收藏
下载资源

网络管理与维护技术-10第10章-网络设备安全教材

上传人:我** 文档编号:115837260 上传时间:2019-11-15 格式:PPT 页数:29 大小:697KB
返回 下载 相关 举报
网络管理与维护技术-10第10章-网络设备安全教材_第1页
第1页 / 共29页
网络管理与维护技术-10第10章-网络设备安全教材_第2页
第2页 / 共29页
网络管理与维护技术-10第10章-网络设备安全教材_第3页
第3页 / 共29页
网络管理与维护技术-10第10章-网络设备安全教材_第4页
第4页 / 共29页
网络管理与维护技术-10第10章-网络设备安全教材_第5页
第5页 / 共29页
点击查看更多>>
资源描述

《网络管理与维护技术-10第10章-网络设备安全教材》由会员分享,可在线阅读,更多相关《网络管理与维护技术-10第10章-网络设备安全教材(29页珍藏版)》请在金锄头文库上搜索。

1、网络管理与维护技术网络管理与维护技术 主编 苏英如 中国水利水电出版社 第第1010章章 网络设备安全网络设备安全 l本章重点 物理安全 口令管理 SNMP及其安全配置 HTTP管理方式安全管理 终端访问控制方式 设备安全策略 10.1 10.1 物理安全物理安全 l工作环境安全 网络设备安装环境须从设备的安全与 稳定运行方面考虑:防盗、防火、防静电 、适当的通风和可控制的环境温度;确保 设备有一个良好的电磁兼容工作环境。只 有满足这些基本要求,设备才能正常、稳 定、可靠、高效运行。 10.1 10.1 物理安全物理安全 l物理防范 设备Console口具有特殊权限,攻击 者如果物理接触设备后

2、,实施“口令修复 流程”,登录设备,就可以完全控制设备 。为此必须保障设备安放环境的封闭性, 以保障设备端口的物理安全。 10.2 10.2 口令安全口令安全 l 网络设备中secret和enable口令的权限 类似于计算机系统的administrator,拥有 对设备的最高控制权,在对设备访问和配 置过程中可以使用本地口令验证、针对不 同的端口指定不同的认证方法,并对不同 权限的管理人员赋予不同口令,同时对不 同的权限级别赋予对操作命令的运行权限 。 口令加密口令加密 禁止明文显示禁止明文显示 l通过执行service password-encryption启用口令加密服务 : 3640(c

3、onfig)#service password-encryption 3640#show running-config enable secret 5 $1$fy6O$ymDQtD2Yo8nD2zpd3cK0B1 enable password 7 094F471A1A0A line con 0 password 7 045804080E254147 line aux 0 line vty 0 4 password 7 110A1016141D login 口令加密口令加密 禁止明文显示禁止明文显示 enable secret用MD5加密方式来加密口令, enable secret 优先级高于

4、enable password, enable password 以明文显示口令; 两者所设口令不能相同并且当两者均已设置时只有 enable secret口令起作用,enable password口令自动失效 。 service password-encryption命令采用了可逆的弱加密方 式,加密后的密码可以通过一些工具进行逆向破解, enable secret采用md5方式加密,安全性较强,在建立用 户与口令时建议用username / secret取代username / password(IOS12.2(8)T后可以用secret对username的密 码做MD5加密)。 避免口令

5、同一化、同级化避免口令同一化、同级化 网络设备自身提供了多级口令:常规模式口令、 特权模式口令、配置模式口令、console控制口连接口 令、ssh访问口令等等,网络设备运行在复杂的网络中 难免会遭受各种无意或刻意的攻击,如果多台设备采用 同一口令,则当网络中某一台设备被非法侵入,所有设 备口令将暴露无遗,这会对整个网络和设备的安全造成 极大威胁,严重时令网络设备配置文件被非法修改甚至 恶意删除,导致整个网络瘫痪,并且网络管理人员不能 通过正常方式登录和管理被攻击过的网络设备,因此在 设置口令时必须做到设备口令多样化、多级化,禁止口 令的同一化、同级化。 关闭关闭ROMMONROMMON监听模

6、式监听模式 默认情况下利用设备加电重启期间的BREAK方式 可以进入ROMMON监听模式进行口令恢复。任何人只 要物理接触到设备就可以使用这个方法达到重设口令非 法进去侵入的目的。通过no service password-recovery命 令来关闭ROMMON监听模式,避免由此带来的安全隐 患。 3640(config)#no service password-recovery 禁用ROMMON。 3640(config)#service password-recovery 启用ROMMON,Cisco未公开的两条命令,必须手工完 整键入后才可以执行。 3640(config)#no se

