网络设教材备安全技术(幻灯片）.pptVIP

网络设备安全技术基础 2004年11月 主要内容 Cisco IOS系统安全 IP访问控制技术 第一部分：Cisco IOS系统安全 用户认证及交互式访问 网络服务管理 管理服务配置 路由安全 其它安全措施 Cisco支持的的本地登录认证方式 LINE口令认证 Router(config-line)#?password xxxx Router(config-line)#?login 本地用户口令认证 Router(config-line)#?login local Tacacs认证 Router(config-line)#?login tacacs 双因素认证 非AAA认证的时候使用用户名、密码的双因素身份验证 方式 username bob password 7 045802150C2E ?????username jean secret cisco ?????! ?????line vty 0 4 ?????login local (login authentication default|list-name) 采用权限分级策略 Router(Config)#username Bush privilege 10 pass G00dPa55w0rd Router(Config)#privilege EXEC level 10 telnet Router(Config)#privilege EXEC level 10 show ip access-list 口令管理 对用户的存储口令加密 Router（config）#service password-encryption 对特权模式使用MD5口令加密方式 Router（config）# enable secret Router（config）# enable password? 交互式访问 控制banner信息 Router(config)#banner login c banner信息文本 c Router(config)#banner exec “banner信息文本” Router(config)# aaa authentication banner cxxxxc Router(config)#aaa authentication password-prompt text 交互式访问 尽量不要远程控制路由器，否则需要对远程访问的主机进行严格的控制。 限制VTY的ip范围命令： Router(config)access-list 1 permit host 35  Router(config)line vty 0 4 Router(config-line)access-class 1 in 控制VTY的空闲时间: Router(config-line)exec-timeout 0 30 交互式访问 禁止反向TELNET Router(config)#line vty 0 4Router(config-line)#transport input telnet Router(config-line)#transport output none 服务管理 关闭finger协议 Finger协议能够透露正在运行的系统进程、登录的用户名、用户空闲时间、终端的位置等敏感信息。 Router(config)#no service finger Router(config)#no ip finger 服务管理 关闭一些诊断服务端口 (echo、discard、chargen) 很多小服务如echo、chargen经常会被利用进行拒绝服务攻击。（type : telnet x.x.x.x chargen） Router(config)#no service tcp-small-servers Router(config)#no service udp-small-servers 服务管理 非电信连接的设备关闭CDP协议 部分版本的IOS存在漏洞，其CDP协议会导致系统拒绝服务。 在端口上关闭cdp协议： Router(config-if)#no cdp enable 整个路由器上关闭cdp协议： Router(config)#no cdp running 服务管理 关闭路由器的Bootp服务 Router(config)#no ip