路由器ciscotftp服务器
ciscotftp服务器 时间:2021-04-05 阅读:()
1路由器的安全检查江苏省电子信息产品质量监督检验研究院张影秋路由器(Router)是用于连接多个逻辑上分开的网络,所谓逻辑网络是代表一个单独的网络或者一个子网,当数据从一个子网传输到另一个子网时,可通过路由器来完成.
随着网络应用的日益普及,尤其是在一些敏感场合(如电子商务)的应用,网络安全成为日益迫切的需求.
网络安全包括两层含义:其一是内部局域网的安全,其二是外部数据交换的安全.
路由器作为内部网络与外部网络之间通信的关键设备,有必要提供充分的安全保护功能.
针对网络存在的各种安全隐患,安全路由器必须具有如下的安全特性:可靠性与线路安全、身份认证和访问控制.
在网络上,一旦有人恶意进入你的路由器,将对你的网络安全产生极大的威胁.
实际上,路由器可以看作是一台具有中央处理器、内存、操作系统的计算机,将地理上分散的网络连接在一起,实现它们之间的网络通信.
所以,路由器配置的是否正确、安全会对网络的通畅起着举足轻重作用.
路由器的安全检查应从访问控制的安全配置的检查、网络服务安全配置、路由协议安全配置等方面进行.
一、路由器访问控制的安全检查路由器的配置途径有:控制台、虚拟终端、网络管理工作站、TFTP服务器等,对CISCO路由器还可通过其开发的路由器配置工具CISCOConfigMaker进行配置.
如果路由器访问控制配置不当,入侵者可能进入路由器,对整个网络的安全产生影响,路由器访问控制的安全检查主要从以下几个方面进行:1、检查维护记录,检查可以访问路由器的管理员是否严格控制.
2、建查是否开启远程访问功能,如果使用远程访问路由器,应检查是否使用访问控制列表和高强度的密码控制.
3、检查对Console端口的访问控制措施,该端口为异步端口,主要连接终端或运行终端仿真程序的计算机,在本地配置路由器.
对该端口的检查主要有以下几个方面:(1)检查是否切断与CON口互联的物理线路.
(2)检查是否改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的).
2(3)检查CON口的密码是否为高强度密码.
4、AUX端口的检查.
AUX端口为异步端口,主要用于远程配置,也可用于拔号备份,可与MODEM连接.
应检查该端口是否启用,如果不使用AUX端口,建议禁止该端口.
5、进入特权模式密码检查,特权模式,也叫使能(enable)模式,可对路由器进行更多的操作,使用的命令集比用户模式多,可对路由器进行更高级的测试,如使用debug命令等.
对路由器进行安全检查时,应检查是否为进入特权模式设置了强壮的密码.
在用户模式下通过使能口令进入特权模式.
提示符为"#".
Showrunning-config即为特权模式命令.
不要采用enablepassword设置密码.
而要采用enablesecret命令设置.
并且要启用Servicepassword-encryption.
二、路由器网络服务安全检查路由器提供了众多的网络服务,这些网络服务在给网络设备管理带来便利的同时也给网络的安全带来了隐患,在对路由器进行安全检查时对不必要的服务应禁止,对需要使用的服务要建议进行严格的安全配置.
应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击1、CDP(CiscoDiscoveryProtocol)服务检查.
在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息:设备平台、操作系统版本、端口、IP地址等重要信息.
可以用命令:nocdprunning或nocdpenable关闭这个服务.
2、其他的TCP、UDPSmall服务检查.
该服务用于查看路由器诊断信息,如不使用该服务则应建议关闭该服务,关闭命令如下:noservicetcp-small-serversnoserviceudp-small-servers3、Finger服务检查.
Finger服务用于查看路由器当前用户列表,如不使用该服务则应建议关闭该服务,关闭命令为:noservicefinger.
4、HTTP服务检查.
HTTP服务提供Web管理接口.
"noiphttpserver"可以停止HTTP服务.
如果必须使用HTTP,一定要使用访问列表"iphttpaccess-class"命令,严格过滤允许的IP地3址,同时用"iphttpauthentication"命令设定授权限制.
