《管理CISCO网络安全》笔记

2019-11-04 12:24:27

字体：大中小

来源：转载

供稿：网友

　　第3章保护网络基础设施的安全
　　1、使用口令加密
　　A、“Service passWord-encrption”命令
　　加密后，假如使用SHOW那么会看到
　　enable password 7 14141B180F0B
　　......
　　B、“Enable secret”命令
　　这种方式会比前一种更安全些
　　加密后，假如使用SHOW那么会看到
　　enable secret 5 $1$6cWV$inD7guHPL1D3ZmdX08MMS
　　2、细调线路参数
　　router(config)#line console 0
　　router(config-line)#exec-timeout 2 30
　　3、设置多个特权级别
　　答应一个网络工程师使用所有的命令，但只给系统治理员分配命令级别2，即系统监视和测试命令（ping,show,debug）
　　router(config)#PRivilege exec level 2 show startup-config
　　router(config)#privilege exec level 2 debug ip rip
　　router(config)#privilege exec level 2 ping
　　router(config)#enble secret level 2 2kdo40d
　　假如系统治理员要进入，那么使用下面语句：
　　router>enable level
　　4、设置设备标识（banner）消息
　　5、控制Telnet访问
　　访问控制列表21给位于IP地址10.1.14
　　router(config)#access-list 21 permit 10.1.1.4
　　router(config)#line vty 0 4
　　router(config-line)#access-class 21 in
　　6、控制SNMP访问
　　router(config)#snmp-server community secure ro
　　路由器到路由器的通信安全
　　1、明文认证
　　2、md5认证
　　用MD5为EIGRP配置路由认证的例子：
　　!Router A
　　ip authentication mode eigrp 1 md5
　　ip authentication mode key-chain eigrp 1 cbobw
　　key chain chbobw
　　key 1
　　key-string 0987654321
　　accept-lifetime infinite
　　send-lifetime Jan 01 2001 infinite
　　key 2
　　key-string 1234567890
　　accept-lifetime infinite
　　send-lifetime Jan 01 2001 infinite
　　exit
　　!
　　router eigrp 200
　　network 10.1.1.0
　　network 10.1.2.0
　　!router B
　　ip authentication mode eigrp 1 md5
　　ip authentication mode key-chain eigrp 1 cpw
　　key chain cpw
　　key 1
　　key-string 0987654321
　　accept-lifetime infinite
　　send-lifetime 04:00:00 Jan 01 2001
　　04:00:00 Jan 01 2002
　　key 2
　　key-string 1234567890
　　accept-lifetime infinite
　　send-lifetime Jan 01 2001 infinite
　　exit
　　router eigrp 200
　　network 10.2.1.0
　　network 10.2.2.0
　　
　　保护路由器的配置文件安全
　　1、限制通过SNMP所访问的TFTP服务器
　　命令行：snmp-server tftp-server-list number 其中“number”参数是访问控制列表号，限制TFTP服务器通过SNMP在服务器中配置访问列表的文件拷贝。
　　2、用过滤器控制数据流
　　用访问控制列表抑制路由更新中的网络通告
　　router(config)#access-list deny 10.1.2.0 0.0.0.255
　　router(config)#access-list 45 permit any any
　　router(config)#router eigrp 200
　　router(config-router)#distribute-list 45 out serial0
　　保护以太网交换机的治理访问
　　1、以太交换机的端口安全
　　命令行：
