網路的工作方式是使用兩種裝置

2021-03-04 09:44:41 字數 4641 閱讀 6049

網路的工作方式是使用兩種裝置,交換機和路由器將計算機和外圍裝置連線起來。這兩種工具使連線到網路上的裝置之間以及其它網路相互通訊。雖然路由器和交換機看起來很像,但是它們在網路中的功能卻截然不同:

交換機主要用於將一棟大廈或乙個校園裡的多台裝置連線到同乙個網路上。路由器主要用於將多個網路連線起來。首先,路由器會分析網路傳送的資料,改變資料的打包方式,然後將資料傳送到另乙個網路上或者其他型別的網路上。

它們將公司與外界連線起來,保護資訊不受安全威脅,甚至可以決定哪些計算機擁有更高的優先順序。

系統管理員和安全專家經常花費大量的精力配置各種防火牆、web伺服器和那些組成企業網路的基礎裝置。但是,他們經常會忽略路由器和交換機。這經常會導致黑客監聽網路資料報、修改路由和其他一些惡意攻擊行為。

本文對cisco路由器和交換機技術應用進行分析和**。

1網路基礎裝置的問題

儘管很多攻擊的目標是終端主機——如web伺服器、應用伺服器和資料庫伺服器,許多使用者忽略了網路基礎裝置的安全問題。路由器和交換機不僅可以被攻擊還可以作為黑客進行攻擊的工具,還是黑客收集有用資訊的合適裝置。cisco路由器和交換機有自己的作業系統,或者被稱為cisco ios(網路作業系統)。

同其他作業系統一樣,早期的版本有許多漏洞,如果使用者沒有公升級,會帶來很多問題。

從應用的角度看,路由器和交換機不僅可以作為攻擊目標,還可以幫助黑客隱瞞身份、建立監聽裝置或者產生噪音。例如,很多cisco交換機可以建立乙個監視埠來監聽交換機的其他埠。這樣管理員和黑客就可以把交換機上看到的網路資料報備份到乙個指定的交換機埠。

儘管管理員努力在系統中杜絕集線器造成的監聽問題,但是如果黑客可以通過交換機訪問網路,網路安全便面臨危險。

2定期公升級系統

任何系統都必須注重及時公升級。cisco公司一直注重ios在版本更新、公升級與發布策略,且cisco公布的系統版本相對穩定。分析網路基礎裝置時要做的第一件事情就是調查在系統上執行的各種ios系統的情況。

使用show version命令可以方便地查到這些資訊。如果使用者發現系統中有的10s系統版本比較老,在進行公升級前最好與公升級所花費的精力和金錢比較一下,考慮一下「如果沒有問題,不需要公升級」這句話。比ios系統版本更重要的是這個版本是否已超過了使用週期。

cisco定義了三種階段:

早期開發階段(early deployment,ed)。這個時期的10s系統有一些還不成熟的新特性, 會有許多毛病。

區域性開發階段(limited deployment,ld)。處於這個狀態的ios主要是針對ed系統中漏洞而進行改進的版本。

普通開發階段(general deployment,gd)。這個階段的ios系統更強調系統的穩定性,基本上沒有漏洞。

儘管使用者都希望使用最新的i0s系統,但我還要提醒使用者注意自己的實際需求,gd版本將指出系統的大量已經發現的漏洞,通常是乙個已經解決了發現的漏洞的版本。除非發現此版本的系統有很嚴重的漏洞這別無選擇,只有公升級。

3配置cisco路由器

cisco路由器在主機級上比unix系統容易保護,這是因為系統提供的可遠端訪問的服務較少。路由器要進行複雜的路由計算並在網路中起著舉足輕重的作用,它沒有bind、imap、pop、sendmail等服務——而這些是unix系統中經常出問題的部分。

儘管訪問路由器的方式相對少一些,但是還要進行進一步的配置以限制對路由器更深一步的訪問。

3.1保護登入點

大多數cisco路由器還是通過遠端登入方式進行控制的,沒有採用任何形式的加密方法。採用遠端登入方式進行的通訊都是以明文傳輸,很容易洩露登入口令。儘管cisco ios12.

1採用了ssh l的加密手段,仍然存在很多問題。

在cisco公司考慮使用ssh之前(希望他們採用ssh 2版本),使用者都只能使用tel***。但是,還是有很多方法可以控制對路由器的訪問,從而限制非授權使用者對路由器的訪問。登入到路由器的方式有:

通過物理控制台埠;通過物理輔助埠;通過其他物理串列埠(僅指在具有埠的模型上);通過遠端登入方式進入乙個單元的ip位址中。前三種方式需要物理介面,這樣很容易控制。下面主要討論第四種方式。

cisco路由器有5個可以遠端登入的虛擬終端或稱為vty。採用遠端登入時要注意兩點。首先,要確認通過所有的vty登入都需要口令。配置時可以採用如下命令:

router1 (config)#line vty 0 4

router1 (config)#password fabi0!

這樣通過vty登入時需要輸人口令「fabi0!」。其次,使用者可以增加控制級別來防止黑客的入侵,可以同時繫結5個vty。具體的命令如下:

router1 (config)#line vty 0 4

router1 (config-line)#exec-timeout 1

router1 (config-line)#exit

router1 (config)#service tcp-keepalives.in

這些命令設定vty的時間限制為1分鐘,限制tcp連線的時間長度。除了上述命令,使用者還可以設定標準的訪問列表以限制可以遠端登入到路由器本身內的工作站的數量。例如,假定系統的管理網段是10.

