• 软件测试技术
  • 软件测试博客
  • 软件测试视频
  • 开源软件测试技术
  • 软件测试论坛
  • 软件测试沙龙
  • 软件测试资料下载
  • 软件测试杂志
  • 软件测试人才招聘
    暂时没有公告

字号: | 推荐给好友 上一篇 | 下一篇

用Cisco产品和功能构建安全的网络

发布: 2007-6-23 18:14 | 作者:   | 来源: bbs.net130.com  | 查看: 11次 | 进入软件测试论坛讨论

领测软件测试网

下一页 1 2 

   一、 网络结构及安全脆弱性

    为了使设备配置简单或易于用户使用,Router或Switch初始状态并没有配置安全措施,所以网络具有许多安全脆弱性,因此网络中常面临如下威胁:

    1. DDOS攻击

    2. 非法授权访问攻击。

    口令过于简单,口令长期不变,口令明文创送,缺乏强认证机制。

    3.IP地址欺骗攻击

    ….

    利用Cisco Router和Switch可以有效防止上述攻击。

    二、保护路由器

    2.1 防止来自其它各省、市用户Ddos攻击

    最大的威胁:Ddos, hacker控制其他主机,共同向Router访问提供的某种服务,导致Router利用率升高。

    Ddos是最容易实施的攻击手段,不要求黑客有高深的网络知识就可以做到。

    如SMURF DDOS 攻击就是用最简单的命令ping做到的。利用IP 地址欺骗,结合ping就可以实现DDOS攻击。

    防范措施:

    ?应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击

    Router(config-t)#no service finger
    Router(config-t)#no service pad
    Router(config-t)#no service udp-small-servers
    Router(config-t)#no service tcp-small-servers
    Router(config-t)#no ip http server
    Router(config-t)#no service ftp
    Router(config-t)#no ip bootp server

    以上均已经配置。

    ?防止ICMP-flooging攻击

    Router(config-t)#int e0
    Router(config-if)#no ip redirects
    Router(config-if)#no ip directed-broadcast
    Router(config-if)#no ip proxy-arp
    Router(config-t)#int s0
    Router(config-if)#no ip redirects
    Router(config-if)#no ip directed-broadcast
    Router(config-if)#no ip proxy-arp

    以上均已经配置。

    ?除非在特别要求情况下,应关闭源路由:

    Router(config-t)#no ip source-route

    以上均已经配置。

    ?禁止用CDP发现邻近的cisco设备、型号和软件版本

    Router(config-t)#no cdp run
    Router(config-t)#int s0
    Router(config-if)#no cdp enable

    如果使用works2000网管软件,则不需要此项操作

    此项未配置。

    ?使用CEF转发算法,防止小包利用fast cache转发算法带来的Router内存耗尽、CPU利用率升高。

    Router(config-t)#ip cef
    2.2 防止非法授权访问
    ?通过单向算法对 “enable secret”密码进行加密
    Router(config-t)#enable secret <removed>
    Router(config-t)#no enable password
    Router(config-t)#service password-encryption
    ?vty端口的缺省空闲超时为10分0秒
    Router(config-t)#line vty 0 4
    Router(config-line)#exec-timeout 10 0

    ?应该控制到VTY的接入,不应使之处于打开状态;Console应仅作为最后的管理手段:

    如只允许130.9.1.130 Host 能够用Te.net访问.

    access-list 110 permit ip 130.9.1.130 0.0.0.0 130.1.1.254 0.0.0.0 log
    line vty 0 4
    access-class 101 in
    exec-timeout 5 0

    2.3 使用基于用户名和口令的强认证方法

    Router(config-t)#username admin pass 5 434535e2
    Router(config-t)#aaa new-model
    Router(config-t)#radius-server host 130.1.1.1 key key-string
    Router(config-t)#aaa authentication login neteng group radius local
    Router(config-t)#line vty 0 4
    Router(config-line)#login authen neteng

延伸阅读

文章来源于领测软件测试网 https://www.ltesting.net/

软件测试论坛

领测软件测试网最新更新
软件测试技术相关文章

软件测试培训信息
最新软件测试技术专题
最新领测软件测试网新闻
软件测试技术文章排行榜
  • 编辑推荐
  • 周排行
  • 月排行
软件测试技术分类最新内容
关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073

软件测试 | 领测国际ISTQBISTQB官网TMMiTMMi认证国际软件测试工程师认证领测软件测试网