思科设备安全加固(范文).docxVIP

思科设备安全加固(范文) 第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页 思科网络设备安全加固 密码管理 密码是用来防止对于网络设备的非授权访问的主要手段，是网络设备本身安全的一部分。最好的密码处理方法是将这些密码保存在TACACS+或RADIUS认证服务器上。但是通常网络设备会有一个本地密码进行权限访问。这时最好采用如下的方式进行设置： 使用enablesecret Enable secret命令用于设定进入系统特权模式的密码。我们最好为其设置一个强壮的密码，该密码应该不会被字典式攻击轻易破解。还有一点，就是老的系统采用的是enable password，虽然它们的功能相似，但是enable password采用的加密算法比较较弱，最好不要采用。 Router(Config)#enable secret 12#gF3?0Op9J 使用servicepassword-encryption 这条命令用于对存储在配置文件中的口令进行加密。避免当配置文件被不怀好意者看见，从而获得这些数据的明文。但是service password-encryption的加密算法比较简单，很容易被破译。这个主要是针对enable password命令设置的密码。而enable secret命令采用的是MD5算法，这种算法是很难进行破译的。 Router(Config)#service password-encryption 访问控制 任何人登录到网络设备上都能够显示一些重要的配置信息。一个攻击者可以将该设备作为攻击的中转站。所以我们必须正确控制网络设备的登录访问。尽管大部分的登录访问缺省都是禁止的。但是有一些例如，比如控制台端口(Console)默认就是允许登录的。 控制端口是非常特殊的端口，当网络设备重启动的开始几秒，如果发送一个Break信号到控制端口，它就会进入一种监控模式，在这里可以恢复系统的密码，从而可以很容易控制整个系统。因此如果一个攻击者尽管他没有正常的访问权限，但是能够重启系统（切断电源或使系统崩溃）和访问控制端口（通过直连终端、终端服务器），他就可以控制整个系统，所以我们必须保证所有连接控制端口的访问的安全性。除了通过控制台登录外，另外还有许多登录的方法。根据配置和操作系统版本的不同，可以支持如Telnet、rlogin、SSH以及Modem拨号。所有这些都涉及到TTY，通常本地的异步终端和拨号Modem使用标准的“TTY”，远程的网络连接不管采用什么协议都使用虚拟的TTY，即“VTY”。当然，要控制对网络设备的访问，最好就是控制这些TTY或VTY，比如加上一些认证和利用Login、nopassword命令禁止访问。 控制TTY 在缺省的情况下，一个远端用户可以连接到一个TTY，称为“反向Telnet”，它允许远端用户和连接到这个TTY上的终端或Modem进行交互。但是这些特征允许一个远端用户连接到一个本地的异步终端口或一个拨入的Modem端口，从而构造一个假的登录过程来偷盗密码或其他的非法活动，所以最好禁止这项功能。可以采用transport input none设置任何异步或Modem不接收来自网络用户的连接。如果可能，不要用相同的Modem拨入和拨出，且禁止反向Telnet拨入。路由器有一个AUX端口，该端口可以配置成控制端口，因此如果不使用该端口，最好将其设置为禁用。 Router(Config)#line aux 0 Router(Config-line)#transport input none Router(Config-line)#no exec 控制VTY 为了保证安全，任何VTY应该仅允许指定的协议建立连接。如一个VTY只支持Telnet服务，可以如下设置transport input telnet。如果操作系统支持SSH，最好配置只支持这个协议，避免使用明文传送的Telnet服务，采用如下设置：transport input ssh。也可以在VTY线路模式下，配置ip access-list来限制访问该VTY的IP地址范围。因为VTY的数目有一定的限制，当所有的VTY用完了，就不能再建立远程的网络连接了。这就有可能被利用进行拒绝服务攻击（Dos）。这时攻击者不必登录进入，只要建立连接，到login提示符下就可以，消耗掉所有VTY，使用正常访问的用户无法登陆。对于这种攻击的一个好的防范方法就是，利用ip access-list命令限制最后一个VTY的访问地址，使其只向特定管理工作站打开，从而保证管理人员能够远程登录该设备。另一个方法是利用exec-timeout命令，配置VTY的超时时间。避免一个空闲的任务一直占用VTY线路。类似地，也可以用service t