8 bước để bảo vệ Router Cisco

Chia sẻ: Hoang Thuy | Ngày: | Loại File: PDF | Số trang:4

Thêm vào BST

Báo xấu

82
lượt xem 11
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Việc đầu tiên là áp dụng vài quy tắc để hạn chế tất cả việc truy cập từ bên ngoài đến một số cổng của router. Bạn có thể khóa tất cả cổng, nhưng điều đó không cần thiết. Những lệnh bên dưới sẽ bảo vệ router của bạn chống lại vài cuộc tấn công thăm dò và, tất nhiên, sẽ hạn chế việc truy cập đến những cổng đó:

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: 8 bước để bảo vệ Router Cisco

8 bư c b o v Router Cisco 1- i u khi n vi c truy c p n router c a b n Vi c u tiên là áp d ng vài quy t c h n ch t t c vi c truy c p t bên ngoài n m t s c ng c a router. B n có th khóa t t c c ng, nhưng i u ó không c n thi t. Nh ng l nh bên dư i s b o v router c a b n ch ng l i vài cu c t n công thăm dò và, t t nhiên, s h n ch vi c truy c p n nh ng c ng ó: access-list 110 deny tcp any host $yourRouterIP eq 7 access-list 110 deny tcp any host $yourRouterIP eq 9 access-list 110 deny tcp any host $yourRouterIP eq 13 access-list 110 deny tcp any host $yourRouterIP eq 19 access-list 110 deny tcp any host $yourRouterIP eq 23 access-list 110 deny tcp any host $yourRouterIP eq 79 int x0/0 access-group in 110 ây $yourRouterIP là IP router c a b n và x0/0 là external interface c a b n. Chúng ta s dùng nó trong c bài này. 2- H n ch vi c truy c p b ng telnet Telnet không ph i là giao th c an toàn dùng, nhưng n u th c s b n mu n dùng nó (nên dùng ssh thì t t hơn) thì h n ch t t c vi c truy c p n nó (nên nh r ng vi c truy n thông tin s không ư c mã hóa). Cách t t nh t làm là dùng l nh access-list và access-class. access-list 50 permit 192.168.1.1 access-list 50 deny any log line vty 0 4 access-class 50 in exec-timeout 5 0 ây 192.168.1.1 là a ch IP cho phép telnet n router 3- Block nh ng gói tin x u B n không bao gi cho phép nh ng IP loopback/reserve t Internet n external interface và b n có th t ch i broadcast và a ch multicast. access-list 111 deny ip 127.0.0.0 0.255.255.255 any access-list 111 deny ip 192.168.0.0 0.0.0.255 any access-list 111 deny ip 172.16.0.0 0.0.255.255 any access-list 111 deny ip 10.0.0.0 0.255.255.255 any access-list 111 deny ip host 0.0.0.0 any access-list 111 deny ip 224.0.0.0 31.255.255.255 any access-list 111 deny icmp any any redirect
int x0/0 access-group in 111 4- H n ch SNMP SNMP ph i luôn luôn h n ch , tr khi b n mu n m i ngư i l y thông tin c a mình trên m ng. access-list 112 deny udp any any eq snmp access-list 112 permit ip any any interface x0/0 access-group 112 in Và n u b n không nh dùng SNMP thì vô hi u hóa nó luôn: no snmp-server 5- Mã hóa t t c m t kh u M t i u r t quan tr ng b o v t t c m t kh u c a b n là dùng thu t toán m nh nh t n u có th . M t kh u t ch exec ư c c p quy n truy c p n h th ng IOS. Có th dùng MD5, hi n gi m nh nh t trong Cisco IOS. enable secret $yourpassword L nh dùng mã hóa t t c m t kh u hi n th i trong h th ng là service password-encryption 6- Vô hi u hóa t t c nh ng d ch v không dùng n 6.1 – Disable Echo, Chargen và discard no service tcp-small-servers no service udp-small-servers 6.2 – Disable finger no service finger 6.3 – Disable httpd interface no ip http server 6.4 - Disable ntp (n u không dùng) ntp disable 7- Thêm vài tùy ch n b o m t 7.1 – Disable source routing no ip source-route 7.2 - Disable Proxy Arp no ip proxy-arp 7.3 - Disable ICMP redirects interface s0/0 (external interface c a b n) no ip redirects 7.4 - Disable Multicast route Caching
interface s0/0 (external interface c a b n) no ip mroute-cache 7.5 - Disable CDP no cdp run 7.6 - Disable direct broadcast (protect against Smurf attacks) no ip directed-broadcast 8- Ghi l i m i th (Log) k t thúc, b n ph i ghi l i m i th trên m t Log Server bên ngoài. B n ph i theo dõi thư ng xuyên h th ng và luôn phân tích file log. logging trap debugging logging 192.168.1.10 ây 192.168.1.10 là ip c a log server (c u hình như m t Syslog server) Tóm l i V i nh ng bư c như trên b n có th b o v cho router ch ng l i nh ng cu c t n công và tăng kh năng b o m t cho mình. ây có m t ví d , b n có th th y k t qu c a nmap trư c và sau khi áp d ng nh ng cách trên: Trư c: bash-2.05b# nmap -O 192.168.1.1 Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Interesting ports on (192.168.1.1): Port State Service 7/tcp open echo 9/tcp open discard 13/tcp open daytime 19/tcp open chargen 23/tcp open telnet 79/tcp open finger 80/tcp open http Remote OS guesses: AS5200, Cisco 2501/5260/5300 terminal server IOS 11.3.6(T1), Cisco IOS 11.3 - 12.0(11) Sau: bash-2.05b# nmap -P0 -O 192.168.1.1 Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Warning: OS detection will be MUCH less reliable because we did not find at least 1
open and 1 closed TCP port All 1601 scanned ports on (192.168.1.1) are: filtered Too many fingerprints match this host for me to give an accurate OS guess Nmap run completed -- 1 IP address (1 host up) scanned in 403 seconds