CISCO网络安全
关闭不必要的服务
关闭所有路由器或交换机上的不必要的服务,如Finger、Bootp、Http等;
Command:
Router(config)#no ip finger
#关闭finger服务
Router(config)# no ip bootp server
#关闭bootp服务
Router(config)# no ip http server
#关闭http服务
Example:
Router(config)#no ip finger
Router(config)# no ip bootp server
Router(config)# no ip http server
11.1.2 设置加密特权密码
使用加密的特权密码,注意密码的选择:
n 不要使用登录名,不管以何种形式(如原样或颠倒、大写和重复等)
n 不要用名字的第一个、中间一个或最后一个字(不管是现用名还是曾用名)
n 不要用最亲近的家人的名字(包括配偶、子女、父母和宠物)
n 不要用其他任何容易得到的关于你的信息
n 不要使用纯数字或完全同一个字母组成的口令
n 不要使用在英文字典中的单词
n 不要使用短于6位的口令
n 不要将口令告诉任何人
n 不要将口令电子邮件给任何人
n 如果可能,应该使用大小写混合的字母
n 使用包括非字母字符的口令
n 使用容易记的口令,这样就不必将它写下来
n 使用不用看键盘就可以很快键出的口令
Command:
Router(config)#enable secret
#设置加密的特权密码
Example:
Router(config)#enable secret @$!ainf0:
#设置加密的特权密码为@$!ainf0:
11.1.3 打开密码标记
Command:
Router(config)#service password-encryption
#加密密码,原先使用明文显示的密码将会以密文方式出现
Example:
Router(config)#service password-encryption
#加密明文密码
Router#show running-config
…
line vty 0 4
password cisco
logging synchronous
login
!
…
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#service password-encryption
Router(config)#^Z
Router# show running-config
…
line vty 0 4
password 7 01100F175804
login
…
11.1.4 设置NTP server
为了保证全网网络设备时钟的同步,必须在网络设备上配置NTP。
Command:
Router(config)# ntp server
#设置NTP,为时钟服务器的IP地址
Router(config)#ntp update-calendar
#将NTP取得的时钟更新本地的日历
Example:
Router(config)# ntp server 10.1.1.2
Router(config)#ntp update-calenda
#设置NTP时钟服务器IP地址为10.1.1.2,路由器将使用NTP得到的时钟作为本地时钟,同时更新本地的日历。
11.1.5 配置日志
在所有的路由器或交换机上配置相应的日志选项。
Command:
Router(config)# logging buffered
#将日志存于内存中,存放日志的内存大小由指定,单位为byte。
Router(config)# logging
#将日志发送到Syslog server上,Syslog server由指定。需要预先配置Syslog server
Example:
Router(config)# logging buffered 1024000
#在内存中使用1M的空间存放日志
Router(config)# logging 10.1.1.1
#将日志发送到IP地址为10.1.1.1的Syslog server上
11.1.6 设置LOG和DEBUG的时间标记
为了方便排错和日志管理,需要将日志的DEBUG的信息做上时间标志。使用以下命令设置时间标志。
Command:
Router(config)#service timestamps debug datetime msec localtime
#使用本地时间(精确到毫秒)标记DEBUG信息
Router(config)#service timestamps log datetime msec localtime
#使用本地时间(精确到毫秒)标记日志信息
Example:
Router(config)#service timestamps debug datetime msec localtime
Router(config)#service timestamps log datetime msec localtime
11.1.7 配置Console、AUX和VTY登录控制
登录一台路由器可以通过Console端口、AUX端口和VTY远程方式,因此对于这三种登录方式的控制直接影响网络设备的安全性。
在三种登录方式下需要设置认证、和超时选项。
建议认证使用本地用户名加密码的方式增加安全性。
Command:
Router(config-line)#login local
#设置登录时采用本地的用户数据
Router(config-line)#exec-timeout< secs>
#设置超时时间,表示分,< secs>表示秒,超时时间为两者之和
Example:
Router(config)#line con 0
Router(config-line)#exec-timeout 120 0
Router(config-line)# login local
Router(config-line)#line aux 0
Router(config-line)#exec-timeout 120 0
Router(config-line)#login local
Router(config-line)#line vty 0 4