　　Console>(enable)set port security 3/1 enable 01-02-03-04-05-06
　　Console>(enable)set port security 3/2 enable
　　Console>
　　Console>(enable)show port 3
　　2、以太网交换机的访问安全
　　命令行：向IP答应列表中增加IP地址并检验配置
　　Console>(enable)set ip permit 172.16.1.11
　　Console>set ip permit 172.16.11.0 255.255.255.0
　　Console>set ip permit enable
　　Console>show ip permit
　　
　　第四章
　　分析CISCO AAA安全技术
　　1、AAA安全架构
　　包含三个组件：
　　A、认证 B、授权 C、审计
　　AAA和访问数据流
　　A、AAA和字符模式的数据流
　　受AAA保护的产生字符模式数据流的线路类型
　　AUX（辅助端口）
　　CONSOLE（控制台端口）
　　TTY（异步口）
　　VTY（虚拟终端口）
　　B、受AAA保护的产生包模式数据流的协议
　　PPP协议
　　ARAP协议
　　NASI协议
　　
　　第四章分析CISCO AAA安全技术
　　4、5 AAA 安全服务器
　　1、采用本地安全数据库的AAA
　　2、采用远程安全数据库的AAA
　　CISCO 网络设备支持三种以上的安全服务器协议：TACACS+、RADIUS和Kerberos
　　。其中TACACS+和RADIUS是用于网络接入服务器、路由器和防火墙AAA的主要安全服务器协议。CiscoSecure ACS产品系列来支持TACACS+和RADIUS协议
　　
　　第五章配置网络接入服务器使用AAA安全特性
　　NAS AAA配置步骤
　　步骤1、保护特权可执行（EXEC）和配置模式
　　步骤2、在NAS上全局性地启用AAA
　　步骤3、配置AAA认证原型
　　步骤4、配置AAA授权
　　步骤5、配置AAA审计选项
　　步骤6、调试所做的配置
　　
　　第六章配置CiscoSecure ACS和TACACS+/RADIUS
　　用于Windows NT的CiscoSecure ACS
　　安装CSNT
　　步骤1、配置NT服务器
　　步骤2、检验连通性
　　步骤3、通过WEB浏览器配置CSNT
　　步骤4、为AAA配置其他设备
　　用于UNIX的CiscoSecure ACS
　　165页 CSNT配置例子
　　
　　第七章配置CISCO边界路由器
　　边界安全主要是采用一个边界路由器在安全的网络与不安全网络之间建立起一个分界点。
　　边界路由器的特性
　　特性脆弱点描述
　　TCP/IP服务控制侦察，拒绝服务（DOS），非授权访问通用命令和接口命令可以提供安全保护
　　路由通告控制数据操纵静态路由、路由通告控制以及对等路由认证可以防止重路由（rerouting）攻击
　　包过滤数据操纵、非授权访问，DOS 利用标准的访问控制列表和扩展的IP访问控制列表来过滤输入和输出数据流
　　限制速率 DOS 对ICMP和SYN风暴攻击进行控制
　　TCP拦截 DOS 对SYN风暴攻击进行控制
　　网络层加密数据操纵、侦察 CET和IPsec协议可以帮助确保边界数据的完整性和保密性
　　网络地址翻译数据操纵 NAT可以隐藏内部编址方案并能简化重新编址
　　端口地址翻译数据操纵 PAT可以隐藏内部编址方案并扩展有限的注册IP 地址的使用
　　“Lock-and-Key”(动态) 非授权访问提供额外的用户访问安全控制
　　访问控制列表
　　防火墙特性集非授权访问为CISCO路由器提供了丰富的防火墙额外特性
　　事件日志数据操纵帮助为检测和分析攻击类型提供跟踪数据
　　
　　DOS攻击防护
　　1、关闭所有不必要的IP服务，在所有接口上使用命令“no ip directed-broadcast”以防止边界路由器变成DOS攻击的广播放大器
　　2、采用访问控制列表对所有的入流量进行过滤，滤除源地址为私有和保留地址的数据包。
　　3、采用承诺访问速率（committed access rate CAR）对ICMP数据包风暴进行限速
　　4、对SYN包进行速率进行限制
　　
　　
　　配置边界事件记录
　　service timestamps log datetime msec
　　service timestamps debug datetime msec
　　logging trap informational
　　logging source-interface fastethernet 0
　　logging 192.168.1.10
　　logging on
　　本例中，日志被发往PIX防火墙全局地址192.168.1.10
　　
　　那么还有几个与边界路由器同样重要的概念：
　　1、停火区，以及“脏”停火区之前的区别
　　2、堡垒主机
　　3、防火墙
　　
　　194页边界路由器的配置样例

上一篇：网管员必读---跟我学SNMP网络管理

下一篇：巧妙剖析日志—网络管理员的“四两拨千斤”