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制.
5、BOOTp服务检查.
禁止从网络启动和自动从网络下载初始配置文件.
6、IPSourceRouting服务检查.
IPsource-route是一个全局配置命令,允许路由器处理带源路由选项标记的数据流.
启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙.
关闭命令如下:noipsource-route.
7、ARP-Proxy服务检查建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的,它容易引起路由表的混乱.
8、检查.
IPDirectedBroadcast服务开启时,攻击者可以使用假冒的源地址向你的网络广播地址发送一个"ICMPecho"请求.
这要求所有的主机对这个广播请求做出回应.
这种情况至少会降低你的网络性能,安全检查时应建议关闭该服务.
关闭命令如下:noipdirected-broadcast9、IPClassless服务检查.
路由可能会收到一些发往一个没有网络缺省路由的子网的数据包,如有启用这服务,路由器会将这些数据包转发给最有可能路由的超网(supernet),由于缺省情况下这些服务是开启的,这种服务可能被各种攻击利用,在进行安全检查时应检查时建议关闭该服务,关闭命令如下:noipclassless10、禁止ICMP协议的IPUnreachables,Redirects,MaskReplies.
IPUnreachables(不可达消息)服务开启时,可以向发送者通告(不可达地方)的ip地址,攻击者能够借此映射网络.
安全检查时应建议关闭该服务,关闭命令如下:noipunreacheables.
Redirects(重定向消息)服务开启时,可以让一个端节点用特定的路由器做为通向特定目的地路径.
正常的ip网络中,一台路由器只向位于自己本地子网的主机发送重定向消息,端节点不会发送这种消息,此消息也不会超过一个网络跳数的地方发送.
4不过攻击者可以违反这种规则.
安全检查时应建议关闭该服务,关闭命令如下:noipredirectsMaskReplies(掩码应答)服务开启时,ciscoios会向icmp掩码要求发送icmp掩码应答的消息,其中包括接口的ip地址掩码.
安全检查时应建议关闭该服务,关闭命令如下:noipmask-reply11、SNMP协议服务检查SNMP广泛应用在路由器的监控、配置方面.
SNMPVersion1在穿越公网的管理应用方面,安全性低,不适合使用.
利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能.
配置命令:snmp-servercommunityxxxxxRWxx;xx是访问控制列表号SNMPVersion2使用MD5数字身份鉴别方式.
不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段.
建议禁止SNMP协议服务.
在禁止时必须删除一些SNMP服务的默认配置.
或者需要访问列表来过滤.
12、如果没必要则禁止WINS和DNS服务.
服务开启时,路由器dns服务会向255.
255.
255.
255广播地址发送名字查询,攻击者可以伪装成一个dns服务来攻击.
安全检查时应建议关闭该服务,关闭命令如下:noipdomain-lookup如果要使用这个服务,务必确保在路由器的配置中明确指定dns服务的名字并对其进行配置.
ipnameserverserver-address[server=address2.
.
.
server-address6]hostnameRouteripname-server202.
102.
134.
96三、路由器路由协议安全检查1、首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱.
2、启用OSPF路由协议的认证.
默认的OSPF认证密码是明文传输的,建议启用MD5认证.
并设置一定强度密钥(key,相对的路由器必须有相同的Key).
OSPF协议是"开放式最短路优先"的缩写.
"开放"是针对当时某些厂家的"私有"路由协议而言,而正是因为协议开放性,才使得OSPF具有强大的生命力和广泛的用途.
5它通过传递链路状态(连接信息)来得到网络信息,维护一张网络有向拓扑图,利用最小生成树算法得到路由表.
OSPF是一种相对复杂的路由协议.
3、RIP协议的认证.
只有RIP-V2支持,RIP-1不支持.
建议启用RIP-V2.
并且采用MD5认证.
普通认证同样是明文传输的.
RIP是推出时间最长的路由协议,也是最简单的路由协议.
它主要传递路由信息(路由表)来广播路由.
每隔30秒,广播一次路由表,维护相邻路由器的关系,同时根据收到的路由表计算自己的路由表.
