路由器ciscotftp服务器
ciscotftp服务器 时间:2021-04-05 阅读:()
1路由器的安全检查江苏省电子信息产品质量监督检验研究院张影秋路由器(Router)是用于连接多个逻辑上分开的网络,所谓逻辑网络是代表一个单独的网络或者一个子网,当数据从一个子网传输到另一个子网时,可通过路由器来完成.
随着网络应用的日益普及,尤其是在一些敏感场合(如电子商务)的应用,网络安全成为日益迫切的需求.
网络安全包括两层含义:其一是内部局域网的安全,其二是外部数据交换的安全.
路由器作为内部网络与外部网络之间通信的关键设备,有必要提供充分的安全保护功能.
针对网络存在的各种安全隐患,安全路由器必须具有如下的安全特性:可靠性与线路安全、身份认证和访问控制.
在网络上,一旦有人恶意进入你的路由器,将对你的网络安全产生极大的威胁.
实际上,路由器可以看作是一台具有中央处理器、内存、操作系统的计算机,将地理上分散的网络连接在一起,实现它们之间的网络通信.
所以,路由器配置的是否正确、安全会对网络的通畅起着举足轻重作用.
路由器的安全检查应从访问控制的安全配置的检查、网络服务安全配置、路由协议安全配置等方面进行.
一、路由器访问控制的安全检查路由器的配置途径有:控制台、虚拟终端、网络管理工作站、TFTP服务器等,对CISCO路由器还可通过其开发的路由器配置工具CISCOConfigMaker进行配置.
如果路由器访问控制配置不当,入侵者可能进入路由器,对整个网络的安全产生影响,路由器访问控制的安全检查主要从以下几个方面进行:1、检查维护记录,检查可以访问路由器的管理员是否严格控制.
2、建查是否开启远程访问功能,如果使用远程访问路由器,应检查是否使用访问控制列表和高强度的密码控制.
3、检查对Console端口的访问控制措施,该端口为异步端口,主要连接终端或运行终端仿真程序的计算机,在本地配置路由器.
对该端口的检查主要有以下几个方面:(1)检查是否切断与CON口互联的物理线路.
(2)检查是否改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的).
2(3)检查CON口的密码是否为高强度密码.
4、AUX端口的检查.
AUX端口为异步端口,主要用于远程配置,也可用于拔号备份,可与MODEM连接.
应检查该端口是否启用,如果不使用AUX端口,建议禁止该端口.
5、进入特权模式密码检查,特权模式,也叫使能(enable)模式,可对路由器进行更多的操作,使用的命令集比用户模式多,可对路由器进行更高级的测试,如使用debug命令等.
对路由器进行安全检查时,应检查是否为进入特权模式设置了强壮的密码.
在用户模式下通过使能口令进入特权模式.
提示符为"#".
Showrunning-config即为特权模式命令.
不要采用enablepassword设置密码.
而要采用enablesecret命令设置.
并且要启用Servicepassword-encryption.
二、路由器网络服务安全检查路由器提供了众多的网络服务,这些网络服务在给网络设备管理带来便利的同时也给网络的安全带来了隐患,在对路由器进行安全检查时对不必要的服务应禁止,对需要使用的服务要建议进行严格的安全配置.
应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击1、CDP(CiscoDiscoveryProtocol)服务检查.
在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息:设备平台、操作系统版本、端口、IP地址等重要信息.
可以用命令:nocdprunning或nocdpenable关闭这个服务.
2、其他的TCP、UDPSmall服务检查.
该服务用于查看路由器诊断信息,如不使用该服务则应建议关闭该服务,关闭命令如下:noservicetcp-small-serversnoserviceudp-small-servers3、Finger服务检查.
Finger服务用于查看路由器当前用户列表,如不使用该服务则应建议关闭该服务,关闭命令为:noservicefinger.
4、HTTP服务检查.
HTTP服务提供Web管理接口.
"noiphttpserver"可以停止HTTP服务.
如果必须使用HTTP,一定要使用访问列表"iphttpaccess-class"命令,严格过滤允许的IP地3址,同时用"iphttpauthentication"命令设定授权限制.
