Cisco 路由器和交换机如何进行有效的安全加固

网络 路由交换
如何进行有效的Cisco 路由器和交换机的安全加固配置?需要我们特别的了解控制层面主要安全威协与应对原则,让我们的网络更加的安全。

思科作为路由行业中的领军人物,其产品在市场中的需求量很高,这里就针对Cisco 路由器,讲解如何对路由器进行有效的安全加固。根据木桶理论,一个桶能装多少水,取决于这个桶最短的那块木板。具体到信息系统的安全也是一样,整个信息系统的安全程度也取决于信息系统中最薄弱的环节,网络做为信息系统的体,其安全需求的重要性是显而易见的。 

网络层面的安全主要有两个方面,一是数据层面的安全,使用ACL等技术手段,辅助应用系统增强系统的整体安全;二是控制层面的安全,通过限制对网络设备自身的访问,增强网络设备自身的安全性。

一、 控制层面主要安全威协与应对原则 

网络设备的控制层面的实质还是运行的一个操作系统,既然是一个操作系统,那么,其它操作系统可能遇到的安全威胁网络设备都有可能遇到;总结起来有如下几个方面: 

1、 系统自身的缺陷:操作系统作为一个复杂系统,不论在发布之前多么仔细的进行测试,总会有缺陷产生的。出现缺陷后的唯一办法就是尽快给系统要上补丁。Cisco IOS/Catos与其它通用操作系统的区别在于,IOS/Catos需要将整个系统更换为打过补丁的系统。
 
2、 系统缺省服务:与大多数能用操作系统一样,IOS与CatOS缺省情况下也开了一大堆服务,这些服务可能会引起潜在的安全风险,解决的办法是按最小特权原则,关闭这些不需要的服务。 

3、 弱密码与明文密码:在IOS中,特权密码的加密方式强加密有弱加密两种,而普通存取密码在缺省情况下则是明文;
 
4、 非授权用户可以管理设备:既可以通过telnet\snmp通过网络对设备进行带内管理,还可以通过console与aux口对设备进行带外管理。缺省情况下带外管理是没有密码限制的。隐含较大的安全风险; 

5、 CDP协议造成设备信息的泄漏; 

6、 DDOS攻击导致设备不能正常运行,解决方案,使用控制面策略,限制到控制层面的流量; 

7、 发生安全风险之后,缺省审计功能。
 
二、 Cisco 路由器IOS加固 

对于12.3(4)T之后的IOS版本,可以通过autosecure命令完成下述大多数功能,考虑到大部分用户还没有条件升级到该IOS版本,这里仍然列出需要使用到的命令行:

1、Cisco 路由器如何禁用不需要的服务: 
no ip http server  
no ip source-route   //禁用IP源路由,防止路由欺骗 
no service finger //禁用finger服务  
no ip bootp server   //禁用bootp服务 
no service udp-small-s //小的udp服务 
no service tcp-small-s //禁用小的tcp服务 

2、Cisco 路由器如何关闭CDP:
no cdp run //禁用cdp 

3、Cisco 路由器配置强加密与启用密码加密: 
service password-encryption 
enable secret asdfajkls   //配置强加密的特权密码 
no enable password      //禁用弱加密的特权密码 

4、Cisco 路由器配置log server、时间服务及与用于带内管理的ACL等,便于进行安全审计:
service timestamp log datetime localtime  
logging 192.168.0.1 //向192.168.0.1发送log 
logging 192.168.0.2 //向192.168.0.2发送log 
access-list 98的主机进行通讯 
no access-list 99 //在配置一个新的acl前先清空该ACL 
access-list 99 permit 192.168.0.0 0.0.0.255 
access-list 99 deny any log
no access-list 98
access-list 98 permit host 192.168.0.1 
access-list 98 deny any log
clock timezone PST-8 //设置时区 
ntp authenticate       //启用NTP认证 
ntp authentication-key 1 md5 uadsf
ntp trusted-key 1          //可以信任的Key. 
ntp acess-group peer 98 //设置ntp服务,只允许对端为符合access-list 98条件的主机 
ntp server 192.168.0.1 key 1    
 
5、对带内管理行为进行限制: 
snmp-server community HSDxdf ro 98
line vty 0 4 
access-class 99 in
login 
password 0 asdfaksdlf    //配置telnet密码 
exec-timeout 2 0       //配置虚终端超时参数,这里是2分钟 
 
6、对带外管理行为进行限制: 
line con 0 
login 
password 0 adsfoii //配置console口的密码 
exec-timeout 2 0       //配置console口超时参数,这里是两分钟 
line aux 0 
transport input none 
password 0 asfdkalsfj     
no exec 
exit 

三、 Cisco 路由器CatOS加固 

1、 禁用不需要的服务: 
set cdp disable //禁用cdp 
set ip http disable     

2、 配置时间及日志参数,便于进行安全审计: 
set logging timestamp enable //启用log时间戳 
set logging server 192.168.0.1 //向192.168.0.1发送log 
set logging server 192.168.0.2 //向192.168.0.2发送log! 
set timezone PST-8 //设置时区 
set ntp authenticate enable       //启用NTP认证 
set ntp key 1 md5 uadsf
set ntp server 192.168.0.1 key 1 
set ntp client enable //启用ntp client 

3、 限制带内管理: 
set snmp community HSDxdf //配置snmp只读通讯字 
set ip permit enable snmp //启用snmp访问控制 
set ip permit 192.168.0.1 snmp 
set ip permit enable telnet
set ip permit 192.168.0.1 telnet 
set password //配置telnet密码 
set enable     //配置特权密码 
set logout 2   

责任编辑:王晓东 来源: NET130
相关推荐

2011-07-21 13:46:09

Cisco ACE

2009-11-16 14:06:31

2017-06-01 14:33:04

交换机路由器网络设备

2010-08-06 09:55:34

路由器系统

2011-08-16 13:55:03

交换机Cisco

2013-05-20 14:10:13

Cisco路由器交换机

2010-01-11 15:31:54

Cisco交换机

2011-03-31 09:09:00

2012-12-10 10:01:07

Cisco路由器交换机

2009-11-27 09:44:21

Cisco路由器交换机

2011-03-24 14:05:14

Nagios监控

2009-12-01 16:52:55

2010-03-22 15:28:19

Cisco交换机配置

2022-09-22 17:00:46

路由器

2022-09-22 19:19:52

网络硬件路由器交换机

2022-09-22 19:23:11

网络硬件路由器交换机

2022-09-23 10:02:35

网络硬件路由器

2015-06-18 09:38:46

路由器交换机

2009-12-21 09:52:17

2009-12-01 17:44:44

点赞
收藏

51CTO技术栈公众号