路由器ciscotftp服务器
ciscotftp服务器 时间:2021-04-05 阅读:()
1路由器的安全检查江苏省电子信息产品质量监督检验研究院张影秋路由器(Router)是用于连接多个逻辑上分开的网络,所谓逻辑网络是代表一个单独的网络或者一个子网,当数据从一个子网传输到另一个子网时,可通过路由器来完成.
随着网络应用的日益普及,尤其是在一些敏感场合(如电子商务)的应用,网络安全成为日益迫切的需求.
网络安全包括两层含义:其一是内部局域网的安全,其二是外部数据交换的安全.
路由器作为内部网络与外部网络之间通信的关键设备,有必要提供充分的安全保护功能.
针对网络存在的各种安全隐患,安全路由器必须具有如下的安全特性:可靠性与线路安全、身份认证和访问控制.
在网络上,一旦有人恶意进入你的路由器,将对你的网络安全产生极大的威胁.
实际上,路由器可以看作是一台具有中央处理器、内存、操作系统的计算机,将地理上分散的网络连接在一起,实现它们之间的网络通信.
所以,路由器配置的是否正确、安全会对网络的通畅起着举足轻重作用.
路由器的安全检查应从访问控制的安全配置的检查、网络服务安全配置、路由协议安全配置等方面进行.
一、路由器访问控制的安全检查路由器的配置途径有:控制台、虚拟终端、网络管理工作站、TFTP服务器等,对CISCO路由器还可通过其开发的路由器配置工具CISCOConfigMaker进行配置.
如果路由器访问控制配置不当,入侵者可能进入路由器,对整个网络的安全产生影响,路由器访问控制的安全检查主要从以下几个方面进行:1、检查维护记录,检查可以访问路由器的管理员是否严格控制.
2、建查是否开启远程访问功能,如果使用远程访问路由器,应检查是否使用访问控制列表和高强度的密码控制.
3、检查对Console端口的访问控制措施,该端口为异步端口,主要连接终端或运行终端仿真程序的计算机,在本地配置路由器.
对该端口的检查主要有以下几个方面:(1)检查是否切断与CON口互联的物理线路.
(2)检查是否改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的).
2(3)检查CON口的密码是否为高强度密码.
4、AUX端口的检查.
AUX端口为异步端口,主要用于远程配置,也可用于拔号备份,可与MODEM连接.
应检查该端口是否启用,如果不使用AUX端口,建议禁止该端口.
5、进入特权模式密码检查,特权模式,也叫使能(enable)模式,可对路由器进行更多的操作,使用的命令集比用户模式多,可对路由器进行更高级的测试,如使用debug命令等.
对路由器进行安全检查时,应检查是否为进入特权模式设置了强壮的密码.
在用户模式下通过使能口令进入特权模式.
提示符为"#".
Showrunning-config即为特权模式命令.
不要采用enablepassword设置密码.
而要采用enablesecret命令设置.
并且要启用Servicepassword-encryption.
二、路由器网络服务安全检查路由器提供了众多的网络服务,这些网络服务在给网络设备管理带来便利的同时也给网络的安全带来了隐患,在对路由器进行安全检查时对不必要的服务应禁止,对需要使用的服务要建议进行严格的安全配置.
应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击1、CDP(CiscoDiscoveryProtocol)服务检查.
在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息:设备平台、操作系统版本、端口、IP地址等重要信息.
可以用命令:nocdprunning或nocdpenable关闭这个服务.
2、其他的TCP、UDPSmall服务检查.
该服务用于查看路由器诊断信息,如不使用该服务则应建议关闭该服务,关闭命令如下:noservicetcp-small-serversnoserviceudp-small-servers3、Finger服务检查.
Finger服务用于查看路由器当前用户列表,如不使用该服务则应建议关闭该服务,关闭命令为:noservicefinger.
4、HTTP服务检查.
HTTP服务提供Web管理接口.
"noiphttpserver"可以停止HTTP服务.
如果必须使用HTTP,一定要使用访问列表"iphttpaccess-class"命令,严格过滤允许的IP地3址,同时用"iphttpauthentication"命令设定授权限制.
