写给想知道Cisco 路由器SNMP管理问题的朋友

　　找论文的朋友注意了，这是一篇关于Cisco 路由器的技术性文档，介绍了比如时钟同步、SNMP管理、集中日志整理等技术问题。

　　在网上看到了一篇不错的论文，其中很详细的解析了关于Cisco 路由器的高深问题，比如系统日志管理、取消不必要的服务、集中日志整理的技术性能等等。

　　1.系统日志管理

　　多个用户共享一个账户是无法区分他们之间的活动的。默认的情况下，Cisco 路由器设备有两级的访问模式：用户模式和特权用户模式。用户可以认为特权用户同UNIX中的root或WindowsNT中的系统管理员是类似的。一般情况下，用户认证时不需要用户名只需要口令。普通用户登录模式和特权用户登录模式都是如此。但是许多机构是很多人同时共享同一口令，这样就有许多人共享路由器的口令。通过将RADIUS或者TACACS和AAA(认证、授权和审计)相结合，系统管理员可以将路由器基本结构信息存贮在NDS、AD或者其他中心口令库中。通过这种认证方式可以强制用户在登录时输入账户名和口令，这样便于清除审计痕迹。

　　2.取消不必要的服务

　　首先，取消一些不重要的、很少被使用服务；取消finger服务，因为它会给黑客提供许多有用信息。取消finger服务后，还要确认没有打开HTTP(Web)服务器。虽然系统的默认配置是这样的，还必须经过用户再确认一下。Cisco 路由器设备有Cisco专用协议，CDP(CiscoDiscoveryProtocol)。同finger一样，CDP本身没有什么威胁，但是它可以让黑客获得许多自己无法访问的信息。

　　3.网络管理注意事项

　　限制终端访问和取消不必要的服务是保护系统安全的重要部分。但是只进行这些工作是远远不够的，在管理方面还有很多有关系统程序上和管理上值得考虑的因素。

　　4.集中日志整理

　　安全专家认为大多数系统日志协议采用UDP的形式进行传输是不安全的。但是现在还没有较好的改进方法。如果系统有一个系统日志登录服务器，用户可以采用命令将输出集中到这个服务器。

　　5.口令存储注意事项

　　许多用户在FTP和TFTP服务器上保存路由配置文件和镜像信息。尽管保留备份是个良好的习惯，但是要确保这些文件的安全。要保证这些服务器有可靠的访问控制。接下来还可以采取两种预防措施。首先，使用Cisco 路由器的“加密”口令规则来代替普通的“使能”口令规则。使用无法逆转的MD5散列算法保存重要口令，采用一般加密算法保存一般口令。

　　6.时钟同步

　　网络时钟协议(NTP)定义了网络设备的时钟与系统的时钟同步规则。NTP是业界标准，NTP相当准确并且兼容性好——多种操作系统及各种路由器和交换设备都支持。

　　7.SNMP管理

　　许多组织经常使用SNMP，还有些组织现在希望将来使用。不论其应用前景如何，有两点要注意：如果用户不需要SNMP，最好取消；如果要使用SNMP，最好正确配置Cisco 路由器。但是，如果用户一定要使用SNMP，可以对其进行保护。首先，SNMP有两种模式：只读模式(RO)和读写模式(RW)。如果可能，使用只读模式，这样可以最大限度的控制用户的操作，即使在攻击者发现了通信中的字符串时，也能限制其利用SNMP进行侦察的目的，还能阻止攻击者利用其修改配置。如果必须使用读写模式，最好把只读模式与读写模式使用的通信字符串区别开来。最后可以通过访问控制列表来限制使用SNMP的用户。