Cisco路由器及交換機安全加固

根據木桶理論，乙個桶能裝多少水，取決於這個桶最短的那塊木板。具體到資訊系統的安全也是一樣，整個資訊系統的安全程度也取決於資訊系統中最薄弱的環節，網路做為資訊系統的體，其安全需求的重要性是顯而易見的。

網路層面的安全主要有兩個方面，一是資料層面的安全，使用acl等技術手段，輔助應用系統增強系統的整體安全；二是控制層面的安全，通過限制對網絡裝置自身的訪問，增強網路裝置自身的安全性。資料層面的安全在拙著《網路層許可權訪問控制――acl詳解》(http: 已經較為系統的討論。本文主要集中討論控制層面即裝置自身的安全這部分，仍以最大市場占有率的思科裝置為例進行討論。

一、控制層面主要安全威協與應對原則

網路裝置的控制層面的實質還是執行的乙個作業系統，既然是乙個作業系統，那麼，其它作業系統可能遇到的安全威脅網路裝置都有可能遇到；總結起來有如下幾個方面：

1、系統自身的缺陷：作業系統作為乙個複雜系統，不論在發布之前多麼仔細的進行測試，總會有缺陷產生的。出現缺陷後的唯一辦法就是盡快給系統要上補丁。 ciscoios/catos與其它通用作業系統的區別在於，ios/catos需要將整個系統更換為打過補丁的系統，可以查詢http: 取得cisco最新的安全公告資訊與補丁資訊。

2、系統預設服務：與大多數能用作業系統一樣，ios與catos預設情況下也開了一大堆服務，這些服務可能會引起潛在的安全風險，解決的辦法是按最小特權原則，關閉這些不需要的服務。

3、弱密碼與明文密碼：在ios中，特權密碼的加密方式強加密有弱加密兩種，而普通訪問密碼在預設情況下則是明文；

4、非授權使用者可以管理裝置：既可以通過telnet/snmp通過網路對裝置進行帶內管理，還可以通過console與aux口對裝置進行帶外管理。預設情況下帶外管理是沒有密碼限制的。隱含較大的安全風險；

5、 cdp協議造成裝置資訊的洩漏；

6、 ddos攻擊導致裝置不能正常執行，解決方案，使用控制面策略，限制到控制層面的流量；

7、發生安全風險之後，預設審計功能。

二、 ciscoios加固

對於12.3(4)t之後的ios版本，可以通過autosecure命令完成下述大多數功能，考慮到大部分使用者還沒有條件公升級到該ios版本，這裡仍然列出需要使用到的命令列：

1、禁用不需要的服務：

noiphttpserver　　//禁用httpserver，這玩意兒的安全漏洞很多的

noipsource-route　　//禁用ip源路由，防止路由欺騙

noservicefinger//禁用finger服務　

noipbootpserver　　　//禁用bootp服務

noserviceudp-small-s//小的udp服務

noservicetcp-small-s//禁用小的tcp服務

2、關閉cdp

nocdprun//禁用cdp

3、配置強加密與啟用密碼加密：

servicepassword-encryption　//啟用加密服務，將對password密碼進行加密

enablesecretasdfajkls　　　//配置強加密的特權密碼

noenablepassword　　　　　//禁用弱加密的特權密碼

4、配置logserver、時間服務及與用於帶內管理的acl等，便於進行安全審計

servicetimestamplogdatetimelocaltime//配置時間戳為datetime方式，使用本地時間

logging192.168.0.1//向192.168.0.1傳送log

logging192.168.0.2//向192.168.0.2傳送log

access-list98的主機進行通訊

noaccess-list99//在配置乙個新的acl前先清空該acl

access-list99permit192.168.0.00.0.0.255

access-list99denyanylog//log引數說明在有符合該條件的條目時產生一條logo資訊

noaccess-list98//在配置乙個新的acl前先清空該acl

access-list98permithost192.168.0.1

access-list98denyanylog//log引數說明在有符合該條件的條目時產生一條logo資訊

! clocktimezonepst-8//設定時區

ntpauthenticate　　　　　　//啟用ntp認證

ntpauthentication-key1md5uadsf//設定ntp認證用的密碼，使用md5加密。需要和ntpserver一致

ntptrusted-key1　　　　　　　　　　//可以信任的key.

ntpacess-grouppeer98//設定ntp服務，只允許對端為符合access-list98條件的主機

ntpserver192.168.0.1key1　　　　//配置ntpserver，server為192.168.0.1，使用1號key做為密碼　

5、對帶內管理行為進行限制：

snmp-servercommunityhsdxdfro98//配置snmp唯讀通訊字，並只允許access-list98的主機進行通訊

linevty04

access-class99in//使用acl99來控制telnet的源位址

password0asdfaksdlf　　　　//配置telnet密碼

exec-timeout20　　　　　　//配置虛終端超時引數，這裡是2分鐘

! 6、對帶外管理行為進行限制：

linecon0

password0adsfoii//配置console口的密碼

exec-timeout20　　　　　　//配置console口超時引數，這裡是兩分鐘

! lineaux0

transportinputnone

password0asfdkalsfj　　　　

noexec

exit

7、應用control-planepolice，預防ddos攻擊(注：需要12.2(18)s或12.3(4)t以上版本才支援)

允許信任主機(包括其它網路裝置、管理工作站等)來的流量:

access-list110denyiphost1.1.1.1any

access-list110denyip2.2.2.0255.255.255.0any

.....

access-list110denyip3.3.3.3any

限制所有其它流量

access-list110permitipanyany

! class-mapcontrol-plane-limit

matchaccess-group110

! policy-mapcontrol-plane-policy

classcontrol-plane-limit

police32000conformtransmitexceeddrop

! control-plane

service-policyinputcontrol-plane-policy

三、 ciscocatos加固

1、禁用不需要的服務：

setcdpdisable//禁用cdp

setiphttpdisable　　//禁用httpserver，這玩意兒的安全漏洞很多的

2、配置時間及日誌引數，便於進行安全審計：

setloggingtimestampenable//啟用log時間戳

setloggingserver192.168.0.1//向192.168.0.1傳送log

setloggingserver192.168.0.2//向192.168.0.2傳送log!

settimezonepst-8//設定時區

setntpauthenticateenable　　　　　　//啟用ntp認證

setntpkey1md5uadsf//設定ntp認證用的密碼，使用md5加密。需要和ntpserver一致

setntpserver192.168.0.1key1　//配置ntpserver，server為192.168.0.1，使用1號key做為密碼　

setntpclientenable//啟用ntpclient

3、限制帶內管理：

setsnmpcommunityhsdxdf//配置snmp唯讀通訊字

setippermitenablesnmp//啟用snmp訪問控制

setippermit192.168.0.1snmp　//允許192.168.0.1進行snmp訪問

setippermitenabletelnet//啟用telnet訪問控制

setippermit192.168.0.1telnet　//允許192.168.0.1進行telnet訪問

setpassword//配置telnet密碼

setenable　　//配置特權密碼

setlogout2　　//配置超時引數，2分鐘

Cisco路由器及交換機安全加固

Cisco路由器和交換機的安全設定

路由器交換機

Cisco路由器交換機密碼恢復

Cisco路由器及交換機安全加固

Cisco路由器和交換機的安全設定

路由器 交換機

Cisco路由器交換機密碼恢復

相關推薦

路由器交換機