- A+
思科路由器配置端口带宽限制
网络传输速率变慢的主要原因,往往是某些用户对网络的滥用。当使用MRTG等流量监控软件检测到流量来源于某个端口时,可以在核心交换机、汇聚交换 机,甚至接入交换机上,对相应的端口作必要的处理,限制其传输带宽,从而限制每个用户所允许的最大流量,以便使其他网络用户能够Oracle_shujuku/index.html' target='_blank'>恢复正常的网络应用服务。
第一步:进入全配置模式。
Switch# config terminal
第二步:指定欲配置的接口。
Switch(config)# interface interface-id
第三步:配置端口带宽控制。其中,input/output表明在输入和输出方向应用该带宽限制,通常情况下,应当进 行双向限制。access-group acl-index用于定义使用该带宽限制的访问列表。bps用于定义限制带宽,以bps为单位,并采用8 kbps的增量。burst-normal用于定义所允许的普通突发速率,burst-max用于定义所允许的最大突发速率。conform- action conform-action用于指定在规定最大带宽时所执行的操作,通常为transmit,即允许发送。exceed-action exceed-action则用于指定在规定最大带宽时所执行的操作,通常为drop,即丢弃。
Switch(config-if)# rate-limit {input | output} [access-group acl-index] bps burst-normal burst-max conform-action conform-action exceed-action exceed-action
第四步:返回特权配置模式。
Switch(config-if)# end
第五步:显示并校验该接口当前的配置。
Switch# show interface interface-id
第六步:保存带宽限制配置。
Switch# copy running-config startup-config
例如,若欲限制GigabitEthernet4/4带宽为128 kbps,当连接的普通突发速率、最大突发在8 kBytes(即64 kbps)9 kBytes(即72 kbps)范围内时,所执行的操作是transmit(传输即发送);当超出该范围时,则相应的操作就是drop.其中,128 000用于限制最大带宽,8 000和9 000则用于限制突发连接,保证不因个别用户的大量传输而使整个链路性能大幅度下降。限制输入和输出速率后,该端口配置如下:
interface GigabitEthernet4/4
no switchport
description tushuguan
ip address 211.82.220.9 255.255.255.248
ip access-group 120 in
ip access-group 120 out [nextpage]
rate-limit output access-group 102 128000 8000 9000 conform-action transmit exceed-action drop
rate-limit input access-group 102 128000 8000 9000 conform-action transmit exceed-action drop!
IP访问列表只需设置应用带宽限制的IP地址范围(192.168.0.0 ~ 192.168.255.255)即可,内容如下:
access-list 102 permit ip 192.168.0.0 0.0.255.255 any
【注意】 在启用宽带限制之前,必须先在全局模式下执行"ip cef"命令,启用交换机的快速转发技术。
安全公司FireEye前两天刚刚发布报告称在四个国家的14台思科路由器上发现SYNful Knock后门程序,现在又发现79台路由器存在相同后门。
SYNful Knock 后门程序
安全研究人员为进一步调查受感染设备而对所有IPv4地址进行了扫描,这个被称为SYNful Knock的后门应用程序,在收到一串特别的、不合标准的网络数据包硬编码密码之后,后门被激活。通过向每一个网络地址发送无序TCP数据包而非密码便可监视应答,因此研究者发现了那些被感染的后门。
本周二,当FireEye第一次曝出SYNful Knock的活动时,震惊了整个安全世界。植入的后门完全与合法思科路由器映像大小相同,同时在每次路由器重启时都会加载。它可支持高达100个模块,攻击者能够根据特定目标加载不同功能的模块。
在首次披露中,FireEye发现它在印度、墨西哥、菲律宾和乌克兰的服务器上出现,共计14台。这一惊人发现说明了一直以来偏向理论化的攻击形式正逐步被积极运用。
而最新的研究结果显示受害范围其实远远不止四国,还包括美国、加拿大、英国、德国以及中国在内的19个国家。
研究人员写道:
这一后门可通过指纹识别,我们便使用修改过的ZMap扫描工具发送特制的TCP SYN数据包,扫描了所有公共IPv4地址。在9月15日扫描的4个公共IPv4地址空间,发现了79台主机存在与SYNful Knock后门相符的行为。这些路由器分布于19个国家的一系列机构中。
