第05讲网络安全new.pptVIP

网络安全 学习目标 保护Cisco路由器 1、路由器安全的重要性 路由器遭到攻击后带来的安全隐患： 访问控制遭到破坏会暴露网络配置的详细信息，从而可以借此攻击其它网络组件。 路由表遭到破坏会降低网络性能、拒绝网络通信服务并暴露敏感数据。 错误配置的路由器流量过滤器会暴露内部网络组件，致使其被扫描到以及被攻击，并使攻击者更容易避开检测。 2、对路由器应用Cisco IOS安全功能 步骤 1. 管理路由器安全 为路由器设置密码 保护路由器的密码——加密 包括：enable密码、console登录和VTY密码、username password密码 明文密码、加密密码（7类方案的简单加密、5类方案的复杂加密） 命令：service password-encryption （ 7类加密方案） enable secret password （5类加密方案，安全性更高） username username password password （5类加密方案） username username secret password （ 7类加密方案） security passwords min-length （设置密码最小长度） 输入命令： enable secret cisco username zhangsan password zhangsan 输出结果： enable secret 5 $1$mERr$M8hiclNzJMod27zv5MBjW. username zhangsan password 0 zhangsan 步骤 2. 保护对路由器的远程管理访问 远程访问方式：telnet方式、SSH方式 远程访问要解决的问题： 身份验证、数据的加密传输、访问控制 默认情况下，cisco路由器不允许远程登录 telnet方式明文传输数据、SSH方式加密传输数据 相关命令： line vty 0 4 /password password /login exec-timeout value transport input all|none|telnet|ssh 在客户端安装SSH客户端软件，如PuTTY、Tera Term 、 SecureCRT等 通过VTY线路实现对路由器的安全访问 例1：从R2上通过ssh方式远程连接到R1，实现对R1的远程访问。 配置本地身份验证和vty登录 enable secret cisco username iloveyou secret 123456 line vty 0 4 no transport input transport input ssh login local （可选）配置SSH超时和身份验证重试次数 ip ssh time-out 15 （超时15秒） ip ssh authentication-retries 2 （身份验证次数为2） 保护易受攻击的路由器服务和接口 禁用不用的端口和服务，可提升网络的安全性。 路由器默认启用了很多服务和端口，要禁用多项服务或端口，就需要配置相应的命令，比较麻烦。 可用安全配置命令来配置所有的安全: auto secure命令（特权模式下执行）： cisco IOS提供的路由器安全自动配置命令。用交互方式完成安全配置。 Router#auto secure --- AutoSecure Configuration --- *** AutoSecure configuration enhances the security of the router, but it will not make it absolutely resistant to all security attacks *** AutoSecure will modify the configuration of your device. All configuration changes will be shown. For a detailed explanation of how the configuration changes enhance security and any possible side effects, please refer to C for Autosecure documentation. At any