软考-信息安全工程师学习笔记100—网络设备安全
- 网络设备配置文件中有敏感口令信息,一旦泄露,将导致网络设备失去控制。
- 为保护配置文件的敏感信息,网络设备提供安全加密功能,保存敏感口令数据。
网络设备和管理工作站之间的安全通信有两种方式:
- 使用 SSH
- 使用 VPN
1.SSH
为了远程访冋安全,网络设备提供 SSH 服务以替换非安全的 Telnet,其配置步骤如下:
- (1) 使用 hostname 指定设备名称。
- (2) 使用 ip domain-name 配置设备域。
- (3) 使用 crypto key generate rsa 生成 RSA 加密密钥。建议最小密钥大小为 1024 位
- (4) 使用 ip ssh 设置 SSH 访问
- (5) 使用 transport input 命令配置使用 SSH。
是在路由器 RouterOne 上设置 SSH 访问,VTY 配置成只允许 SSH 访问。
Router#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router (config) #hostname RouterOne
RouterOne (config) #ip domain-name mydomain.com
RouterOne (config) #crypto key generate rsa
The name for the keys will be: RouterOne
Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus [512]: 1024
Generating RSA keys ・・・
[OK]
RouterOne(config)#ip ssh time-out 60
RouterOne(config)#ip ssh authentication-retries 2
RouterOne(config)#line vty 0 4
RouterOne(config-line)#transport input ssh
RouterOne(config-line)#^Z
RouterOne#
2. IPSec VPN
网络设备若支持 ipsec,则可以保证管理工作站和网络设备的网络通信内容是加密传输的, 其主要配置步骤如 下:
- (1) 设置 ISAKMP 预共享密钥
- (2) 创建可扩展的 ACL
- (3) 创建 IPSec transforms
- (4) 创建 crypto map
- (5) 应用 crypto map 到路由接口
假设管理工作站的 IP 地址是 X.Y.Z.10,网络设备是路由器 RouterOne,则路由器的 IPSec配置过程如表
日志审计网络运行中会发生很多突发情况,通过对网络设备进行审计,有利于管理员分析安全事件。 网络设备提供多种方式
- 控制台日志审计(Console logging)
- 缓冲区日志审计(Buffered logging)
- 终端审计(Terminal logging)
- SNMP traps
- AAA 审计
- Syslog 审计
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼
- 2022-09-30
软考-信息安全工程师学习笔记100—网络设 - 2022-09-29
陕西省级一流本科专业建设点 | 西理工网 - 2022-09-29
2021年度COD测定仪热门品牌榜 - 2022-09-29
2018年度十大在线检测品牌关注盘点 - 2022-09-29
一款好用的以太网测试仪我们应该如何选 - 2022-09-29
一看就懂,家庭无线漫游组网方案AC+AP组 - 2022-09-29
家庭无线组网,AC+AP方案是坑不要踩,还 - 2022-09-29
AC AP组网是什么意思(全屋WiFi方案:AC+AP - 2022-09-29
环旭电子采用模块化设计推出SOM7225 5G模块 - 2022-09-29
物联网IOT系列之2:物联网构建模块和架构