软考-信息安全工程师学习笔记100—网络设备安全

• 网络设备配置文件中有敏感口令信息，一旦泄露，将导致网络设备失去控制。
• 为保护配置文件的敏感信息，网络设备提供安全加密功能，保存敏感口令数据。

网络设备和管理工作站之间的安全通信有两种方式：

• 使用 SSH
• 使用 VPN

1.SSH

为了远程访冋安全，网络设备提供 SSH 服务以替换非安全的 Telnet,其配置步骤如下：

• (1) 使用 hostname 指定设备名称。
• (2) 使用 ip domain-name 配置设备域。
• (3) 使用 crypto key generate rsa 生成 RSA 加密密钥。建议最小密钥大小为 1024 位
• (4) 使用 ip ssh 设置 SSH 访问
• (5) 使用 transport input 命令配置使用 SSH。

是在路由器 RouterOne 上设置 SSH 访问，VTY 配置成只允许 SSH 访问。

Router#config terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router (config) #hostname RouterOne

RouterOne (config) #ip domain-name mydomain.com

RouterOne (config) #crypto key generate rsa

The name for the keys will be: RouterOne

Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.

How many bits in the modulus [512]: 1024

Generating RSA keys ・・・

[OK]

RouterOne(config)#ip ssh time-out 60

RouterOne(config)#ip ssh authentication-retries 2

RouterOne(config)#line vty 0 4

RouterOne(config-line)#transport input ssh

RouterOne(config-line)#^Z

RouterOne#

2. IPSec VPN

网络设备若支持 ipsec,则可以保证管理工作站和网络设备的网络通信内容是加密传输的， 其主要配置步骤如 下：

• (1) 设置 ISAKMP 预共享密钥
• (2) 创建可扩展的 ACL
• (3) 创建 IPSec transforms
• (4) 创建 crypto map
• (5) 应用 crypto map 到路由接口

假设管理工作站的 IP 地址是 X.Y.Z.10,网络设备是路由器 RouterOne,则路由器的 IPSec配置过程如表

网络运行中会发生很多突发情况，通过对网络设备进行审计，有利于管理员分析安全事件。 网络设备提供多种方式

• 控制台日志审计(Console logging)
• 缓冲区日志审计(Buffered logging)
• 终端审计(Terminal logging)
• SNMP traps
• AAA 审计
• Syslog 审计

学习参考资料：

信息安全工程师教程（第二版）

建群网培信息安全工程师系列视频教程

信息安全工程师5天修炼