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制.
5、BOOTp服务检查.
禁止从网络启动和自动从网络下载初始配置文件.
6、IPSourceRouting服务检查.
IPsource-route是一个全局配置命令,允许路由器处理带源路由选项标记的数据流.
启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙.
关闭命令如下:noipsource-route.
7、ARP-Proxy服务检查建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的,它容易引起路由表的混乱.
8、检查.
IPDirectedBroadcast服务开启时,攻击者可以使用假冒的源地址向你的网络广播地址发送一个"ICMPecho"请求.
这要求所有的主机对这个广播请求做出回应.
这种情况至少会降低你的网络性能,安全检查时应建议关闭该服务.
关闭命令如下:noipdirected-broadcast9、IPClassless服务检查.
路由可能会收到一些发往一个没有网络缺省路由的子网的数据包,如有启用这服务,路由器会将这些数据包转发给最有可能路由的超网(supernet),由于缺省情况下这些服务是开启的,这种服务可能被各种攻击利用,在进行安全检查时应检查时建议关闭该服务,关闭命令如下:noipclassless10、禁止ICMP协议的IPUnreachables,Redirects,MaskReplies.
IPUnreachables(不可达消息)服务开启时,可以向发送者通告(不可达地方)的ip地址,攻击者能够借此映射网络.
安全检查时应建议关闭该服务,关闭命令如下:noipunreacheables.
Redirects(重定向消息)服务开启时,可以让一个端节点用特定的路由器做为通向特定目的地路径.
正常的ip网络中,一台路由器只向位于自己本地子网的主机发送重定向消息,端节点不会发送这种消息,此消息也不会超过一个网络跳数的地方发送.
4不过攻击者可以违反这种规则.
安全检查时应建议关闭该服务,关闭命令如下:noipredirectsMaskReplies(掩码应答)服务开启时,ciscoios会向icmp掩码要求发送icmp掩码应答的消息,其中包括接口的ip地址掩码.
安全检查时应建议关闭该服务,关闭命令如下:noipmask-reply11、SNMP协议服务检查SNMP广泛应用在路由器的监控、配置方面.
SNMPVersion1在穿越公网的管理应用方面,安全性低,不适合使用.
利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能.
配置命令:snmp-servercommunityxxxxxRWxx;xx是访问控制列表号SNMPVersion2使用MD5数字身份鉴别方式.
不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段.
建议禁止SNMP协议服务.
在禁止时必须删除一些SNMP服务的默认配置.
或者需要访问列表来过滤.
12、如果没必要则禁止WINS和DNS服务.
服务开启时,路由器dns服务会向255.
255.
255.
255广播地址发送名字查询,攻击者可以伪装成一个dns服务来攻击.
安全检查时应建议关闭该服务,关闭命令如下:noipdomain-lookup如果要使用这个服务,务必确保在路由器的配置中明确指定dns服务的名字并对其进行配置.
ipnameserverserver-address[server=address2.
.
.
server-address6]hostnameRouteripname-server202.
102.
134.
96三、路由器路由协议安全检查1、首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱.
2、启用OSPF路由协议的认证.
默认的OSPF认证密码是明文传输的,建议启用MD5认证.
并设置一定强度密钥(key,相对的路由器必须有相同的Key).
OSPF协议是"开放式最短路优先"的缩写.
"开放"是针对当时某些厂家的"私有"路由协议而言,而正是因为协议开放性,才使得OSPF具有强大的生命力和广泛的用途.
5它通过传递链路状态(连接信息)来得到网络信息,维护一张网络有向拓扑图,利用最小生成树算法得到路由表.
OSPF是一种相对复杂的路由协议.
3、RIP协议的认证.
只有RIP-V2支持,RIP-1不支持.
建议启用RIP-V2.
并且采用MD5认证.
普通认证同样是明文传输的.
RIP是推出时间最长的路由协议,也是最简单的路由协议.
它主要传递路由信息(路由表)来广播路由.
每隔30秒,广播一次路由表,维护相邻路由器的关系,同时根据收到的路由表计算自己的路由表.
