前言
企业网中常用的网络设备包括路由器、交换机和防火墙,而这些设备中存在的各种漏洞,造成了极大的网络安全隐患。 解决这类问题的途径除了借助立法及强化内部管理等防范措施外,先进的安全技术也是解决网络安全问题的重要方法。 由于防火墙是专用的安全设备,所以它在自身的安全方面的考虑是比较全面的,在默认情况下,它关闭了不必要的网络服务端口,而交换机和路由器的许多网络服务端口都是打开的,这就是等于为黑客预留了进入的通道。 因此,文章只研究了路由器和交换机的安全设置。
1 针对网络设备的攻击类型
直接侵入到系统内部和远程攻击使得网络设备崩溃或是运行效率显著下降
对于以上两点的攻击,其主要安全主要依托在以下两点:
1.其管理员登陆口令 2 其开放的服务
因此,对于网络设备安全,我们主要围绕这两个方面进行防护研究。
2 密码管理
密码是用来防止对于网络设备的非授权访问的主要手段,保存密码最好的方法就是把密码放在一个TACACS+或RADIUS服务器上。但通常路由器会有一个本地密码进行权限访问,这时最好应用强密码策略:
Router(config)# service password-encryption
3 交互权限管理
任何用户登录到路由器上,都可能看到一些该用户阅读权限以外的东西。 有些用户一量登录后,会将登录路由器作为中继,发动新的网络攻击。 任何得到特权的用户都可以配置路由器。 为了防止这些情况的发生,需要对路由器的交互权限进行管理。
3.1 设置远程登陆控制
Router(config) # line Vty 0 4 Router(config-line) # login Router(config-line) # Password ***
Router(config-line) # exec-timeout 2 30 //设置超时值
3.2 设置控制台与AUX登录控制
Router(config) # line console 0 Router(config-line) # transport input none Router(config-line) # password ***
Router(config) # line aux 0 Router(config-line) # transport input none Router(config-line) # no exec
3.3 关闭基于web的配置
Router(config) # no ip http server
3.4 利用ACL禁止ping相关接口
Router (config) # access -list 101 deny icmp any host 192.168.3.1echo
Router(config) # access-list 101 permit ip any any Router(config-if) # ip access-group 101 in
3.5 关系CDP
Router(config) # no cdp run //整个路由器上关闭cdp协Router(config-if) # no cdp enable //在端口上关闭cdp协议
3.6 禁止不必要的服务
Router(config) # no ip domain-lookup
Router(config) # no ip bootp server
Router(config) # no snmp-server
Router(config) # no snmp-server community public RO
Router(config) # no snmp-server communit admin RW
4 日志管理
日志对于网络安全来说非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。 对于日志的设置,有以下几点的建议:
4.1 指定记录到系统日志服务器中消息的调试级别, 获取有意义的日志信息进行分析。
4.2 指定系统日志数据包含有特定接口的ip地址, 而不管数据包通过哪个接口流出路由器。
4.3 日志除在本机保存外,还应将其记录到异地的专用系统日志服务器主机。
4.4 启用在日志消息中加入时间戳功能。
Router(config)# enable secret
第一条命令告诉IOS如何对于存放在配置文件中的密码、CHAP secrets和其他数据进行加密 ,但其使用的加密算法比较简单,安全性不高,所以如果是关键密码最好不要使用此命令加密。
第二条命令用来为IOS的特权管理用户设置加密密码,它使用比较好的MD5算法对口令进行散列处理,所以关键密码应采用些加密方法。此命令优先级高于第一条命令。
5 攻击方面的防护
5.1 |
|
DDoS 攻击方面的防护 |
|
5.1.1 |
在连接的上游路由器上, 使用 ip verify unicast reverse-path 命令, |
|
此命令可以使路由器检查每个到达的报文。 |
|
|
|
|
|
5.1.2 使用 ACL 对所有的入流量进行过滤。 |
|
5.1.3 使用 CAR 限制 ICMP 报文速率。 |
|
5.1.4 |
对 SYN 包进行速率限制。 |
|
5.2 |
|
病毒方面的防护 |
|
|
通过配置 ACL,控制Blaster等蠕虫的攻击和传播。 |
|
|
5.2.1 |
用于控制 Nachi 蠕虫的扫描 |
|
|
|
access-list 110 deny icmp any any echo |
|
5.2.2 |
用于控制 Blaster 蠕虫的传播 |
|
|
|
access-list 110 deny tcp any any eq 4444 |
|
|
|
access-list 110 deny udp any any eq 69 |
|
5.2.3 |
用于控制 Blaster 蠕虫的扫描和攻击 |
|
|
|
access-list 110 deny tcp any any eq 135 |
|
|
|
access-list 110 deny udp any any eq 135 |
|
|
|
access-list 110 deny tcp any any eq 139 |
|
|
|
access-list 110 deny udp any any eq 139 |
|
|
|
access-list 110 deny tcp any any eq 445 |
|
|
|
access-list 110 deny udp any any eq 445 |
|
|
|
access-list 110 deny tcp any any eq 593 |
|
|
|
access-list 110 deny udp any any eq 593 |
|
5.2.4 |
用于控制 Slammer 蠕虫的传播 |
|
|
|
access-list 110 deny udp any any eq 1434 |
| |