RIP运行简单,适用于小型网络,互联网上还在部分使用着RIP.
4、启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口.
建议对于不需要路由的端口,启用passive-interface.
但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收.
在OSPF协议中是禁止转发和接收路由信息.
5、启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流.
6、建议启用IPUnicastReverse-PathVerification.
它能够检查源IP地址的准确性,从而可以防止一定的IPSpooling.
但是它只能在启用CEF(CiscoExpress四、路由器其它安全检查除此以外,还应从以下方面对路由器进行安全检查1、是否及时的升级IOS软件,为IOS安装补丁.
2、是否为路由器IOS作安全备份.
3、是否为路由器的配置文件作安全备份.
4、是否为路由器配备UPS设备,或者至少要有冗余电源.
5、是否有完备的路由器的安全访问和维护记录日志.
随着网络应用的日益普及,尤其是在一些敏感场合(如电子商务)的应用,网络安全成为日益迫切的需求.
网络安全包括两层含义:其一是内部局域网的安全,其二是外部数据交换的安全.
路由器作为内部网络与外部网络之间通信的关键设备,有必要提供充分的安全保护功能.
针对网络存在的各种安全隐患,安全路由器必须具有如下的安全特性:可靠性与线路安全、身份认证和访问控制.
在网络上,一旦有人恶意进入你的路由器,将对你的网络安全产生极大的威胁.
实际上,路由器可以看作是一台具有中央处理器、内存、操作系统的计算机,将地理上分散的网络连接在一起,实现它们之间的网络通信.
所以,路由器配置的是否正确、安全会对网络的通畅起着举足轻重作用.
路由器的安全检查应从访问控制的安全配置的检查、网络服务安全配置、路由协议安全配置等方面进行.
一、路由器访问控制的安全检查路由器的配置途径有:控制台、虚拟终端、网络管理工作站、TFTP服务器等,对CISCO路由器还可通过其开发的路由器配置工具CISCOConfigMaker进行配置.
如果路由器访问控制配置不当,入侵者可能进入路由器,对整个网络的安全产生影响,路由器访问控制的安全检查主要从以下几个方面进行:1、检查维护记录,检查可以访问路由器的管理员是否严格控制.
2、建查是否开启远程访问功能,如果使用远程访问路由器,应检查是否使用访问控制列表和高强度的密码控制.
3、检查对Console端口的访问控制措施,该端口为异步端口,主要连接终端或运行终端仿真程序的计算机,在本地配置路由器.
对该端口的检查主要有以下几个方面:(1)检查是否切断与CON口互联的物理线路.
(2)检查是否改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的).
2(3)检查CON口的密码是否为高强度密码.
4、AUX端口的检查.
AUX端口为异步端口,主要用于远程配置,也可用于拔号备份,可与MODEM连接.
应检查该端口是否启用,如果不使用AUX端口,建议禁止该端口.
5、进入特权模式密码检查,特权模式,也叫使能(enable)模式,可对路由器进行更多的操作,使用的命令集比用户模式多,可对路由器进行更高级的测试,如使用debug命令等.
对路由器进行安全检查时,应检查是否为进入特权模式设置了强壮的密码.
在用户模式下通过使能口令进入特权模式.
提示符为"#".
Showrunning-config即为特权模式命令.
不要采用enablepassword设置密码.
而要采用enablesecret命令设置.
并且要启用Servicepassword-encryption.
二、路由器网络服务安全检查路由器提供了众多的网络服务,这些网络服务在给网络设备管理带来便利的同时也给网络的安全带来了隐患,在对路由器进行安全检查时对不必要的服务应禁止,对需要使用的服务要建议进行严格的安全配置.
应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击1、CDP(CiscoDiscoveryProtocol)服务检查.
在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息:设备平台、操作系统版本、端口、IP地址等重要信息.
可以用命令:nocdprunning或nocdpenable关闭这个服务.
2、其他的TCP、UDPSmall服务检查.
该服务用于查看路由器诊断信息,如不使用该服务则应建议关闭该服务,关闭命令如下:noservicetcp-small-serversnoserviceudp-small-servers3、Finger服务检查.
