路由器ciscotftp服务器
ciscotftp服务器 时间:2021-04-05 阅读:()
1路由器的安全检查江苏省电子信息产品质量监督检验研究院张影秋路由器(Router)是用于连接多个逻辑上分开的网络,所谓逻辑网络是代表一个单独的网络或者一个子网,当数据从一个子网传输到另一个子网时,可通过路由器来完成.
随着网络应用的日益普及,尤其是在一些敏感场合(如电子商务)的应用,网络安全成为日益迫切的需求.
网络安全包括两层含义:其一是内部局域网的安全,其二是外部数据交换的安全.
路由器作为内部网络与外部网络之间通信的关键设备,有必要提供充分的安全保护功能.
针对网络存在的各种安全隐患,安全路由器必须具有如下的安全特性:可靠性与线路安全、身份认证和访问控制.
在网络上,一旦有人恶意进入你的路由器,将对你的网络安全产生极大的威胁.
实际上,路由器可以看作是一台具有中央处理器、内存、操作系统的计算机,将地理上分散的网络连接在一起,实现它们之间的网络通信.
所以,路由器配置的是否正确、安全会对网络的通畅起着举足轻重作用.
路由器的安全检查应从访问控制的安全配置的检查、网络服务安全配置、路由协议安全配置等方面进行.
一、路由器访问控制的安全检查路由器的配置途径有:控制台、虚拟终端、网络管理工作站、TFTP服务器等,对CISCO路由器还可通过其开发的路由器配置工具CISCOConfigMaker进行配置.
如果路由器访问控制配置不当,入侵者可能进入路由器,对整个网络的安全产生影响,路由器访问控制的安全检查主要从以下几个方面进行:1、检查维护记录,检查可以访问路由器的管理员是否严格控制.
2、建查是否开启远程访问功能,如果使用远程访问路由器,应检查是否使用访问控制列表和高强度的密码控制.
3、检查对Console端口的访问控制措施,该端口为异步端口,主要连接终端或运行终端仿真程序的计算机,在本地配置路由器.
对该端口的检查主要有以下几个方面:(1)检查是否切断与CON口互联的物理线路.
(2)检查是否改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的).
2(3)检查CON口的密码是否为高强度密码.
4、AUX端口的检查.
AUX端口为异步端口,主要用于远程配置,也可用于拔号备份,可与MODEM连接.
应检查该端口是否启用,如果不使用AUX端口,建议禁止该端口.
5、进入特权模式密码检查,特权模式,也叫使能(enable)模式,可对路由器进行更多的操作,使用的命令集比用户模式多,可对路由器进行更高级的测试,如使用debug命令等.
对路由器进行安全检查时,应检查是否为进入特权模式设置了强壮的密码.
在用户模式下通过使能口令进入特权模式.
提示符为"#".
Showrunning-config即为特权模式命令.
不要采用enablepassword设置密码.
而要采用enablesecret命令设置.
并且要启用Servicepassword-encryption.
二、路由器网络服务安全检查路由器提供了众多的网络服务,这些网络服务在给网络设备管理带来便利的同时也给网络的安全带来了隐患,在对路由器进行安全检查时对不必要的服务应禁止,对需要使用的服务要建议进行严格的安全配置.
应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击1、CDP(CiscoDiscoveryProtocol)服务检查.
在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息:设备平台、操作系统版本、端口、IP地址等重要信息.
可以用命令:nocdprunning或nocdpenable关闭这个服务.
2、其他的TCP、UDPSmall服务检查.
该服务用于查看路由器诊断信息,如不使用该服务则应建议关闭该服务,关闭命令如下:noservicetcp-small-serversnoserviceudp-small-servers3、Finger服务检查.
Finger服务用于查看路由器当前用户列表,如不使用该服务则应建议关闭该服务,关闭命令为:noservicefinger.
4、HTTP服务检查.
HTTP服务提供Web管理接口.
"noiphttpserver"可以停止HTTP服务.
如果必须使用HTTP,一定要使用访问列表"iphttpaccess-class"命令,严格过滤允许的IP地3址,同时用"iphttpauthentication"命令设定授权限制.
