巧用Nipper检查你的思科路由器安全

　　最近在与一个负责网络管理的朋友交流的时候，我了解了Nipper这个强大的网络设备安全检查工具。尽管可以完成网络设备安全检查的工具有很多，Nipper却显得比较独特。下面就让我来告诉你为什么我会这样说。

　　什么是Nipper?

　　Nipper是网络架构分析器的英文Network Infrastrutcture Parser的缩写，它是一个开源网络设备安全检查工具。作为一个开源软件的好处之一当然首先是免费的。

　　此前被称为CiscoParse的Nipper在外观上并不是特别好看，但是它是一个实力派选手。它可以很容易的被安装和使用，而且可以对于宣称的功能一点不打折扣实现。

　　更令人印象深刻的是，它支持许多不同类型的网络设备，不仅仅思科设备。以下是Nipper可以审核的网络设备的一个简单列表：

　　·思科交换机(IOS)

　　·思科路由器(IOS)

　　·思科防火墙(PIX，ASA，FWSM)

　　·思科Catalyst交换机(NMP，CatOS，OS)

　　·思科内容服务交换机(CSS)

　　·JuniperNetScreen防火墙(Screen OS)

　　如何使用Nipper?

　　由于Nipper支持如此众多的设备，还号称支持众多功能选项，因此我不可能面面俱到的来演示它们。但是我们可以做一个基本的示范。在我们的例子中，我们将使用Nipper来审核一个只具有默认设置的思科路由器。

　　在开始之前，我拿来一个思科2600系列路由器，清空配置，然后将其重启。下面我们就可以开始审核这个路由器的过程了。

　　首先，从著名的开源网站上下载Nipper，它目前有Windows版和Linux版。将其解压到你的本地计算机上，我们假定其位置为C:\nipper。

　　接下来，获得一个文本版的这个路由器的配置文件。通过Telnet或SSH登录到路由器上，运行show running-configuration命令，并将显示的配置拷贝到一个记事本中，然后将其保存到前面所说的C:\nipper这个文件夹下。

　　当然，你也可以使用一个TFTP服务器来将配置拷到你的本地计算机中。举个例子来说，我使用Tftpd32.exe这个工具可以非常快速而简单的完成这个操作。使用了命令copy running-configuration tftp。

　　一旦在你的计算机上有了这个运行配置后，进入Windows命令行窗口，然后进入到Nipper目录下。运行如下命令，如下图所示：

　　nipper --ios-router --input=testrouterconfig.txt --output=audit.html

　　图1、运行命令

　　输入完该命令会，没有提供任何信息，光标就立刻回到提示符前。不过，不用担心，它已经搞定了。

　　接下来，打开一个浏览器，然后在地址栏中输入：c:\nipper\audit.html。一个安全报告将展现在你的眼前。下图是一个截屏。

　　图2、审核报告截屏

　　安全报告告诉了我们什么?

　　从这份安全报告中，你将看到Nipper提供了如下安全审核信息：

　　·具有安全风险的软件版本和这些安全风险的相关索引号;

　　·禁用那些可能导致别人能够访问这个路由器的建议;

　　·你需要使用哪些命令来加固这个路由器的安全性。

　　在我们这个例子中，Nipper告诉我们需要进行如下操作：

　　·为了防止Telnet远程拒绝服务(DoS)攻击和TCP监听拒绝服务(DoS)攻击，需要升级这个路由器的IOS。

　　·配置service tcp-keepalives-in命令，以阻止一个拒绝服务攻击。

　　·配置终端上的超时时间，以防止其他人从一个Telnet或console会话中获得对路由器的访问。

　　·配置HTTP服务为安全的HTTPS，并且启用认证。

　　·启用日志功能。

　　除了几个其他的建议外，Nipper还提供了这个设备配置的总结，例如，什么服务被打开或关闭，接口的状态，域名解析(DNS)，时区等等。

　　考虑到Nipper是一款如此小巧、简单而且免费的软件，却又能提供如此详细的报告和建议，不能不说这是令人吃惊的强大网络设备安全审核工具。你如果想了解更多关于Nipper的帮助信息，可以在命令行中输入C:\nipper\nipper -help 命令。