《管理CISCO網絡安全》筆記

2019-11-04 12:24:27

字體：大中小

來源：轉載

供稿：網友

　　第3章保護網絡基礎設施的安全
　　1、使用口令加密
　　A、“Service passWord-encrption”命令
　　加密后，假如使用SHOW那么會看到
　　enable password 7 14141B180F0B
　　......
　　B、“Enable secret”命令
　　這種方式會比前一種更安全些
　　加密后，假如使用SHOW那么會看到
　　enable secret 5 $1$6cWV$inD7guHPL1D3ZmdX08MMS
　　2、細調線路參數
　　router(config)#line console 0
　　router(config-line)#exec-timeout 2 30
　　3、設置多個特權級別
　　答應一個網絡工程師使用所有的命令，但只給系統治理員分配命令級別2，即系統監視和測試命令（ping,show,debug）
　　router(config)#PRivilege exec level 2 show startup-config
　　router(config)#privilege exec level 2 debug ip rip
　　router(config)#privilege exec level 2 ping
　　router(config)#enble secret level 2 2kdo40d
　　假如系統治理員要進入，那么使用下面語句：
　　router>enable level
　　4、設置設備標識（banner）消息
　　5、控制Telnet訪問
　　訪問控制列表21給位于IP地址10.1.14
　　router(config)#access-list 21 permit 10.1.1.4
　　router(config)#line vty 0 4
　　router(config-line)#access-class 21 in
　　6、控制SNMP訪問
　　router(config)#snmp-server community secure ro
　　路由器到路由器的通信安全
　　1、明文認證
　　2、md5認證
　　用MD5為EIGRP配置路由認證的例子：
　　!Router A
　　ip authentication mode eigrp 1 md5
　　ip authentication mode key-chain eigrp 1 cbobw
　　key chain chbobw
　　key 1
　　key-string 0987654321
　　accept-lifetime infinite
　　send-lifetime Jan 01 2001 infinite
　　key 2
　　key-string 1234567890
　　accept-lifetime infinite
　　send-lifetime Jan 01 2001 infinite
　　exit
　　!
　　router eigrp 200
　　network 10.1.1.0
　　network 10.1.2.0
　　!router B
　　ip authentication mode eigrp 1 md5
　　ip authentication mode key-chain eigrp 1 cpw
　　key chain cpw
　　key 1
　　key-string 0987654321
　　accept-lifetime infinite
　　send-lifetime 04:00:00 Jan 01 2001
　　04:00:00 Jan 01 2002
　　key 2
　　key-string 1234567890
　　accept-lifetime infinite
　　send-lifetime Jan 01 2001 infinite
　　exit
　　router eigrp 200
　　network 10.2.1.0
　　network 10.2.2.0
　　
　　保護路由器的配置文件安全
　　1、限制通過SNMP所訪問的TFTP服務器
　　命令行：snmp-server tftp-server-list number 其中“number”參數是訪問控制列表號，限制TFTP服務器通過SNMP在服務器中配置訪問列表的文件拷貝。
　　2、用過濾器控制數據流
　　用訪問控制列表抑制路由更新中的網絡通告
　　router(config)#access-list deny 10.1.2.0 0.0.0.255
　　router(config)#access-list 45 permit any any
　　router(config)#router eigrp 200
　　router(config-router)#distribute-list 45 out serial0
　　保護以太網交換機的治理訪問
　　1、以太交換機的端口安全
　　命令行：