Finger服务用于查看路由器当前用户列表,如不使用该服务则应建议关闭该服务,关闭命令为:noservicefinger.
4、HTTP服务检查.
HTTP服务提供Web管理接口.
"noiphttpserver"可以停止HTTP服务.
如果必须使用HTTP,一定要使用访问列表"iphttpaccess-class"命令,严格过滤允许的IP地3址,同时用"iphttpauthentication"命令设定授权限制.
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制.
5、BOOTp服务检查.
禁止从网络启动和自动从网络下载初始配置文件.
6、IPSourceRouting服务检查.
IPsource-route是一个全局配置命令,允许路由器处理带源路由选项标记的数据流.
启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙.
关闭命令如下:noipsource-route.
7、ARP-Proxy服务检查建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的,它容易引起路由表的混乱.
8、检查.
IPDirectedBroadcast服务开启时,攻击者可以使用假冒的源地址向你的网络广播地址发送一个"ICMPecho"请求.
这要求所有的主机对这个广播请求做出回应.
这种情况至少会降低你的网络性能,安全检查时应建议关闭该服务.
关闭命令如下:noipdirected-broadcast9、IPClassless服务检查.
路由可能会收到一些发往一个没有网络缺省路由的子网的数据包,如有启用这服务,路由器会将这些数据包转发给最有可能路由的超网(supernet),由于缺省情况下这些服务是开启的,这种服务可能被各种攻击利用,在进行安全检查时应检查时建议关闭该服务,关闭命令如下:noipclassless10、禁止ICMP协议的IPUnreachables,Redirects,MaskReplies.
IPUnreachables(不可达消息)服务开启时,可以向发送者通告(不可达地方)的ip地址,攻击者能够借此映射网络.
安全检查时应建议关闭该服务,关闭命令如下:noipunreacheables.
Redirects(重定向消息)服务开启时,可以让一个端节点用特定的路由器做为通向特定目的地路径.
正常的ip网络中,一台路由器只向位于自己本地子网的主机发送重定向消息,端节点不会发送这种消息,此消息也不会超过一个网络跳数的地方发送.
4不过攻击者可以违反这种规则.
安全检查时应建议关闭该服务,关闭命令如下:noipredirectsMaskReplies(掩码应答)服务开启时,ciscoios会向icmp掩码要求发送icmp掩码应答的消息,其中包括接口的ip地址掩码.
安全检查时应建议关闭该服务,关闭命令如下:noipmask-reply11、SNMP协议服务检查SNMP广泛应用在路由器的监控、配置方面.
SNMPVersion1在穿越公网的管理应用方面,安全性低,不适合使用.
利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能.
配置命令:snmp-servercommunityxxxxxRWxx;xx是访问控制列表号SNMPVersion2使用MD5数字身份鉴别方式.
不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段.
建议禁止SNMP协议服务.
在禁止时必须删除一些SNMP服务的默认配置.
或者需要访问列表来过滤.
12、如果没必要则禁止WINS和DNS服务.
服务开启时,路由器dns服务会向255.
255.
255.
255广播地址发送名字查询,攻击者可以伪装成一个dns服务来攻击.
安全检查时应建议关闭该服务,关闭命令如下:noipdomain-lookup如果要使用这个服务,务必确保在路由器的配置中明确指定dns服务的名字并对其进行配置.
ipnameserverserver-address[server=address2.
.
.
server-address6]hostnameRouteripname-server202.
102.
134.
96三、路由器路由协议安全检查1、首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱.
2、启用OSPF路由协议的认证.
默认的OSPF认证密码是明文传输的,建议启用MD5认证.
并设置一定强度密钥(key,相对的路由器必须有相同的Key).
OSPF协议是"开放式最短路优先"的缩写.
"开放"是针对当时某些厂家的"私有"路由协议而言,而正是因为协议开放性,才使得OSPF具有强大的生命力和广泛的用途.
5它通过传递链路状态(连接信息)来得到网络信息,维护一张网络有向拓扑图,利用最小生成树算法得到路由表.
OSPF是一种相对复杂的路由协议.
3、RIP协议的认证.