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制.
5、BOOTp服务检查.
禁止从网络启动和自动从网络下载初始配置文件.
6、IPSourceRouting服务检查.
IPsource-route是一个全局配置命令,允许路由器处理带源路由选项标记的数据流.
启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙.
关闭命令如下:noipsource-route.
7、ARP-Proxy服务检查建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的,它容易引起路由表的混乱.
8、检查.
IPDirectedBroadcast服务开启时,攻击者可以使用假冒的源地址向你的网络广播地址发送一个"ICMPecho"请求.
这要求所有的主机对这个广播请求做出回应.
这种情况至少会降低你的网络性能,安全检查时应建议关闭该服务.
关闭命令如下:noipdirected-broadcast9、IPClassless服务检查.
路由可能会收到一些发往一个没有网络缺省路由的子网的数据包,如有启用这服务,路由器会将这些数据包转发给最有可能路由的超网(supernet),由于缺省情况下这些服务是开启的,这种服务可能被各种攻击利用,在进行安全检查时应检查时建议关闭该服务,关闭命令如下:noipclassless10、禁止ICMP协议的IPUnreachables,Redirects,MaskReplies.
IPUnreachables(不可达消息)服务开启时,可以向发送者通告(不可达地方)的ip地址,攻击者能够借此映射网络.
安全检查时应建议关闭该服务,关闭命令如下:noipunreacheables.
Redirects(重定向消息)服务开启时,可以让一个端节点用特定的路由器做为通向特定目的地路径.
正常的ip网络中,一台路由器只向位于自己本地子网的主机发送重定向消息,端节点不会发送这种消息,此消息也不会超过一个网络跳数的地方发送.
4不过攻击者可以违反这种规则.
安全检查时应建议关闭该服务,关闭命令如下:noipredirectsMaskReplies(掩码应答)服务开启时,ciscoios会向icmp掩码要求发送icmp掩码应答的消息,其中包括接口的ip地址掩码.
安全检查时应建议关闭该服务,关闭命令如下:noipmask-reply11、SNMP协议服务检查SNMP广泛应用在路由器的监控、配置方面.
SNMPVersion1在穿越公网的管理应用方面,安全性低,不适合使用.
利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能.
配置命令:snmp-servercommunityxxxxxRWxx;xx是访问控制列表号SNMPVersion2使用MD5数字身份鉴别方式.
不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段.
建议禁止SNMP协议服务.
在禁止时必须删除一些SNMP服务的默认配置.
或者需要访问列表来过滤.
12、如果没必要则禁止WINS和DNS服务.
服务开启时,路由器dns服务会向255.
255.
255.
255广播地址发送名字查询,攻击者可以伪装成一个dns服务来攻击.
安全检查时应建议关闭该服务,关闭命令如下:noipdomain-lookup如果要使用这个服务,务必确保在路由器的配置中明确指定dns服务的名字并对其进行配置.
ipnameserverserver-address[server=address2.
.
.
server-address6]hostnameRouteripname-server202.
102.
134.
96三、路由器路由协议安全检查1、首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱.
2、启用OSPF路由协议的认证.
默认的OSPF认证密码是明文传输的,建议启用MD5认证.
并设置一定强度密钥(key,相对的路由器必须有相同的Key).
OSPF协议是"开放式最短路优先"的缩写.
"开放"是针对当时某些厂家的"私有"路由协议而言,而正是因为协议开放性,才使得OSPF具有强大的生命力和广泛的用途.
5它通过传递链路状态(连接信息)来得到网络信息,维护一张网络有向拓扑图,利用最小生成树算法得到路由表.
OSPF是一种相对复杂的路由协议.
3、RIP协议的认证.
只有RIP-V2支持,RIP-1不支持.
建议启用RIP-V2.
并且采用MD5认证.
普通认证同样是明文传输的.
RIP是推出时间最长的路由协议,也是最简单的路由协议.
它主要传递路由信息(路由表)来广播路由.
每隔30秒,广播一次路由表,维护相邻路由器的关系,同时根据收到的路由表计算自己的路由表.
