用autosecure加强CISCO路由器安全
CISCO IOS 12.3版本 Autosecure特性用于加强Cisco路由器的安全。
CISCO IOS 12.3及后续的12.3T版本,适用CISCO800,1700,2600,3600,3700,7200,7500系列路由器
Autosecure是一个特权EXEC命令,允许管理员快速简便的消除很多潜在安全威胁。
有助于更高效地实施Cisco路由器安全。
Autosecure可以在目标路由器上执行以下任务:
禁止某些潜在的不安全的全局服务
启用某些基于安全的全局服务
禁止某些潜在的不安全的接口服务
启用恰当的安全相关的日志
逐步加强对路由器管理访问的安全
逐步加强路由器转发层面的安全
Autosecure有两种操作模式
1交互模式 提示管理员选择想要对路由器服务进行配置的方式,以及其他安全相关的特性
2非交互模式 基于缺省情况来配置路由器的安全相关特性
Autosecure命令:
auto secure [management|forwarding] [no-interact]
management 只考虑管理层面的安全
forwarding 只考虑转发层面的安全
no-interact 非交互模式
安全的management层面服务
下面全局服务被认为是具有高风险***因素的,会被autosecure禁止掉:
Finger--禁止该项服务 让***者无法知晓登录路由器的有哪些人,包括登录位置
PAD--禁止该项服务 防止***者访问路由器上的X.25 PAD命令设置
小型服务器--禁止该项服务 防止***者借机发动DOS***
CDP--禁止该项服务 防止***者利用已知的一个CDP安全威胁
BOOTP--禁止该项服务 防止***者借机发送DOS***
HTTP-禁止该项服务 防止***者访问HTTP路由器管理访问接口
Identification--禁止该项服务 防止***者查询TCP端口身份
NTP--禁止该项服务 防止***者破坏路由器时间基准
源路由选择--禁止该项服务 防止***者利用老的基于cisco ios软件的路由器不能正确处理源路由选择的漏洞
无根据ARP--禁止该项服务 防止路由器宣告自己接口的IP地址
在启用autosecure后,下面全局服务被启用的有:
服务口令加密 自动对所有路由器配置中的口令进行加密
TCP keepalives in/out 允许路由器快速清除不用的TCP会话
在启用autosecure后,下一步提示管理员创建一个安全旗标(banner)
接下来,autosecure提示管理员配置以下内容:
enable secret autosecure会检查是否路由器的enable secret口令和enable口令相同,或者根本没有配置,如果相同,会提示输入一个新 的 enable secret口令
AAA本地认证 autosecure会检查AAA本地认证已被启用,是否存在一个本地用户帐号。如果没有,会提示输入新的用户名和口令
SSH服务器 autosecure会询问是否需要配置SSH服务器,答案肯定需要,autosecure会自动配置ssh超时为60秒,认证重复次数为2
主机名 如果路由器使用的出厂缺省的router主机名,autosecure会提示输入一个唯一的主机名;(在SSH的密钥生成时,需要一个唯一的主机名)
域名 autosecure会提示该路由器所属的域名。
配置特定接口服务
autosecure自动禁止所有路由器接口上的以下服务:
IP重定向
IP代理ARP
IP不可达
IP定向广播
IP掩码应答
autosecure通过完成以下操作来加强路由器转发层面安全
启用CISCO快速前向转发(cisco express forwarding,CEF),必须路由器平台支持此类缓存
为入口过滤建立以下三个扩展命名ACL(防欺骗)
autosec_private_block--阻塞RFC1918私用IP地址块
autosec_completc_block--阻塞源地址是组播,E类和其他IP地址的包,以及所有被列于此处的前两个ACL阻塞的地址
autosecure配置入口过滤和CBAC
在边界接口上配置入口过滤: autosecure会询问是否要在路由器边界接口上采用入口过滤
启用单播RPF: autosecure会在所有连接因特网的接口上自动配置严格的单播RPF,有助于丢弃任何源欺骗数据包
配置CBAC防火墙特性: autosecure会询问是否在所有连接因特网的接口上启用一般的CBAC检查规则
最后是检查配置并应用于运行配置中
