巧用Nipper检查你的思科路由器安全(共5篇)由网友“峡谷在逃鲁班”投稿提供,下面小编给大家整理过的巧用Nipper检查你的思科路由器安全,供大家阅读参考。
篇1:巧用Nipper检查你的思科路由器安全
本文主要对于Nipper进行的介绍,给大家详细的讲述了如何利用Nipper加强思科路由器的安全性,那么我们该怎么使用呢?下面的文章讲给你详细解答。
如何使用Nipper?
由于Nipper支持如此众多的设备,还号称支持众多功能选项,因此我不可能面面俱到的来演示它们。但是我们可以做一个基本的示范。在我们的例子中,我们将使用Nipper来审核一个只具有默认设置的思科路由器。
在开始之前,我拿来一个思科2600系列路由器,清空配置,然后将其重启。下面我们就可以开始审核这个路由器的过程了。
首先,从著名的开源网站上下载Nipper,它目前有Windows版和Linux版。将其解压到你的本地计算机上,我们假定其位置为C:\nipper。
接下来,获得一个文本版的这个路由器的配置文件。通过Telnet或SSH登录到路由器上,运行show running-configuration命令,并将显示的配置拷贝到一个记事本中,然后将其保存到前面所说的C:\nipper这个文件夹下,
当然,你也可以使用一个TFTP服务器来将配置拷到你的本地计算机中。举个例子来说,我使用Tftpd32.exe这个工具可以非常快速而简单的完成这个操作。使用了命令copy running-configuration tftp。
一旦在你的计算机上有了这个运行配置后,进入Windows命令行窗口,然后进入到Nipper目录下。运行如下命令,如下图所示:
nipper --ios-router --input=testrouterconfig.txt --output=audit.html
图1、运行命令
输入完该命令会,没有提供任何信息,光标就立刻回到提示符前。不过,不用担心,它已经搞定了。
接下来,打开一个浏览器,然后在地址栏中输入:c:\nipper\audit.html。一个安全报告将展现在你的眼前。下图是一个截屏。
篇2:思科路由器安全之TCP连接
思科路由器安全之TCP连接
对于网络上常见的攻击,想必大家都有所了解,其实大多数攻击都是基于TCP连接,发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击,下面,我以思科路由器为例,给大家介绍如何拦截非法的TCP连接。
所谓的TCP建立连接的三次握手过程中,一方向另一方发送的第一个报文设置了SYN位,当某台设备接收到一个请求服务的初始报文时,该设备响应这个报文,发回一个设置了SYN和ACK位的报文,并等待源端来的ACK应答。
在TCP连接请求到达目标主机之前,TCP拦截通过对其进行拦截和验证来阻止这种攻击,也就是说,思科路由器会代替主机进行连接,这时就需要在思科路由器上配置TCP拦截(TCP intercept)来防止这种攻击了。
一、拦截模式
思科路由器拦截所有到达的TCP同步请求,并代表服务器建立与客户机的连接,并代表客户机建立与服务器的连接,如果两个连接都成功地实现,思科路由器就会将两个连接进行透明的合并,路由器有更为严格的超时限制,以防止其自身的资源被SYN攻击耗尽。
二、监视模式
思科路由器被动地观察half-open连接的数目,如果超过了所配置的时间,思科路由器也会关闭连接,ACL则用来定义要进行TCP拦截的源和目的地址。
(1)ip tcp intercept mode设置TCP拦截的工作模式,默认是intercept;
(1)ip tcp intercept list ACL编号调用ACL用来定义要进行TCP拦截的源和目的地址;
