第二章 Cisco路由器安全基础

来源:本站原创 CISCO 超过679 views围观 0条评论

第二章 Cisco路由器安全基础

配置最小口令长度:

       Security passwords min-length min-length-of-password(从0到16)

Line console 0 模式下login命令的目的:

       Enable password checking at login.(启用login上的口令检查)

       另外通过配置ACL,只允许特定的主机可以telnet访问该路由器.

配置AUX口和配置其口令

       Router(config)#interface aux 0

       Router(config-line)#modem inout 允许该链路上Modem进入和外出呼叫.

       Router(config-line)#speed 9600 规定与Modem通信的速率

       Router(config-line)#transport input all 允许所有协议使用该链路

       Router(config-line)#flowcontrol hardware 启用RTS/CTS流控制

       Router(config-line)#login

       Router(config-line)#password new-password-of-this-line

增强用户名和口令安全:

       Username name secret {[0] password | 5 encrypted-secret}

禁止用户通过重启路由器,输入break健进入Rommon模式,从而重设密码:

       No service password-recovery:所有对Rommon的访问都被禁止.

配置认证失败率:

       Security authentication faiture rate threshold-rate log

设置特权级别:

       Privilege mode {level level command | reset command}

       Router(config)#privilege exec level 2 ping

       Router(config)#enable secret level 2 new-password

       以上例子,给特权级别2的用户在exec模式下增加了ping命令的使用.并设置了密码.

配置banner消息:

       Banner {exec | incoming | login | motd | slip-ppp} d message d

安全的SNMP访问配置:

       Snmp-server community string {ro | rw} [acl-number]

              其中acl-num是介于1-99的标准ACL.

       Snmp-server enable traps [notification-type]

              用于启用发送所有的traps和inform.

       Snmp-server host host-address [traps | informs ] [version{1 | |3 [auth | noauth | priv]}] community-string [udp-portport-number] [notification-type] [vrf vrf-name]

       Snmp-server trap-source interface

              配置路由器发送trap的源接口,loopback0接口是很好地选择.

Snmp代理发送的trap不如inform可靠;trap不需要接收方确认,而inform需要接收方确认.

No snmp-server host 命令可以关闭trap,但是不能关闭inform;为了关闭inform,需要使用命令:no snmp-server host informs.

 

 

第二章 Cisco路由器安全基础(第二部分)

SNMP v3的增强特性:

       启用snmpv3需要5个步骤

              1,配置SNMP服务器引擎ID

              Snmp-server engineID [local engineid-string] [remote ip-address [udp-port udp-port-number] [vrf vrf-name]engineid-string ]    

              2,配置SNMP服务器视图

              Snmp-server view view-name oid-tree {included | excluded}

              3,配置SNMP服务器组名

              Snmp-server group group-name {v1 | v | v3 {auth | noauth | priv }} [read read-view-name] [write write-view-name] [notify notify-view-name] [acces access-list]

              4, 配置SNMP服务器主机

              Snmp-server host host-address [traps | informs ] [version{1 | |3 [auth | noauth | priv]}] community-string [udp-port port-number] [notification-type] [vrf vrf-name]

              5, 配置SNMP服务器用户

              Snmp-server user username group-name [remote host [udp-port udp-port-number]] {v1 | v | v3 [encrypted] [auth {md5 | sha} auth-password]} [access access-list]

为Cisco边界路由器配置AAA

Aaa new-model

在使用aaa new-model时候,一定要提供一种本地登陆的方法,防止当启用AAA是,由于管理性会话失效,导致的不能访问路由器.如下实施:

       Router(config)#aaa new-model

       Router(config)#username new-username password new-user’s-password

       Router(config)#aaa authentication login default local

Aaa authentication:

       Aaa authentication login:定义用户试图登陆路由器时要使用的认证步骤

              Aaa authentication login {default|list-name} method1 [method2…]

    Aaa authentication ppp:对使用PPP的串行接口上的用户会话,定义要使用的认证步骤.

              Aaa authentication ppp {default|list-name} method1 [method2…]

Aaa authentication enable default:定义用户试图通过enable命令进入特权exec模式时使用的认证步骤.

              Aaa authentication enable default method1 [method2…]

Aaa authorization:

Aaa authorization {network | exec | command level | reverse-access | configuration} {default | list-name } method1[method2…]

       至少应该在路由器上配置以下记账命令:

              Aaa accounting system wart-start local:用wait-start记账方法审计系统事件.

              Aaa accounting network stop-only local:网络中断时,发送停止记账通知.

Aaa accounting exec start-stop local:当exec过程开始时发送一个开始记账通知,当exec过程结束时,发送一个停止记账通知.

Aaa accounting commands 15 wait-start local:任何级别15的命令开始之前,发送一个开始记账通知,并等待确认.当命令中止时,发送一个停止记账通知.

AAA排障

       Debug aaa authentication

       Debug aaa authorization

       Debug aaa accounting

       以上三个命令对应的no命令,用于关闭debug.

文章出自:CCIE那点事 http://www.jdccie.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 禁止全文转载。
本文链接:http://www.jdccie.com/?p=387转载请注明转自CCIE那点事
如果喜欢:点此订阅本站
  • 相关文章
  • 为您推荐
  • 各种观点

暂时还木有人评论,坐等沙发!
发表评论

快捷键:Ctrl+Enter