只有RIP-V2支持,RIP-1不支持.
建议启用RIP-V2.
并且采用MD5认证.
普通认证同样是明文传输的.
RIP是推出时间最长的路由协议,也是最简单的路由协议.
它主要传递路由信息(路由表)来广播路由.
每隔30秒,广播一次路由表,维护相邻路由器的关系,同时根据收到的路由表计算自己的路由表.
RIP运行简单,适用于小型网络,互联网上还在部分使用着RIP.
4、启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口.
建议对于不需要路由的端口,启用passive-interface.
但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收.
在OSPF协议中是禁止转发和接收路由信息.
5、启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流.
6、建议启用IPUnicastReverse-PathVerification.
它能够检查源IP地址的准确性,从而可以防止一定的IPSpooling.
但是它只能在启用CEF(CiscoExpress四、路由器其它安全检查除此以外,还应从以下方面对路由器进行安全检查1、是否及时的升级IOS软件,为IOS安装补丁.
2、是否为路由器IOS作安全备份.
3、是否为路由器的配置文件作安全备份.
4、是否为路由器配备UPS设备,或者至少要有冗余电源.
5、是否有完备的路由器的安全访问和维护记录日志.
- 路由器ciscotftp服务器相关文档
- Cisco路由器作为使用SDM的远程VPN服务器配置
- 思科ciscotftp服务器
- 思科ciscotftp服务器
- 端口ciscotftp服务器
- 文档ciscotftp服务器
- 电话ciscotftp服务器
Hostodo:$34.99/年KVM-2.5GB/25G NVMe/8TB/3个数据中心
Hostodo在九月份又发布了两款特别套餐,开设在美国拉斯维加斯、迈阿密和斯波坎机房,基于KVM架构,采用NVMe SSD高性能磁盘,最低1.5GB内存8TB月流量套餐年付34.99美元起。Hostodo是一家成立于2014年的国外VPS主机商,主打低价VPS套餐且年付为主,基于OpenVZ和KVM架构,美国三个地区机房,支持支付宝或者PayPal、加密货币等付款。下面列出这两款主机配置信息。CP...
RackNerd :美国大硬盘服务器促销/洛杉矶multacom数据中心/双路e5-2640v2/64G内存/256G SSD+160T SAS/$389/月
大硬盘服务器、存储服务器、Chia矿机。RackNerd,2019年末成立的商家,主要提供各类KVM VPS主机、独立服务器和站群服务器等。当前RackNerd正在促销旗下几款美国大硬盘服务器,位于洛杉矶multacom数据中心,亚洲优化线路,非常适合存储、数据备份等应用场景,双路e5-2640v2,64G内存,56G SSD系统盘,160T SAS数据盘,流量是每月200T,1Gbps带宽,配5...
Vultr新用户省钱福利,最新可用优惠码/优惠券更新
如今我们无论线上还是线下选择商品的时候是不是习惯问问是不是有优惠活动,如果有的话会加速购买欲望。同样的,如果我们有准备选择Vultr商家云服务器的时候,也会问问是不是有Vultr优惠码或者优惠券这类。确实,目前Vultr商家有一些时候会有针对新注册用户赠送一定的优惠券活动。那就定期抽点时间在这篇文章中专门整理最新可用Vultr优惠码和商家促销活动。不过需要令我们老用户失望的,至少近五年我们看到Vu...
ciscotftp服务器为你推荐
-
巨星prince去世有几位好莱坞巨星死在2016年www.jjwxc.net晋江文学网 的网址是什么?百度关键词分析百度竞价关键词分析需要从哪些数据入手?haokandianyingwang谁有好看电影网站啊、要无毒播放速度快的、在线等789se.comwuwu8.com这个站长是谁?抓站工具大家在家用什么工具练站?怎么固定?面壁思过?在医院是站站立架bbs2.99nets.com天堂1单机版到底怎么做www.cn12365.orgwww.12365china.net是可靠的网站吗?还是骗子拿出来忽悠人的888300.com请问GXG客服电话号码是多少?猴山条约中国近代史领土被割占去了多少,包括战争中失去的和吞并的总数