1.1.0,你將被遠端登入的地方,下列命令可以限制對該範圍內的進站遠端登入會話的數量,命令如下:

router1 (config)#access-list 1 permit 10.1.1.0 0.0.0.255

router1 (config)#access-list 1 deny any

router1 (config)#line vty 0 4

router1 (config.line)#access-class 1 in

說到考慮物理訪問,有兩點要注意:控制台埠和輔助管理埠,輔助埠是為通過數據機等裝置訪問路由器而設定的,對這個埠進行保護很重要。可以通過如下命令:

router1 (config)#line aux 0

router1 (config.line)#password fabi0!

router1 (config)#line console 0

router1 (config.line)#password fabi0!

3.2系統日誌管理

多個使用者共享乙個賬戶是無法區分他們之間的活動的。預設的情況下,cisco裝置有兩級的訪問模式:使用者模式和特權使用者模式。

使用者可以認為特權使用者同unix中的root或windows nt中的系統管理員是類似的。

一般情況下,使用者認證時不需要使用者名稱只需要口令。普通使用者登入模式和特權使用者登入模式都是如此。但是許多機構是很多人同時共享同一口令,這樣就有許多人共享路由器的口令。

通過將radius或者tacacs和aaa(認證、授權和審計)相結合,系統管理員可以將路由器基本結構資訊存貯在nds、ad或者其他中心口令庫中。通過這種認證方式可以強制使用者在登入時輸入賬戶名和口令,這樣便於清除審計痕跡。

3.3取消不必要的服務

首先,取消一些不重要的、很少被使用服務;取消finger服務,因為它會給黑客提供許多有用資訊。取消finger服務後,還要確認沒有開啟http(web)伺服器。雖然系統的預設配置是這樣的,還必須經過使用者再確認一下。

cisco裝置有cisco專用協議,cdp(cisco discovery protocol)。同finger一樣,cdp本身沒有什麼威脅,但是它可以讓黑客獲得許多自己無法訪問的資訊。

4網路管理注意事項

限制終端訪問和取消不必要的服務是保護系統安全的重要部分。但是只進行這些工作是遠遠不夠的,在管理方面還有很多有關系統程式上和管理上值得考慮的因素。

4.1集中日誌瞥理

安全專家認為大多數系統日誌協議採用udp的形式進行傳輸是不安全的。但是現在還沒有較好的改進方法。如果系統有乙個系統日誌登入伺服器,使用者可以採用命令將輸出集中到這個伺服器。

4.2口令儲存注意事項

許多使用者在ftp和tftp伺服器上儲存路由配置檔案和映象資訊。儘管保留備份是個良好的習慣,但是要確保這些檔案的安全。要保證這些伺服器有可靠的訪問控制。

接下來還可以採取兩種預防措施。首先,使用cisco的「加密」口令規則來代替普通的「使能」口令規則。使用無法逆轉的md5雜湊演算法儲存重要口令,採用一般加密演算法儲存一般口令。

4.3時鐘同步

網路時鐘協議(ntp)定義了網路裝置的時鐘與系統的時鐘同步規則。ntp是業界標準, ntp相當準確並且相容性好——多種作業系統及各種路由器和交換裝置都支援。

4.4snmp管理

許多組織經常使用snmp,還有些組織現在希望將來使用。不論其應用前景如何,有兩點要注意:如果使用者不需要snmp,最好取消;如果要使用snmp,最好正確配置。

但是,如果使用者一定要使用snmp,可以對其進行保護。首先,snmp有兩種模式:唯讀模式(ro)和讀寫模式(rw)。

如果可能,使用唯讀模式,這樣可以最大限度的控制使用者的操作,即使在攻擊者發現了通訊中的字串時,也能限制其利用snmp進行偵察的目的,還能阻止攻擊者利用其修改配置。如果必須使用讀寫模式,最好把唯讀模式與讀寫模式使用的通訊字串區別開來。最後可以通過訪問控制列表來限制使用snmp的使用者。

參考文獻:

[1]秦建文.基於cisco路由器的網路安全控制技術及其實現[j].電腦開發與應用,2002,(7).

[2]朱培棟,盧澤新,盧錫城.網路路由器核心安全技術[j].國防科技參考,2000,(1).

[3]周婕.安全路由器關鍵技術**[j].海軍航空工程學院學報,2008,(3).

[4]柳文波.路由器和交換機的安全策略[j].華南金融電腦,2003,(12).

[5]胡宇翔,蘭巨龍,程東年,等.核心路由器中安全機制的分布式設計與實現[j].計算機工程, 2008,(7).

學習是一種工作方式

眭昆過去人們習慣於把學習侷限在學校和青少年階段,現在這一概念已遠遠過時了。據聯合國教科文組織專家分析發現 農業經濟時代,在學校讀6 7年書就可應付以後40年的需要 工業經濟時代,教育學習已需要14 15年 知識經濟時代,則學習需要延長為 80年制 終身制 還有資料顯示,上個世紀60年代,知識倍增週期...

茶葉「醒茶」的兩種方式

醒茶,通俗的說,就是使沉睡或塵封的茶葉通過與空氣 水分的接觸甦醒過來,令葉片自然的呼吸,重新煥發出茶葉的本質。通常所說的醒茶包含兩個方面 1 幹醒 沖泡前的喚醒 2 濕醒 沖泡時的喚醒。幹醒 幹醒茶是通過改變普洱茶的儲存方式,達到喚醒茶質 凝聚茶香的目的。1 首先是去掉包裝,解散緊壓的茶餅。解茶時需...

高手的七種工作方式

1 匯報工作說結果 匯報工作不是要告訴領導你的工作過程多艱辛,你多麼不容易。要做到舉重若輕,一定要把結果匯報給領導,結果思維是第一思維。2 請示工作說方案 不要讓領導做問答題,而是要讓領導做選擇題。請示工作至少保證給領導兩個方案,並表達自己的看法。3 總結工作說流程 做工作總結要描述流程,不只是先後...