写给想知道Cisco 路由器SNMP管理问题的朋友

网络 路由交换
找论文的朋友注意了,这是一篇关于Cisco 路由器的技术性文档,介绍了比如时钟同步、SNMP管理、集中日志整理等技术问题。

在网上看到了一篇不错的论文,其中很详细的解析了关于Cisco 路由器的高深问题,比如系统日志管理、取消不必要的服务、集中日志整理的技术性能等等。

1.系统日志管理

多个用户共享一个账户是无法区分他们之间的活动的。默认的情况下,Cisco 路由器设备有两级的访问模式:用户模式和特权用户模式。用户可以认为特权用户同UNIX中的root或WindowsNT中的系统管理员是类似的。一般情况下,用户认证时不需要用户名只需要口令。普通用户登录模式和特权用户登录模式都是如此。但是许多机构是很多人同时共享同一口令,这样就有许多人共享路由器的口令。通过将RADIUS或者TACACS和AAA(认证、授权和审计)相结合,系统管理员可以将路由器基本结构信息存贮在NDS、AD或者其他中心口令库中。通过这种认证方式可以强制用户在登录时输入账户名和口令,这样便于清除审计痕迹。

2.取消不必要的服务

首先,取消一些不重要的、很少被使用服务;取消finger服务,因为它会给黑客提供许多有用信息。取消finger服务后,还要确认没有打开HTTP(Web)服务器。虽然系统的默认配置是这样的,还必须经过用户再确认一下。Cisco 路由器设备有Cisco专用协议,CDP(CiscoDiscoveryProtocol)。同finger一样,CDP本身没有什么威胁,但是它可以让黑客获得许多自己无法访问的信息。

3.网络管理注意事项

限制终端访问和取消不必要的服务是保护系统安全的重要部分。但是只进行这些工作是远远不够的,在管理方面还有很多有关系统程序上和管理上值得考虑的因素。

4.集中日志整理

安全专家认为大多数系统日志协议采用UDP的形式进行传输是不安全的。但是现在还没有较好的改进方法。如果系统有一个系统日志登录服务器,用户可以采用命令将输出集中到这个服务器。

5.口令存储注意事项

许多用户在FTP和TFTP服务器上保存路由配置文件和镜像信息。尽管保留备份是个良好的习惯,但是要确保这些文件的安全。要保证这些服务器有可靠的访问控制。接下来还可以采取两种预防措施。首先,使用Cisco 路由器的“加密”口令规则来代替普通的“使能”口令规则。使用无法逆转的MD5散列算法保存重要口令,采用一般加密算法保存一般口令。

6.时钟同步

网络时钟协议(NTP)定义了网络设备的时钟与系统的时钟同步规则。NTP是业界标准,NTP相当准确并且兼容性好——多种操作系统及各种路由器和交换设备都支持。

7.SNMP管理

许多组织经常使用SNMP,还有些组织现在希望将来使用。不论其应用前景如何,有两点要注意:如果用户不需要SNMP,最好取消;如果要使用SNMP,最好正确配置Cisco 路由器。但是,如果用户一定要使用SNMP,可以对其进行保护。首先,SNMP有两种模式:只读模式(RO)和读写模式(RW)。如果可能,使用只读模式,这样可以最大限度的控制用户的操作,即使在攻击者发现了通信中的字符串时,也能限制其利用SNMP进行侦察的目的,还能阻止攻击者利用其修改配置。如果必须使用读写模式,最好把只读模式与读写模式使用的通信字符串区别开来。最后可以通过访问控制列表来限制使用SNMP的用户。

责任编辑:佟健 来源: NET130
相关推荐

2009-11-27 13:40:20

Cisco路由器DHC

2009-11-27 13:02:05

Cisco路由器里SN

2010-08-20 12:01:02

SNMP管理框架

2009-11-27 14:17:46

2011-03-31 09:09:00

2009-11-26 12:58:37

Cisco路由器配置

2010-08-26 15:40:08

Cisco路由器DHC

2010-08-25 13:55:39

Cisco路由器故障

2020-09-17 11:29:41

路由器设备缓存

2011-08-11 15:24:51

2009-11-27 11:01:22

2010-08-20 13:42:56

辅助端口路由器

2009-12-17 14:01:46

2009-12-23 14:31:51

2011-04-01 16:03:18

IOS路由器

2009-12-11 15:21:15

华为路由器CISCO路由器

2009-11-26 16:57:09

Cisco路由器ARP

2009-11-27 13:24:19

Cisco路由器DHC

2009-12-18 15:19:04

2010-08-03 11:23:30

路由器
点赞
收藏

51CTO技术栈公众号