RIP运行简单,适用于小型网络,互联网上还在部分使用着RIP.
4、启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口.
建议对于不需要路由的端口,启用passive-interface.
但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收.
在OSPF协议中是禁止转发和接收路由信息.
5、启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流.
6、建议启用IPUnicastReverse-PathVerification.
它能够检查源IP地址的准确性,从而可以防止一定的IPSpooling.
但是它只能在启用CEF(CiscoExpress四、路由器其它安全检查除此以外,还应从以下方面对路由器进行安全检查1、是否及时的升级IOS软件,为IOS安装补丁.
2、是否为路由器IOS作安全备份.
3、是否为路由器的配置文件作安全备份.
4、是否为路由器配备UPS设备,或者至少要有冗余电源.
5、是否有完备的路由器的安全访问和维护记录日志.
随着网络应用的日益普及,尤其是在一些敏感场合(如电子商务)的应用,网络安全成为日益迫切的需求.
网络安全包括两层含义:其一是内部局域网的安全,其二是外部数据交换的安全.
路由器作为内部网络与外部网络之间通信的关键设备,有必要提供充分的安全保护功能.
针对网络存在的各种安全隐患,安全路由器必须具有如下的安全特性:可靠性与线路安全、身份认证和访问控制.
在网络上,一旦有人恶意进入你的路由器,将对你的网络安全产生极大的威胁.
实际上,路由器可以看作是一台具有中央处理器、内存、操作系统的计算机,将地理上分散的网络连接在一起,实现它们之间的网络通信.
所以,路由器配置的是否正确、安全会对网络的通畅起着举足轻重作用.
路由器的安全检查应从访问控制的安全配置的检查、网络服务安全配置、路由协议安全配置等方面进行.
一、路由器访问控制的安全检查路由器的配置途径有:控制台、虚拟终端、网络管理工作站、TFTP服务器等,对CISCO路由器还可通过其开发的路由器配置工具CISCOConfigMaker进行配置.
如果路由器访问控制配置不当,入侵者可能进入路由器,对整个网络的安全产生影响,路由器访问控制的安全检查主要从以下几个方面进行:1、检查维护记录,检查可以访问路由器的管理员是否严格控制.
2、建查是否开启远程访问功能,如果使用远程访问路由器,应检查是否使用访问控制列表和高强度的密码控制.
3、检查对Console端口的访问控制措施,该端口为异步端口,主要连接终端或运行终端仿真程序的计算机,在本地配置路由器.
对该端口的检查主要有以下几个方面:(1)检查是否切断与CON口互联的物理线路.
(2)检查是否改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的).
2(3)检查CON口的密码是否为高强度密码.
4、AUX端口的检查.
AUX端口为异步端口,主要用于远程配置,也可用于拔号备份,可与MODEM连接.
应检查该端口是否启用,如果不使用AUX端口,建议禁止该端口.
5、进入特权模式密码检查,特权模式,也叫使能(enable)模式,可对路由器进行更多的操作,使用的命令集比用户模式多,可对路由器进行更高级的测试,如使用debug命令等.
对路由器进行安全检查时,应检查是否为进入特权模式设置了强壮的密码.
在用户模式下通过使能口令进入特权模式.
提示符为"#".
Showrunning-config即为特权模式命令.
不要采用enablepassword设置密码.
而要采用enablesecret命令设置.
并且要启用Servicepassword-encryption.
二、路由器网络服务安全检查路由器提供了众多的网络服务,这些网络服务在给网络设备管理带来便利的同时也给网络的安全带来了隐患,在对路由器进行安全检查时对不必要的服务应禁止,对需要使用的服务要建议进行严格的安全配置.
应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击1、CDP(CiscoDiscoveryProtocol)服务检查.
在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息:设备平台、操作系统版本、端口、IP地址等重要信息.
可以用命令:nocdprunning或nocdpenable关闭这个服务.
2、其他的TCP、UDPSmall服务检查.
该服务用于查看路由器诊断信息,如不使用该服务则应建议关闭该服务,关闭命令如下:noservicetcp-small-serversnoserviceudp-small-servers3、Finger服务检查.
