[转载]底层安全——路由篇
信息来源:黑客基地([url]www.hackbase.com[/url])作者:EvilAngel
注:本文已发表于2005年黑客x档案第X期
路由器是网络中的神经中枢,在网络中占据着主要的地位,我们的广域网就是靠一个个路由器连接起来组成的。随着企事业单位的网络不断扩大,可靠性、安全性以成为人们的主要须求,曾经神秘的路由器,现在已经飞入寻常百姓家了。随着路由器的增多,路由器的安全性也逐渐成为大家探讨的一个热门话题了,本文主要针对我们公司的Cisco3640要说一下路由配置需要注意的几点,(软件版本不命令也会有些差别)公司基本网络拓扑结构如图1。
[attach]3659[/attach]
此文也是本人在工作过程中所整理的,本人技术还不成熟就算是抛砖引玉吧!
首先呢!我们的路由要有一个强壮的密码,(为了方便我把密码简单化了)进入配置模式的密码:
Cisco-3640#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Cisco-3640(config)#enable secret hackerxfiles
Cisco-3640(config)#enable password destiny //当secret密码机制失效时启用他
配置它console接口密码为cisco及telnet登录密码为hackbase:
Cisco-3640(config)#line console 0
Cisco-3640(config-line)#password cisco
Cisco-3640(config-line)#login
Cisco-3640(config-line)#exit
Cisco-3640(config)#line vty 0 4
Cisco-3640(config-line)#password hackbase
Cisco-3640(config-line)#login
指定他的连接超时时间为30秒:
Cisco-3640(config)#line console 0
Cisco-3640(config-line)#exec-timeout 0 30
虽说密码是设置完了,可是除secret密码其它的密码是明文的,当得到配置文件时那密码将一览无疑了,用“show running-config”命令可以看到如图2。
[attach]3660[/attach]
解决办法:我们可以在配置模式运行“service password-encryption”为其它密码加密。
禁止掉不须要的服务,在这里我只写三种,使用方法和IOS版本有关可以参照随机手册。禁止CDP(Cisco Discovery Protocol)、禁止HTTP、服务DNS服务。
Cisco-3640 (Config)#no cdp run
Cisco-3640 (Config)# no ip http
Cisco-3640 (Config)# no ip domain-lookup server
由于我们网络只有两个管理员,他们的IP分别是172.16.1.254、10.1.2.254,现在我们用访问列表只让这两个IP,telnet上我们的设备:
Cisco-3640(config)#access-list 1 permit 10.1.2.254
Cisco-3640(config)#access-list 1 permit 172.16.1.254
Cisco-3640(config)#line vty 0 4
Cisco-3640(config-line)#access-class 1 in
当然,我们也可以禁止任何人telnet登录我们的设备,如果您工作在一楼而机房又在N楼,此方法就不太可用了。
我们不禁止非授权用户从内网访问服务器群:
Cisco-3640(config)#access-list 2 permit 10.1.2.254
Cisco-3640(config)#access-list 2 permit 10.1.2.253
Cisco-3640(config)#access-list 2 permit 10.1.2.252 //以上三个IP是授权用户
Cisco-3640(config)#interface FastEthernet 0/0
Cisco-3640(config-if)#ip access-group 2 in
避免非管理员拿设备连接到网管所在接网络口上对路由配置:我们也可以在接入这二个地址的交换机上设置一个接口对应一个MAC地址,违反规则关掉此接口:
Center-Switch01(config-if)#port security max-mac-count 1
Center-Switch01(config-if)#port security action shutdown
当然,我们还可以在每个接口上配置每个接口绑定一个MAC地址、使用户不能改变IP地址、用VLAN来过滤,但这已不是我们今天所讨论的问题了,如有机会下期会写出来和大家见面的。
还有一点注意的是,要经常备份我们路由的配置文件,这些文件放在安全的在存储设备上,如果配置文件保存在tftp服务器上说不定那天tftp服务器就被你自己人拿下了。由于篇幅原因只能就此搁笔了,还有很多没有涉及到,本文技术浅薄大牛匆笑。
页:
[1]