CISCO IOS 12.3及后续的12.3T版本,适用CISCO800,1700,2600,3600,3700,7200,7500系列路由器
Autosecure是一个特权EXEC命令,允许管理员快速简便的消除很多潜在安全威胁。
有助于更高效地实施Cisco路由器安全。
Autosecure可以在目标路由器上执行以下任务:
禁止某些潜在的不安全的全局服务
启用某些基于安全的全局服务
禁止某些潜在的不安全的接口服务
启用恰当的安全相关的日志
逐步加强对路由器管理访问的安全
逐步加强路由器转发层面的安全
Autosecure有两种操作模式
1交互模式 提示管理员选择想要对路由器服务进行配置的方式,以及其他安全相关的特性
2非交互模式 基于缺省情况来配置路由器的安全相关特性
Autosecure命令:
auto secure [management|forwarding] [no-interact]
management 只考虑管理层面的安全
forwarding 只考虑转发层面的安全
no-interact 非交互模式
安全的management层面服务
下面全局服务被认为是具有高风险***因素的,会被autosecure禁止掉:
Finger--禁止该项服务 让***者无法知晓登录路由器的有哪些人,包括登录位置
PAD--禁止该项服务 防止***者访问路由器上的X.25 PAD命令设置
小型服务器--禁止该项服务 防止***者借机发动DOS***
CDP--禁止该项服务 防止***者利用已知的一个CDP安全威胁
BOOTP--禁止该项服务 防止***者借机发送DOS***
HTTP-禁止该项服务 防止***者访问HTTP路由器管理访问接口
Identification--禁止该项服务 防止***者查询TCP端口身份
NTP--禁止该项服务 防止***者破坏路由器时间基准
源路由选择--禁止该项服务 防止***者利用老的基于cisco ios软件的路由器不能正确处理源路由选择的漏洞
无根据ARP--禁止该项服务 防止路由器宣告自己接口的IP地址
在启用autosecure后,下面全局服务被启用的有:
服务口令加密 自动对所有路由器配置中的口令进行加密
TCP keepalives in/out 允许路由器快速清除不用的TCP会话
在启用autosecure后,下一步提示管理员创建一个安全旗标(banner)
接下来,autosecure提示管理员配置以下内容:
enable secret autosecure会检查是否路由器的enable secret口令和enable口令相同,或者根本没有配置,如果相同,会提示输入一个新 的 enable secret口令
AAA本地认证 autosecure会检查AAA本地认证已被启用,是否存在一个本地用户帐号。如果没有,会提示输入新的用户名和口令
SSH服务器 autosecure会询问是否需要配置SSH服务器,答案肯定需要,autosecure会自动配置ssh超时为60秒,认证重复次数为2
主机名 如果路由器使用的出厂缺省的router主机名,autosecure会提示输入一个唯一的主机名;(在SSH的密钥生成时,需要一个唯一的主机名)
域名 autosecure会提示该路由器所属的域名。
配置特定接口服务
autosecure自动禁止所有路由器接口上的以下服务:
IP重定向
IP代理ARP
IP不可达
IP定向广播
IP掩码应答
autosecure通过完成以下操作来加强路由器转发层面安全
启用CISCO快速前向转发(cisco express forwarding,CEF),必须路由器平台支持此类缓存
为入口过滤建立以下三个扩展命名ACL(防欺骗)
autosec_private_block--阻塞RFC1918私用IP地址块
autosec_completc_block--阻塞源地址是组播,E类和其他IP地址的包,以及所有被列于此处的前两个ACL阻塞的地址
autosecure配置入口过滤和CBAC
在边界接口上配置入口过滤: autosecure会询问是否要在路由器边界接口上采用入口过滤
启用单播RPF: autosecure会在所有连接因特网的接口上自动配置严格的单播RPF,有助于丢弃任何源欺骗数据包
配置CBAC防火墙特性: autosecure会询问是否在所有连接因特网的接口上启用一般的CBAC检查规则
最后是检查配置并应用于运行配置中
转载于:https://blog.51cto.com/wangxiang2010/142888
281
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
