CISCO网络安全

xian123

　　
　　
　　关闭不必要的服务
关闭所有路由器或交换机上的不必要的服务，如Finger、Bootp、Http等；
　　Command：
Router(config)#no ip finger
#关闭finger服务
Router(config)# no ip bootp server
#关闭bootp服务
Router(config)# no ip http server
#关闭http服务
　　Example：
Router(config)#no ip finger
Router(config)# no ip bootp server
Router(config)# no ip http server
　　11.1.2 设置加密特权密码
使用加密的特权密码，注意密码的选择：
n 不要使用登录名，不管以何种形式（如原样或颠倒、大写和重复等）
n 不要用名字的第一个、中间一个或最后一个字（不管是现用名还是曾用名）
n 不要用最亲近的家人的名字（包括配偶、子女、父母和宠物）
n 不要用其他任何容易得到的关于你的信息
n 不要使用纯数字或完全同一个字母组成的口令
n 不要使用在英文字典中的单词
n 不要使用短于6位的口令
n 不要将口令告诉任何人
n 不要将口令电子邮件给任何人
n 如果可能，应该使用大小写混合的字母
n 使用包括非字母字符的口令
n 使用容易记的口令，这样就不必将它写下来
n 使用不用看键盘就可以很快键出的口令
　　Command：
Router(config)#enable secret  
#设置加密的特权密码
　　Example：
Router(config)#enable secret @$!ainf0:
#设置加密的特权密码为@$!ainf0:
　　11.1.3 打开密码标记
Command：
Router(config)#service password-encryption
#加密密码，原先使用明文显示的密码将会以密文方式出现
　　Example：
Router(config)#service password-encryption
#加密明文密码
Router#show running-config
…
line vty 0 4
password cisco
logging synchronous
login
!
…
Router#conf t
Enter configuration commands， one per line. End with CNTL/Z.
Router(config)#service password-encryption
Router(config)#^Z
Router# show running-config
…
line vty 0 4
password 7 01100F175804
login
…
　　
11.1.4 设置NTP server
为了保证全网网络设备时钟的同步，必须在网络设备上配置NTP。
Command：
Router(config)# ntp server  
#设置NTP，为时钟服务器的IP地址
Router(config)#ntp update-calendar
#将NTP取得的时钟更新本地的日历
　　Example：
Router(config)# ntp server 10.1.1.2
Router(config)#ntp update-calenda
#设置NTP时钟服务器IP地址为10.1.1.2，路由器将使用NTP得到的时钟作为本地时钟，同时更新本地的日历。
　　11.1.5 配置日志
在所有的路由器或交换机上配置相应的日志选项。
Command：
Router(config)# logging buffered  
#将日志存于内存中，存放日志的内存大小由指定，单位为byte。
Router(config)# logging  
#将日志发送到Syslog server上，Syslog server由指定。需要预先配置Syslog server
　　Example：
Router(config)# logging buffered 1024000
#在内存中使用1M的空间存放日志
Router(config)# logging 10.1.1.1
#将日志发送到IP地址为10.1.1.1的Syslog server上
　　
11.1.6 设置LOG和DEBUG的时间标记
为了方便排错和日志管理，需要将日志的DEBUG的信息做上时间标志。使用以下命令设置时间标志。
　　Command：
Router(config)#service timestamps debug datetime msec localtime
#使用本地时间（精确到毫秒）标记DEBUG信息
Router(config)#service timestamps log datetime msec localtime
#使用本地时间（精确到毫秒）标记日志信息
　　Example：
Router(config)#service timestamps debug datetime msec localtime
Router(config)#service timestamps log datetime msec localtime
　　
11.1.7 配置Console、AUX和VTY登录控制
登录一台路由器可以通过Console端口、AUX端口和VTY远程方式，因此对于这三种登录方式的控制直接影响网络设备的安全性。
在三种登录方式下需要设置认证、和超时选项。
建议认证使用本地用户名加密码的方式增加安全性。
　　Command：
Router(config-line)#login local
#设置登录时采用本地的用户数据
Router(config-line)#exec-timeout  < secs>
#设置超时时间，表示分，< secs>表示秒，超时时间为两者之和
　　Example：
Router(config)#line con 0
Router(config-line)#exec-timeout 120 0
Router(config-line)# login local
Router(config-line)#line aux 0
Router(config-line)#exec-timeout 120 0
Router(config-line)#login local