Finger服务用于查看路由器当前用户列表,如不使用该服务则应建议关闭该服务,关闭命令为:noservicefinger.
4、HTTP服务检查.
HTTP服务提供Web管理接口.
"noiphttpserver"可以停止HTTP服务.
如果必须使用HTTP,一定要使用访问列表"iphttpaccess-class"命令,严格过滤允许的IP地3址,同时用"iphttpauthentication"命令设定授权限制.
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制.
5、BOOTp服务检查.
禁止从网络启动和自动从网络下载初始配置文件.
6、IPSourceRouting服务检查.
IPsource-route是一个全局配置命令,允许路由器处理带源路由选项标记的数据流.
启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙.
关闭命令如下:noipsource-route.
7、ARP-Proxy服务检查建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的,它容易引起路由表的混乱.
8、检查.
IPDirectedBroadcast服务开启时,攻击者可以使用假冒的源地址向你的网络广播地址发送一个"ICMPecho"请求.
这要求所有的主机对这个广播请求做出回应.
这种情况至少会降低你的网络性能,安全检查时应建议关闭该服务.
关闭命令如下:noipdirected-broadcast9、IPClassless服务检查.
路由可能会收到一些发往一个没有网络缺省路由的子网的数据包,如有启用这服务,路由器会将这些数据包转发给最有可能路由的超网(supernet),由于缺省情况下这些服务是开启的,这种服务可能被各种攻击利用,在进行安全检查时应检查时建议关闭该服务,关闭命令如下:noipclassless10、禁止ICMP协议的IPUnreachables,Redirects,MaskReplies.
IPUnreachables(不可达消息)服务开启时,可以向发送者通告(不可达地方)的ip地址,攻击者能够借此映射网络.
安全检查时应建议关闭该服务,关闭命令如下:noipunreacheables.
Redirects(重定向消息)服务开启时,可以让一个端节点用特定的路由器做为通向特定目的地路径.
正常的ip网络中,一台路由器只向位于自己本地子网的主机发送重定向消息,端节点不会发送这种消息,此消息也不会超过一个网络跳数的地方发送.
4不过攻击者可以违反这种规则.
安全检查时应建议关闭该服务,关闭命令如下:noipredirectsMaskReplies(掩码应答)服务开启时,ciscoios会向icmp掩码要求发送icmp掩码应答的消息,其中包括接口的ip地址掩码.
安全检查时应建议关闭该服务,关闭命令如下:noipmask-reply11、SNMP协议服务检查SNMP广泛应用在路由器的监控、配置方面.
SNMPVersion1在穿越公网的管理应用方面,安全性低,不适合使用.
利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能.
配置命令:snmp-servercommunityxxxxxRWxx;xx是访问控制列表号SNMPVersion2使用MD5数字身份鉴别方式.
不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段.
建议禁止SNMP协议服务.
在禁止时必须删除一些SNMP服务的默认配置.
或者需要访问列表来过滤.
12、如果没必要则禁止WINS和DNS服务.
服务开启时,路由器dns服务会向255.
255.
255.
255广播地址发送名字查询,攻击者可以伪装成一个dns服务来攻击.
安全检查时应建议关闭该服务,关闭命令如下:noipdomain-lookup如果要使用这个服务,务必确保在路由器的配置中明确指定dns服务的名字并对其进行配置.
ipnameserverserver-address[server=address2.
.
.
server-address6]hostnameRouteripname-server202.
102.
134.
96三、路由器路由协议安全检查1、首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱.
2、启用OSPF路由协议的认证.
默认的OSPF认证密码是明文传输的,建议启用MD5认证.
并设置一定强度密钥(key,相对的路由器必须有相同的Key).
OSPF协议是"开放式最短路优先"的缩写.
"开放"是针对当时某些厂家的"私有"路由协议而言,而正是因为协议开放性,才使得OSPF具有强大的生命力和广泛的用途.
5它通过传递链路状态(连接信息)来得到网络信息,维护一张网络有向拓扑图,利用最小生成树算法得到路由表.