(1)当一个路由器因为其所定义的门限值被超出而确认服务器正遭受攻击时,路由器就主动删除连接,直到half-open的连接值降到小于门限值,默认关闭的是最早的连接,除非使用了ip tcp interceptdrop-mode random。
三、当所设置的门限值被超时时,路由器进行下面的动作
(1)每一个新的连接导致一个最早的(或随机的)连接被删除;
(2)初始的重传超时时间被减少一半,直到0.5秒;
(3)如果处于监视模式,则超时时间减半,直到15秒,
四、这是用来判断路由器是否正在遭受攻击,如果超过了两个高门限值中的一个,则表明路由器正遭受攻击,直到门限值已经降至两个低门限值以下
下面显示了有关的参数及其默认值,并对其加以简单描述
(1)ip tcp intercept max-incomplete high number 1100
在路由器开始删除连接之前,能够存在的half-open连接的最大数目;
(2)ip tcp inercept max-incomplete low number 900
在路由器停止删除half-open连接之前,能够存在的最大half-open连接数目;
(3)ip tcp intercept one-minute high number 1100
在路由器开始删除连接之前,每分钟内能存在的最大half-open连接数目;
(4)ip tcp intercept one-minute low number 900
在路由器停止删除连接之前,每分钟内能存在的最小half-open连接数目。
half-open连接总数与每分钟half-open连接的数量比率是相联系的。任何一个最大值到达,TCP拦截就被激活并且开始删除half-open连接。一旦TCP拦截被激活,这两个值都必须下降到TCP拦截的低设置值,以便停止删除连接。
以上就是思科路由器非法TCP连接拦截的配置步骤,有着同样苦恼的网友们可以尝试设置解决问题。
本文来自于路由人网
篇3:善用密码 保护你的思科路由器
本文主要给大家详细的介绍了对于思科路由器,如果密码忘记,或者丢失,我们该如何进行设置,相信看过此文会对你有所帮助,
最严重的安全问题发生的原因,经常是由于人们忽略了最基本的安全措施。在本文中,戴维・戴维斯将与你一起讨论利用密码保证路由器安全的重要性,并将为你解释思科网际操作系统的三种模式,以及如何配置保护网络的五个主要密码。
为什么需要利用密码保护路由器?
关于这个问题,你可能想问的问题是:路由器难道没有预设的密码?答案是肯定的,确实没有。路由器没有自动的密码保护。
对于思科公司的管理者来说,这是一个需要认真考虑的问题。它非常重要,并且设置密码也很方便。
我们首先讨论的是思科网际操作系统的不同模式。不同的模式意味着不同的用户拥有层次不一样的访问方式以及效力不同的特权,因此,需要为不同的模式设置不同的密码。
思科网际操作系统的三种模式是什么?
在讨论如何利用密码保护路由器之前,我们先来了解一下思科网际操作系统的三种模式是什么。它们是:
用户模式:在用户模式,路由器将显示基本界面的信息。思科认证网络工程师CCNA著名作家托德・拉蒙一直称用户模式为“无用的模式” ;因为在这个模式下,不能对配置做任何操作,也不能看到任何重要的信息。用户模式也叫做用户体验模式。
特权模式:有时也被称做特权体验模式(或者只是priv模式),在这个模式下,可以进行配置的调整和查看。我认为,这是绝对需要设置密码的第一个地方(虽然在用户模式,也应该有密码的设置)。需要从用户模式进入特权模式的话,需要下面的命令:
Router>enable
Router#
全局模式:从特权模式,我们可以进入全局模式。在这个模式下,你可以对路由器的整个设置进行更改。如果需要改变配置的话,你需要下面的命令。
这是一个如何进入全局模式的例子:
Router# configure terminal
Router(config)#
Note: you can also just type conf t.
