软考-信息安全工程师学习笔记99—网络设备安全
交换机、路由器通常提供身份认证、访问控制、信息加密、安全通信以及审计等安全机制
认证机制为防止网络设备滥用,网络设备对用户身份进行认证。用户需要提供正确口令才能使用网络设备资源
网络设备提供 Console 口令、AUX 口令(AUX 端口为异步端口,主要用于远程配置)、VTY 口令、user 口令、 privilege-level 口令等多种形式的口令认证
以路由器为例,Console 口令的使用过程如下:
Router#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password console-password
Router(config-line)#^Z
Router#
网络设备对于 Consolc, AUX 和 VTY 口令的口令认证配置文件如下:
line con 0
password console-password
login
line aux 0
password aux-password
login
line vty 0 4
password vty-password
login
访问控制网络设备的访问可以分为
- 带外(out-of-band)访问:不依赖其他网络
- 带内(in-band)访问:要求提供网络支持
网络设备的访问方法主要有
- 控制端口(Console Port):属于默认设置访问,要求物理上访问网络设备
- 辅助端口(AUXPort):提供带外访问,可通过终端服务器或调制解调器 Modem 连接到网络设备,管理员可远程访问
- VTY:提供终端模式通过网络访问网络设备,通常协议是 Telnet 或 SSH2。VTY 的数量一般设置 为 5 个,编号是从 0 到 4。
- HTTP:使用 HTTP 协议进行 Web 访问(VTY 网络设备也支持)
- TFTP:网络设备使用 TFTP (Trivial File Transfer Protocol)上传配置文件
- SNMP:提供读或读写访问几乎所有的网络设备
1.CON 端口访问
为了进一步严格控制 CON 端口的访问,限制特定的主机才能访问路由器,可做如下配置
其指定 X.Y.Z.1 可以访问路由器
Router(Config)#Access-list 1 permit X.Y.Z.l
Router(Config)#line con 0
Router(Config-line)#Transport input none
Router(Config-line)#Login local
Router(Config-line)#Exec-timeoute 5 0
Router(Config-line)#access-class 1 in
Router(Config-line)#end
2.VTY 访问控制
为保护 VTY 的访问安全,网络设备配置可以指定固定的 IP 地址才能访问,并且增加时间约束。
例如,X.Y.Z.12、X.Y.Z.5 可以通过 VTY 访问路由器,则可以配置如下:
Router #config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 10 permit X.Y.Z.12
Router(config)#access-list 10 permit X.Y.Z.5
Router(config)#access-list 10 deny any
Router (config) #line vty 0 4
Router(config-line)#access-class 10 in
Router(config-line)#^Z
Router#
超时限制配置如下:
Router#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#service tcp-keepalives-in
Router(config)#line vty 0 4
Router(config-line)#exec-timeout 5 0
Router(config-line)#^Z
Router#
3、HTTP 访问控制
限制指定 IP 地址可以访问网络设备。例如,只允许 X.Y.Z.15 路由器,则可配置如下:
Router#config terminal
Enter configuration commands,one per line. End with CNTL/Z.
Router(config)#access-list 20 permit X.Y.Z.15
Router(config)#access-list 20 deny any
Router(config)#ip http access-class 20
Router(config-line)#^Z
Router#
强化 HTTP 认证配置信息如下:
Router#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip http authentication type
Router(config-line)#^Z
Router#
(type 可以设为 enable、local、tacacs 或 aaa)
4. SNMP 访问控制
为避免攻击者利用 Read-only SNMP 或 Read/Write SNMP 对网络设备进行危害操作,网络设备提供了 SNMP 访问安全控制措施,具体如下:
(一) SNMP 访问认证。当通过 SNMP 访问网络设备时,网络设备要求访问者提供社区字符串 (community strings)认证,类似口令密码。如下所示,路由器设置 SNMP 访问社区字符串。
(1)设置只读 SNMP 访问模式的社区字符串
Router#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#snmp-server community UnGuessableStringReadOnly RO
Router(config-line)#^Z
(2)设置读/写 SNMP 访问模式的社区字符串。
Router#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#snmp-server community UnGuessableStringWriteable RW
Router(config)#^Z
(二)限制SNMP访问的 IP 地址。如下所示,只有 X.Y.Z.8 和 X.Y.Z.7 的 IP 地址对路由器进行 SNMP 只读访问。
Router#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 6 permit X.Y. Z. 8
Router(config)#access-list 6 permit X.Y.Z.7
Router(config)#access-list 6 deny any
Router(config)#snmp-server community UnGuessableStringReadOnly RO 6
Router(config)#^Z
(三)关闭 SNMP 访问。如下所示,网络设备配置 no snmp-servercommunity 命令关闭 SNMP 访问。
Router#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router (config) #no snn5>-server community UnGuessableStringReadOnly RO
Router(config)#^Z
5 .设置管理专网
远程访问路由器一般是通过路由器自身提供的网络服务来实现的,虽然远程访问路由器有利于网络管理,但是在远程访问的过程中,远程通信时的信息是明文, 因而,攻击者能够监听到远程访问路由器的信息,如路由器的口令。为增强远程访问的安全性,应建立一个专用的网络用于管理设备
网络设备配置支持 SSH 访问,并且指定管理机器的IP地址才可以访问网络设备, 从而降低网络设备的管理风险,具体方法如下:
(1)将管理主机和路由器之间的全部通信进行加密,使用 SSH 替换 Telnet
(2)在路由器设置包过滤规则,只允许管理主机远程访问路由器。例如以下路由器配置可以做到:只允许 IP 地址是 X.Y.Z.6 的主机有权访问路由器的 Telnet 服务。
Router(config)#access-list 99 permit X.Y.Z.6 log
Router(config)#access-list 99 deny any log
Router(config)#line vty 0 4
Router(config-line)#access-class 99 in
Router(config-line)#exec-timeout 5 0
Router(config-line)#login local
Router(config—line)#transport input telnet
Router(config-line)#exec
Router(config-line)#end
Router#
6.特权分级
针对交换机、路由器潜在的操作安全风险,交换机、路由器提供权限分级机制,每种权限级别对应不同的 操作能力
在 Cisco 网络设备中,将权限分为 0〜15 共 16 个等级,0 为最低等级,15 为最高等级。等级越高, 操作权限就越多,具体配置如下:
Router>show privilege
Current privilege level is 1
Router>enable 5
Password: level-5-password
Router#show privilege
Current privilege level is 5
Router#
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼
- 2022-09-10
软考-信息安全工程师学习笔记99—网络设 - 2022-09-10
人工智能助推中国高质量发展(专家解读 - 2022-09-10
连接设备平台服务(沐渥科技:什么是物联 - 2022-09-10
港股突发大跌,下半年港股互联网板块行 - 2022-09-10
网络设备厂商排名榜(网络电视盒子哪个品 - 2022-09-10
知名的网络设备厂商有哪些(“蹦床王”三 - 2022-09-10
让你的Windows电脑成为一台NTP校时服务器 - 2022-09-09
Windows 2008 R2上建立NTP Server及Win10客户端配 - 2022-09-09
如何在 Linux 上安装、配置 NTP 服务器和客 - 2022-09-09
“2022年中国网络安全企业50强”发布 奇安