根据木桶理论,一个桶能装多少水,取决于这个桶最短的那块木板。具体到信息系统的安全也是一样,整个信息系统的安全程度也取决于信息系统中最薄弱的环节,网络做为信息系统的体,其安全需求的重要性是显而易见的。
网络层面的安全主要有两个方面,一是数据层面的安全,使用ACL等技术手段,辅助应用系统增强系统的整体安全;二是控制层面的安全,通过限制对网 络设备自身的访问,增强网络设备自身的安全性。数据层面的安全在拙著《网络层权限访问控制――ACL详解》(http: //www.yesky.com/bang/77687093572141056/20030708/1712713.shtml)已经较为系统的讨论。 本文主要集中讨论控制层面即设备自身的安全这部分,仍以最大市场占有率的思科设备为例进行讨论。
一、 控制层面主要安全威协与应对原则
网络设备的控制层面的实质还是运行的一个操作系统,既然是一个操作系统,那么,其它操作系统可能遇到的安全威胁网络设备都有可能遇到;总结起来有如下几个方面:
1、 系统自身的缺陷:操作系统作为一个复杂系统,不论在发布之前多么仔细的进行测试,总会有缺陷产生的。出现缺陷后的唯一办法就是尽快给系统要上补丁。 CiscoIOS/Catos与其它通用操作系统的区别在于,IOS/Catos需要将整个系统更换为打过补丁的系统,可以查询http: //www.cisco.com/en/US/customer/products/prod_security_advisories_list.html 取得cisco最新的安全公告信息与补丁信息。
2、 系统缺省服务:与大多数能用操作系统一样,IOS与CatOS缺省情况下也开了一大堆服务,这些服务可能会引起潜在的安全风险,解决的办法是按最小特权原则,关闭这些不需要的服务。
3、 弱密码与明文密码:在IOS中,特权密码的加密方式强加密有弱加密两种,而普通存取密码在缺省情况下则是明文;
4、 非授权用户可以管理设备:既可以通过telnet/snmp通过网络对设备进行带内管理,还可以通过console与aux口对设备进行带外管理。缺省情况下带外管理是没有密码限制的。隐含较大的安全风险;
5、 CDP协议造成设备信息的泄漏;
6、 DDOS攻击导致设备不能正常运行,解决方案,使用控制面策略,限制到控制层面的流量;
7、 发生安全风险之后,缺省审计功能。
二、 CiscoIOS加固
对于12.3(4)T之后的IOS版本,可以通过autosecure命令完成下述大多数功能,考虑到大部分用户还没有条件升级到该IOS版本,这里仍然列出需要使用到的命令行:
1、禁用不需要的服务:
noiphttpserver //禁用httpserver,这玩意儿的安全漏洞很多的
noipsource-route //禁用IP源路由,防止路由欺骗
noservicefinger//禁用finger服务
noipbootpserver //禁用bootp服务
noserviceudp-small-s//小的udp服务
noservicetcp-small-s//禁用小的tcp服务
2、关闭CDP
nocdprun//禁用cdp
3、配置强加密与启用密码加密:
servicepassword-encryption //启用加密服务,将对password密码进行加密
enablesecretasdfajkls //配置强加密的特权密码
noenablepassword //禁用弱加密的特权密码
4、配置logserver、时间服务及与用于带内管理的ACL等,便于进行安全审计
servicetimestamplogdatetimelocaltime//配置时间戳为datetime方式,使用本地时间
logging192.168.0.1//向192.168.0.1发送log
logging192.168.0.2//向192.168.0.2发送log
access-list98的主机进行通讯
noaccess-list99//在配置一个新的acl前先清空该ACL
access-list99permit192.168.0.00.0.0.255
access-list99denyanylog//log参数说明在有符合该条件的条目时产生一条logo信息
noaccess-list98//在配置一个新的acl前先清空该ACL
access-list98permithost192.168.0.1
access-list98denyanylog//log参数说明在有符合该条件的条目时产生一条logo信息
!
clocktimezonePST-8//设置时区
ntpauthenticate //启用NTP认证
ntpauthentication-key1md5uadsf//设置NTP认证用的密码,使用MD5加密。需要和ntpserver一致
ntptrusted-key1 //可以信任的Key.
ntpacess-grouppeer98//设置ntp服务,只允许对端为符合access-list98条件的主机
ntpserver192.168.0.1key1 //配置ntpserver,server为192.168.0.1,使用1号key做为密码
5、对带内管理行为进行限制:
snmp-servercommunityHSDxdfro98//配置snmp只读通讯字,并只允许access-list98的主机进行通讯
linevty04
access-class99in//使用acl99来控制telnet的源地址
login
password0asdfaksdlf //配置telnet密码
exec-timeout20 //配置虚终端超时参数,这里是2分钟
!