附注:你也可以只输入conf t命令。
如何对思科网际操作系统的五个主要密码进行设置
思科网际操作系统的五个主要密码是:
控制台
辅助端口
虚拟类型终端
启用密码
启用加密
控制台
在默认情况下,如果没有对路由器控制台设置密码的话,你可以访问用户模式(如果其它模式也没有密码设置的话,将进一步进入下一个模式)。你可以利用控制台端口对一台新路由器进行配置。设置一个密码对控制台端口进行保护是至关重要的,因为这样可以防止有人一连接到路由器上,就进入用户模式(甚至可能有更高权限的模式)。
因为每一个路由器只有一个控制台端口,因此你需要在全局模式下利用命令行命令进入控制台,然后使用登录和密码设置两个命令来完成了配置,
登录命令可以告诉路由器需要进行控制台密码的设置。密码设置的命令用来设定实际的密码。
下面就是如何进行设置的命令:
Router# config t
Router(config)# line console 0
Router(config-line)# password SecR3t!pass
Router(config-line)# login
需要注意的是:复杂的密码是非常重要的,这样可以防止密码被别人猜测到。
辅助端口
辅助端口是路由器的一个物理访问端口。并不是所有的路由器都有这个端口。辅助端口可以滋味进入控制台的备份配置端口,因此它也是非常重要的,需要设定一个密码。
下面就是如何进行设置的命令:
Router# config t
Router(config)# line aux 0
Router(config-line)#password SecR3t!pass
Router(config-line)# login
虚拟类型终端
虚拟类型终端不是一个物理连接,而是一个虚拟连接。通过它,你可以使用Telnet或者SSH命令进入到路由器( 如何进行SSH配置,可以参见我的文章“如何对思科路由器进行SSH配置”) 。当然,在使用的时间你还是需要一个激活的局域网或者广域网的端口以便进行操作。由于不同类型的路由器和交换机可以有不同数量的虚拟类型终端端口;因此,在配置之前,需要确定它们的数量。确定的方法很简单,只要在特权模式下输入line ?命令就可以得到答案了。
下面是对虚拟类型终端进行配置的一个例子:
Router# config t
Router(config)# line vty 0 4
Router(config-line)# password SecR3t!pass
Router(config-line)# login
启用密码
启用密码可以防止有人完全连接到路由器上。启用命令其实是用来调整路由器不同的安全水平(一共有○到十五一共十六个级别的安全水平)。不过通常使用的是用户模式(一级)到特权模式(十五级)之间的级别。实际上,在用户模式下输入启用命令,就可以直接进入特权模式。
设置密码,从用户模式进入特权模式,并转到全局配置模式,需要下面的命令操作:
Router# config t
Router(config)# enable password SecR3t!enable
Router(config)# exit
启用密码功能存在的弱点是,很容易被人解密。这也是我们为什么需要启用加密功能的缘故。
启用加密
启用加密和启用密码的功能是一样的,但启用加密后可以将密码保存在强大的加密环境中。
Router(config)# enable secret SecR3t!enable
结论
我已经介绍了思科网际操作系统的不同模式,以及如何利用五种不同类型的密码来确保思科路由器或交换机是安全的。请记住,很多情况下,网络出现的问题都是由于简单的密码引起的。一定要确保思科路由器和交换机密码设置的可靠程度。
篇4:思科路由器安全功能对BT流量的控制
本文主要给大家讲述了如何通过具体操作实现对思科路由器的BT流量控制,并且详细的向大家介绍了具体的操作方法,希望此文对你有所帮助。
NBAR (Network-Based Application Recognition) 的意思是网络应用识别。 NBAR 是一种动态能在四到七层寻找协议的技术,它不但能做到普通 ACL 能做到那样控制静态的、简单的网络应用协议 TCP/UDP 的端口号。例如我们熟知的 WEB 应用使用的 TCP 80 ,也能做到控制一般 ACLs 不能做到动态的端口的那些协议,例如 VoIP 使用的 H.323, SIP 等。
BitTorrent(简称BT,俗称BT下载、变态下载)是一个多点下载的源码公开的P2P软件,使用非常方便,就像一个浏览器插件,很适合新发布的热 门下载。其特点简单的说就是:下载的人越多,速度越快。 BitTorrent 下载工具软件可以说是一个最新概念 P2P 的下载工具、它采用了多点对多点的原理。您可以访问 www.ppcn.net/ 来获取更多的信息。由于BT大量的使用,会造成网络带宽被尽情的消耗,导致一些企业和单位的关键业务不能正常运行, 所以有必要对BT流量进行一些必要的控制。