OSPF是一种相对复杂的路由协议.
3、RIP协议的认证.
只有RIP-V2支持,RIP-1不支持.
建议启用RIP-V2.
并且采用MD5认证.
普通认证同样是明文传输的.
RIP是推出时间最长的路由协议,也是最简单的路由协议.
它主要传递路由信息(路由表)来广播路由.
每隔30秒,广播一次路由表,维护相邻路由器的关系,同时根据收到的路由表计算自己的路由表.
RIP运行简单,适用于小型网络,互联网上还在部分使用着RIP.
4、启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口.
建议对于不需要路由的端口,启用passive-interface.
但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收.
在OSPF协议中是禁止转发和接收路由信息.
5、启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流.
6、建议启用IPUnicastReverse-PathVerification.
它能够检查源IP地址的准确性,从而可以防止一定的IPSpooling.
但是它只能在启用CEF(CiscoExpress四、路由器其它安全检查除此以外,还应从以下方面对路由器进行安全检查1、是否及时的升级IOS软件,为IOS安装补丁.
2、是否为路由器IOS作安全备份.
3、是否为路由器的配置文件作安全备份.
4、是否为路由器配备UPS设备,或者至少要有冗余电源.
5、是否有完备的路由器的安全访问和维护记录日志.
- 路由器ciscotftp服务器相关文档
- Cisco路由器作为使用SDM的远程VPN服务器配置
- 思科ciscotftp服务器
- 思科ciscotftp服务器
- 端口ciscotftp服务器
- 文档ciscotftp服务器
- 电话ciscotftp服务器
wordpress外贸企业主题 wordpress高级全行业大气外贸主题
wordpress高级全行业大气外贸主题,wordpress通用全行业高级外贸企业在线询单自适应主题建站程序,完善的外贸企业建站功能模块 + 高效通用的后台自定义设置,更实用的移动设备特色功能模块 + 更适于欧美国外用户操作体验 大气简洁的网站风格设计 + 高效优化的网站程序结构,更利于Goolge等SEO搜索优化和站点收录排名。点击进入:wordpress高级全行业大气外贸主题主题价格:¥398...
星梦云-年中四川100G高防云主机月付仅60元,西南高防月付特价活动,,买到就是赚到!
官方网站:点击访问星梦云活动官网活动方案:机房CPU内存硬盘带宽IP防护流量原价活动价开通方式成都电信优化线路4vCPU4G40G+50G10Mbps1个100G不限流量210元/月 99元/月点击自助购买成都电信优化线路8vCPU8G40G+100G15Mbps1个100G不限流量370元/月 160元/月点击自助购买成都电信优化线路16vCPU16G40G+100G20Mb...
盘点618年中大促中这款云服务器/VPS主机相对值得选择
昨天有在"盘点2021年主流云服务器商家618年中大促活动"文章中整理到当前年中大促618活动期间的一些国内国外的云服务商的促销活动,相对来说每年年中和年末的活动力度还是蛮大的,唯独就是活动太过于密集,而且商家比较多,导致我们很多新人不懂如何选择,当然对于我们这些老油条还是会选择的,估计没有比我们更聪明的进行薅爆款新人活动。有网友提到,是否可以整理一篇当前的这些活动商家中的促销产品。哪些商家哪款产...
ciscotftp服务器为你推荐
-
酒店回应名媛拼单名媛一天到晚都做什么?摩拜超15分钟加钱摩拜单车免费卡和5元90天能叠加吗杨紫别祝我生日快乐一个人过生日的伤感说说有什么广东GDP破10万亿在已披露的2017年GDP经济数据中,以下哪个省份GDP总量排名第一?百度关键词价格查询百度竞价关键词价格查询,帮忙查几个词儿点击一次多少钱,thankspsbc.comwap.psbc.com网银激活百度关键词工具如何通过百度官方工具提升关键词排名777k7.com怎么在这几个网站上下载图片啊www.777mu.com www.gangguan23.comporntimesexy time 本兮 MP3地址javmoo.com找下载JAV软件格式的网站