Router(config-line)#line vty 0 4
Router(config-line)#exec-timeout 120 0
Router(config-line)#login local
　　
11.1.8 限制远程登录的范围
缺省情况下，从任何地方都可以登录网络设备。为了增加网络设备的安全性，需要对远程登录的范围进行限制。
通常使用访问控制列表（access-list）限制登录主机的源地址，只有具有符合条件的主机能够登录到该网络设备上。
配置分为两步：
1． 定义访问控制列表（access-list）
2． 应用访问控制列表（access-list）
　　Command：
Router(config)#access-list access-list-number {deny | permit} source [source-wildcard] [log]
#设置标准的访问控制列表，其中access-list-number为1-99
Router(config)#access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log]
#设置扩展的访问控制列表，其中access-list-number为100-199
　　Router(config-line)#access-class access-list-number {in | out}
#将访问控制列表应用在相应的VTY中
　　Example：
Router(config)# access-list 10 permit 10.1.1.0 0.0.0.255
Router(config)#line vty 0 4
Router(config-line)# access-class 10 in
#设置只有IP地址在10.1.1.0~255范围的主机才能远程登录该路由器。
　　
11.1.9 配置SNMP
Command：
router(config)#snmp-server community string [view view-name] [ro | rw] [number]
#设置SNMP只读或读写串，number为Access-list号，限制可以通过SNMP访问该网络设备的地址
　　Example：
router(config)#snmp-server community crnet@aia!nf0 RW 10
router(config)#snmp-server community bjcrnet RO 10
router(config)#access-list 10 permit 210.82.8.65 0.0.0.0
router(config)#access-list 10 permit 210.82.8.69 0.0.0.0
#设置snmp只读和读写口令，并且只让210.82.8.65和210.82.8.69两台主机可以通过snmp采集路由器数据
　　11.1.10 配置特权等级
缺省情况下，Cisco路由器有两种控制模式：用户模式和特权模式。用户模式只有Show的权限和其他一些基本命令；特权模式拥有所有的权限，包括修改、删除配置。
在实际情况下，如果给一个管理人员分配用户模式权限，可能不能满足实际操作需求，但是分配给特权模式则权限太大，容易发生误操作或密码泄漏。使用特权等级，可以定制多个等级特权模式，每一个模式拥有的命令可以按需定制。
　　Command：
Router(config)# enable secret level level [encryption-type] password
#设置想应级别的特权密码，level指定特权级别：0-15
　　Router(config)#username username privilege level password password
#设置管理人员的登录用户名、密码和相应的特权等级
Router(config)#privilege mode level level command
#设置相应特权等级下的能够使用的命令，注意：一旦一条命令被赋予一个特权等级，比该特权等级低的其他特权等级均不能使用该命令。
　　Example：
Router(config)#enable secret level 5 csico5
Router(config)#enable secret level 10 cisco10
#设置5级和10级的特权密码
　　Router(config)#username user5 privilege 10 password password5
Router(config)#username user10 privilege 10 password password10
#设置登录名为user5的用户，其特权等级为5、密码为password5
#设置登录名为user10的用户，其特权等级为10、密码为password10
　　Router(config)#privilege exec level 5 show ip route
Router(config)#privilege exec level 5 show ip
Router(config)#privilege exec level 5 show
Router(config)#privilege exec level 10 debug ppp chap
Router(config)#privilege exec level 10 debug ppp error
Router(config)#privilege exec level 10 debug ppp negotiation
Router(config)#privilege exec level 10 debug ppp
Router(config)#privilege exec level 10 debug
Router(config)#privilege exec level 10 clear ip route *
Router(config)#privilege exec level 10 clear ip route
Router(config)#privilege exec level 10 clear ip
Router(config)#privilege exec level 10 clear
#设置5级和10级特权等级下能够使用的命令