RIP运行简单,适用于小型网络,互联网上还在部分使用着RIP.
4、启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口.
建议对于不需要路由的端口,启用passive-interface.
但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收.
在OSPF协议中是禁止转发和接收路由信息.
5、启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流.
6、建议启用IPUnicastReverse-PathVerification.
它能够检查源IP地址的准确性,从而可以防止一定的IPSpooling.
但是它只能在启用CEF(CiscoExpress四、路由器其它安全检查除此以外,还应从以下方面对路由器进行安全检查1、是否及时的升级IOS软件,为IOS安装补丁.
2、是否为路由器IOS作安全备份.
3、是否为路由器的配置文件作安全备份.
4、是否为路由器配备UPS设备,或者至少要有冗余电源.
5、是否有完备的路由器的安全访问和维护记录日志.
随着网络应用的日益普及,尤其是在一些敏感场合(如电子商务)的应用,网络安全成为日益迫切的需求.
网络安全包括两层含义:其一是内部局域网的安全,其二是外部数据交换的安全.
路由器作为内部网络与外部网络之间通信的关键设备,有必要提供充分的安全保护功能.
针对网络存在的各种安全隐患,安全路由器必须具有如下的安全特性:可靠性与线路安全、身份认证和访问控制.
在网络上,一旦有人恶意进入你的路由器,将对你的网络安全产生极大的威胁.
实际上,路由器可以看作是一台具有中央处理器、内存、操作系统的计算机,将地理上分散的网络连接在一起,实现它们之间的网络通信.
所以,路由器配置的是否正确、安全会对网络的通畅起着举足轻重作用.
路由器的安全检查应从访问控制的安全配置的检查、网络服务安全配置、路由协议安全配置等方面进行.
一、路由器访问控制的安全检查路由器的配置途径有:控制台、虚拟终端、网络管理工作站、TFTP服务器等,对CISCO路由器还可通过其开发的路由器配置工具CISCOConfigMaker进行配置.
如果路由器访问控制配置不当,入侵者可能进入路由器,对整个网络的安全产生影响,路由器访问控制的安全检查主要从以下几个方面进行:1、检查维护记录,检查可以访问路由器的管理员是否严格控制.
2、建查是否开启远程访问功能,如果使用远程访问路由器,应检查是否使用访问控制列表和高强度的密码控制.
3、检查对Console端口的访问控制措施,该端口为异步端口,主要连接终端或运行终端仿真程序的计算机,在本地配置路由器.
对该端口的检查主要有以下几个方面:(1)检查是否切断与CON口互联的物理线路.
(2)检查是否改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的).
2(3)检查CON口的密码是否为高强度密码.
4、AUX端口的检查.
AUX端口为异步端口,主要用于远程配置,也可用于拔号备份,可与MODEM连接.
应检查该端口是否启用,如果不使用AUX端口,建议禁止该端口.
5、进入特权模式密码检查,特权模式,也叫使能(enable)模式,可对路由器进行更多的操作,使用的命令集比用户模式多,可对路由器进行更高级的测试,如使用debug命令等.
对路由器进行安全检查时,应检查是否为进入特权模式设置了强壮的密码.
在用户模式下通过使能口令进入特权模式.
提示符为"#".
Showrunning-config即为特权模式命令.
不要采用enablepassword设置密码.
而要采用enablesecret命令设置.
并且要启用Servicepassword-encryption.
二、路由器网络服务安全检查路由器提供了众多的网络服务,这些网络服务在给网络设备管理带来便利的同时也给网络的安全带来了隐患,在对路由器进行安全检查时对不必要的服务应禁止,对需要使用的服务要建议进行严格的安全配置.
应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击1、CDP(CiscoDiscoveryProtocol)服务检查.
在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息:设备平台、操作系统版本、端口、IP地址等重要信息.
可以用命令:nocdprunning或nocdpenable关闭这个服务.
2、其他的TCP、UDPSmall服务检查.
该服务用于查看路由器诊断信息,如不使用该服务则应建议关闭该服务,关闭命令如下:noservicetcp-small-serversnoserviceudp-small-servers3、Finger服务检查.
