六月丁香五月婷婷,丁香五月婷婷网,欧美激情网站,日本护士xxxx,禁止18岁天天操夜夜操,18岁禁止1000免费,国产福利无码一区色费

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 網(wǎng)絡(luò)知識 > 路由器 > 路由器設(shè)置 > cisco思科 > 怎么防止黑客入侵cisco路由器

怎么防止黑客入侵cisco路由器

時間: 權(quán)威724 分享

怎么防止黑客入侵cisco路由器

  cisco依靠自身的技術(shù)和對網(wǎng)絡(luò)經(jīng)濟模式的深刻理解,使他成為了網(wǎng)絡(luò)應(yīng)用的成功實踐者之一,他制造的路由器也是全球頂尖的,那么你知道怎么防止黑客入侵cisco路由器嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于怎么防止黑客入侵cisco路由器的相關(guān)資料,供你參考。

  防止黑客入侵cisco路由器的方法:

  (1).接管Cisco路由器

  筆者最近對某日本站點(http://www.*.co.jp)進行安全檢測,探測得知該Web服務(wù)器只開放了80端口似乎無法進一步滲透。另外,Ping該網(wǎng)站的域名回顯的IP為210.224.*.69,TTL為44。依據(jù)該TTL值判斷,該Web站點應(yīng)該采用類似Unix/Linux的服務(wù)器。結(jié)合站點內(nèi)容,筆者憑經(jīng)驗判斷Web后面的這家企業(yè)的規(guī)模一定不小,其網(wǎng)絡(luò)中的主機一定比較多。既然如此,應(yīng)有比較專業(yè)的網(wǎng)絡(luò)設(shè)備,比如大型的路由器、交換機什么的,說不定還是cisco的產(chǎn)品。另外,既然是大公司一定有他們自己的公網(wǎng)IP段。

  基于上面的考慮,筆者決定利用IP Network Browser工具對范圍為210.224.*.1~~~210.224.*.254的IP段進行掃描,看是否Cisco路由器或者交換機什么的網(wǎng)絡(luò)設(shè)備。需要說明的是IP Network Browser是SolarWinds網(wǎng)管軟件集中的一個工具,通過它可以掃描出某個IP段內(nèi)的網(wǎng)絡(luò)設(shè)備。

  運行IP Network Browser,輸入210.224.*.1~~~210.224.*.254網(wǎng)段進行掃描,掃描的結(jié)果不出所料,IP地址為210.224.*.1的設(shè)備是一個路由器,而且是cisco的,通過查看Community String發(fā)現(xiàn)其權(quán)限是private即個人權(quán)限。(圖1)

  利用SolarWinds工具包中的Config Download可以下載路由器的配置文件。在工具中輸入該IP地址進行下載,很幸運下載成功。然后通過Config Viewer工具查看剛才下載下來的路由器配置文件,發(fā)現(xiàn)該路由器的特權(quán)密碼加密了顯示為:enable secret 5 class="main">

怎么防止黑客入侵cisco路由器

時間: 權(quán)威724 分享

  打開命令提示符,輸入命令telnet 210.224.*.1,連接路由器,成功連接,輸入vty密碼cisco成功進入用戶模式。在命令提示符下輸入en,回車后輸入cisco竟然成功進入cisco路由器的特權(quán)模式!至此該cisco路由器的被完全控制了。安全期間,在路由器中輸入命令show user,查看是否有其他人登錄。結(jié)果顯示沒有其他的登錄,我們可以進行進一步的安全測試。這里不得不說說,管理員的疏忽大意,缺乏安全意識。雖然特權(quán)密碼采用了加密方式,但是竟然與console和vty密碼一樣,這樣對特權(quán)密碼加密有什么用呢?另外,密碼設(shè)的比較簡單,cisco這是很容易猜出來的。可見網(wǎng)絡(luò)安全和木桶原理的類似,總是從最薄弱的環(huán)節(jié)中被突破。(圖3)

  (2).Cisco下的攻擊測試

  既然控制了路由器,但是我們還不能確定該路由器就是這家公司的,以及它與web服務(wù)器的關(guān)系。通過在路由器上輸入命令show ip interface brif,發(fā)現(xiàn)該路由器的幾乎所有的servil(串口)接口都處于激活狀態(tài),而快速以太網(wǎng)接口只有fastEthernet 0/1處于激活狀態(tài),并且該接口的IP地址為210.224.*.1,子網(wǎng)掩碼為255.255.255.0。因此基本可以斷定,該路由器就是這家公司的,該公司的WEb服務(wù)器連接到了路由器的fastEthernet 0/1上。同時,也可以大概地推測出該公司的網(wǎng)絡(luò)拓撲。應(yīng)該是Internet后面有個硬件防火墻,在防火墻的后面連接了cisco路由器,而WEB服務(wù)器就連接在路由器上,通過路由器與外網(wǎng)相連。