值得注意的是,相比较IP地址的分配,非洲和亚洲植入后门的路由器数量惊人。而25台受影响的美国路由器,都属于同一个东海岸的网络服务器供应商。而受影响的德国和黎巴嫩路由器供应商,同时也向非洲提供服务。
如何发现SYNful Knock后门
上图便概括了本次研究结果;FireEye研究人员在博客中详细解释了如何检测SNYful Knock后门。
研究人员使用网络扫描工具Zmap进行了四次扫描。配置之后,便开始向每个地址发送设置为0xC123D和0的数据包,等待哪些响应序列号设置是0,紧急标志并没有设置,紧急指针设置为0x0001。
“我们没有用一个ACK数据包进行响应,而是发送RST。这并非利用漏洞进行登录或者完成握手。这只是为了让我们找出受感染的路由器。因为没有植入后门的路由器并未设置紧急指针,并且只有1/232的概率选择0作为序列号。”
目前可以确定的是SYNful Knock是一个经过专业开发并且功能完备的后门,可以影响的设备远超FireEye此前的声称的数量。尽管受影响的设备中肯定有用于科学研究的蜜罐,用于帮助研究者寻找真正的幕后黑手以及发现后门是如何在路由器背后进行运作的。
但是79台设备都是诱饵的话,则似乎不太可能。目前FireEye没有对这种可能性做出回应。
目前尚没有证据显示SYNful Knock后门利用了思科路由器中任何漏洞,FireEye高管表示这个后门背后的攻击者——可能是有政府背景——似乎是利用了厂商设置的路由器默认密码或者某种其他已知的攻击方式。
研究者说,如果其他制造商的网络设备感染了相似后门,一点都不奇怪。尽管截至目前,没有证据表明来自其他制造商的设备可以感染这一后门,但是随着研究人员扫描工作的持续进行,获得支持这一理论的数据也只是时间问题。
解决方法
如果确定设备受到感染,最有效的缓解方法就是使用思科的干净下载重新映像路由器。确定新映像的哈希值匹配,然后加固设备防止未来的攻击。
一定要更新设置、不要采用默认的,在确定路由器没有受感染之后,也要关注其他网络的安全。如果路由器没有默认凭证,那么感染便是已经发生了,下一步需要做的便是影响评估。
cisco路由器配置出错解决办法
网管可能遇到过这样的情况,在一个公司或机构里有个多名网管,如果大家都对路由器进行配置的话,就有可能造成配置的丢失,或不能完全执行命令,这样就会造成网络的不稳定或是直接断网,如何避免这样的问题出现呢?
一般思科路由器特意加入了配置锁功能,它可以对配置的改变进行专门的控制,包含了访问会话锁定功能。
一、命令内容
Router(config)# configuration mode exclusive {auto manual} [expire seconds] [lock-show] [interleave] [terminate] [config_wait seconds] [retry_wait seconds]
二、设置配置锁
1、激活配置锁功能。
Router(config)# configuration mode exclusive auto
2、手动
关键字采用手动,在每次进入全局配置模式都启用配置锁功能,使用以下命令加入关键字:
Router# configure terminal lock
Enter configuration commands, one per line. End with CNTL/Z
Router(config)#
3、自动
关键字采用自动,这使得在使用终端配置路由器的时间,将自动锁定相关的配置。
三、显示命令
这里会有人要问,我们如何知道是否有人在改动配置呢,当然是使用显示配置命令,在有锁和同锁的情况下,结果是不同的。
1、有人配置输出结果:
Router# show configuration lock
Parser Configure Lock
Owner PID : 3
User : unknown
TTY : 0
Type : EXCLUSIVE
State : LOCKED
Class : EXPOSED
Count : 1
Pending Requests : 0
User debug info : configure terminal
Session idle state: TRUE
No of exec cmds getting executed : 0
No of exec cmds blocked : 0
Config wait for show completion : FALSE
Remote ip address : Unknown
Lock active time (in Sec) : 6
Lock Expiration timer (in Sec): 593
Router(config)#
2、无人配置输出结果:
Router(config)# show configuration lock
Parser Configure Lock
Owner PID: 10
User : User3
TTY : 3
Type : EXCLUSIVE
State: LOCKED
Class: Exposed
Count: 0
Pending Requests : 0
User debug info : 0思科路由器静态路由
命令:ip router <目的网段> <目的网段掩码><下一跳>
以上这个命令就是配置静态路由的通用命令,目的网段和目的网段掩码子阳相信大家都不难理解,目的网段是指你这台计算机的这个网段所要到达的对方的网段;目的网段掩码就是该目的网段的子网掩码;而这个下一跳,却怎么样理解呢?