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制.
5、BOOTp服务检查.
禁止从网络启动和自动从网络下载初始配置文件.
6、IPSourceRouting服务检查.
IPsource-route是一个全局配置命令,允许路由器处理带源路由选项标记的数据流.
启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙.
关闭命令如下:noipsource-route.
7、ARP-Proxy服务检查建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的,它容易引起路由表的混乱.
8、检查.
IPDirectedBroadcast服务开启时,攻击者可以使用假冒的源地址向你的网络广播地址发送一个"ICMPecho"请求.
这要求所有的主机对这个广播请求做出回应.
这种情况至少会降低你的网络性能,安全检查时应建议关闭该服务.
关闭命令如下:noipdirected-broadcast9、IPClassless服务检查.
路由可能会收到一些发往一个没有网络缺省路由的子网的数据包,如有启用这服务,路由器会将这些数据包转发给最有可能路由的超网(supernet),由于缺省情况下这些服务是开启的,这种服务可能被各种攻击利用,在进行安全检查时应检查时建议关闭该服务,关闭命令如下:noipclassless10、禁止ICMP协议的IPUnreachables,Redirects,MaskReplies.
IPUnreachables(不可达消息)服务开启时,可以向发送者通告(不可达地方)的ip地址,攻击者能够借此映射网络.
安全检查时应建议关闭该服务,关闭命令如下:noipunreacheables.
Redirects(重定向消息)服务开启时,可以让一个端节点用特定的路由器做为通向特定目的地路径.
正常的ip网络中,一台路由器只向位于自己本地子网的主机发送重定向消息,端节点不会发送这种消息,此消息也不会超过一个网络跳数的地方发送.
4不过攻击者可以违反这种规则.
安全检查时应建议关闭该服务,关闭命令如下:noipredirectsMaskReplies(掩码应答)服务开启时,ciscoios会向icmp掩码要求发送icmp掩码应答的消息,其中包括接口的ip地址掩码.
安全检查时应建议关闭该服务,关闭命令如下:noipmask-reply11、SNMP协议服务检查SNMP广泛应用在路由器的监控、配置方面.
SNMPVersion1在穿越公网的管理应用方面,安全性低,不适合使用.
利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能.
配置命令:snmp-servercommunityxxxxxRWxx;xx是访问控制列表号SNMPVersion2使用MD5数字身份鉴别方式.
不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段.
建议禁止SNMP协议服务.
在禁止时必须删除一些SNMP服务的默认配置.
或者需要访问列表来过滤.
12、如果没必要则禁止WINS和DNS服务.
服务开启时,路由器dns服务会向255.
255.
255.
255广播地址发送名字查询,攻击者可以伪装成一个dns服务来攻击.
安全检查时应建议关闭该服务,关闭命令如下:noipdomain-lookup如果要使用这个服务,务必确保在路由器的配置中明确指定dns服务的名字并对其进行配置.
ipnameserverserver-address[server=address2.
.
.
server-address6]hostnameRouteripname-server202.
102.
134.
96三、路由器路由协议安全检查1、首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱.
2、启用OSPF路由协议的认证.
默认的OSPF认证密码是明文传输的,建议启用MD5认证.
并设置一定强度密钥(key,相对的路由器必须有相同的Key).
OSPF协议是"开放式最短路优先"的缩写.
"开放"是针对当时某些厂家的"私有"路由协议而言,而正是因为协议开放性,才使得OSPF具有强大的生命力和广泛的用途.
5它通过传递链路状态(连接信息)来得到网络信息,维护一张网络有向拓扑图,利用最小生成树算法得到路由表.
OSPF是一种相对复杂的路由协议.
3、RIP协议的认证.
只有RIP-V2支持,RIP-1不支持.
建议启用RIP-V2.
并且采用MD5认证.
普通认证同样是明文传输的.
RIP是推出时间最长的路由协议,也是最简单的路由协议.
它主要传递路由信息(路由表)来广播路由.
每隔30秒,广播一次路由表,维护相邻路由器的关系,同时根据收到的路由表计算自己的路由表.
