當前位置 : 首頁>網絡\服務器>學堂>正文

Cisco 路由器交換機安全配置技術

http://m.yibo1263.com　2008-8-16 8:19:40 　來源:互聯(lián)網實驗室　編輯:葉子

一、網絡結構及安全脆弱性

　　為了使設備配置簡單或易于用戶使用，Router或Switch初始狀態(tài)并沒有配置安全措施，所以網絡具有許多安全脆弱性，因此網絡中常面臨如下威脅：

　　1. DDOS攻擊

　　2. 非法授權訪問攻擊。

　　口令過于簡單，口令長期不變，口令明文創(chuàng)送，缺乏強認證機制。

　　3.IP地址欺騙攻擊

　　….

　　利用Cisco Router和Switch可以有效防止上述攻擊。

　　二、保護路由器

　　2.1 防止來自其它各省、市用戶Ddos攻擊

　　最大的威脅：Ddos, hacker控制其他主機，共同向Router訪問提供的某種服務，導致Router利用率升高。

　　Ddos是最容易實施的攻擊手段，不要求黑客有高深的網絡知識就可以做到。

　　如SMURF DDOS 攻擊就是用最簡單的命令ping做到的。利用IP 地址欺騙，結合ping就可以實現DDOS攻擊。

　　防范措施：

　　應關閉某些缺省狀態(tài)下開啟的服務，以節(jié)省內存并防止安全破壞行為/攻擊。

以下是引用片段：
　　Router(config-t)#no service finger
　　Router(config-t)#no service pad
　　Router(config-t)#no service udp-small-servers
　　Router(config-t)#no service tcp-small-servers
　　Router(config-t)#no ip http server
　　Router(config-t)#no service ftp
　　Router(config-t)#no ip bootp server

　　以上均已經配置。

　　防止ICMP-flooging攻擊。

以下是引用片段：
　　Router(config-t)#int e0
　　Router(config-if)#no ip redirects
　　Router(config-if)#no ip directed-broadcast
　　Router(config-if)#no ip proxy-arp
　　Router(config-t)#int s0
　　Router(config-if)#no ip redirects
　　Router(config-if)#no ip directed-broadcast
　　Router(config-if)#no ip proxy-arp

　　以上均已經配置。

　　除非在特別要求情況下，應關閉源路由:

以下是引用片段：
　　Router(config-t)#no ip source-route

　　以上均已經配置。

　　禁止用CDP發(fā)現鄰近的cisco設備、型號和軟件版本。

以下是引用片段：
　　Router(config-t)#no cdp run
　　Router(config-t)#int s0
　　Router(config-if)#no cdp enable

　　如果使用works2000網管軟件，則不需要此項操作，此項未配置。

　　使用CEF轉發(fā)算法，防止小包利用fast cache轉發(fā)算法帶來的Router內存耗盡、CPU利用率升高。

以下是引用片段：
　　Router(config-t)#ip cef

本新聞共4頁,當前在第1頁 1 2 3 4

【收藏】【打印】【進入論壇】