已阅读5页,还剩24页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
网络管理技术,第10章网络设备安全,本章应考虑物理安全密码管理SNMP和安全配置HTTP管理方法安全管理终端访问控制方法设备安全策略,10.1物理安全,工作环境安全网络设备安装环境应考虑防盗、防火、静电防护、适当通风和可控制外围温度的设备安全和可靠操作。确保设备具有良好的电磁兼容性工作环境。只有满足这些基本要求,设备才能正常、稳定、可靠、高效。10.1物理安全,物理预防设备控制台端口具有特殊权限,在攻击者实际接近设备后,通过实施“密码恢复过程”登录到设备,可以完全控制设备。为此,必须确保设备部署环境的封闭性,以确保设备端口的物理安全。10.2密码安全、网络设备上的secret和enable密码权限类似于计算机系统上的管理员;您可以对设备具有最高的控制权限;在设备访问和配置期间使用本地密码身份验证;为每个端口指定不同的身份验证方法;为每个权限管理器授予不同的密码;将操作命令的执行权限授予不同的权限级别。密码加密禁止明文显示,运行Servicepassword-encryption启用密码加密服务:3640(config)# service password-encryption 3640 # Show running.enable secret 5 $ 1 $ fy6o $ ymdqtd 2 yo 8 nd 2 zpb 3 ck0 B1 enable password 7094 f 471a 1a 0 aliee con 0 password 7045804080e 254147 line aux 0 line aux 0 line.在中,密码加密不显示纯文本。enablesecret使用MD5加密来加密密码,enablesecret的优先级高于enablepassword,enablepassword以明文显示密码。如果两者都设置,则仅enablesecret密码有效,enablepassword密码自动过期。Servicepassword-encryption命令使用可逆的非加密方法,通过一些工具反向解密加密的密码enablesecret提供使用MD5加密的强大安全功能;创建用户和密码时使用username/password(IOS12.2(,密码相同,对等,网络设备本身提供多级密码:一般模式密码、权限模式密码、配置模式密码、控制台控制端口连接密码、ssh访问密码等,在网络设备运行在复杂的网络上时,可以避免无意或有意的各种攻击,如果多个设备使用相同的密码,则网络中的一个设备非法入侵将暴露所有设备密码。因此,如果网络设备配置文件被非法修改或恶意删除,整个网络可能会瘫痪,网络管理员无法以正常方式登录和管理受到攻击的网络设备,因此,设置密码时,应禁止多样化、多阶段化、密码等同。关闭ROMMON侦听模式。默认情况下,设备加电重新启动期间,可以使用BREAK进入ROMMON接收模式以恢复密码。任何人只要物理接触到设备,就可以使用此方法重置密码,以达到非法侵入的目的。通过Noservicepassword-recovery命令关闭ROMMON接收模式,可以避免由此带来的安全风险。禁用3640(config)# noservice password-recovery ROMMON。3640(config)# service password-recovery启用ROMMON并且Cisco未公开的两个命令必须手动完全输入才能运行。3640(config)# noservice password-recovery,定期维护临时密码,及时恢复,防止管理密码泄露,如果密码泄露,则及时更正。临时密码及时恢复,通过临时密码设置进行远程维护后,及时恢复停止对密码恢复设备的临时帐户访问。修改默认配置,拒绝对设备的空密码访问,并加密密码。特别是,必须禁止对控制台的空密码访问。加强日常管理标准化设备管理,合理限制设备人员数量,通过严格的访问级别设置不同级别的管理员权限。通过访问控制表阻止对网络设备的未授权IP地址访问,即使未授权用户知道管理密码(使用访问控制表),使用的IP也将在未授权的情况下拒绝登录设备。合理设置会话超时,以便管理员在离开终端一段时间或一段时间后自动关闭会话并断开对话连接,从而防止没有外围权限的人登录设备。查看Router#showprivilege权限信息。Router#showuser查看最终登录用户。Router#clearlinevty0断开vty0的连接(aux、tty、console和vty操作类似)。Router#disconnectip-address中断怀疑或没有许可证的用户的对话。router(config)# line console 0 router(config-line)# exec-time out 630修改控制台会话时间为6分30秒,设备默认配置的会话超时为10分钟。10.3SNMP配置和安全性,SNMP简介网络管理协议是广泛用于网络设备监视和配置的应用程序协议。早期版本中,由于大数据块数据访问效率低下、不可靠的安全机制、对TCP/IP协议以外的网络协议的支持,以及没有提供manager和manager之间通信的机制,SNMP只能应用集中式管理,不能监视网络设备,不能监视网络本身。SNMP的增强版本(1991年11月)远程联网(rmon)MIB使SNMP能够在管理网络设备的同时收集信息(如LAN和internet上的数据流量)。在1993年SNMPv2(最初称为SNMP v1)发布之前,SNMPv2提供了一次访问大量数据的能力,从而大大提高了效率,增加了管理员之间的信息交换机制,并开始支持分布式管理结构。中间管理员共享主管理员的工作,提高远程站点的本地自主性。支持在多协议网络环境(如OSI、Appletalk、IPX)中运行(默认网络协议仍然是UDP)。