RIP运行简单,适用于小型网络,互联网上还在部分使用着RIP.
4、启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口.
建议对于不需要路由的端口,启用passive-interface.
但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收.
在OSPF协议中是禁止转发和接收路由信息.
5、启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流.
6、建议启用IPUnicastReverse-PathVerification.
它能够检查源IP地址的准确性,从而可以防止一定的IPSpooling.
但是它只能在启用CEF(CiscoExpress四、路由器其它安全检查除此以外,还应从以下方面对路由器进行安全检查1、是否及时的升级IOS软件,为IOS安装补丁.
2、是否为路由器IOS作安全备份.
3、是否为路由器的配置文件作安全备份.
4、是否为路由器配备UPS设备,或者至少要有冗余电源.
5、是否有完备的路由器的安全访问和维护记录日志.
随着网络应用的日益普及,尤其是在一些敏感场合(如电子商务)的应用,网络安全成为日益迫切的需求.
网络安全包括两层含义:其一是内部局域网的安全,其二是外部数据交换的安全.
路由器作为内部网络与外部网络之间通信的关键设备,有必要提供充分的安全保护功能.
针对网络存在的各种安全隐患,安全路由器必须具有如下的安全特性:可靠性与线路安全、身份认证和访问控制.
在网络上,一旦有人恶意进入你的路由器,将对你的网络安全产生极大的威胁.
实际上,路由器可以看作是一台具有中央处理器、内存、操作系统的计算机,将地理上分散的网络连接在一起,实现它们之间的网络通信.
所以,路由器配置的是否正确、安全会对网络的通畅起着举足轻重作用.
路由器的安全检查应从访问控制的安全配置的检查、网络服务安全配置、路由协议安全配置等方面进行.
一、路由器访问控制的安全检查路由器的配置途径有:控制台、虚拟终端、网络管理工作站、TFTP服务器等,对CISCO路由器还可通过其开发的路由器配置工具CISCOConfigMaker进行配置.
如果路由器访问控制配置不当,入侵者可能进入路由器,对整个网络的安全产生影响,路由器访问控制的安全检查主要从以下几个方面进行:1、检查维护记录,检查可以访问路由器的管理员是否严格控制.
2、建查是否开启远程访问功能,如果使用远程访问路由器,应检查是否使用访问控制列表和高强度的密码控制.
3、检查对Console端口的访问控制措施,该端口为异步端口,主要连接终端或运行终端仿真程序的计算机,在本地配置路由器.
对该端口的检查主要有以下几个方面:(1)检查是否切断与CON口互联的物理线路.
(2)检查是否改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的).
2(3)检查CON口的密码是否为高强度密码.
4、AUX端口的检查.
AUX端口为异步端口,主要用于远程配置,也可用于拔号备份,可与MODEM连接.
应检查该端口是否启用,如果不使用AUX端口,建议禁止该端口.
5、进入特权模式密码检查,特权模式,也叫使能(enable)模式,可对路由器进行更多的操作,使用的命令集比用户模式多,可对路由器进行更高级的测试,如使用debug命令等.
对路由器进行安全检查时,应检查是否为进入特权模式设置了强壮的密码.
在用户模式下通过使能口令进入特权模式.
提示符为"#".
Showrunning-config即为特权模式命令.
不要采用enablepassword设置密码.
而要采用enablesecret命令设置.
并且要启用Servicepassword-encryption.
二、路由器网络服务安全检查路由器提供了众多的网络服务,这些网络服务在给网络设备管理带来便利的同时也给网络的安全带来了隐患,在对路由器进行安全检查时对不必要的服务应禁止,对需要使用的服务要建议进行严格的安全配置.
应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击1、CDP(CiscoDiscoveryProtocol)服务检查.
在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息:设备平台、操作系统版本、端口、IP地址等重要信息.
可以用命令:nocdprunning或nocdpenable关闭这个服务.
2、其他的TCP、UDPSmall服务检查.