Finger服务用于查看路由器当前用户列表,如不使用该服务则应建议关闭该服务,关闭命令为:noservicefinger.
4、HTTP服务检查.
HTTP服务提供Web管理接口.
"noiphttpserver"可以停止HTTP服务.
如果必须使用HTTP,一定要使用访问列表"iphttpaccess-class"命令,严格过滤允许的IP地3址,同时用"iphttpauthentication"命令设定授权限制.
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制.
5、BOOTp服务检查.
禁止从网络启动和自动从网络下载初始配置文件.
6、IPSourceRouting服务检查.
IPsource-route是一个全局配置命令,允许路由器处理带源路由选项标记的数据流.
启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙.
关闭命令如下:noipsource-route.
7、ARP-Proxy服务检查建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的,它容易引起路由表的混乱.
8、检查.
IPDirectedBroadcast服务开启时,攻击者可以使用假冒的源地址向你的网络广播地址发送一个"ICMPecho"请求.
这要求所有的主机对这个广播请求做出回应.
这种情况至少会降低你的网络性能,安全检查时应建议关闭该服务.
关闭命令如下:noipdirected-broadcast9、IPClassless服务检查.
路由可能会收到一些发往一个没有网络缺省路由的子网的数据包,如有启用这服务,路由器会将这些数据包转发给最有可能路由的超网(supernet),由于缺省情况下这些服务是开启的,这种服务可能被各种攻击利用,在进行安全检查时应检查时建议关闭该服务,关闭命令如下:noipclassless10、禁止ICMP协议的IPUnreachables,Redirects,MaskReplies.
IPUnreachables(不可达消息)服务开启时,可以向发送者通告(不可达地方)的ip地址,攻击者能够借此映射网络.
安全检查时应建议关闭该服务,关闭命令如下:noipunreacheables.
Redirects(重定向消息)服务开启时,可以让一个端节点用特定的路由器做为通向特定目的地路径.
正常的ip网络中,一台路由器只向位于自己本地子网的主机发送重定向消息,端节点不会发送这种消息,此消息也不会超过一个网络跳数的地方发送.
4不过攻击者可以违反这种规则.
安全检查时应建议关闭该服务,关闭命令如下:noipredirectsMaskReplies(掩码应答)服务开启时,ciscoios会向icmp掩码要求发送icmp掩码应答的消息,其中包括接口的ip地址掩码.
安全检查时应建议关闭该服务,关闭命令如下:noipmask-reply11、SNMP协议服务检查SNMP广泛应用在路由器的监控、配置方面.
SNMPVersion1在穿越公网的管理应用方面,安全性低,不适合使用.
利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能.
配置命令:snmp-servercommunityxxxxxRWxx;xx是访问控制列表号SNMPVersion2使用MD5数字身份鉴别方式.
不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段.
建议禁止SNMP协议服务.
在禁止时必须删除一些SNMP服务的默认配置.
或者需要访问列表来过滤.
12、如果没必要则禁止WINS和DNS服务.
服务开启时,路由器dns服务会向255.
255.
255.
255广播地址发送名字查询,攻击者可以伪装成一个dns服务来攻击.
安全检查时应建议关闭该服务,关闭命令如下:noipdomain-lookup如果要使用这个服务,务必确保在路由器的配置中明确指定dns服务的名字并对其进行配置.
ipnameserverserver-address[server=address2.
.
.
server-address6]hostnameRouteripname-server202.
102.
134.
96三、路由器路由协议安全检查1、首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱.
2、启用OSPF路由协议的认证.
默认的OSPF认证密码是明文传输的,建议启用MD5认证.
并设置一定强度密钥(key,相对的路由器必须有相同的Key).
OSPF协议是"开放式最短路优先"的缩写.
"开放"是针对当时某些厂家的"私有"路由协议而言,而正是因为协议开放性,才使得OSPF具有强大的生命力和广泛的用途.
5它通过传递链路状态(连接信息)来得到网络信息,维护一张网络有向拓扑图,利用最小生成树算法得到路由表.