要实现对 BT 流量的控制,就要在思科路由器上实现对 PDLM 的支持。 PDLM 是 Packet Description Language Module 的所写,意思是数据包描述语言模块。它是一种对网络高层应用的协议层的描述,例如协议类型,服务端口号等。它的优势是让 NBAR 适应很多已有的网络应用,像 HTTP URL , DNS , FTP, VoIP 等 , 同时它还可以通过定义,来使 NBAR 支持许多新兴的网络应用。例如 peer2peer 工具。 PDLM 在思科的网站上可以下载,并且利用 PDLM 可以限制一些网络上的恶意流量。
要得到 PDLM ,要到 www.cisco.com/pcgi-bin/tablebuild.pl/pdlm 下载 bittorrent.pdlm 。您需要有 CCO 的帐号,
也可以直接使用这个链接www.cisco.com/cgi-bin/Software/Tablebuild/doftp.pl?ftpfile=cisco/ios/pdlm/bittorrent.pdlm&app=Tablebuild& status =
showC2A&swtype=FCS&software_products_url=%2Fcgi-bin%2Ftablebuild.pl% 2Fpdlm &isChild=
& appName=&tbtype=pdlm 得到支持 BT 的 PDLM 。
然后通过 TFTP 服务器将 bittorrent.pdlm 拷贝到路由中。利用
ip nbar pdlm bittorrent.pdlm
命令将 NBAR 中的 BT 功能启动。
再创建一个 class-map 和 policy map 并且把它应用到相应的路由器的接口上。一般是 连接 Internet (Chinanet ) 的接口是 FastEthernet 或 10M 的以太网接口。在路由器上您可以看见如下的配置 :
class-map match-all bittorrent
match protocol bittorrent
!
!
policy-map bittorrent-policy
class bittorrent
drop
!
interface FastEthernet0/
description neibujiekou
ip address 192.168.0.1 255.255.255.0
ip nat inside
service-policy input bittorrent-policy
service-policy output bittorrent-policy
!
这样您就可以在你的公司或单位的因特网接入路由器上实施一些流量控制。同时 NBAR 和 PDLM 还可以应用在您公司和单位的内联广域网上,可以保证广域网带宽的合理使用。
篇5:让你的网络更加安全,路由器安全设置十四步
1. 为路由器间的协议交换增加认证功能,提高网络安全性。
路由器的一个重要功能是路由的管理和维护,目前具有一定规模的网络都采用动态的路由协议,常用的有:RIP、EIGRP、OSPF、IS-IS、BGP等。当一台设置了相同路由协议和相同区域标示符的路由器加入网络后,会学习网络上的路由信息表。但此种方法可能导致网络拓扑信息泄漏,也可能由于向网络发送自己的路由信息表,扰乱网络上正常工作的路由信息表,严重时可以使整个网络瘫痪。这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证。当路由器配置了认证方式,就会鉴别路由信息的收发方。
2. 路由器的物理安全防范。
路由器控制端口是具有特殊权限的端口,如果攻击者物理接触路由器后,断电重启,实施“密码修复流程”,进而登录路由器,就可以完全控制路由器。
3. 保护路由器口令。
在备份的路由器配置文件中,密码即使是用加密的形式存放,密码明文仍存在被破解的可能。一旦密码泄漏,网络也就毫无安全可言。
4. 阻止察看路由器诊断信息。
关闭命令如下: no service tcp-small-servers no service udp-small-servers
5. 阻止查看到路由器当前的用户列表。
关闭命令为:no service finger。
6. 关闭CDP服务。
在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息: 设备平台、操作系统版本、端口、IP地址等重要信息。可以用命令: no cdp running或no cdp enable关闭这个服务。
7. 阻止路由器接收带源路由标记的包,将带有源路由选项的数据流丢弃。
“IP source-route”是一个全局配置命令,允许路由器处理带源路由选项标记的数据流。启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙。关闭命令如下: no ip source-route。
