站内搜索
分类列表
本类阅读排行
本类推荐文章
广告
Cisco路由器的安全配置技巧
作者: 来源: 点击: 日期:2007-10-29 10:28:20
更好的保护VTY的方法是关闭所有非基于IP的访问,且使用IPSec加密所有的远端与路由器的连结。
三. 管理服务配置
许多的用户利用协议如Snmp或Http来管理路由器。但是利用这些协议管理服务时,就会存在一定的安全问题。
1. Snmp
Snmp是最经常用于路由器的管理的协议。目前使用最多的Snmp 版本1,但是这个版本的Snmp存在着很多的安全问题:
A. 使用明文认证,利用"community"字符串。
B. 在周期性轮循时,重复的发送这些"community"。
C. 采用容易被欺骗的基于数据包的协议。
所以尽量采用Snmp V2,因为它采用基于MD5的数字认证方式,并且允许对于不同的管理数据进行限制。如果一定要使用Snmp V1,则要仔细的配置。如避免使用缺省的community如public,private等。避免对于每个设备都用相同的community,区别和限制只读和读写commnity。对于Snmp V2,则可能的话对于不同的路由器设定不同的MD5安全值。还有就是最好使用访问列表限定可以使用Snmp管理的范围。
2. Http:
最近的路由器操作系统支持Http协议进行远端配置和监视。而针对Http的认证就相当于在网络上发送明文且对于Http没有有效的基于挑战或一次性的口令保护。这使得用Http进行管理相当危险。
如果选择使用Http进行管理,最好用ip http access-class命令限定访问地址且用ip http authentication命令配置认证。最好的http认证选择是利用TACACS+或RADIUS服务器。
三. 管理服务配置
许多的用户利用协议如Snmp或Http来管理路由器。但是利用这些协议管理服务时,就会存在一定的安全问题。
1. Snmp
Snmp是最经常用于路由器的管理的协议。目前使用最多的Snmp 版本1,但是这个版本的Snmp存在着很多的安全问题:
A. 使用明文认证,利用"community"字符串。
B. 在周期性轮循时,重复的发送这些"community"。
C. 采用容易被欺骗的基于数据包的协议。
所以尽量采用Snmp V2,因为它采用基于MD5的数字认证方式,并且允许对于不同的管理数据进行限制。如果一定要使用Snmp V1,则要仔细的配置。如避免使用缺省的community如public,private等。避免对于每个设备都用相同的community,区别和限制只读和读写commnity。对于Snmp V2,则可能的话对于不同的路由器设定不同的MD5安全值。还有就是最好使用访问列表限定可以使用Snmp管理的范围。
2. Http:
最近的路由器操作系统支持Http协议进行远端配置和监视。而针对Http的认证就相当于在网络上发送明文且对于Http没有有效的基于挑战或一次性的口令保护。这使得用Http进行管理相当危险。
如果选择使用Http进行管理,最好用ip http access-class命令限定访问地址且用ip http authentication命令配置认证。最好的http认证选择是利用TACACS+或RADIUS服务器。
Cisco路由器的安全配置技巧 评论