第二章 Cisco路由器安全基礎

來源:本站原創 CISCO 超過1,039 views圍觀 0條評論

第二章 Cisco路由器安全基礎

配置最小口令長度:

       Security passwords min-length min-length-of-password(從0到16)

Line console 0 模式下login命令的目的:

       Enable password checking at login.(啟用login上的口令檢查)

       另外通過配置ACL,只允許特定的主機可以telnet訪問該路由器.

配置AUX口和配置其口令

       Router(config)#interface aux 0

       Router(config-line)#modem inout 允許該鏈路上Modem進入和外出呼叫.

       Router(config-line)#speed 9600 規定與Modem通信的速率

       Router(config-line)#transport input all 允許所有協議使用該鏈路

       Router(config-line)#flowcontrol hardware 啟用RTS/CTS流控制

       Router(config-line)#login

       Router(config-line)#password new-password-of-this-line

增強用戶名和口令安全:

       Username name secret {[0] password | 5 encrypted-secret}

禁止用戶通過重啟路由器,輸入break健進入Rommon模式,從而重設密碼:

       No service password-recovery:所有對Rommon的訪問都被禁止.

配置認證失敗率:

       Security authentication faiture rate threshold-rate log

設置特權級別:

       Privilege mode {level level command | reset command}

       Router(config)#privilege exec level 2 ping

       Router(config)#enable secret level 2 new-password

       以上例子,給特權級別2的用戶在exec模式下增加了ping命令的使用.并設置了密碼.

配置banner消息:

       Banner {exec | incoming | login | motd | slip-ppp} d message d

安全的SNMP訪問配置:

       Snmp-server community string {ro | rw} [acl-number]

              其中acl-num是介于1-99的標準ACL.

       Snmp-server enable traps [notification-type]

              用于啟用發送所有的traps和inform.

       Snmp-server host host-address [traps | informs ] [version{1 | |3 [auth | noauth | priv]}] community-string [udp-portport-number] [notification-type] [vrf vrf-name]

       Snmp-server trap-source interface

              配置路由器發送trap的源接口,loopback0接口是很好地選擇.

Snmp代理發送的trap不如inform可靠;trap不需要接收方確認,而inform需要接收方確認.

No snmp-server host 命令可以關閉trap,但是不能關閉inform;為了關閉inform,需要使用命令:no snmp-server host informs.

 

 

第二章 Cisco路由器安全基礎(第二部分)

SNMP v3的增強特性:

       啟用snmpv3需要5個步驟

              1,配置SNMP服務器引擎ID

              Snmp-server engineID [local engineid-string] [remote ip-address [udp-port udp-port-number] [vrf vrf-name]engineid-string ]    

              2,配置SNMP服務器視圖

              Snmp-server view view-name oid-tree {included | excluded}

              3,配置SNMP服務器組名

              Snmp-server group group-name {v1 | v | v3 {auth | noauth | priv }} [read read-view-name] [write write-view-name] [notify notify-view-name] [acces access-list]

              4, 配置SNMP服務器主機

              Snmp-server host host-address [traps | informs ] [version{1 | |3 [auth | noauth | priv]}] community-string [udp-port port-number] [notification-type] [vrf vrf-name]

              5, 配置SNMP服務器用戶

              Snmp-server user username group-name [remote host [udp-port udp-port-number]] {v1 | v | v3 [encrypted] [auth {md5 | sha} auth-password]} [access access-list]

為Cisco邊界路由器配置AAA

Aaa new-model

在使用aaa new-model時候,一定要提供一種本地登陸的方法,防止當啟用AAA是,由于管理性會話失效,導致的不能訪問路由器.如下實施:

       Router(config)#aaa new-model

       Router(config)#username new-username password new-user’s-password

       Router(config)#aaa authentication login default local

Aaa authentication:

       Aaa authentication login:定義用戶試圖登陸路由器時要使用的認證步驟

              Aaa authentication login {default|list-name} method1 [method2…]

    Aaa authentication ppp:對使用PPP的串行接口上的用戶會話,定義要使用的認證步驟.

              Aaa authentication ppp {default|list-name} method1 [method2…]

Aaa authentication enable default:定義用戶試圖通過enable命令進入特權exec模式時使用的認證步驟.

              Aaa authentication enable default method1 [method2…]

Aaa authorization:

Aaa authorization {network | exec | command level | reverse-access | configuration} {default | list-name } method1[method2…]

       至少應該在路由器上配置以下記賬命令:

              Aaa accounting system wart-start local:用wait-start記賬方法審計系統事件.

              Aaa accounting network stop-only local:網絡中斷時,發送停止記賬通知.

Aaa accounting exec start-stop local:當exec過程開始時發送一個開始記賬通知,當exec過程結束時,發送一個停止記賬通知.

Aaa accounting commands 15 wait-start local:任何級別15的命令開始之前,發送一個開始記賬通知,并等待確認.當命令中止時,發送一個停止記賬通知.

AAA排障

       Debug aaa authentication

       Debug aaa authorization

       Debug aaa accounting

       以上三個命令對應的no命令,用于關閉debug.

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=387轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