在網(wǎng)上看到了一篇不錯的論文，其中很詳細的解析了關(guān)于Cisco 路由器的高深問題，比如系統(tǒng)日志管理、取消不必要的服務(wù)、集中日志整理的技術(shù)性能等等。

1.系統(tǒng)日志管理

多個用戶共享一個賬戶是無法區(qū)分他們之間的活動的。默認的情況下，Cisco 路由器設(shè)備有兩級的訪問模式：用戶模式和特權(quán)用戶模式。用戶可以認為特權(quán)用戶同UNIX中的root或WindowsNT中的系統(tǒng)管理員是類似的。一般情況下，用戶認證時不需要用戶名只需要口令。普通用戶登錄模式和特權(quán)用戶登錄模式都是如此。但是許多機構(gòu)是很多人同時共享同一口令，這樣就有許多人共享路由器的口令。通過將RADIUS或者TACACS和AAA(認證、授權(quán)和審計)相結(jié)合，系統(tǒng)管理員可以將路由器基本結(jié)構(gòu)信息存貯在NDS、AD或者其他中心口令庫中。通過這種認證方式可以強制用戶在登錄時輸入賬戶名和口令，這樣便于清除審計痕跡。

2.取消不必要的服務(wù)

首先，取消一些不重要的、很少被使用服務(wù)；取消finger服務(wù)，因為它會給黑客提供許多有用信息。取消finger服務(wù)后，還要確認沒有打開HTTP(Web)服務(wù)器。雖然系統(tǒng)的默認配置是這樣的，還必須經(jīng)過用戶再確認一下。Cisco 路由器設(shè)備有Cisco專用協(xié)議，CDP(CiscoDiscoveryProtocol)。同finger一樣，CDP本身沒有什么威脅，但是它可以讓黑客獲得許多自己無法訪問的信息。

3.網(wǎng)絡(luò)管理注意事項

限制終端訪問和取消不必要的服務(wù)是保護系統(tǒng)安全的重要部分。但是只進行這些工作是遠遠不夠的，在管理方面還有很多有關(guān)系統(tǒng)程序上和管理上值得考慮的因素。

4.集中日志整理

安全專家認為大多數(shù)系統(tǒng)日志協(xié)議采用UDP的形式進行傳輸是不安全的。但是現(xiàn)在還沒有較好的改進方法。如果系統(tǒng)有一個系統(tǒng)日志登錄服務(wù)器，用戶可以采用命令將輸出集中到這個服務(wù)器。

5.口令存儲注意事項

許多用戶在FTP和TFTP服務(wù)器上保存路由配置文件和鏡像信息。盡管保留備份是個良好的習(xí)慣，但是要確保這些文件的安全。要保證這些服務(wù)器有可靠的訪問控制。接下來還可以采取兩種預(yù)防措施。首先，使用Cisco 路由器的“加密”口令規(guī)則來代替普通的“使能”口令規(guī)則。使用無法逆轉(zhuǎn)的MD5散列算法保存重要口令，采用一般加密算法保存一般口令。

6.時鐘同步

網(wǎng)絡(luò)時鐘協(xié)議(NTP)定義了網(wǎng)絡(luò)設(shè)備的時鐘與系統(tǒng)的時鐘同步規(guī)則。NTP是業(yè)界標(biāo)準，NTP相當(dāng)準確并且兼容性好——多種操作系統(tǒng)及各種路由器和交換設(shè)備都支持。

7.SNMP管理

許多組織經(jīng)常使用SNMP，還有些組織現(xiàn)在希望將來使用。不論其應(yīng)用前景如何，有兩點要注意：如果用戶不需要SNMP，最好取消；如果要使用SNMP，最好正確配置Cisco 路由器。但是，如果用戶一定要使用SNMP，可以對其進行保護。首先，SNMP有兩種模式：只讀模式(RO)和讀寫模式(RW)。如果可能，使用只讀模式，這樣可以最大限度的控制用戶的操作，即使在攻擊者發(fā)現(xiàn)了通信中的字符串時，也能限制其利用SNMP進行偵察的目的，還能阻止攻擊者利用其修改配置。如果必須使用讀寫模式，最好把只讀模式與讀寫模式使用的通信字符串區(qū)別開來。最后可以通過訪問控制列表來限制使用SNMP的用戶。