安全评估工具及方法介绍ppt幻灯片.pptVIP

是否需要和合理利用RPF功能？ RPF可以有效地防止基于地址欺骗的攻击手段，提供全网的抗攻击能力，ＲＰＦ的使用基于以下原则： 路由器必须可以开启ＣＥＦ交换模式 如果路由器从某接口接收到的任何ＩＰ包，　其回应包必定从该接口返回，　则可以在该接口上使用RPF功能； ＲＰＦ尽可能在靠近接入用户的网络设备上使用； Router(config)#ip cef Router(config)#inter e0/0 Router(config-if)#ip verify unicast reverse-path 访问控制列表 访问控制列表 访问控制列表 访问控制列表 议程 评估概述 评估工具介绍 Windows 2000安全评估 Unix安全评估 网络设备安全性评估 网络架构安全评估 IOS版本有无漏洞 系统漏洞, 在非人为条件下, 系统在特定网络环境中出现异常; 安全性漏洞, 破坏者借此控制设备或者造成设备运行异常; 网络设备运行中断或者异常即可造成经济损失 检测方式 网络扫描工具 如LinkTrust Network Scanner 检查版本号, 版本过低即可能有漏洞 命令 show version 访问安全 Console 访问安全 auxiliary 访问安全 vty vty 访问安全 vty 访问安全 Privilege 从0—15 默认是： 1（exec） 15（enable） 可以自定义其他级别 访问安全 访问安全 账号和口令 应按照用户分配账号 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# service password-encryption Router(config)# username ruser1 password 3d-zirc0nia Router(config)# username ruser1 privilege 1 Router(config)# username ruser2 password 2B-or-3B Router(config)# username ruser2 privilege 1 Router(config)# end 账号和口令 Type 7 Cisco的算法 很容易被破解 enable password username *** password *** service password-encryption（可以保证不在屏幕上直接显示） Type 5 MD5算法 安全 enable secret 账号和口令 Enable password和enable secret同时存在时，只有enable secret起作用 应该禁止enable password，尤其注意二者不能相同 ?????????? 认证 认证系统联动 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#aaa new-model Router(config)#aaa authentication login default group tacacs+ Router(config)#aaa authentication enable default group tacacs+ Router(config)#tacacs-server host 8 Router(config)#tacacs-server key Ir3@1yh8n#w9@swD Router(config)#end ?????????? 有些时候， 缺省BANNER信息会为黑客提供入侵线索； User Access Verification Password: 如上信息意味着该设备是Cisco设备。 Router(config)#banner login ^ This is secured device. Unauthorized use is prohibited by law. ^ 修改缺省banner HTTP 管理模式 HTTP管理模式可以使用户以WEB方式管理路由器， 但是也带来安全隐患。 router(config)#no ip http server 关闭HTTP模式 router(config)#ip http access-class access-list 用ACL限制可以访问的地址 router(config)#ip http