科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道独树一帜 用Nipper审核路由器安全性(组图)

独树一帜 用Nipper审核路由器安全性(组图)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

你确信自己的路由器安全吗?你用什么工具管理自己的路由器的安全性?近来,笔者从一位网络管理员处得知了这个软件。虽然现在有许多工具可以审核网络设备的安全性,而Nipper在这方面却是独树一帜。

作者:zdnet安全频道 来源:论坛整理 2008年11月16日

关键字: Nipper 路由器

  • 评论
  • 分享微博
  • 分享邮件
你确信自己的路由器安全吗?你用什么工具管理自己的路由器的安全性?近来,笔者从一位网络管理员处得知了这个软件。虽然现在有许多工具可以审核网络设备的安全性,而Nipper在这方面却是独树一帜。下面结合笔者的使用经验,我们看看它是如何审核思科路由器的安全性。

  Nipper是怎样一个软件

  其实Nipper是Network Infrastructure Parser的简写,应该说它是网络架构的剖析器。Nipper是一个开源的网络设备安全审核工具。开源的好处当然是它的免费性。Nipper以前被称为CiscoPars,界面朴素,不过功能强大,并且易于安装和使用,能够精确完成所承诺的任务。Nipper能够处理网络设备配置文件,对网络设备执行安全审核,并能够输出一个带有建议信息的安全报告,还可输出一个配置报告。Nipper目前支持Cisco IOS, PIX, ASA, FWSM, NMP, CatOS and Juniper NetScreen等设备。

  可以说,它可以与许多不同的网络设备协同工作,而不仅仅是思科的。具体来说, Nipper能够审核的网络兼容设备有:思科交换机(IOS)、思科路由器(IOS)、思科防火墙(PIX,ASA,FWSM)、思科Catalyst交换机(NMP,CatOS,IOS)、思科Content Service交换机、Juniper NetScreen防火墙(ScreenOS)。

  如何使用Nipper?

  Nipper支持许多设备并拥有许多选项,在此笔者不打算展示其所有的功能。不过,笔者将展示其基本的应用。对本文的例子来说,我们将用Nipper来审核一个仅拥有默认配置的思科路由器。

  为进行审核,笔者采用了思科2600 Series路由器,清除了原来手动配置信息,并重新启动之。然后,就开始了审核路由器的过程。

  首先,从Sourceforge.net(http://downloads.sourceforge.net/nipper/nipper-0.10.7.zip?modtime=1192735478&big_mirror=0,此链接下载得到的是Windows平台的Nipper,此软件还有一个在Linux平台也可正常运行版本)下载Nipper,。将其解压到计算机的一个文件夹中,如C:\ nipper

  下一步,获得路由器配置文件的文本信息。用Telnet或SSH方式登录到路由器,使用show running-configuration命令,将输出结果复制、粘贴到记事本中,将其保存在前面创建的C:\nipper文件夹中。

  作为选择,你可以使用一个TFTP服务器并将其配置复制到你的本地PC中。例如,笔者用Tftpd32.exe试验过,运行起来既快又简单。复制时请使用copy running-configuration tftp命令。

  在将需要审核的的配置文件在PC中准备好以后,切换到Windows命令提示窗口,键入“cd nipper”命令,然后键入:

  nipper --ios-router --input=testrouterconfig.txt --output=audit.html。如下图1所示:

  系统将回返回到命令提示符状态,并没有返回任何信息。不过,不要紧,它已经开始工作。

  下一步,打开一个Web浏览器,并在其地址栏中输入如下的内容:c:\nipper\audit.html。这样就会打开一个安全报告。下图2.bmp展示了安全审核的屏幕窗口:

  Nipper告诉我们什么信息

  浏览上图中的安全报告,你将会看到Nipper提供的安全审核信息,例如:

  1. 拥有漏洞的软件版本号,以及这些漏洞的参考数目。

  2. 给用户提供一些建议,帮助用户禁用那些会导致其他人访问这台路由器的服务。

  3. 你需要启用的可以保障路由器安全的命令。

  在本例中,Nipper告诉我们需要执行如下操作:

  1. 升级路由器的IOS,防止会导致Telnet远程DoS攻击的漏洞和TCP监听者DoS攻击的漏洞。

  2. 配置service tcp-keepalives-in 命令以有助于防止DoS攻击。

  3. 在控制台上配置超时数,用以防止任何人通过Telnet或控制台会话访问路由器。

  4. 启用日志功能。

  除了其它的几个建议之外,Nipper还提供了一个设备的总结性信息:哪些服务打开了,哪些服务关闭了,线路状态,接口状态,DNS,时区等等。

  虽然Nipper如此娇小、简易,又是免费的软件,却为我们提供了如此强大的网络设备安全审核功能。要得到Nipper的帮助信息,用户在下载、解压程序后可以键入“nipper -help”命令得到帮助信息。笔者相信,你在用了之后一定会喜欢的。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章