǒng)程序上和管理上值得考慮的因素��。
4.1集中日志瞥理
安全專家認(rèn)為大多數(shù)系統(tǒng)日志協(xié)議采用UDP的形式進(jìn)行傳輸是不安全的�����。但是現(xiàn)在還沒有較好的改進(jìn)方法�����。如果系統(tǒng)有一個系統(tǒng)日志登錄服務(wù)器����,用戶可以采用命令將輸出集中到這個服務(wù)器����。
4.2口令存儲注意事項(xiàng)
許多用戶在FTP和TFTP服務(wù)器上保存路由配置文件和鏡像信息����。盡管保留備份是個良好的習(xí)慣,但是要確保這些文件的安全�。要保證這些服務(wù)器有可靠的訪問控制。
接下來還可以采取兩種預(yù)防措施��。首先��,使用Cisco的“加密”口令規(guī)則來代替普通的“使能”口令規(guī)則��。使用無法逆轉(zhuǎn)的MD5散列算法保存重要口令��,采用一般加密算法保存一般口令�。
網(wǎng)絡(luò)時鐘協(xié)議(NTP)定義了網(wǎng)絡(luò)設(shè)備的時鐘與系統(tǒng)的時鐘同步規(guī)則。NTP是業(yè)界標(biāo)準(zhǔn)���, NTP相當(dāng)準(zhǔn)確并且兼容性好——多種操作系統(tǒng)及各種路由器和交換設(shè)備都支持�����。
4.4SNMP管理
許多組織經(jīng)常使用SNMP��,還有些組織現(xiàn)在希望將來使用���。不論其應(yīng)用前景如何�,有兩點(diǎn)要注意:如果用戶不需要SNMP�����,最好取消����;如果要使用SNMP�����,最好正確配置�。
但是,如果用戶一定要使用SNMP�,可以對其進(jìn)行保護(hù)。首先�,SNMP(未完,下一頁)
|