關(guān)于Cisco 路由器的高深問題,比如系統(tǒng)日志管理、取消不必要的服務(wù)、集中日志整理的技術(shù)性能等等。下面有鄭州北大青鳥翔天信鴿校區(qū)的王老師給大家詳細(xì)的解析一下!
1.系統(tǒng)日志管理
多個(gè)用戶共享一個(gè)賬戶是無法區(qū)分他們之間的活動(dòng)的。默認(rèn)的情況下,Cisco路由器設(shè)備有兩級(jí)的訪問模式:用戶模式和特權(quán)用戶模式。用戶可以認(rèn)為特權(quán)用戶同UNIX中的root或WindowsNT中的系統(tǒng)管理員是類似的。一般情況下,用戶認(rèn)證時(shí)不需要用戶名只需要口令。普通用戶登錄模式和特權(quán)用戶登錄模式都是如此。但是許多機(jī)構(gòu)是很多人同時(shí)共享同一口令,這樣就有許多人共享路由器的口令。通過將RADIUS或者TACACS和AAA(認(rèn)證、授權(quán)和審計(jì))相結(jié)合,系統(tǒng)管理員可以將路由器基本結(jié)構(gòu)信息存貯在NDS、AD或者其他中心口令庫中。通過這種認(rèn)證方式可以強(qiáng)制用戶在登錄時(shí)輸入賬戶名和口令,這樣便于清除審計(jì)痕跡。
2.取消不必要的服務(wù)
首先,取消一些不重要的、很少被使用服務(wù);取消finger服務(wù),因?yàn)樗鼤?huì)給黑客提供許多有用信息。取消finger服務(wù)后,還要確認(rèn)沒有打開HTTP(Web)服務(wù)器。雖然系統(tǒng)的默認(rèn)配置是這樣的,還必須經(jīng)過用戶再確認(rèn)一下。Cisco 路由器設(shè)備有Cisco專用協(xié)議,CDP(CiscoDiscoveryProtocol)。同finger一樣,CDP本身沒有什么威脅,但是它可以讓黑客獲得許多自己無法訪問的信息。
3.網(wǎng)絡(luò)管理注意事項(xiàng)
限制終端訪問和取消不必要的服務(wù)是保護(hù)系統(tǒng)安全的重要部分。但是只進(jìn)行這些工作是遠(yuǎn)遠(yuǎn)不夠的,在管理方面還有很多有關(guān)系統(tǒng)程序上和管理上值得考慮的因素。
4.集中日志整理
安全專家認(rèn)為大多數(shù)系統(tǒng)日志協(xié)議采用UDP的形式進(jìn)行傳輸是不安全的。但是現(xiàn)在還沒有較好的改進(jìn)方法。如果系統(tǒng)有一個(gè)系統(tǒng)日志登錄服務(wù)器,用戶可以采用命令將輸出集中到這個(gè)服務(wù)器。
5.口令存儲(chǔ)注意事項(xiàng)
許多用戶在FTP和TFTP服務(wù)器上保存路由配置文件和鏡像信息。盡管保留備份是個(gè)良好的習(xí)慣,但是要確保這些文件的安全。要保證這些服務(wù)器有可靠的訪問控制。接下來還可以采取兩種預(yù)防措施。首先,使用Cisco 路由器的“加密”口令規(guī)則來代替普通的“使能”口令規(guī)則。使用無法逆轉(zhuǎn)的MD5散列算法保存重要口令,采用一般加密算法保存一般口令。
6.時(shí)鐘同步
網(wǎng)絡(luò)時(shí)鐘協(xié)議(NTP)定義了網(wǎng)絡(luò)設(shè)備的時(shí)鐘與系統(tǒng)的時(shí)鐘同步規(guī)則。NTP是業(yè)界標(biāo)準(zhǔn),NTP相當(dāng)準(zhǔn)確并且兼容性好——多種操作系統(tǒng)及各種路由器和交換設(shè)備都支持。
7.SNMP管理
許多組織經(jīng)常使用SNMP,還有些組織現(xiàn)在希望將來使用。不論其應(yīng)用前景如何,有兩點(diǎn)要注意:如果用戶不需要SNMP,最好取消;如果要使用SNMP,最好正確配置Cisco 路由器。但是,如果用戶一定要使用SNMP,可以對(duì)其進(jìn)行保護(hù)。首先,SNMP有兩種模式:只讀模式(RO)和讀寫模式(RW)。如果可能,使用只讀模式,這樣可以最大限度的控制用戶的操作,即使在攻擊者發(fā)現(xiàn)了通信中的字符串時(shí),也能限制其利用SNMP進(jìn)行偵察的目的,還能阻止攻擊者利用其修改配置。如果必須使用讀寫模式,最好把只讀模式與讀寫模式使用的通信字符串區(qū)別開來。最后可以通過訪問控制列表來限制使用SNMP的用戶。