admin 管理员组

文章数量: 887021

     用autosecure加强CISCO路由器安全   CISCO IOS 12.3版本 Autosecure特性用于加强Cisco路由器的安全。
CISCO IOS 12.3及后续的12.3T版本,适用CISCO800,1700,2600,3600,3700,7200,7500系列路由器
        Autosecure是一个特权EXEC命令,允许管理员快速简便的消除很多潜在安全威胁。
    有助于更高效地实施Cisco路由器安全。
        Autosecure可以在目标路由器上执行以下任务:
           禁止某些潜在的不安全的全局服务
           启用某些基于安全的全局服务
           禁止某些潜在的不安全的接口服务
           启用恰当的安全相关的日志
           逐步加强对路由器管理访问的安全
           逐步加强路由器转发层面的安全
        Autosecure有两种操作模式
          1交互模式  提示管理员选择想要对路由器服务进行配置的方式,以及其他安全相关的特性
          2非交互模式  基于缺省情况来配置路由器的安全相关特性
         Autosecure命令:
             auto secure [management|forwarding] [no-interact]
                  management 只考虑管理层面的安全
                  forwarding 只考虑转发层面的安全
                  no-interact 非交互模式
安全的management层面服务
      下面全局服务被认为是具有高风险***因素的,会被autosecure禁止掉:
         Finger--禁止该项服务  让***者无法知晓登录路由器的有哪些人,包括登录位置
         PAD--禁止该项服务  防止***者访问路由器上的X.25 PAD命令设置
         小型服务器--禁止该项服务  防止***者借机发动DOS***
         CDP--禁止该项服务  防止***者利用已知的一个CDP安全威胁
         BOOTP--禁止该项服务  防止***者借机发送DOS***
         HTTP-禁止该项服务   防止***者访问HTTP路由器管理访问接口
         Identification--禁止该项服务  防止***者查询TCP端口身份
         NTP--禁止该项服务  防止***者破坏路由器时间基准
         源路由选择--禁止该项服务   防止***者利用老的基于cisco ios软件的路由器不能正确处理源路由选择的漏洞
         无根据ARP--禁止该项服务    防止路由器宣告自己接口的IP地址
      在启用autosecure后,下面全局服务被启用的有:
         服务口令加密  自动对所有路由器配置中的口令进行加密
         TCP keepalives in/out  允许路由器快速清除不用的TCP会话
      在启用autosecure后,下一步提示管理员创建一个安全旗标(banner)
      接下来,autosecure提示管理员配置以下内容:
         enable secret   autosecure会检查是否路由器的enable secret口令和enable口令相同,或者根本没有配置,如果相同,会提示输入一个新   的            enable secret口令
         AAA本地认证    autosecure会检查AAA本地认证已被启用,是否存在一个本地用户帐号。如果没有,会提示输入新的用户名和口令
         SSH服务器    autosecure会询问是否需要配置SSH服务器,答案肯定需要,autosecure会自动配置ssh超时为60秒,认证重复次数为2
         主机名 如果路由器使用的出厂缺省的router主机名,autosecure会提示输入一个唯一的主机名;(在SSH的密钥生成时,需要一个唯一的主机名)
         域名 autosecure会提示该路由器所属的域名。
      配置特定接口服务
         autosecure自动禁止所有路由器接口上的以下服务:
             IP重定向
             IP代理ARP
             IP不可达
             IP定向广播
             IP掩码应答
         autosecure通过完成以下操作来加强路由器转发层面安全
             启用CISCO快速前向转发(cisco express forwarding,CEF),必须路由器平台支持此类缓存
             为入口过滤建立以下三个扩展命名ACL(防欺骗)
                       autosec_private_block--阻塞RFC1918私用IP地址块
                       autosec_completc_block--阻塞源地址是组播,E类和其他IP地址的包,以及所有被列于此处的前两个ACL阻塞的地址
         autosecure配置入口过滤和CBAC
             在边界接口上配置入口过滤:  autosecure会询问是否要在路由器边界接口上采用入口过滤
             启用单播RPF:  autosecure会在所有连接因特网的接口上自动配置严格的单播RPF,有助于丢弃任何源欺骗数据包
             配置CBAC防火墙特性:  autosecure会询问是否在所有连接因特网的接口上启用一般的CBAC检查规则
         最后是检查配置并应用于运行配置中

转载于:https://blog.51cto/wangxiang2010/142888

本文标签: 路由器 autosecure Cisco