该服务用于查看路由器诊断信息,如不使用该服务则应建议关闭该服务,关闭命令如下:noservicetcp-small-serversnoserviceudp-small-servers3、Finger服务检查.
Finger服务用于查看路由器当前用户列表,如不使用该服务则应建议关闭该服务,关闭命令为:noservicefinger.
4、HTTP服务检查.
HTTP服务提供Web管理接口.
"noiphttpserver"可以停止HTTP服务.
如果必须使用HTTP,一定要使用访问列表"iphttpaccess-class"命令,严格过滤允许的IP地3址,同时用"iphttpauthentication"命令设定授权限制.
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制.
5、BOOTp服务检查.
禁止从网络启动和自动从网络下载初始配置文件.
6、IPSourceRouting服务检查.
IPsource-route是一个全局配置命令,允许路由器处理带源路由选项标记的数据流.
启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙.
关闭命令如下:noipsource-route.
7、ARP-Proxy服务检查建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的,它容易引起路由表的混乱.
8、检查.
IPDirectedBroadcast服务开启时,攻击者可以使用假冒的源地址向你的网络广播地址发送一个"ICMPecho"请求.
这要求所有的主机对这个广播请求做出回应.
这种情况至少会降低你的网络性能,安全检查时应建议关闭该服务.
关闭命令如下:noipdirected-broadcast9、IPClassless服务检查.
路由可能会收到一些发往一个没有网络缺省路由的子网的数据包,如有启用这服务,路由器会将这些数据包转发给最有可能路由的超网(supernet),由于缺省情况下这些服务是开启的,这种服务可能被各种攻击利用,在进行安全检查时应检查时建议关闭该服务,关闭命令如下:noipclassless10、禁止ICMP协议的IPUnreachables,Redirects,MaskReplies.
IPUnreachables(不可达消息)服务开启时,可以向发送者通告(不可达地方)的ip地址,攻击者能够借此映射网络.
安全检查时应建议关闭该服务,关闭命令如下:noipunreacheables.
Redirects(重定向消息)服务开启时,可以让一个端节点用特定的路由器做为通向特定目的地路径.
正常的ip网络中,一台路由器只向位于自己本地子网的主机发送重定向消息,端节点不会发送这种消息,此消息也不会超过一个网络跳数的地方发送.
4不过攻击者可以违反这种规则.
安全检查时应建议关闭该服务,关闭命令如下:noipredirectsMaskReplies(掩码应答)服务开启时,ciscoios会向icmp掩码要求发送icmp掩码应答的消息,其中包括接口的ip地址掩码.
安全检查时应建议关闭该服务,关闭命令如下:noipmask-reply11、SNMP协议服务检查SNMP广泛应用在路由器的监控、配置方面.
SNMPVersion1在穿越公网的管理应用方面,安全性低,不适合使用.
利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能.
配置命令:snmp-servercommunityxxxxxRWxx;xx是访问控制列表号SNMPVersion2使用MD5数字身份鉴别方式.
不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段.
建议禁止SNMP协议服务.
在禁止时必须删除一些SNMP服务的默认配置.
或者需要访问列表来过滤.
12、如果没必要则禁止WINS和DNS服务.
服务开启时,路由器dns服务会向255.
255.
255.
255广播地址发送名字查询,攻击者可以伪装成一个dns服务来攻击.
安全检查时应建议关闭该服务,关闭命令如下:noipdomain-lookup如果要使用这个服务,务必确保在路由器的配置中明确指定dns服务的名字并对其进行配置.
ipnameserverserver-address[server=address2.
.
.
server-address6]hostnameRouteripname-server202.
102.
134.
96三、路由器路由协议安全检查1、首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱.
2、启用OSPF路由协议的认证.
默认的OSPF认证密码是明文传输的,建议启用MD5认证.
并设置一定强度密钥(key,相对的路由器必须有相同的Key).
OSPF协议是"开放式最短路优先"的缩写.
"开放"是针对当时某些厂家的"私有"路由协议而言,而正是因为协议开放性,才使得OSPF具有强大的生命力和广泛的用途.
