底层安全——路由篇
注:本文已发表于2005年黑客x档案第9 期 路由器是网络中的神经中枢,在网络中占据着主要的地位,我们的广域网就是靠一个个路由器连接起来组成的。随着企事业单位的网络不断扩大,可靠性、安全性以成为人们的主要须求,曾经神秘的路由器,现在已经飞入寻常百姓家了。随着路由器的增多,路由器的安全性也逐渐成为大家探讨的一个热门话题了,本文主要针对我们公司的cisco3640要说一下路由配置需要注意的几点,(软件版本不命令也会有些差别)公司基本网络拓扑结构如图1。
此文也是本人在工作过程中所整理的,本人技术还不成熟就算是抛砖引玉吧!
首先呢!我们的路由要有一个强壮的密码,(为了方便我把密码简单化了)进入配置模式的密码:
cisco-3640#configure
terminal
enter configuration commands, one per line. end with
cntl/z.
cisco-3640(config)#enable secret
hackerxfiles
cisco-3640(config)#enable password destiny
//当secret密码机制失效时启用他
配置它console接口密码为cisco及telnet登录密码为hackbase:
cisco-3640(config)#line
console 0
cisco-3640(config-line)#password
cisco
cisco-3640(config-line)#login
cisco-3640(config-line)#exit
cisco-3640(config)#line
vty 0 4
cisco-3640(config-line)#password
hackbase
cisco-3640(config-line)#login
指定他的连接超时时间为30秒:
cisco-3640(config)#line
console 0
cisco-3640(config-line)#exec-timeout 0
30
虽说密码是设置完了,可是除secret密码其它的密码是明文的,当得到配置文件时那密码将一览无疑了,用“show
running-config”命令可以看到如图2。
解决办法:我们可以在配置模式运行“service password-encryption”为其它密码加密。
禁止掉不须要的服务,在这里我只写三种,使用方法和ios版本有关可以参照随机手册。禁止cdp(cisco
discovery protocol)、禁止http、服务dns服务。
cisco-3640 (config)#no cdp run
cisco-3640 (config)# no ip http
cisco-3640 (config)# no ip
domain-lookup server
由于我们网络只有两个管理员,他们的ip分别是172.16.1.254、10.1.2.254,
现在我们用访问列表只让这两个ip,telnet上我们的设备:
cisco-3640(config)#access-list
1 permit 10.1.2.254
cisco-3640(config)#access-list 1 permit
172.16.1.254
cisco-3640(config)#line vty 0
4
cisco-3640(config-line)#access-class 1
in
当然,我们也可以禁止任何人telnet登录我们的设备,如果您工作在一楼而机房又在n楼,此方法就不太可用了。
我们不禁止非授权用户从内网访问服务器群:
cisco-3640(config)#access-list 2
permit 10.1.2.254
cisco-3640(config)#access-list 2 permit
10.1.2.253
cisco-3640(config)#access-list 2 permit 10.1.2.252
//以上三个ip是授权用户
cisco-3640(config)#interface fastethernet
0/0
cisco-3640(config-if)#ip access-group 2 in
避免非管理员拿设备连接到网管所在接网络口上对路由配置:我们也可以在接入这二个地址的交换机上设置一个接口对应一个mac地址,违反规则关掉此接口:
center-switch01(config-if)#port
security max-mac-count 1
center-switch01(config-if)#port security action
shutdown
当然,我们还可以在每个接口上配置每个接口绑定一个mac地址、使用户不能改变ip地址、用vlan来过滤,但这已不是我们今天所讨论的问题了,如有机会下期会写出来和大家见面的。
还有一点注意的是,要经常备份我们路由的配置文件,这些文件放在安全的在存储设备上,如果配置文件保存在tftp服务器上说不定那天tftp服务器就被你自己人拿下了。由于篇幅原因只能就此搁笔了,还有很多没有涉及到,本文技术浅薄大牛匆笑。
下一篇:黑客实施攻击的步骤与方法
↓相关文章:
- · 黑客实施攻击的步骤与方法
- · 关闭包藏祸心的危险端口
- · 几个易被误认为病毒的文件
- · 没有电脑的入侵 深入浅出社会工程学
- · 通过asp木马配合serv-u取得管理员权限
- · 信息安全的隐患-GoogleHacking原理和防范
- · 用Wingate5.02设置网站过滤
- · 澄清Web网站安全性的五个误解
- · 中国黑客谱系
- · Microsoft RSS Feed 产品索引
- · HONEYPOT(蜜罐)技术
- · 网卡网络配置基础
- · 教你如何调试思科路由器
- · 百炼成钢-打磨你的Outpost防火墙
- · 卡巴斯基杀毒软件优化设置指南
- · Internet Explorer 7 的新图标
- · 255台以上电脑网络互连,IP的分配
- · 高危病毒预警:近日可能爆发大规模蠕虫病毒
- · 无线上网有了新突破--CDMA1X亮相十运会 最高传输速率达2.4Mbps
- · Google、雅虎搜索技术大比拼
- · 详解六大QQ病毒特征及清除方法
- · 浅析ICMP洪水攻击
- · 互联--破解卡卡系统
- · 设置磁盘读写权限 彻底封杀QQ的各种广告
- · 金梅电影系统破解笔记(破解率80%以上)
- · DLL木马揭秘
- · 游戏外挂基本原理及实现
- · Word 2003的10个小技巧
- · 如何在Windows 2003中得到登陆密码
- · 让ADSL永不断线 实战
- · Md5密码破解武器大揭密
- · 网络钓鱼式攻击 挂QQ等级网站
- · 获得leadbbs论坛站webshell后进后台最简便之法
- · 菜鸟入门:webshell是什么?
- · PHP注入+MYSQL=SYSTEM权限
- · 高端系统FreeBSD 照样给你溢出
- · 清除恶意RM文件的弹出窗口广告
- · Regsvr32的特殊作用
- · 加强网络防护的四个步骤
- · 宽带名词解释
- · 宽带共享上网实现方法
- · 建立隐藏的超级用户
- · 妙用Maxthon清理收藏夹无效链接
- · 利用“http暗藏通道”攻破局域网
- · SQL注入和CSS攻击的检测
- · SQL中的五种数据类型:[新手初学篇]
- · Windows系统安装免输序列号的方法总结
- · 一个好汉六个帮 打造极速Windows系统
- · 解析Cookie欺骗实现过程及具体应用
- · 打造WIN2000/XP/2003系统万能克隆
- · 河南网通宽带共享:破解河南网通宽带共享完全版
- · 变态传文件法(比tftp,ftp,iget.vbe都爽的)
- · 死杀毒软件 逼疯防火墙—新兴木马NameLess BackDoor复仇记
- · 实战体会Java的多线程编程
- · 防御DDoS的六大绝招
- · XP系统绕过正版验证的方法
- · 巧妙解决Windows XP系统网络访问难题
- · 高手详解Windows操作系统帐户权限设置
- · 打破常规:改良Windows XP的打开窗口
- · MSN 菜鸟入门