8. 关闭路由器广播包的转发。
Sumrf D.o.S攻击以有广播转发配置的路由器作为反射板,占用网络资源,甚至造成网络的瘫痪。应在每个端口应用“no ip directed-broadcast”关闭路由器广播包。
9. 管理HTTP服务。
HTTP服务提供Web管理接口。“no ip http server”可以停止HTTP服务。如果必须使用HTTP,一定要使用访问列表“ip http access-class”命令,严格过滤允许的IP地址,同时用“ip http authentication ”命令设定授权限制。
10. 抵御spoofing(欺骗) 类攻击。
使用访问控制列表,过滤掉所有目标地址为网络广播地址和宣称来自内部网络,实际却来自外部的包。 在路由器端口配置: ip access-group list in number 访问控制列表如下: access-list number deny icmp any any redirect access-list number deny ip 127.0.0.0 0.255.255.255 any access-list number deny ip 224.0.0.0 31.255.255.255 any access-list number deny ip host 0.0.0.0 any 注: 上述四行命令将过滤BOOTP/DHCP 应用中的部分数据包,在类似环境中使用时要有充分的认识。
11. 防止包嗅探。
黑客经常将嗅探软件安装在已经侵入的网络上的计算机内,监视网络数据流,从而盗窃密码,包括SNMP 通信密码,也包括路由器的登录和特权密码,这样网络管理员难以保证网络的安全性。在不可信任的网络上不要用非加密协议登录路由器。如果路由器支持加密协议,请使用SSH 或 Kerberized Telnet,或使用IPSec加密路由器所有的管理流。
12.校验数据流路径的合法性。
使用RPF (reverse path forwarding)反相路径转发,由于攻击者地址是违法的,所以攻击包被丢弃,从而达到抵御spoofing 攻击的目的。RPF反相路径转发的配置命令为: ip verify unicast rpf。 注意: 首先要支持 CEF(Cisco Express Forwarding) 快速转发。
13. 防止SYN 攻击。
目前,一些路由器的软件平台可以开启TCP 拦截功能,防止SYN 攻击,工作模式分拦截和监视两种,默认情况是拦截模式。(拦截模式: 路由器响应到达的SYN请求,并且代替服务器发送一个SYN-ACK报文,然后等待客户机ACK。如果收到ACK,再将原来的SYN报文发送到服务器; 监视模式:路由器允许SYN请求直接到达服务器,如果这个会话在30秒内没有建立起来,路由器就会发送一个RST,以清除这个连接。) 首先,配置访问列表,以备开启需要保护的IP地址: access list [1-199] [deny permit] tcp any destination destination-wildcard 然后,开启TCP拦截: Ip tcp intercept mode intercept Ip tcp intercept list access list-number Ip tcp intercept mode watch
14. 使用安全的SNMP管理方案。
SNMP广泛应用在路由器的监控、配置方面。SNMP Version 1在穿越公网的管理应用方面,安全性低,不适合使用。利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能。配置命令: snmp-server community xxxxx RW xx ;xx是访问控制列表号 SNMP Version 2使用MD5数字身份鉴别方式。不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段。
综述:
路由器作为整个网络的关键性设备,安全问题是需要我们特别重视。当然,如果仅仅是靠上面的这些设置方法,来保护我们的网络是远远不够的,还需要配合其他的设备来一起做好安全防范措施,将我们的网络打造成为一个安全稳定的信息交流平台。
★ 学生考试感想作文
★ 网络社区简介范文
★ 点对点短信是什么
★ 点对点短信
【巧用Nipper检查你的思科路由器安全(共5篇)】相关文章:
网管技巧:基于MAC地址来管控流量网络技巧2022-04-30
北京思科面试心得2022-07-21
学校教师队伍建设总结2023-08-07
高级网络运维工程师的职位职责2022-06-27
学校师资队伍建设年度总结2023-12-29
交换机的安全因子2022-08-17
部署统一通信的几个疑问的解析2022-09-09
农村包围城市的市场战略2024-01-25
硬件测试工程师工作的岗位职责表述2022-07-28
新手也谈思科学习心得2023-02-13