OSPF是一种相对复杂的路由协议.
3、RIP协议的认证.
只有RIP-V2支持,RIP-1不支持.
建议启用RIP-V2.
并且采用MD5认证.
普通认证同样是明文传输的.
RIP是推出时间最长的路由协议,也是最简单的路由协议.
它主要传递路由信息(路由表)来广播路由.
每隔30秒,广播一次路由表,维护相邻路由器的关系,同时根据收到的路由表计算自己的路由表.
RIP运行简单,适用于小型网络,互联网上还在部分使用着RIP.
4、启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口.
建议对于不需要路由的端口,启用passive-interface.
但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收.
在OSPF协议中是禁止转发和接收路由信息.
5、启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流.
6、建议启用IPUnicastReverse-PathVerification.
它能够检查源IP地址的准确性,从而可以防止一定的IPSpooling.
但是它只能在启用CEF(CiscoExpress四、路由器其它安全检查除此以外,还应从以下方面对路由器进行安全检查1、是否及时的升级IOS软件,为IOS安装补丁.
2、是否为路由器IOS作安全备份.
3、是否为路由器的配置文件作安全备份.
4、是否为路由器配备UPS设备,或者至少要有冗余电源.
5、是否有完备的路由器的安全访问和维护记录日志.
- 路由器ciscotftp服务器相关文档
- Cisco路由器作为使用SDM的远程VPN服务器配置
- 思科ciscotftp服务器
- 思科ciscotftp服务器
- 端口ciscotftp服务器
- 文档ciscotftp服务器
- 电话ciscotftp服务器
CloudCone中国新年特别套餐,洛杉矶1G内存VPS年付13.5美元起
CloudCone针对中国农历新年推出了几款特别套餐, 其中2019年前注册的用户可以以13.5美元/年的价格购买一款1G内存特价套餐,以及另外提供了两款不限制注册时间的用户可购买年付套餐。CloudCone是Quadcone旗下成立于2017年的子品牌,提供VPS及独立服务器租用,也是较早提供按小时计费VPS的商家之一,支持使用PayPal或者支付宝等付款方式。下面列出几款特别套餐配置信息。CP...
一键去除宝塔面板各种计算题与延时等待
现在宝塔面板真的是越来越过分了,删除文件、删除数据库、删除站点等操作都需要做计算题!我今天升级到7.7版本,发现删除数据库竟然还加了几秒的延时等待,也无法跳过!宝塔的老板该不会是小学数学老师吧,那么喜欢让我们做计算题!因此我写了个js用于去除各种计算题以及延时等待,同时还去除了软件列表页面的bt企业版广告。只需要执行以下命令即可一键完成!复制以下命令在SSH界面执行:Layout_file="/w...
美国cera机房 2核4G 19.9元/月 宿主机 E5 2696v2x2 512G
美国特价云服务器 2核4G 19.9元杭州王小玉网络科技有限公司成立于2020是拥有IDC ISP资质的正规公司,这次推荐的美国云服务器也是商家主打产品,有点在于稳定 速度 数据安全。企业级数据安全保障,支持异地灾备,数据安全系数达到了100%安全级别,是国内唯一一家美国云服务器拥有这个安全级别的商家。E5 2696v2x2 2核 4G内存 20G系统盘 10G数据盘 20M带宽 100G流量 1...
ciscotftp服务器为你推荐
-
摩根币JPM摩根币是什么?怎么赚钱是骗人的吗?www.hao360.cn主页设置为http://hao.360.cn/,但打开360浏览器先显示www.yes125.com后转换为www.2345.com,搜索注册表和网站检测如何进行网站全面诊断www.haole012.com阜阳有什么好的正规的招聘网站?8090lu.com8090看看电影网怎么打不开了avtt4.comCOM1/COM3/COM4是什么意思??/4400av.com在www.dadady.com 达达电影看片子很快的啊www.idanmu.com腾讯有qqsk.zik.mu这个网站吗?www.15job.com南方人才市场有官方网站是什么?www.1diaocha.com哪个网站做调查问卷可以赚钱 啊