一、 控制層面主要安全威協與應對原則
網絡設備的控制層面的實質還是運行的一個操作系統,既然是一個操作系統,那么,其它操作系統可能碰到的安全威脅網絡設備都有可能碰到;總結起來有如下幾個方面:
1、 系統自身的缺陷:操作系統作為一個復雜系統,不論在發布之前多么仔細的進行測試,總會有缺陷產生的。出現缺陷后的唯一辦法就是盡快給系統要上補丁。Cisco IOS/Catos與其它通用操作系統的區別在于,IOS/Catos需要將整個系統更換為打過補丁的系統,可以查詢http://www.cisco.com/en/US/customer/PRodUCts/prod_security_advisories_list.Html 取得cisco最新的安全公告信息與補丁信息。
2、 系統缺省服務:與大多數能用操作系統一樣,IOS與CatOS缺省情況下也開了一大堆服務,這些服務可能會引起潛在的安全風險,解決的辦法是按最小特權原則,關閉這些不需要的服務。
3、 弱密碼與明文密碼:在IOS中,特權密碼的加密方式強加密有弱加密兩種,而普通存取密碼在缺省情況下則是明文;
4、 非授權用戶可以治理設備:既可以通過telnet/snmp通過網絡對設備進行帶內治理,還可以通過console與aux口對設備進行帶外治理。缺省情況下帶外治理是沒有密碼限制的。隱含較大的安全風險;
5、 CDP協議造成設備信息的泄漏;
6、 DDOS攻擊導致設備不能正常運行,解決方案,使用控制面策略,限制到控制層面的流量;
7、 發生安全風險之后,缺省審計功能。
QQread.com 推出各大專業服務器評測 linux服務器的安全性能 SUN服務器 HP服務器 DELL服務器 IBM服務器 聯想服務器 浪潮服務器 曙光服務器 同方服務器 華碩服務器 寶德服務器 二、 Cisco IOS加固 對于12.3(4)T之后的IOS版本,可以通過autosecure命令完成下述大多數功能,考慮到大部分用戶還沒有條件升級到該IOS版本,這里仍然列出需要使用到的命令行:
1、禁用不需要的服務:
no ip http server //禁用http server,這玩意兒的安全漏洞很多的
no ip source-route //禁用IP源路由,防止路由欺騙
no service finger //禁用finger服務
no ip bootp server //禁用bootp服務
no service udp-small-s //小的udp服務
no service tcp-small-s //禁用小的tcp服務
2、關閉CDP
no cdp run //禁用cdp
3、配置強加密與啟用密碼加密:
service passWord-encryption //啟用加密服務,將對password密碼進行加密
enable secret asdfajkls //配置強加密的特權密碼
no enable password //禁用弱加密的特權密碼
4、配置log server、時間服務及與用于帶內治理的ACL等,便于進行安全審計
service timestamp log datetime localtime //配置時間戳為datetime方式,使用本地時間
logging 192.168.0.1 //向192.168.0.1發送log
logging 192.168.0.2 //向192.168.0.2發送log
access-list 98的主機進行通訊
no access-list 99 //在配置一個新的acl前先清空該ACL
access-list 99 permit 192.168.0.0 0.0.0.255
access-list 99 deny any log //log參數說明在有符合該條件的條目時產生一條logo信息
no access-list 98 //在配置一個新的acl前先清空該ACL
access-list 98 permit host 192.168.0.1
access-list 98 deny any log //log參數說明在有符合該條件的條目時產生一條logo信息
!
clock timezone PST-8 //設置時區
ntp authenticate //啟用NTP認證
ntp authentication-key 1 md5 uadsf //設置NTP認證用的密碼,使用MD5加密。需要和ntp server一致
ntp trusted-key 1 //可以信任的Key.
ntp acess-group peer 98 //設置ntp服務,只答應對端為符合access-list 98條件的主機
ntp server 192.168.0.1 key 1 //配置ntp server,server為192.168.0.1,使用1號key做為密碼
5、對帶內治理行為進行限制:
snmp-server community HSDxdf ro 98//配置snmp只讀通訊字,并只答應access-list 98的主機進行通訊
line vty 0 4
access-class 99 in //使用acl 99來控制telnet的源地址
login
password 0 asdfaksdlf //配置telnet密碼
exec-timeout 2 0 //配置虛終端超時參數,這里是2分鐘
!
6、對帶外治理行為進行限制:
line con 0
login
password 0 adsfoii //配置console口的密碼
exec-timeout 2 0 //配置console口超時參數,這里是兩分鐘
!
line aux 0
transport input none
password 0 asfdkalsfj
no exec
exit
7、應用control-plane police,預防DDOS攻擊(注:需要12.2(1S或12.3(4)T以上版本才支持)
答應信任主機(包括其它網絡設備、治理工作站等)來的流量:
access-list 110 deny ip host 1.1.1.1 any
access-list 110 deny ip 2.2.2.0 255.255.255.0 any
.....
access-list 110 deny ip 3.3.3.3 any
限制所有其它流量
access-list 110 permit ip any any
!
class-map control-plane-limit
match access-group 110
!
policy-map control-plane-policy
class control-plane-limit
police 32000 conform transmit exceed drop
!
control-plane
service-policy input control-plane-policy
set cdp disable //禁用cdp
set ip http disable //禁用http server,這玩意兒的安全漏洞很多的
2、 配置時間及日志參數,便于進行安全審計:
set logging timestamp enable //啟用log時間戳
set logging server 192.168.0.1 //向192.168.0.1發送log
set logging server 192.168.0.2 //向192.168.0.2發送log!
set timezone PST-8 //設置時區
set ntp authenticate enable //啟用NTP認證
set ntp key 1 md5 uadsf //設置NTP認證用的密碼,使用MD5加密。需要和ntp server一致
set ntp server 192.168.0.1 key 1 //配置ntp server,server為192.168.0.1,使用1號key做為密碼
set ntp client enable //啟用ntp client
3、 限制帶內治理:
set snmp community HSDxdf //配置snmp只讀通訊字
set ip permit enable snmp //啟用snmp訪問控制
set ip permit 192.168.0.1 snmp //答應192.168.0.1進行snmp訪問
set ip permit enable telnet //啟用telnet訪問控制
set ip permit 192.168.0.1 telnet //答應192.168.0.1進行telnet訪問
set password //配置telnet密碼
set enable //配置特權密碼
set logout 2 //配置超時參數,2分鐘
新聞熱點
疑難解答