6、对带外管理行为进行限制:
linecon0
login
password0adsfoii//配置console口的密码
exec-timeout20 //配置console口超时参数,这里是两分钟
!
lineaux0
transportinputnone
password0asfdkalsfj
noexec
exit
7、应用control-planepolice,预防DDOS攻击(注:需要12.2(18)S或12.3(4)T以上版本才支持)
允许信任主机(包括其它网络设备、管理工作站等)来的流量:
access-list110denyiphost1.1.1.1any
access-list110denyip2.2.2.0255.255.255.0any
.....
access-list110denyip3.3.3.3any
限制所有其它流量
access-list110permitipanyany
!
class-mapcontrol-plane-limit
matchaccess-group110
!
policy-mapcontrol-plane-policy
classcontrol-plane-limit
police32000conformtransmitexceeddrop
!
control-plane
service-policyinputcontrol-plane-policy
三、 CiscoCatOS加固
1、 禁用不需要的服务:
setcdpdisable//禁用cdp
setiphttpdisable //禁用httpserver,这玩意儿的安全漏洞很多的
2、 配置时间及日志参数,便于进行安全审计:
setloggingtimestampenable//启用log时间戳
setloggingserver192.168.0.1//向192.168.0.1发送log
setloggingserver192.168.0.2//向192.168.0.2发送log!
settimezonePST-8//设置时区
setntpauthenticateenable //启用NTP认证
setntpkey1md5uadsf//设置NTP认证用的密码,使用MD5加密。需要和ntpserver一致
setntpserver192.168.0.1key1 //配置ntpserver,server为192.168.0.1,使用1号key做为密码
setntpclientenable//启用ntpclient
3、 限制带内管理:
setsnmpcommunityHSDxdf//配置snmp只读通讯字
setippermitenablesnmp//启用snmp访问控制
setippermit192.168.0.1snmp //允许192.168.0.1进行snmp访问
setippermitenabletelnet//启用telnet访问控制
setippermit192.168.0.1telnet //允许192.168.0.1进行telnet访问
setpassword//配置telnet密码
setenable //配置特权密码
setlogout2 //配置超时参数,2分钟
网络层面的安全主要有两个方面,一是数据层面的安全,使用ACL等技术手段,辅助应用系统增强系统的整体安全;二是控制层面的安全,通过限制对网 络设备自身的访问,增强网络设备自身的安全性。数据层面的安全在拙著《网络层权限访问控制――ACL详解》(http: //www.yesky.com/bang/77687093572141056/20030708/1712713.shtml)已经较为系统的讨论。 本文主要集中讨论控制层面即设备自身的安全这部分,仍以最大市场占有率的思科设备为例进行讨论。
一、 控制层面主要安全威协与应对原则
网络设备的控制层面的实质还是运行的一个操作系统,既然是一个操作系统,那么,其它操作系统可能遇到的安全威胁网络设备都有可能遇到;总结起来有如下几个方面:
1、 系统自身的缺陷:操作系统作为一个复杂系统,不论在发布之前多么仔细的进行测试,总会有缺陷产生的。出现缺陷后的唯一办法就是尽快给系统要上补丁。 CiscoIOS/Catos与其它通用操作系统的区别在于,IOS/Catos需要将整个系统更换为打过补丁的系统,可以查询http: //www.cisco.com/en/US/customer/products/prod_security_advisories_list.html 取得cisco最新的安全公告信息与补丁信息。
2、 系统缺省服务:与大多数能用操作系统一样,IOS与CatOS缺省情况下也开了一大堆服务,这些服务可能会引起潜在的安全风险,解决的办法是按最小特权原则,关闭这些不需要的服务。
3、 弱密码与明文密码:在IOS中,特权密码的加密方式强加密有弱加密两种,而普通存取密码在缺省情况下则是明文;
4、 非授权用户可以管理设备:既可以通过telnet/snmp通过网络对设备进行带内管理,还可以通过console与aux口对设备进行带外管理。缺省情况下带外管理是没有密码限制的。隐含较大的安全风险;
5、 CDP协议造成设备信息的泄漏;
6、 DDOS攻击导致设备不能正常运行,解决方案,使用控制面策略,限制到控制层面的流量;
7、 发生安全风险之后,缺省审计功能。
二、 CiscoIOS加固
对于12.3(4)T之后的IOS版本,可以通过autosecure命令完成下述大多数功能,考虑到大部分用户还没有条件升级到该IOS版本,这里仍然列出需要使用到的命令行:
1、禁用不需要的服务:
noiphttpserver //禁用httpserver,这玩意儿的安全漏洞很多的
noipsource-route //禁用IP源路由,防止路由欺骗
noservicefinger//禁用finger服务
noipbootpserver //禁用bootp服务
noserviceudp-small-s//小的udp服务