5它通过传递链路状态(连接信息)来得到网络信息,维护一张网络有向拓扑图,利用最小生成树算法得到路由表.
OSPF是一种相对复杂的路由协议.
3、RIP协议的认证.
只有RIP-V2支持,RIP-1不支持.
建议启用RIP-V2.
并且采用MD5认证.
普通认证同样是明文传输的.
RIP是推出时间最长的路由协议,也是最简单的路由协议.
它主要传递路由信息(路由表)来广播路由.
每隔30秒,广播一次路由表,维护相邻路由器的关系,同时根据收到的路由表计算自己的路由表.
RIP运行简单,适用于小型网络,互联网上还在部分使用着RIP.
4、启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口.
建议对于不需要路由的端口,启用passive-interface.
但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收.
在OSPF协议中是禁止转发和接收路由信息.
5、启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流.
6、建议启用IPUnicastReverse-PathVerification.
它能够检查源IP地址的准确性,从而可以防止一定的IPSpooling.
但是它只能在启用CEF(CiscoExpress四、路由器其它安全检查除此以外,还应从以下方面对路由器进行安全检查1、是否及时的升级IOS软件,为IOS安装补丁.
2、是否为路由器IOS作安全备份.
3、是否为路由器的配置文件作安全备份.
4、是否为路由器配备UPS设备,或者至少要有冗余电源.
5、是否有完备的路由器的安全访问和维护记录日志.
- 路由器ciscotftp服务器相关文档
- Cisco路由器作为使用SDM的远程VPN服务器配置
- 思科ciscotftp服务器
- 思科ciscotftp服务器
- 端口ciscotftp服务器
- 文档ciscotftp服务器
- 电话ciscotftp服务器
PIGYun中秋特惠:香港/韩国VPS月付14元起
PIGYun发布了九月份及中秋节特惠活动,提供8折优惠码,本月商家主推中国香港和韩国机房,优惠后最低韩国每月14元/中国香港每月19元起。这是一家成立于2019年的国人商家,提供中国香港、韩国和美国等地区机房VPS主机,基于KVM架构,采用SSD硬盘,CN2+BGP线路(美国为CUVIP-AS9929、GIA等)。下面列出两款主机配置信息。机房:中国香港CPU:1core内存:1GB硬盘:10GB...
PQ.hosting全线9折,1Gbps带宽不限流量VPS/€3/月,全球11大机房可选
Hostadvice主机目录对我们的服务进行了测试,然后给PQ.hosting颁发了十大WordPress托管奖。为此,宣布PQ.Hosting将在一周内进行折扣优惠,购买和续订虚拟服务器使用优惠码:Hostadvice ,全部优惠10%。PQ.hosting,国外商家,成天于2019年,正规公司,是全球互联网注册商协会 RIPE 的成员。主要是因为提供1Gbps带宽、不限流量的基于KVM虚拟的V...
WebHorizon($10.56/年)256MB/5G SSD/200GB/日本VPS
WebHorizon是一家去年成立的国外VPS主机商,印度注册,提供虚拟主机和VPS产品,其中VPS包括OpenVZ和KVM架构,有独立IP也有共享IP,数据中心包括美国、波兰、日本、新加坡等(共享IP主机可选机房更多)。目前商家对日本VPS提供一个8折优惠码,优惠后最低款OpenVZ套餐年付10.56美元起。OpenVZCPU:1core内存:256MB硬盘:5G NVMe流量:200GB/1G...
ciscotftp服务器为你推荐
-
云爆发云出十里未及孤村什么意思甲骨文不满赔偿公司倒闭员工不满一年怎么赔偿18comic.fun有什么好玩的网站关键字关键词标签里写多少个关键词为最好冯媛甑尸城女主角叫什么名字www.299pp.com免费PP电影哪个网站可以看啊se95se.comwww.sea8.com这个网站是用什么做的 需要多少钱www.se222se.com原来的www站到底222eee怎么了莫非不是不能222eee在收视com了,/?求解haole012.com说在:012qq.com这个网站能免费挂QQ,是真的吗?机器蜘蛛有谁知道猎人的机械蜘蛛在哪捉的