设为首页收藏本站

联合无线论坛

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 5910|回复: 0

如何保障路由器的安全~ - 网络管理论坛 - 51CTO技术论坛_中国领先的IT技术社区

[复制链接]
发表于 2014-11-15 05:13:22 | 显示全部楼层 |阅读模式
一、Security Device Manager---(图形化界面的路由器网管软件)
Configuring A Cisco Router for SDM
1)
创建本地用户名和密码(一定要配置15级别,因为通过http网管需要15级别)
SDM(config)#username admin privilege 15 password 51cto
2)启动http或者https服务器
SDM(config)#ip http secure-server/ip http server
3)配置http的本地认证
SDM(config)#ip http authentication local
4)配置vty线路的本地用户认证
SDM(config)#line vty 0 4
SDM(config-line)#login local
5)限制vty线路拨入协议(可选)
SDM(config-line)#transport input ssh
补充:《1》SDM------http/https---àrouter

《2》PC------telnet/ssh---àrouter
二、安装SDM -----(观看视频)
三、IOS提供的服务 (实际不止以下10个)
1)Cisco Discovery Protocal
2)Network Time Protocal
3)Tcp/Upt Minor services
4)Gratuitous ARP
5)Proxy ARP
6)Simple Network Management Protocol
7)IP Direted Broadcase
8)IP Source Routing
9)Finger Service
10)Icmp Unreachable
------(这里观看教程比较清楚)

四、设计安全的管理和报告
1)通过网络和安全组成员的反馈,决定什么重要的信息需要log
2)选择适当的syslog级别
3)保证log信息安全的传输与存储,防止被恶意的篡改
4)使用NIP保障log信息准确的时间,最好使用NTPV3,它提供了对时间更新的认证
5)判断什么log数据能够提供足够的犯罪证据
6)预留足够的存储空间保证log的需求
7)确定企业管理系统,用于管理多个设备
8)为了追踪配置的修改,部署更改管理计划
五、带内管理和带外管理
带外管理:生产流量(可以理解为访问外网流量)和管理流量不是共享的,而是通过另外线路网管;
带内管理:生产流量和管理流量是共享的的流量,和带外管理相反。
六、网络管理拓扑图

attachimg.gif wKiom1OqjKDiDR04AADtBH4cHQQ708.jpg image.gif 456789.jpg (31.52 KB)
2010-7-7 11:17


七、网络管理需要考虑的问题
1)
建议对服务器实施二层隔离(PV LANSwitchport/Protect
2)
带内管理不建议使用telnet/http,强烈建议使用ssh/http
3)
任何从非信任网络来的管理流量建议使用Ipsec/SSL加密,并且使用ACL控制源地址
4)
如果使用SNMP管理网络,强烈建议使用SNMPV3,因为它能够对管理流量进行加密和验证
5)
Terminal Server
有效的提供了Router的带外管理,对Terminal Server的访问建议使用SSH+access-class
6)
使用AAA服务器提供中心的认证授权和审计
7)
Syslog
服务器存储管理设备的Syslog信息,建议使用ACL限制对Syslog服务器的访问
8)
应该使用NTP提供设备的时间同步,有助于PKI/Syslog的部署,建议使用NTPV3
八、为什么要配置syslog
1)
Log
分析攻击
2)
Log
实现排除(比如说debug
3)
通过查看Log能够对事件进行关联
一、
Log output destinations

1)
Console

(比如说,当你在接口模式下shutdown/no shutdown,我们就会看到线路down/up的提示信息,那么当你全局之下敲上(config)#no logging console那么就不会出现线路down/up的提示信息了,默认是logging console,是会提示的!)
2)
Vty lines

(说的是当你telnet到一台路由器上面去,开#debug ip icmp,然后ping其他路由器的时候,你是看不到debug信息的,那么如何使它出现debug信息呢?只要在特权模式下敲
#terminal monitor,那么就会有debug信息的出现了)
3)
Buffer

(默认Buffer loggingdisable,当我们no logging console的时候,那么就没有了提示信息,这时候我们可以在全局下敲入(config)#logging buffered开启,那么线路的提示信息就会保存起来了,在特权模式下#show logging就可以查看log信息了)
4)
Snmp server

(它的主要任务是监控网络设备,并且引发网络管理人员的注意,比如说路由器CPU的利用率,接口是否打开这样的信息,当然也可以修改路由器和交换机的配置,是一个企业级的网管软件,它既可以监控又可以管理)
对应的三种安全级别:
wKioL1OqjHKxdyc8AADasIgEa0E511.jpg 123456.jpg (31.61 KB)
2010-7-7 11:17