noservicetcp-small-s//禁用小的tcp服务
2、关闭CDP
nocdprun//禁用cdp
3、配置强加密与启用密码加密:
servicepassword-encryption //启用加密服务,将对password密码进行加密
enablesecretasdfajkls //配置强加密的特权密码
noenablepassword //禁用弱加密的特权密码
4、配置logserver、时间服务及与用于带内管理的ACL等,便于进行安全审计
servicetimestamplogdatetimelocaltime//配置时间戳为datetime方式,使用本地时间
logging192.168.0.1//向192.168.0.1发送log
logging192.168.0.2//向192.168.0.2发送log
access-list98的主机进行通讯
noaccess-list99//在配置一个新的acl前先清空该ACL
access-list99permit192.168.0.00.0.0.255
access-list99denyanylog//log参数说明在有符合该条件的条目时产生一条logo信息
noaccess-list98//在配置一个新的acl前先清空该ACL
access-list98permithost192.168.0.1
access-list98denyanylog//log参数说明在有符合该条件的条目时产生一条logo信息
!
clocktimezonePST-8//设置时区
ntpauthenticate //启用NTP认证
ntpauthentication-key1md5uadsf//设置NTP认证用的密码,使用MD5加密。需要和ntpserver一致
ntptrusted-key1 //可以信任的Key.
ntpacess-grouppeer98//设置ntp服务,只允许对端为符合access-list98条件的主机
ntpserver192.168.0.1key1 //配置ntpserver,server为192.168.0.1,使用1号key做为密码
5、对带内管理行为进行限制:
snmp-servercommunityHSDxdfro98//配置snmp只读通讯字,并只允许access-list98的主机进行通讯
linevty04
access-class99in//使用acl99来控制telnet的源地址
login
password0asdfaksdlf //配置telnet密码
exec-timeout20 //配置虚终端超时参数,这里是2分钟
!
6、对带外管理行为进行限制:
linecon0
login
password0adsfoii//配置console口的密码
exec-timeout20 //配置console口超时参数,这里是两分钟
!
lineaux0
transportinputnone
password0asfdkalsfj
noexec
exit
7、应用control-planepolice,预防DDOS攻击(注:需要12.2(18)S或12.3(4)T以上版本才支持)
允许信任主机(包括其它网络设备、管理工作站等)来的流量:
access-list110denyiphost1.1.1.1any
access-list110denyip2.2.2.0255.255.255.0any
.....
access-list110denyip3.3.3.3any
限制所有其它流量
access-list110permitipanyany
!
class-mapcontrol-plane-limit
matchaccess-group110
!
policy-mapcontrol-plane-policy
classcontrol-plane-limit
police32000conformtransmitexceeddrop
!
control-plane
service-policyinputcontrol-plane-policy
三、 CiscoCatOS加固
1、 禁用不需要的服务:
setcdpdisable//禁用cdp
setiphttpdisable //禁用httpserver,这玩意儿的安全漏洞很多的
2、 配置时间及日志参数,便于进行安全审计:
setloggingtimestampenable//启用log时间戳
setloggingserver192.168.0.1//向192.168.0.1发送log
setloggingserver192.168.0.2//向192.168.0.2发送log!
settimezonePST-8//设置时区
setntpauthenticateenable //启用NTP认证
setntpkey1md5uadsf//设置NTP认证用的密码,使用MD5加密。需要和ntpserver一致
setntpserver192.168.0.1key1 //配置ntpserver,server为192.168.0.1,使用1号key做为密码
setntpclientenable//启用ntpclient
3、 限制带内管理:
setsnmpcommunityHSDxdf//配置snmp只读通讯字
setippermitenablesnmp//启用snmp访问控制
setippermit192.168.0.1snmp //允许192.168.0.1进行snmp访问
setippermitenabletelnet//启用telnet访问控制
setippermit192.168.0.1telnet //允许192.168.0.1进行telnet访问
setpassword//配置telnet密码
setenable //配置特权密码
setlogout2 //配置超时参数,2分钟
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
