一、 網絡結構及安全脆弱性
為了使設備配置簡單或易于用戶使用,Router或Switch初始狀態并沒有配置安全措施,所以網絡具有許多安全脆弱性,因此網絡中常面臨如下威脅:
1. DDOS攻擊
2. 非法授權訪問攻擊。
口令過于簡單,口令長期不變,口令明文創送,缺乏強認證機制。
3.IP地址欺騙攻擊
利用Cisco Router和Switch可以有效防止上述攻擊。
二、保護路由器
2.1 防止來自其它各省、市用戶Ddos攻擊
最大的威脅:Ddos, hacker控制其他主機,共同向Router訪問提供的某種服務,導致Router利用率升高。
Ddos是最容易實施的攻擊手段,不要求黑客有高深的網絡知識就可以做到。
如SMURF DDOS 攻擊就是用最簡單的命令ping做到的。利用IP 地址欺騙,結合ping就可以實現DDOS攻擊。
防范措施:
?應關閉某些缺省狀態下開啟的服務,以節省內存并防止安全破壞行為/攻擊
Router(config-t)#no service finger
Router(config-t)#no service pad
Router(config-t)#no service udp-small-servers
Router(config-t)#no service tcp-small-servers
Router(config-t)#no ip http server
Router(config-t)#no service ftp
Router(config-t)#no ip bootp server |
以上均已經配置。
?防止ICMP-flooging攻擊
Router(config-t)#int e0
Router(config-if)#no ip redirects
Router(config-if)#no ip directed-broadcast
Router(config-if)#no ip proxy-arp
Router(config-t)#int s0
Router(config-if)#no ip redirects
Router(config-if)#no ip directed-broadcast
Router(config-if)#no ip proxy-arp |
以上均已經配置。
?除非在特別要求情況下,應關閉源路由:
Router(config-t)#no ip source-route
以上均已經配置。
?禁止用CDP發現鄰近的cisco設備、型號和軟件版本
Router(config-t)#no cdp run
Router(config-t)#int s0
Router(config-if)#no cdp enable |
如果使用works2000網管軟件,則不需要此項操作
此項未配置。
?使用CEF轉發算法,防止小包利用fast cache轉發算法帶來的Router內存耗盡、CPU利用率升高。
Router(config-t)#ip cef
2.2 防止非法授權訪問
?通過單向算法對 “enable secret”密碼進行加密
Router(config-t)#enable secret
Router(config-t)#no enable password
Router(config-t)#service password-encryption
?vty端口的缺省空閑超時為10分0秒
Router(config-t)#line vty 0 4
Router(config-line)#exec-timeout 10 0 |
?應該控制到VTY的接入,不應使之處于打開狀態;Console應僅作為最后的管理手段:
如只允許130.9.1.130 Host 能夠用Telnet訪問.
access-list 110 permit ip 130.9.1.130 0.0.0.0 130.1.1.254 0.0.0.0 log
line vty 0 4
access-class 101 in
exec-timeout 5 0 |
2.3 使用基于用戶名和口令的強認證方法
Router(config-t)#username admin pass 5 434535e2
Router(config-t)#aaa new-model
Router(config-t)#radius-server host 130.1.1.1 key key-string
Router(config-t)#aaa authentication login neteng group radius local
Router(config-t)#line vty 0 4
Router(config-line)#login authen neteng |