SNMPv1/2c基本配置(这两种配置是不太安全的,版本3才比较安全)
1)
Trap
配置
snmp-server location 51cto


snmp-server contact 51cto


snmp-setver enable traps


snmp-server host x.x.x.x 51cto

2)
Get/Set
设置

snmp-server community gwro ro


snmp-server community gwrw rw

接下来是版本3的配置:
Snmp-server engineID remote x.x.x.x
xx
(管理中心地址 管理中心engineID)可不配
Snmp-server engineID local xxxxxx
(本地engineID )可以不配
Snmp-server view test mib-2 included MIB范围)
Snmp-server group GRP1 v3 priv read test write test (创建组)
Snmp-server user user1 GRP1 v3 auth Md5 xxx priv des xxx
Snmp-server host x.x.x.x version 3 priv user1 Trap配置)
1)
Syslog server

(这里说的是将log信息发到Syslog server----Kiwi Syslog Server
Log信息的级别如下图---(总共有8个级别,级别越小越重要,log信息就越少;级别越大越不重要,log信息就越多。当你选择级别5表示显示0-5级别的log信息,而不单单只是第5级别的log信息)
wKiom1OqjKDi6iRZAAFknzmTRMs273.jpg 456456.jpg (49.37 KB)
2010-7-7 11:17


CLI配置Syslog
命令:(config)#logging on (默认已经激活,但是ASA就必须打开)
(config)#logging trap 7 (发送一个07级别的trap信息给服务器,默认级别为6
(config)#logging 202.100.1.100 Syslog服务器的地址
(config)#logging buffered 7 (本地缓存 log,重启就会丢失了)
#show logging (查询log配置和log buffer
配置之后在Kiwi server上就可以看到Log信息了
wKioL1OqjHLRal0gAABgZZIX_fU209.jpg 789789.jpg (13.76 KB)
2010-7-7 11:17


SDM配置Syslog
SDM查询Syslog
KIWI Syslog 服务器 ----免费可以下载
十一、SSH介绍 -----(加密的telnet
具体的配置:
1)配置主机名(config)#hostname SSHRouetr
2)配置域名SSHRouter(config)#ip domain name 51cto.com ----记得要配置主机名和域名才可以配置密钥
3)产生RSA密钥对 (建议使用1024位长度,默认是512长度)
SSHRouter(config)#cryto key generate rsa modulus 1024
4)创建本地用户名和密码(级别可选)
SSHRouter(config)#username 51cto privilege 15 password 51cto
5)配置本地认证和登陆协议限制
SSHRouter(config)#line vty 0 15
SSHRouter(config-line)#login local (也可以用aaa new-model代替)
SSHRouter(config-line)#transport input ssh (限制只能够通过SSH登陆VTY
十二、NTP介绍(网络时间同步协议)
它是基于传输层协议UDP123端口号,实现时间的同步,因为PKI(证书系统)和Syslog都非常需要准确的时间,我们可以使用NTP为网络设备提供时间服务。
具体的配置如下:
NTP服务器端配置:
Router(config)#clock timezone GMT +8 (记得要先配置时区后配置时间)
Router#clock set xx:xx:xx 12 sep 2009 (设置时间为09912号的具体时间)
Router(config)#ntp authentication-key 1 md5 51cto (可以不配,用于认证)
Router(config)#ntp authenticate(可以不配,用于认证)
Router(config)#ntp trusted-key 1 (可以不配,用于认证)
Router(config)#ntp master (说明我是服务器端)
NTP客户端配置:
Router(config)#clock timezone GMT +8 (记得要先配置时区后配置时间)
Router(config)#ntp authentication-key 1 md5 51cto (可以不配,用于认证)
Router(config)#ntp authenticate(可以不配,用于认证)
Router(config)#ntp trusted-key 1 (可以不配,用于认证)
Router(config)#ntp server xx.xx.xx.xx key 1 (服务器的IP
这样就可以实现它们之间的时间同步了,可以通过
Show ntp status查看是否同步成功, 通过show clock查看同步时间

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|联合无线论坛 ( 豫ICP备07011616号  

GMT+8, 2019-11-13 11:10 , Processed in 0.133789 second(s), 31 queries , Gzip On.

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表