科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道路由交换写给想知道Cisco 路由器SNMP管理问题的朋友

写给想知道Cisco 路由器SNMP管理问题的朋友

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

找论文的朋友注意了,这是一篇关于Cisco 路由器的技术性文档,介绍了比如时钟同步、SNMP管理、集中日志整理等技术问题。在网上看到了一篇不错的论文,其中很详细的解析了关于Cisco 路由器的高深问题,比如系统日志管理、取消不必要的服务、集中日志整理的技术性能等等。

来源:网界网 2009年11月26日

关键字: CISCO 思科

  • 评论
  • 分享微博
  • 分享邮件

  找论文的朋友注意了,这是一篇关于Cisco 路由器的技术性文档,介绍了比如时钟同步、SNMP管理、集中日志整理等技术问题。

  在网上看到了一篇不错的论文,其中很详细的解析了关于Cisco 路由器的高深问题,比如系统日志管理、取消不必要的服务、集中日志整理的技术性能等等。

  1.系统日志管理

  多个用户共享一个账户是无法区分他们之间的活动的。默认的情况下,Cisco 路由器设备有两级的访问模式:用户模式和特权用户模式。用户可以认为特权用户同UNIX中的root或WindowsNT中的系统管理员是类似的。一般情况下,用户认证时不需要用户名只需要口令。普通用户登录模式和特权用户登录模式都是如此。但是许多机构是很多人同时共享同一口令,这样就有许多人共享路由器的口令。通过将RADIUS或者TACACS和AAA(认证、授权和审计)相结合,系统管理员可以将路由器基本结构信息存贮在NDS、AD或者其他中心口令库中。通过这种认证方式可以强制用户在登录时输入账户名和口令,这样便于清除审计痕迹。

  2.取消不必要的服务

  首先,取消一些不重要的、很少被使用服务;取消finger服务,因为它会给黑客提供许多有用信息。取消finger服务后,还要确认没有打开HTTP(Web)服务器。虽然系统的默认配置是这样的,还必须经过用户再确认一下。Cisco 路由器设备有Cisco专用协议,CDP(CiscoDiscoveryProtocol)。同finger一样,CDP本身没有什么威胁,但是它可以让黑客获得许多自己无法访问的信息。

  3.网络管理注意事项

  限制终端访问和取消不必要的服务是保护系统安全的重要部分。但是只进行这些工作是远远不够的,在管理方面还有很多有关系统程序上和管理上值得考虑的因素。

  4.集中日志整理

  安全专家认为大多数系统日志协议采用UDP的形式进行传输是不安全的。但是现在还没有较好的改进方法。如果系统有一个系统日志登录服务器,用户可以采用命令将输出集中到这个服务器。

  5.口令存储注意事项

  许多用户在FTP和TFTP服务器上保存路由配置文件和镜像信息。尽管保留备份是个良好的习惯,但是要确保这些文件的安全。要保证这些服务器有可靠的访问控制。接下来还可以采取两种预防措施。首先,使用Cisco 路由器的“加密”口令规则来代替普通的“使能”口令规则。使用无法逆转的MD5散列算法保存重要口令,采用一般加密算法保存一般口令。

  6.时钟同步

  网络时钟协议(NTP)定义了网络设备的时钟与系统的时钟同步规则。NTP是业界标准,NTP相当准确并且兼容性好——多种操作系统及各种路由器和交换设备都支持。

  7.SNMP管理

  许多组织经常使用SNMP,还有些组织现在希望将来使用。不论其应用前景如何,有两点要注意:如果用户不需要SNMP,最好取消;如果要使用SNMP,最好正确配置Cisco 路由器。但是,如果用户一定要使用SNMP,可以对其进行保护。首先,SNMP有两种模式:只读模式(RO)和读写模式(RW)。如果可能,使用只读模式,这样可以最大限度的控制用户的操作,即使在攻击者发现了通信中的字符串时,也能限制其利用SNMP进行侦察的目的,还能阻止攻击者利用其修改配置。如果必须使用读写模式,最好把只读模式与读写模式使用的通信字符串区别开来。最后可以通过访问控制列表来限制使用SNMP的用户。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章