一、 网络结构及安全脆弱性
为了使设备配置简单或易于用户使用,Router或Switch初始状态并没有配置安全措施,所以网络具有许多安全脆弱性,因此网络中常面临如下威胁:
1. DDOS攻击
2. 非法授权访问攻击。
口令过于简单,口令长期不变,口令明文创送,缺乏强认证机制。
3.IP地址欺骗攻击
….
利用Cisco Router和Switch可以有效防止上述攻击。
二、保护路由器
2.1 防止来自其它各省、市用户Ddos攻击
最大的威胁:Ddos, hacker控制其他主机,共同向Router访问提供的某种服务,导致Router利用率升高。
Ddos是最容易实施的攻击手段,不要求黑客有高深的网络知识就可以做到。
如SMURF DDOS 攻击就是用最简单的命令ping做到的。利用IP 地址欺骗,结合ping就可以实现DDOS攻击。
防范措施:
应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击。
以下是引用片段: Router(config-t)#no service finger Router(config-t)#no service pad Router(config-t)#no service udp-small-servers Router(config-t)#no service tcp-small-servers Router(config-t)#no ip http server Router(config-t)#no service ftp Router(config-t)#no ip bootp server |
以上均已经配置。
防止ICMP-flooging攻击。
以下是引用片段: Router(config-t)#int e0 Router(config-if)#no ip redirects Router(config-if)#no ip directed-broadcast Router(config-if)#no ip proxy-arp Router(config-t)#int s0 Router(config-if)#no ip redirects Router(config-if)#no ip directed-broadcast Router(config-if)#no ip proxy-arp |
以上均已经配置。
除非在特别要求情况下,应关闭源路由:
以下是引用片段: Router(config-t)#no ip source-route |
以上均已经配置。
禁止用CDP发现邻近的cisco设备、型号和软件版本。
以下是引用片段: Router(config-t)#no cdp run Router(config-t)#int s0 Router(config-if)#no cdp enable |
如果使用works2000网管软件,则不需要此项操作,此项未配置。
使用CEF转发算法,防止小包利用fast cache转发算法带来的Router内存耗尽、CPU利用率升高。
以下是引用片段: Router(config-t)#ip cef |