ccna安全安全软件

1、一、AAA-认证、审计认证：通过某种方法来告知服务器我为合法用户，请允许登录：特定用户可以使用命令、的资源及可以获取到的信息审计：用户的行为；【1】什么时候去使用 AAA，正常情况下设备存在本地数据库，可以进行认证、简单的；1、NSA 网络设备较多的时候，每台设备均需要用户名和2、用户数量多，配置量大，管理难3、变动频率高4、需要审计客户和 NAS 设备间进行登陆时，NAS 设备作为客户的服务器，AAA 作为 NAS 的服务器；【2】用1、设备登陆到设备2、穿越放行3、拨号NAS 和客户设备使用常规协议；而 NAS 和 AAA 间使用【3】配置 AAA 服务器1、使用 cisco 硬件产品2、

2、ACS控制系统-5.x在设备的安装使用 https 连接 ACS5.x 系列服务器，默认的用户名 acsadmin，为 default；2、路由器的配置r1(config)#aaa new-m开启 AAA 功能配置线下保护：在 aaa 服务器和路由器间沟通出现故障时，可以同 consloe 登陆r1(config)#aaa authentication login openlab line none创建名为 openlab 的登陆认证策略该策略为使用线下认证的意思；r1(config)#line console 0r1(config-line)#login authentication ope

3、nlab r1(config-line)#password cisco必须配置注:在创建组时，若配置 none 指令，consloe 下在调用openlab 策略后，即便没有配置可以被登陆；也在路由器关联 AAA 服务器：1、老版本r1(config)#tacacs-server host 00 key cisco123 2、新版本r1(config)#aaa group server tacacs+ ccier1(config-sg-tacacs+)#servrivate 00 key cisco123在 AAA 服务器上关联路由器在 AAA 服务器上创建用户和登陆路由器上测试：1、老测试对

4、应老版本关联r1#testaaa group tacacs+ panxi cisco123 new-code2、新测试r1#test aaa group ccie panxi cisco123 new-code路由器上开启1、老版本登录功能：r1(config)#aaa authentication login vty group tacacs+2、新版本r1(config)#aaa authentication login xx group ccieVTY 线调用r1(config)#line vty 0 4r1(config-line)#login authentication xx二、保

5、障路由器的安全【1】-用于图像界面化的方式来管理和配置cisco 设备安装环境要求，win 操作系统；安装版本的 java；使用 IE6.0 以上浏览器关闭弹出功能允许活动内容在计算机文件中运行然后安装程序，安装完成后需要在 JAVA 中进行信任站点定义；的登陆方式-http+net（不安全）-https+ssh（安全）-需要路由器支持安全配置（K）1）路由器配置 http+net 登录：r1(config)#username ccna privilege 15 secret cisco123创建登录的用户名和级权限r1(config)#ip http server开启 http 服务，必须为

6、 15r1(config)#ip http authentication local定义 http 登录基于本地的数据库进行认证r1(config)#line vty 0 4r1(config-line)#login local2）路由器配置 https+ssh 登录：r1(config)#username ccna privilege 15 secret cisco123r1(config)#ip http secure-server 开启 https 服务，同时本地生成密钥库，该库可以为 https 和ssh 在通讯时对流量进行加密；r1(config)#ip http authentic

7、ation local基于 https 定义登录的认证数据库为本地r1(config)#line vty 0 4 r1(config-line)#login localr1(config-line)#transport input ssh3）在协议中创建登录列表使用的安全审计功能：【2】路由器关于安全的服务1、CDP-cisco 设备发现协议 周期 60s 发送本地信息到达邻居处 hold time180s r2#show cdp neighbors安全隐患-PC 可以通过路由器发送的 CDP 信息来获取敏感信息；PC 还可以利用CDP 协议，来进行不断的CDP 邻居关系建立；建议同 pc 相

8、连接口的关闭CDP 协议；r2(config)#no cdp run 全局关闭r2(config)#f0/0r2(config-if)#no cdp enable关闭某个接口下的 CDP；2、NTP 网络时间协议基于时间的策略将无法正常工作；日志，来进行工作；等均需要精确的时间3、TCP/UDP 的小服务在低版本的 IOS 中默认开启r2(config)#service tcp-small-servers开启小服务1）r1#net echo回音服务，本地发送指令后对端重回应，检测设备代码的识别情况使用组合键cont+shift+x+6 退出，退出后需要键入指令 Discon 来完全结束；也可以

9、在对端断开 TCP 会话r2#show tcp briefTCBLocal AddressForeign Address.40831(se)ESTAB63E85B5C.7r2#clear tcp tcb 63E85B5C2）r1#net discard到该邻居退出方式同上丢弃本地发送到对端的所有数据，检测本地是否可以指令发出3）r1#net daytime查看对端的时钟4）r1#net chargen本地发送各自指令，要求对端回音退出方式同时4、免费 ARP，无故 ARP用于地址检测可以被用于进行 ARP，但未进行过 ARP 请求的设备无效；r1(config)#no ip arp gratu

10、itous关闭路由器的无故 ARP 功能完整的解决方法为 DIA；5、ARP路由器收到 ARP 请求后，查询路由表，若拥有到达被请求地址的路由条目，将使用本地接口的 MAC 进行应答；建议接口关闭；同时注意汇聚层设备连接接入层设备的接口（有可能为 SVI 接口）若在关闭了 ICMP 重定向功能后，负荷的行为；r1(config)#erface fastEthernet 0/0r1(config-if)#no ip proxy-arpARP 将成为增加网络6、SNMP 简单的网络管理协议；7、直接广播Smarf-者使用被者的地址作为源 ip 地址，向一个网段使用直接广播发出请求，之后该网段内所有