Router(config-line)#exec-timeout 120 0
Router(config-line)#login local
11.1.8 限制远程登录的范围
缺省情况下,从任何地方都可以登录网络设备。为了增加网络设备的安全性,需要对远程登录的范围进行限制。
通常使用访问控制列表(access-list)限制登录主机的源地址,只有具有符合条件的主机能够登录到该网络设备上。
配置分为两步:
1. 定义访问控制列表(access-list)
2. 应用访问控制列表(access-list)
Command:
Router(config)#access-list access-list-number {deny | permit} source
#设置标准的访问控制列表,其中access-list-number为1-99
Router(config)#access-list access-list-number ] {deny | permit} protocol source source-wildcard destination destination-wildcard
#设置扩展的访问控制列表,其中access-list-number为100-199
Router(config-line)#access-class access-list-number {in | out}
#将访问控制列表应用在相应的VTY中
Example:
Router(config)# access-list 10 permit 10.1.1.0 0.0.0.255
Router(config)#line vty 0 4
Router(config-line)# access-class 10 in
#设置只有IP地址在10.1.1.0~255范围的主机才能远程登录该路由器。
11.1.9 配置SNMP
Command:
router(config)#snmp-server community string
#设置SNMP只读或读写串,number为Access-list号,限制可以通过SNMP访问该网络设备的地址
Example:
router(config)#snmp-server community crnet@aia!nf0 RW 10
router(config)#snmp-server community bjcrnet RO 10
router(config)#access-list 10 permit 210.82.8.65 0.0.0.0
router(config)#access-list 10 permit 210.82.8.69 0.0.0.0
#设置snmp只读和读写口令,并且只让210.82.8.65和210.82.8.69两台主机可以通过snmp采集路由器数据
11.1.10 配置特权等级
缺省情况下,Cisco路由器有两种控制模式:用户模式和特权模式。用户模式只有Show的权限和其他一些基本命令;特权模式拥有所有的权限,包括修改、删除配置。
在实际情况下,如果给一个管理人员分配用户模式权限,可能不能满足实际操作需求,但是分配给特权模式则权限太大,容易发生误操作或密码泄漏。使用特权等级,可以定制多个等级特权模式,每一个模式拥有的命令可以按需定制。
Command:
Router(config)# enable secret level level password
#设置想应级别的特权密码,level指定特权级别:0-15
Router(config)#username username privilege level password password
#设置管理人员的登录用户名、密码和相应的特权等级
Router(config)#privilege mode level level command
#设置相应特权等级下的能够使用的命令,注意:一旦一条命令被赋予一个特权等级,比该特权等级低的其他特权等级均不能使用该命令。
Example:
Router(config)#enable secret level 5 csico5
Router(config)#enable secret level 10 cisco10
#设置5级和10级的特权密码
Router(config)#username user5 privilege 10 password password5
Router(config)#username user10 privilege 10 password password10
#设置登录名为user5的用户,其特权等级为5、密码为password5
#设置登录名为user10的用户,其特权等级为10、密码为password10
Router(config)#privilege exec level 5 show ip route
Router(config)#privilege exec level 5 show ip
Router(config)#privilege exec level 5 show
Router(config)#privilege exec level 10 debug ppp chap
Router(config)#privilege exec level 10 debug ppp error
Router(config)#privilege exec level 10 debug ppp negotiation
Router(config)#privilege exec level 10 debug ppp
Router(config)#privilege exec level 10 debug
Router(config)#privilege exec level 10 clear ip route *
Router(config)#privilege exec level 10 clear ip route
Router(config)#privilege exec level 10 clear ip
Router(config)#privilege exec level 10 clear
#设置5级和10级特权等级下能够使用的命令
页:
[1]