在网上看到了一篇不错的论文,其中很详细的解析了关于Cisco 路由器的高深问题,比如系统日志管理、取消不必要的服务、集中日志整理的技术性能等等。
1.系统日志管理
多个用户共享一个账户是无法区分他们之间的活动的。默认的情况下,Cisco 路由器设备有两级的访问模式:用户模式和特权用户模式。用户可以认为特权用户同UNIX中的root或WindowsNT中的系统管理员是类似的。一般情况下,用户认证时不需要用户名只需要口令。普通用户登录模式和特权用户登录模式都是如此。但是许多机构是很多人同时共享同一口令,这样就有许多人共享路由器的口令。通过将RADIUS或者TACACS和AAA(认证、授权和审计)相结合,系统管理员可以将路由器基本结构信息存贮在NDS、AD或者其他中心口令库中。通过这种认证方式可以强制用户在登录时输入账户名和口令,这样便于清除审计痕迹。
2.取消不必要的服务
首先,取消一些不重要的、很少被使用服务;取消finger服务,因为它会给黑客提供许多有用信息。取消finger服务后,还要确认没有打开HTTP(Web)服务器。虽然系统的默认配置是这样的,还必须经过用户再确认一下。Cisco 路由器设备有Cisco专用协议,CDP(CiscoDiscoveryProtocol)。同finger一样,CDP本身没有什么威胁,但是它可以让黑客获得许多自己无法访问的信息。
3.网络管理注意事项
限制终端访问和取消不必要的服务是保护系统安全的重要部分。但是只进行这些工作是远远不够的,在管理方面还有很多有关系统程序上和管理上值得考虑的因素。
4.集中日志整理
安全专家认为大多数系统日志协议采用UDP的形式进行传输是不安全的。但是现在还没有较好的改进方法。如果系统有一个系统日志登录服务器,用户可以采用命令将输出集中到这个服务器。
5.口令存储注意事项
许多用户在FTP和TFTP服务器上保存路由配置文件和镜像信息。尽管保留备份是个良好的习惯,但是要确保这些文件的安全。要保证这些服务器有可靠的访问控制。接下来还可以采取两种预防措施。首先,使用Cisco 路由器的“加密”口令规则来代替普通的“使能”口令规则。使用无法逆转的MD5散列算法保存重要口令,采用一般加密算法保存一般口令。
6.时钟同步
网络时钟协议(NTP)定义了网络设备的时钟与系统的时钟同步规则。NTP是业界标准,NTP相当准确并且兼容性好——多种操作系统及各种路由器和交换设备都支持。
7.SNMP管理
许多组织经常使用SNMP,还有些组织现在希望将来使用。不论其应用前景如何,有两点要注意:如果用户不需要SNMP,最好取消;如果要使用SNMP,最好正确配置Cisco 路由器。但是,如果用户一定要使用SNMP,可以对其进行保护。首先,SNMP有两种模式:只读模式(RO)和读写模式(RW)。如果可能,使用只读模式,这样可以最大限度的控制用户的操作,即使在攻击者发现了通信中的字符串时,也能限制其利用SNMP进行侦察的目的,还能阻止攻击者利用其修改配置。如果必须使用读写模式,最好把只读模式与读写模式使用的通信字符串区别开来。最后可以通过访问控制列表来限制使用SNMP的用户。