它还提供了身份验证机制、加密机制和时间同步机制,在安全性方面远远高于SNMPv1。SNMPv3是基于SNMPv2的internet标准,2002年3月添加并增强了安全和管理机制,以简化加密和身份验证功能的实施。管理员可以使用新的SNMP扩展框架轻松理解和实施SNMPv1和SNMPv2,解决前两个版本的安全问题,管理复杂的网络,该框架允许在各种操作环境中根据需要添加和更换模块和算法。10.3.2SNMP安全,SNMPcommunity用于限制对SNMP中community设备相关信息的不同读取和写入操作,在配置时,SNMP community默认为要修改的“Public”和“Private”,未授权用户使用自定义community在网络设备上执行此操作SNMP配置Cisco # configterminalcisco(config)# SNMP-servercommunitywlglwhro配置只读字符串为“wlglwh”。Cisco(config)# SNMP-servercommunitywlglwhwrw配置读写字符串为“wlglwhw”。启用Cisco(config)# SNMP-serverenable traps陷阱以发送所有类型的SNMPTrap。Cisco(config)# SNMP-server host version 2 ctrpser指定SNMPTrap的收件人为10 . 10 . 11 . 1(网络管理服务器),SNMP使用2c版本,发送Trap时trpserCisco(config)# SNMP-server trap-source loopback0将SNMPTrap的传出源地址指定为loopback0(在配置此命令之前配置loopback 0地址,否则无法成功配置命令)。Cisco # writeterminalcisco # show running.10.3.2 SNMP安全性,SNMP-servercommunitywlglwhrosnmp-servercommunitywlwhwrwsnmp-serverenabletrapspanmpathentication.10.4HTTP管理安全性,目前大多数网络设备允许用户通过设备内置的HTTP服务以图形方式管理和配置设备。这种荒唐的管理方式防止了命令行输入的不便,使设备更易于管理和配置,但对设备的安全带造成了一些威胁。也就是说,如果允许通过HTTP访问管理设备,则通过网络设备的浏览器界面监视网络设备可以探查设备信息(如用户名和密码),还可以更改设备的配置,或者出于损坏或入侵的目的进行更改。因此,从安全角度来看,不建议在关键设备上以这种方式管理和配置网络设备。10.4HTTP管理安全性,并且默认情况下设备内置的HTTP服务处于禁用状态。建议使用单独的身份验证方法(AAA服务器、TACAC服务器等)或通过访问控制表限制通过HTTP连接的用户,以便只有授权用户才能远程登录和管理设备,从而进一步降低采用HTTP服务带来的设备安全风险。3524 # configure terminal 3524(config)# IP http server打开http服务。3524 (config) # IP HTTP端口8080指定HTTP服务端口为8080(一般范围为0-65535,建议值为1024-65535)。3524(config)# iphttp secure-server https启用安全连接(并非所有版本都支持此命令,建议在不使用http服务的情况下打开https服务)。3524(config)# iphttpauthenticationlocal将身份验证方法设置为本地身份验证。3524(config)# usernameciscoprivilege 15密码0创建Cisco本地用户:用户名Cisco和密码Cisco访问级别15密码未加密。图10-4-1、图10-4-2,10.4HTTP管理安全、10.4HTTP管理安全、10.5终端访问控制、网络管理员通过终端访问远程管理和配置设备时,必须使用一些安全配置和安全策略来限制对网络设备的未授权访问。可以通过10.5.2控制台配置控制台密码,在一定程度上提高网络设备的安全性,方法是配置Telnet服务、10.6安全策略和设备的安全策略,使指定管理人员只能在指定主机上访问、管理和配置网络设备。10.6.1端口的安全策略,在端口线路上应用访问控制表,限制访问范
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 山东省烟台招远市(五四制)2024-2025学年六年级上学期期中考试地理试题
- 河北省唐山市部分学校2024~2025学年高一上学期11月期中联考生物试卷
- 《驾驶室固定矩形窗》
- 福建省泉州市安溪县2024-2025学年高三上学期11月期中测评试题 物理(含解析)
- 2025届四川省泸州市泸县第五中学高三上学期一模政治试题
- 饲用原料作物相关项目投资计划书范本
- 工业涂料水性色浆相关项目投资计划书
- 儿科急症的超声诊断课件
- 教学难点及解决方案
- 青霉素过敏应急预案演练
- 诚实课件教学课件
- 广东省深圳市龙岗区多校2024-2025学年一年级(上)期中语文试卷(含答案部分解析)
- 2024-2025学年度第一学期期中学业质量监测
- 2024至2030年中国轻质墙板数据监测研究报告
- 人教版三年级上册《生命-生态-安全》全册教案(及计划)
- 食品工艺学:食品的辐射保藏
- 2024年公开招聘大社区工作人员报名表
- 记者岗位招聘笔试题及解答
- 劳动技能实操指导(劳动教育)学习通超星期末考试答案章节答案2024年
- LED显示屏采购投标方案(技术方案)
- 夜场啤酒合同协议书
评论
0/150
提交评论