《网络设备安全》PPT课件

网络管理技术，第10章网络设备安全，本章应考虑物理安全密码管理SNMP和安全配置HTTP管理方法安全管理终端访问控制方法设备安全策略，10.1物理安全，工作环境安全网络设备安装环境应考虑防盗、防火、静电防护、适当通风和可控制外围温度的设备安全和可靠操作。确保设备具有良好的电磁兼容性工作环境。只有满足这些基本要求，设备才能正常、稳定、可靠、高效。10.1物理安全，物理预防设备控制台端口具有特殊权限，在攻击者实际接近设备后，通过实施“密码恢复过程”登录到设备，可以完全控制设备。为此，必须确保设备部署环境的封闭性，以确保设备端口的物理安全。10.2密码安全、网络设备上的secret和enable密码权限类似于计算机系统上的管理员；您可以对设备具有最高的控制权限；在设备访问和配置期间使用本地密码身份验证；为每个端口指定不同的身份验证方法；为每个权限管理器授予不同的密码；将操作命令的执行权限授予不同的权限级别。密码加密禁止明文显示，运行Servicepassword-encryption启用密码加密服务：3640(config)# service password-encryption 3640 # Show running.enable secret 5 $ 1 $ fy6o $ ymdqtd 2 yo 8 nd 2 zpb 3 ck0 B1 enable password 7094 f 471a 1a 0 aliee con 0 password 7045804080e 254147 line aux 0 line aux 0 line.在中，密码加密不显示纯文本。enablesecret使用MD5加密来加密密码，enablesecret的优先级高于enablepassword，enablepassword以明文显示密码。如果两者都设置，则仅enablesecret密码有效，enablepassword密码自动过期。Servicepassword-encryption命令使用可逆的非加密方法，通过一些工具反向解密加密的密码enablesecret提供使用MD5加密的强大安全功能；创建用户和密码时使用username/password(IOS12.2(，密码相同，对等，网络设备本身提供多级密码：一般模式密码、权限模式密码、配置模式密码、控制台控制端口连接密码、ssh访问密码等，在网络设备运行在复杂的网络上时，可以避免无意或有意的各种攻击，如果多个设备使用相同的密码，则网络中的一个设备非法入侵将暴露所有设备密码。因此，如果网络设备配置文件被非法修改或恶意删除，整个网络可能会瘫痪，网络管理员无法以正常方式登录和管理受到攻击的网络设备，因此，设置密码时，应禁止多样化、多阶段化、密码等同。关闭ROMMON侦听模式。默认情况下，设备加电重新启动期间，可以使用BREAK进入ROMMON接收模式以恢复密码。任何人只要物理接触到设备，就可以使用此方法重置密码，以达到非法侵入的目的。通过Noservicepassword-recovery命令关闭ROMMON接收模式，可以避免由此带来的安全风险。禁用3640(config)# noservice password-recovery ROMMON。3640(config)# service password-recovery启用ROMMON并且Cisco未公开的两个命令必须手动完全输入才能运行。3640(config)# noservice password-recovery，定期维护临时密码，及时恢复，防止管理密码泄露，如果密码泄露，则及时更正。临时密码及时恢复，通过临时密码设置进行远程维护后，及时恢复停止对密码恢复设备的临时帐户访问。修改默认配置，拒绝对设备的空密码访问，并加密密码。特别是，必须禁止对控制台的空密码访问。加强日常管理标准化设备管理，合理限制设备人员数量，通过严格的访问级别设置不同级别的管理员权限。通过访问控制表阻止对网络设备的未授权IP地址访问，即使未授权用户知道管理密码(使用访问控制表)，使用的IP也将在未授权的情况下拒绝登录设备。合理设置会话超时，以便管理员在离开终端一段时间或一段时间后自动关闭会话并断开对话连接，从而防止没有外围权限的人登录设备。查看Router#showprivilege权限信息。Router#showuser查看最终登录用户。Router#clearlinevty0断开vty0的连接(aux、tty、console和vty操作类似)。Router#disconnectip-address中断怀疑或没有许可证的用户的对话。router(config)# line console 0 router(config-line)# exec-time out 630修改控制台会话时间为6分30秒，设备默认配置的会话超时为10分钟。10.3SNMP配置和安全性，SNMP简介网络管理协议是广泛用于网络设备监视和配置的应用程序协议。早期版本中，由于大数据块数据访问效率低下、不可靠的安全机制、对TCP/IP协议以外的网络协议的支持，以及没有提供manager和manager之间通信的机制，SNMP只能应用集中式管理，不能监视网络设备，不能监视网络本身。