　　Console>(enable)set port security 3/1 enable 01-02-03-04-05-06
　　Console>(enable)set port security 3/2 enable
　　Console>
　　Console>(enable)show port 3
　　2、以太網交換機的訪問安全
　　命令行：向IP答應列表中增加IP地址并檢驗配置
　　Console>(enable)set ip permit 172.16.1.11
　　Console>set ip permit 172.16.11.0 255.255.255.0
　　Console>set ip permit enable
　　Console>show ip permit
　　
　　第四章
　　分析CISCO AAA安全技術
　　1、AAA安全架構
　　包含三個組件：
　　A、認證 B、授權 C、審計
　　AAA和訪問數據流
　　A、AAA和字符模式的數據流
　　受AAA保護的產生字符模式數據流的線路類型
　　AUX（輔助端口）
　　CONSOLE（控制臺端口）
　　TTY（異步口）
　　VTY（虛擬終端口）
　　B、受AAA保護的產生包模式數據流的協議
　　PPP協議
　　ARAP協議
　　NASI協議
　　
　　第四章分析CISCO AAA安全技術
　　4、5 AAA 安全服務器
　　1、采用本地安全數據庫的AAA
　　2、采用遠程安全數據庫的AAA
　　CISCO 網絡設備支持三種以上的安全服務器協議：TACACS+、RADIUS和Kerberos
　　。其中TACACS+和RADIUS是用于網絡接入服務器、路由器和防火墻AAA的主要安全服務器協議。CiscoSecure ACS產品系列來支持TACACS+和RADIUS協議
　　
　　第五章配置網絡接入服務器使用AAA安全特性
　　NAS AAA配置步驟
　　步驟1、保護特權可執行（EXEC）和配置模式
　　步驟2、在NAS上全局性地啟用AAA
　　步驟3、配置AAA認證原型
　　步驟4、配置AAA授權
　　步驟5、配置AAA審計選項
　　步驟6、調試所做的配置
　　
　　第六章配置CiscoSecure ACS和TACACS+/RADIUS
　　用于Windows NT的CiscoSecure ACS
　　安裝CSNT
　　步驟1、配置NT服務器
　　步驟2、檢驗連通性
　　步驟3、通過WEB瀏覽器配置CSNT
　　步驟4、為AAA配置其他設備
　　用于UNIX的CiscoSecure ACS
　　165頁 CSNT配置例子
　　
　　第七章配置CISCO邊界路由器
　　邊界安全主要是采用一個邊界路由器在安全的網絡與不安全網絡之間建立起一個分界點。
　　邊界路由器的特性
　　特性脆弱點描述
　　TCP/IP服務控制偵察，拒絕服務（DOS），非授權訪問通用命令和接口命令可以提供安全保護
　　路由通告控制數據操縱靜態路由、路由通告控制以及對等路由認證可以防止重路由（rerouting）攻擊
　　包過濾數據操縱、非授權訪問，DOS 利用標準的訪問控制列表和擴展的IP訪問控制列表來過濾輸入和輸出數據流
　　限制速率 DOS 對ICMP和SYN風暴攻擊進行控制
　　TCP攔截 DOS 對SYN風暴攻擊進行控制
　　網絡層加密數據操縱、偵察 CET和IPsec協議可以幫助確保邊界數據的完整性和保密性
　　網絡地址翻譯數據操縱 NAT可以隱藏內部編址方案并能簡化重新編址
　　端口地址翻譯數據操縱 PAT可以隱藏內部編址方案并擴展有限的注冊IP 地址的使用
　　“Lock-and-Key”(動態) 非授權訪問提供額外的用戶訪問安全控制
　　訪問控制列表
　　防火墻特性集非授權訪問為CISCO路由器提供了豐富的防火墻額外特性
　　事件日志數據操縱幫助為檢測和分析攻擊類型提供跟蹤數據
　　
　　DOS攻擊防護
　　1、關閉所有不必要的IP服務，在所有接口上使用命令“no ip directed-broadcast”以防止邊界路由器變成DOS攻擊的廣播放大器
　　2、采用訪問控制列表對所有的入流量進行過濾，濾除源地址為私有和保留地址的數據包。
　　3、采用承諾訪問速率（committed access rate CAR）對ICMP數據包風暴進行限速
　　4、對SYN包進行速率進行限制
　　
　　
　　配置邊界事件記錄
　　service timestamps log datetime msec
　　service timestamps debug datetime msec
　　logging trap informational
　　logging source-interface fastethernet 0
　　logging 192.168.1.10
　　logging on
　　本例中，日志被發往PIX防火墻全局地址192.168.1.10
　　
　　那么還有幾個與邊界路由器同樣重要的概念：
　　1、?；饏^，以及“臟”?；饏^之前的區別
　　2、堡壘主機
　　3、防火墻
　　
　　194頁邊界路由器的配置樣例

上一篇：網管員必讀---跟我學SNMP網絡管理

下一篇：巧妙剖析日志—網絡管理員的“四兩撥千斤”