Cisco路由器交換機(jī)安全配置

Cisco路由器交換機(jī)安全配置一、網(wǎng)絡(luò)結(jié)構(gòu)及安全脆弱性為了使設(shè)備配置簡(jiǎn)單或易于用戶使用，Router或Switch初始狀態(tài)并沒(méi)有配置安全措施，所以網(wǎng)絡(luò)具有許多安全脆弱性，因此網(wǎng)絡(luò)中常面臨如下威脅： 1.DDOS攻擊2.非法授權(quán)...一、網(wǎng)絡(luò)結(jié)構(gòu)及安全脆弱性為了使設(shè)備配置簡(jiǎn)單或易于用戶使用，Router或Switch初始狀態(tài)并沒(méi)有配置安全措施，所以網(wǎng)絡(luò)具有許多安全脆弱性，因此網(wǎng)絡(luò)中常面臨如下威脅：DDOS攻擊非法授權(quán)訪問(wèn)攻擊?？诹钸^(guò)于簡(jiǎn)單，口令長(zhǎng)期不變，口令明文創(chuàng)送，缺乏強(qiáng)認(rèn)證機(jī)制。3.IP地址欺騙攻擊利用CiscoRouter和Switch可以有效防止上述攻擊。二、保護(hù)路由器2.1防止來(lái)自其它各省、市用戶Ddos攻擊最大的威脅：Ddos,hacker控制其他主機(jī)，共同向Router訪問(wèn)提供的某種服務(wù)，導(dǎo)致Router利用率升高。Ddos是最容易實(shí)施的攻擊手段，不要求黑客有高深的網(wǎng)絡(luò)知識(shí)就可以做到。如SMURFDDOS攻擊就是用最簡(jiǎn)單的命令ping做到的。利用IP地址欺騙，結(jié)合ping就可以實(shí)現(xiàn)DDOS攻擊。防范措施：應(yīng)關(guān)閉某些缺省狀態(tài)下開(kāi)啟的服務(wù)，以節(jié)省內(nèi)存并防止安全破壞行為/攻擊。以下是引用片段：Router(config-t)#noservicefingerRouter(config-t)#noservicepadRouter(config-t)#noserviceudp-small-serversRouter(config-t)#noservicetcp-small-serversRouter(config-t)#noiphttpserverRouter(config-t)#noserviceftpRouter(config-t)#noipbootpserver以上均已經(jīng)配置。防止ICMP-flooging攻擊。以下是引用片段：Router(config-t)#inte0Router(config-if)#noipredirectsRouter(config-if)#noipdirected-broadcastRouter(config-if)#noipproxy-arpRouter(config-t)#ints0Router(config-if)#noipredirectsRouter(config-if)#noipdirected-broadcastRouter(config-if)#noipproxy-arp以上均已經(jīng)配置。除非在特別要求情況下，應(yīng)關(guān)閉源路由：以下是引用片段：Router(config-t)#noipsource-route以上均已經(jīng)配置。禁止用CDP發(fā)現(xiàn)鄰近的cisco設(shè)備、型號(hào)和軟件版本。以下是引用片段：Router(config-t)#nocdprunRouter(config-t)#ints0Router(config-if)#nocdpenable如果使用works2000網(wǎng)管軟件，則不需要此項(xiàng)操作，此項(xiàng)未配置。使用CEF轉(zhuǎn)發(fā)算法，防止小包利用fastcache轉(zhuǎn)發(fā)算法帶來(lái)的Router內(nèi)存耗盡、CPU利用率升高。以下是引用片段：Router(config-t)#ipcef2.2防止非法授權(quán)訪問(wèn)通過(guò)單向算法對(duì)“enablesecret”密碼進(jìn)行加密。以下是引用片段：Router(config-t)#enablesecretRouter(config-t)#noenablepasswordRouter(config-t)#servicepassword-encryption?vty端口的缺省空閑超時(shí)為10分0秒Router(config-t)#linevty04Router(config-line)#exec-timeout100應(yīng)該控制到VTY的接入，不應(yīng)使之處于打開(kāi)狀態(tài);Console應(yīng)僅作為最后的管理手段：如只允許30Host能夠用Telnet訪問(wèn)。以下是引用片段：access-list110permitip3054loglinevty04access-class101inexec-timeout502.3使用基于用戶名和口令的強(qiáng)認(rèn)證方法以下是引用片段：Router(config-t)#usernameadminpass5434535e2Router(config-t)#aaanew-modelRouter(config-t)#radius-serverhostkeykey-stringRouter(config-t)#aaaauthenticationloginnetenggroupradiuslocalRouter(config-t)#linevty04Router(config-line)#loginauthenneteng三、保護(hù)網(wǎng)絡(luò)3.1防止IP地址欺騙黑客經(jīng)常冒充地稅局內(nèi)部網(wǎng)IP地址，獲得一定的訪問(wèn)權(quán)限。在省地稅局和各地市的WANRouter上配置：防止IP地址欺騙一使用基于unicastRPF(逆向路徑轉(zhuǎn)發(fā))。包發(fā)送到某個(gè)接口，檢查包的IP地址是否與CEF表中到達(dá)此IP地址的最佳路由是從此接口轉(zhuǎn)發(fā)，若是，轉(zhuǎn)發(fā)，否則，丟棄。以下是引用片段：Router(config-t)#ipcefRouter(config-t)#interfacee0Router(config-if)#ipverifyunicastreverse-path101Router(config-t)#access-list101permitipanyanylog注意：通過(guò)log日志可以看到內(nèi)部網(wǎng)絡(luò)中哪些用戶試圖進(jìn)行IP地址欺騙。此項(xiàng)已配置。防止IP地址欺騙配置訪問(wèn)列表防止外部進(jìn)行對(duì)內(nèi)部進(jìn)行IP地址:以下是引用片段：Router(config-t)#access-list190denyip55anyRouter(config-t)#access-list190permitipanyanyRouter(config-t)#ints4/1/1.1Router(config-if)#ipaccess-group190in防止內(nèi)部對(duì)外部進(jìn)行IP地址欺騙：以下是引用片段：Router(config-t)#access-list199permitip55anyRouter(config-t)#intf4/1/0Router(config-if)#ipaccess-group199in四、保護(hù)服務(wù)器對(duì)于地稅局內(nèi)部的某些Server,如果它不向各地提供服務(wù)可以在總局核心CiscoRouter上配置空路由。以下是引用片段：iproute55.0null在WANRouter上配置CBAC,cisco狀態(tài)防火墻，防止SyncFlood攻擊以下是引用片段：hr(config)#ints0/0hr(config-if)#ipaccess-group100inhr(config)#intf0/0hr(config-if)#ipinspectinsp1inhr(config)#ipinspectaudit-trialhr(config)#ipinspectnameinsp1tcphr(config)#ipinspectmax-incompletehigh350hr(config)#ipinspectmax-incompletelow240hr(config)#ipaudithr(config)#access-list100permittcpanyeq80在WANRouter上配置IDS入侵檢測(cè)系統(tǒng)以下是引用片段：hr(config)#ipauditnameaudit1infoactionalarmhr(config)#ipauditnameaudit1attackactionalarmdropresethr(config)#ipauditaudit1notifyloghr(config)#ints0/0hr(config)#ipauditaudit1in五、網(wǎng)絡(luò)運(yùn)行監(jiān)視配置syslogserver,將日志信息發(fā)送到syslogserver上SyslogServer紀(jì)錄Router的平時(shí)運(yùn)行產(chǎn)