  既然控制了該公司與外網(wǎng)連接的唯一設(shè)備路由器,別說一個web服務(wù)器,該公司的所有的internet都被控制了。筆者就以web服務(wù)器為例進行了安全測試,在cisco路由器安全模式下輸入如下命令:

  cisco#configure terminal

  Enter configuration commands, one per line. End with CNTL/Z.

  cisco(config)#int

  cisco(config)#interface fastEthernet 0/1

  cisco(config-if)#access-list 101 deny ip host 210.224.*.69 any

  cisco(config)#access-list 101 permit ip any any

  上面的cisco命令是創(chuàng)建訪問控制列表,阻止通過路由器的fastEthernet 0/1對IP地址為210.224.*.69(web服務(wù)器)的訪問。(圖4)

  命令完成后在瀏覽器中輸入http://www.*.co.jp訪問,不出所料網(wǎng)頁不能打開。(圖5)

  由于是安全測試,恢復(fù)網(wǎng)站的訪問,在cisco路由器上輸入命令

  cisco(config)#int fastEthernet 0/1

  cisco(config)#no access-list 101 deny ip host 210.224.*.69 any

  2、防范措施

  其實上面的測試并非偶然,筆者利用類似的方法就獲得過本地電信的兩個Cisco路由器的密碼,并成功進行登錄。那是如何安全部署防止類似的Cisco路由攻擊呢?

  (1).最小權(quán)限。Cisco路由器可以通過conso(控制臺)和Vty(終端)進行登錄,并且其有多個vty。作為管理員要盡可能地少開啟vty,并且根據(jù)需要為其賦予不同的權(quán)限(0-15)。要遵循最小權(quán)限原則,只賦予所需的權(quán)限即可。特別是Vty權(quán)限的設(shè)置一定要注意,因為其可以遠程登錄。另外,路由器的VTY是有限的,當(dāng)所有的vty用完之后就不能再建立遠程連接了,因此我們可以通過exec-timeout命令配置vyt超時,避免因此造成的針對路由器的DOS攻擊。(圖6)

  (2).口令加強。攻擊者控制路由器首先要獲取控制臺或者終端的登錄密碼,一條復(fù)雜的密碼就能夠較大程度上杜絕來自于社會工程學(xué)的攻擊。除了密碼足夠復(fù)雜外,使用enable secret命令口令進行加密,這是一定要做的。從上面的安全測試可以看到就是攻擊者者下載到路由器的配置文件,如果密碼加密他也無可奈何,因為Cisco的密碼是128位加密的幾乎沒有被破解的可能性。另外,可以使用service password-encryption命令對于存儲在路由器配置文件中的所有口令和類似的數(shù)據(jù)進行加密,這樣可以避免明文的配置文件被查看。

  (3).訪問控制。除了口令加強外,還要做好路由器的訪問控制??梢愿鶕?jù)安全需要建立相應(yīng)的訪問列表,防范諸如偽造、Dos等惡意攻擊。做訪問控制,不僅要對外而且要對內(nèi)的端口進行訪問控制,利用我們可以在路由器中建立如下的訪問列表

  Router(config-if)#access-list 101 deny icmp any any redirect

  Router(config)#access-list 102 deny ip 127.0.0.0 255.255.255.0 any

  Router(config)#access-list 103 deny ip 224.0.0.0 31.255.255.255 any

  作用是拒絕所有的Icmp重定向,拒絕Loopback的數(shù)據(jù)包,拒絕多目地址的數(shù)據(jù)包。(圖8)

  (4).安全管理。對于cisco路由器的管理,除了可以通過conso和vty之外,有些用戶更習(xí)慣通過snmp或者http來管理,此時一定要加強安全措施。因為snmp目前使用最多的版本1,是明文認證其采用缺省的community的public和private,上面安全測試中之所以能夠下載配置文件就是它導(dǎo)致的,因此我們要盡量采用snmp v2。另外,http也是明文傳送的當(dāng)進行遠程口令配置的時候就容易被嗅探,因此我們最好用IP http access-class命令來限定訪問地址。

  (5).規(guī)劃網(wǎng)絡(luò)。基于安全性的考慮,局域網(wǎng)中最好不要該Cisco路由器公網(wǎng)地址,將其直接暴露在Internet中。如果迫不得已,一定要在網(wǎng)絡(luò)拓撲是做好安全部署,比如利用硬件防火墻或者類似蜜罐技術(shù)來保護路由器的安全。

  總結(jié):路由器特別是Cisco這樣的核心路由器,其安全性緊扣網(wǎng)絡(luò)命門。作為管理員人員,一定要做好安全規(guī)劃和部署,注意安全細節(jié)。希望本文的安全測試能夠引起大家最路由器安全的重視,文中提供的防范措施能夠助大家進一步加固路由器安全。

570276