7、rvice password-recovery 口令定期维护口令定期维护 临时口令及时回收临时口令及时回收 l禁止把管理口令泄漏给任何人,如果已经发 生口令的泄漏,一定要及时修改原口令。 l及时回收临时口令,通过设置临时密码的方 式进行远程维护后,及时回收口令停止临时账 户对设备的访问权限。 l修改默认配置,拒绝空口令访问设备,并对 口令加密。尤其注意一定要对console禁止空口 令访问。 加强日常管理加强日常管理 使设备管理规范化使设备管理规范化 合理限制设备人员的数量,通过严格的访问级别设置不同级别管理员 的权限;通过访问控制表阻止非授权IP地址对网络设备的访问,采用访问 控制表控制后即

8、使非授权人员知道了管理口令也会因使用的IP未经授权而 被拒绝登录设备;合理设置会话超时时间,在管理人员离开终端一段时间 或静止一段时间后自动关闭会话,断开对话连接,避免身边非授权人员登 录设备进行操作。 Router#show privilege 查看权限信息。 Router#show user 查看终端登录用户。 Router#clear line vty 0 断开vty 0的连接(aux、tty、console、vty操作类似)。 Router#disconnect ip-address 断开怀疑或没有授权许可的用户的对话。 Router(config)#line console 0 Ro

9、uter(config-line)#exec-timeout 6 30 修改console会话时间为6分钟30秒,设备默认配置的会话超时时间为10分钟。 10.3 10.3 SNMPSNMP配置及安全配置及安全 SNMP简介 lSimple Network Management Protocol,简单网管协议是一种被广泛应用在网络设备监 控、配置方面的应用协议,最初版本由于批量存取机制的限制所致的对大块数据存 取效率低、安全机制不可靠、不支持TCP/IP协议之外的其他网络协议、没有提供 manager与manager之间通信的机制等因素,造成SNMP只能适用集中式管理而不能 对设备进行分布式管

10、理、只能对网络设备进行监测而不能对网络本身进行监测。 lSNMP的改进版本(1991年11月)RMON(RemoteNetworkMonitoring)MIB,使SNMP 在对网络设备进行管理的同时还能收集局域网和互联网上的数据流量等信息。到 1993年SNMPv2面世(原SNMP被称为SNMPv1),SNMPv2提供了一次存取大量数 据的能力,大幅度的提高了效率,增加了manager间的信息交换机制,开始支持分 布式管理结构:由中间(intermediate)manager分担主manager的任务,增加了远程 站点的局部自主性;OSI、Appletalk、IPX等多协议网络环境下的运行得到

11、了支持 (默认网络协议仍是UDP)。同时又提供了验证机制、加密机制、时间同步机制, 在安全性上较SNMPv1也有了很大的提高。 l2002年3月SNMPv3被定为互联网一项标准,此版本在SNMPv2的基础之上增加、完 善了安全和管理机制,通过简明的方式实现了加密和验证功能;采用了新的SNMP 扩展框架, 使管理者能在多种操作环境下可以根据需要对模块和算法进行增加和 替换,它的多种安全处理模块不但保持了SNMPv1和SNMPv2易于理解、易于实现 特点,而且还弥补了前两个版本安全方面的不足,实现了对复杂网络的管理。 10.3.2 SNMP10.3.2 SNMP安全安全 SNMP的communit

12、y用于限制不同的被授权管理者对设备相关信息的读取和写入的操作 许多设备的SNMP community出厂默认被设置为“Public”和“Private”,在配置时要修改这些默 认值,使用自定义的community,防止非授权者得到网络设备的信息配置。 SNMP配置 Cisco#config terminal Cisco(config)#snmp-server community wlglwh ro 配置只读字符串为“wlglwh”。 Cisco(config)#snmp-server community wlglwhw rw 配置读写字符串为“wlglwhw”。 Cisco(config)#s

13、nmp-server enable traps 启用陷阱将所有类型SNMP Trap发送出去。 Cisco(config)#snmp-server host 10.10.11.1 version 2c trpser 指定SNMP Trap的接收者为10.10.11.1(网管服务器),SNMP使用2c版本,发送Trap时采用 trpser作为字串。 Cisco(config)#snmp-server trap-source loopback0 指定SNMP Trap的发送源地址为loopback0(配置这条命令前要配置loopback0地址,否则命令 配置不成功)。 Cisco#write te

14、rminal Cisco#show running 10.3.2 SNMP10.3.2 SNMP安全安全 snmp-server community wlglwh RO snmp-server community wlglwhw RW snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps casa snmp-server enable traps isdn call-informa

15、tion snmp-server enable traps isdn layer2 snmp-server enable traps isdn chan-not-avail snmp-server enable traps isdn ietf snmp-server enable traps hsrp snmp-server enable traps config snmp-server enable traps entity snmp-server enable traps envmon snmp-server enable traps ds0-busyout snmp-server ena

16、ble traps ds1-loopback snmp-server enable traps bgp snmp-server enable traps ipmulticast snmp-server enable traps msdp snmp-server enable traps rsvp snmp-server enable traps frame-relay snmp-server enable traps rtr snmp-server enable traps syslog snmp-server enable traps dlsw snmp-server enable traps dial snmp-server enable traps dsp card-status snmp-server enable traps voice poor-qov snmp-server enable traps xgcp s

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号