SNMP的增强版本(1991年11月)远程联网(rmon)MIB使SNMP能够在管理网络设备的同时收集信息(如LAN和internet上的数据流量)。在1993年SNMPv2(最初称为SNMP v1)发布之前，SNMPv2提供了一次访问大量数据的能力，从而大大提高了效率，增加了管理员之间的信息交换机制，并开始支持分布式管理结构。中间管理员共享主管理员的工作，提高远程站点的本地自主性。支持在多协议网络环境(如OSI、Appletalk、IPX)中运行(默认网络协议仍然是UDP)。它还提供了身份验证机制、加密机制和时间同步机制，在安全性方面远远高于SNMPv1。SNMPv3是基于SNMPv2的internet标准，2002年3月添加并增强了安全和管理机制，以简化加密和身份验证功能的实施。管理员可以使用新的SNMP扩展框架轻松理解和实施SNMPv1和SNMPv2，解决前两个版本的安全问题，管理复杂的网络，该框架允许在各种操作环境中根据需要添加和更换模块和算法。10.3.2SNMP安全，SNMPcommunity用于限制对SNMP中community设备相关信息的不同读取和写入操作，在配置时，SNMP community默认为要修改的“Public”和“Private”，未授权用户使用自定义community在网络设备上执行此操作SNMP配置Cisco # configterminalcisco(config)# SNMP-servercommunitywlglwhro配置只读字符串为“wlglwh”。Cisco(config)# SNMP-servercommunitywlglwhwrw配置读写字符串为“wlglwhw”。启用Cisco(config)# SNMP-serverenable traps陷阱以发送所有类型的SNMPTrap。Cisco(config)# SNMP-server host version 2 ctrpser指定SNMPTrap的收件人为10 . 10 . 11 . 1(网络管理服务器)，SNMP使用2c版本，发送Trap时trpserCisco(config)# SNMP-server trap-source loopback0将SNMPTrap的传出源地址指定为loopback0(在配置此命令之前配置loopback 0地址，否则无法成功配置命令)。Cisco # writeterminalcisco # show running.10.3.2 SNMP安全性，SNMP-servercommunitywlglwhrosnmp-servercommunitywlwhwrwsnmp-serverenabletrapspanmpathentication.10.4HTTP管理安全性，目前大多数网络设备允许用户通过设备内置的HTTP服务以图形方式管理和配置设备。这种荒唐的管理方式防止了命令行输入的不便，使设备更易于管理和配置，但对设备的安全带造成了一些威胁。也就是说，如果允许通过HTTP访问管理设备，则通过网络设备的浏览器界面监视网络设备可以探查设备信息(如用户名和密码)，还可以更改设备的配置，或者出于损坏或入侵的目的进行更改。因此，从安全角度来看，不建议在关键设备上以这种方式管理和配置网络设备。10.4HTTP管理安全性，并且默认情况下设备内置的HTTP服务处于禁用状态。建议使用单独的身份验证方法(AAA服务器、TACAC服务器等)或通过访问控制表限制通过HTTP连接的用户，以便只有授权用户才能远程登录和管理设备，从而进一步降低采用HTTP服务带来的设备安全风险。3524 # configure terminal 3524(config)# IP http server打开http服务。3524 (config) # IP HTTP端口8080指定HTTP服务端口为8080(一般范围为0-65535，建议值为1024-65535)。3524(config)# iphttp secure-server https启用安全连接(并非所有版本都支持此命令，建议在不使用http服务的情况下打开https服务)。3524(config)# iphttpauthenticationlocal将身份验证方法设置为本地身份验证。3524(config)# usernameciscoprivilege 15密码0创建Cisco本地用户：用户名Cisco和密码Cisco访问级别15密码未加密。图10-4-1、图10-4-2，10.4HTTP管理安全、10.4HTTP管理安全、10.5终端访问控制、网络管理员通过终端访问远程管理和配置设备时，必须使用一些安全配置和安全策略来限制对网络设备的未授权访问。可以通过10.5.2控制台配置控制台密码，在一定程度上提高网络设备的安全性，方法是配置Telnet服务、10.6安全策略和设备的安全策略，使指定管理人员只能在指定主机上访问、管理和配置网络设备。10.6.1端口的安全策略，在端口线路上应用访问控制表，限制访问范