11、设备向被者回应数据，导致其瘫痪；若该网段的网关接口直接广播功能被关闭，那么该r1(config)#erface fastEthernet 0/0 r1(config-if)#no ip directed-broadcast将无法进行8、源站路由 r1#Protocol ip:IP address: Repeat count 5:Datagram size 100: Timeout in seconds 2:Extendedds n: ySource address orerface: Type of service 0:Set DF bit in IP header? no: Validate

12、 reply data? no: Data pattern 0 xABCD:Loose, Strict, Record, TimestSource route: , Verenone: l该流量先以 为目标，然后到达 时将目标地址转换为 ；故边界路由器上必须关闭r2(config)#no ip source-route9、service finger 手指服务r1#net finger相当于在 上 show user；建议关闭 r2(config)#no service finger10、ICMP unreachable无法在时，若出现 u，那么是下一跳回应了 unreachable 信息，产

13、生该信息条件众多；可以通过 r1#debug ip icmp 可以分析实际原因r1(config)#erface fastEthernet 0/0r1(config-if)#no ip unreachables关闭该功能，主要在边界路由器的关闭后不作回复；11、路由器的安全引导配置 r1#auto secure接口上关闭；【3】OOB 带管带内：网络内的生产流量（上网流量）和流量（设备的流量）在本地同一网卡内通讯；成本低，但流量建议加密带管：生产流量和流量在本地分开通讯，也可以使用consloe；成本高第三条中的仅允许特定地址来远程登录本设备：r2(config)#access-list 1

14、permit r2(config)#line vty 0 4r2(config-line)#access-class 1 in第五条上提到的terminal server，例：8 爪鱼线设备【4】设计安全的管理和报告1、通过网络和安全组员的反馈，决定什么重要的信息需要 log 2、选择适当的 syslog 级别3、保证 log 信息安全的传输与存储，防止被恶意的窜改4、使用 ntp 保障 log 信息准确的时间，最好使用 ntpv3，它提供了对时间更新的认证5、判断什么 log 数据能够提供足够的犯罪证据6、预留足够的存储空间保证 log 的需要7、确定企业管理系统，用于管理多少个设备8、为了

15、追踪配置的修改，部署更改管理计划【5】syslog 1、默认 consloe 传递日志信息，vty 线不传递； r2(config)#no logging console关闭console 口的日志传递 r2#terminal monitor 开启 vty 线路的日志传递r2#show logging 查看本地缓存日志，不是所有设备默认存储日志在本地r2(config)#logging buffered 开启日志本地存储功能2、可以让设备将日志信息自动传递到 server 处1）SNMP2）搭建专门日志的服务器；例；Kiwi Syslog Server Consoler2(config)#lo

16、gging on开启日志功能r2(config)#logging host 告知服务器地址日志存在等级：默认等级 6,0-6 级日志均发送至服务器；r1(config)#logging trap ?alerts critical debugging emergencies errorsinformational notificationswarningsLogging severity levelImmediate action needed Critical conditionsDebugging messages System is unusable Error conditions In

17、formational messagesNormal but significant conditionsWarning conditions(severity=1)(severity=2) (severity=7)(severity=0) (severity=3) (severity=6) (severity=5)(severity=4)注：修改为 x 级，实际为 0-x 级；【6】SNMP -简单的网络管理协议 SNMP 服务使用 OID 来查询设备的 MIB； MIB：管理信息数据库（树型） OID：对象标示符-唯一路径查询被设备发生事件时向 SNMP 服务器发生 trap 来警告Snm

18、p 服务器也可以发送 OID 到被get 回应信息SNMP 服务器还可以使用 set 来配置被设备处进行查询，被设备本地MIB 查询后，使用设备注：v1 和 v2 版本仅使用符号来对应管理关系，非常不安全；V3 可以启用安全保障，对密钥进行MD5 或 SHA，对所有流量进行 DES/3DES被设备配置（路由器）：1）定义描述信息，可选配置 r1(config)#snmp-server location openlab r1(config)#snmp-server contact panxi 2）-查询、配置r1(config)#snmp-server group g1 v3 priv创建组 g

19、1；定义完整安全性r1(config)#snmp-server user ccna g1 v3 auth md5 123priv des 321定义组 g1 的用户 ccna； 3）警告为 123，数据加密为 321；r1(config)#snmp-server enable traps定义本地自动 trap 到服务器的信息类别，该指令为全部激活r1(config)#snmp-server host ver指定服务器地址，调用 ccna 用户3 priv ccnaV1/V2C 配置：1）定义描述信息，可选配置 r1(config)#snmp-server location openlab r1

20、(config)#snmp-server contact panxi 2）r1(config)#snmp-server community cisco123 ro r1(config)#snmp-server community cisco123 rw定义字串为cisco123；ro 可读，rw 可写；r1(config)#snmp-server enable traps允许 trap； r1(config)#snmp-server host traps cisco123【7】SSH安全外壳协议安全的net；需要被登录设备上存在密钥库；IOS 版本 15 以上全功能设备；12 系列那么型号中存

21、在字母 k； r1(config)#hostname r1主机名和用于密钥库名r1(config)#ipnamer1(config)#crypto key generate rsa modulus ?size of the key modulus 360-2048r1(config)#crypto key generate rsa modulus 1024注：sshV2 密钥长度最小 768 字节；1024 为基本安全长度；r1(config)#line vty 0 4r1(config-line)#login local开启登录r1(config-line)#transport input ssh仅允许 sshr1(config)#username ccie privileg