其实这个下一跳的根本含义就是下一台路由器的入口。一般两台路由器之间相接,比如说A路由器和B路由器相接,信息首先通过的是A路由器,那么我们就在A路由器中设置静态路由的时候把这个下一跳的地址设置为B路由器的入口。这样说应该比较容易理解了。
网络拓扑:
我们的目的是,要PC0 ping通 PC1,基本思路是设定好所有设备的IP地址,然后再在路由器上配置静态路由。记得路由与路由之间设置时钟频率(两台路由器之间只设置一个时钟频率)
第一步:设置好PC机的IP地址。
拓扑编址:
PC0:192.168.1.1 gateway:192.168.1.2
PC1:192.168.4.1 gateway:192.168.4.2
第二步:配置三台路由器:
Router0:
Router 0 >en
Router 0 #conf t
Router 0 (config)#int f0/0
Router 0 (config-if)#ip address 192.168.1.2 255.255.255.0
Router 0 (config-if)#no shut
Router 0 (config-if)#int s0/0/0
Router 0 (config-if)#ip address 192.168.2.1 255.255.255.0
Router 0 (config-if)#clock rate 64000设置时钟频率
Router 0 (config-if)#no shut
Router 0 (config-if)#exit
Router 0 (config)#
Router1:
Router>en
Router#conf t
Router(config)#hostname Router1把路由器的名字设置为Router1
Router1(config)#int s0/0/0
Router1(config-if)#ip address 192.168.2.2 255.255.255.0
Router1(config-if)#no shut
Router1(config-if)#int s0/0/1
Router1(config-if)#ip address 192.168.3.1 255.255.255.0
Router1(config-if)#clock rate 64000
Router1(config-if)#no shut
Router1(config-if)#exit
Router1(config)#
Router2:
Router2>en
Router2#conf t
Router2(config)#int s0/0/1
Router2(config-if)#ip address 192.168.3.2 255.255.255.0
Router2(config-if)#no shut
Router2(config-if)#int f0/0
Router2(config-if)#ip address 192.168.4.2 255.255.255.0
Router2(config-if)#no shut
Router2(config-if)#exit
Router2(config)#
第三步:配置静态路由:
接下来就要用到我们上面的命令了:
ip router <目的网段> <目的网段掩码><下一跳>
Router0的设置:
Router0(config)#ip route 192.168.4.0 255.255.255.0 192.168.2.2
Router0(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.2
目的网段目的网段掩码下一跳(下一个路由器的入口)
Router1的设置:
Router1(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.1
Router1(config)#ip route 192.168.4.0 255.255.255.0 192.168.3.2
注意这里是属于中心路由器,所以要设置两条静态路由,分别指向两边的网段。
Router2的设置:
Router2(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1
Router2(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.1
现在把三台路由器的静态路由都设置好了,就应该是通了的。
现在从PC0 ping PC1 通了,那么从PC1 ping PC0 呢?
也通了,现在就达到了我们的目的。
思科路由器站点到站点VPN 点击上方"网络工程师阿龙"关注我们
应用情况,公司总部分总互连,都有公网IP
【配置荐读】
R1路由器上连通性配置
R1(config)#interface e0
R1(config-if)#ip address 10.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config)#interface e1
R1(config-if)#ip address 1.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2
R2路由器上连通性配置
R2(config)#interface e0
R2(config-if)#ip address 1.1.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config)#interface e1
R2(config-if)#ip address 2.2.2.2 255.255.255.0
R2(config-if)#no shutdown
R2(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1
R1路由器IpSec配置
R1(config)#crypto isakmp enable (optional)默认启用
R1路由器IpSec isakmp 配置(阶段一的策略)
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#hash md5
R1(config-isakmp)#authentication pre-shared
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#group 2
R1路由器Pre-Share认证配置
R1(config)#crypto isakmp key cisco address 10.1.1.2
R1路由器IpSec变换集配置(阶段二的策略)
R1(config)#crypto ipsec transform-set cisco esp-3des esp-md5-hmac
R1 (cfg-crypto-trans)#mode tunnel
R1路由器加密图的配置
R1(config)#crypto map cisco10 ipsec-isakmp
R1(config-crypto-map)#set peer 10.1.1.2
R1(config-crypto-map)#set transform-set cisco
R1(config-crypto-map)#match address 101
R1路由器定义感兴趣流量
R1(config)#access-list 101 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 R1路由器加密图绑定到接口
R1(config)#interface e0
R1(config-if)#crypto map cisco
4、R2路由器IpSec配置
R2(config)#crypto isakmp enable (optional)默认启用
R2路由器IpSec isakmp 配置(阶段一的策略)
R2(config)#crypto isakmp policy 10
R2(config-isakmp)#hash md5
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#encryption 3des
R2(config-isakmp)#group 2
R2路由器Pre-Share认证配置
R2(config)#crypto isakmp key cisco address 10.1.1.1
R2路由器IpSec变换集配置(阶段二的策略)
R2(config)#crypto ipsec transform-set cisco esp-3des esp-md5-hmac
R2(cfg-crypto-trans)#mode tunnel
R2路由器加密图的配置
R2(config)#crypto map cisco 10 ipsec-isakmp
R2(config-crypto-map)#set peer 10.1.1.1
R2(config-crypto-map)#set transform-set cisco
R2(config-crypto-map)#match address 101
R2路由器定义感兴趣流量
R2(config)#access-list 101 permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
R2路由器加密图绑定到接口
R2(config)#interface e0
R2(config-if)#crypto map cisco
======================Cisco路由器配置入门知识(基础)
Cisco路由配置基础
刚刚接触cisco路由配置,下面是学习的笔记,感觉命令还是多敲才能熟悉
一、 所处状态各类
router>
用户处于用户命令状态,可以查看网络和主机
router#
用户处于特权模式,可以查看状态,还可以看到和更改路由器的设置内容
router(config)#
全局配置状态,可以设置路由的全局参数
router(config-if)#;router(config-line)#;router(config-router)#.....
处于局部配置状态,可以设置路由的局部参数
二、配置端口ip
命令
en
config t //全局模式
interface f0/0
ip address 192.168.1.1 255.255.255.0 //设置端口ip
no shu //生效
exit
interface f0/1
ip address 192.168.10.1 255.255.255.0
no shu
exit
end
disable
三、配置静态路由
命令
en
config t //全局模式
ip route 192.168.100.0 255.255.255.0 192.168.10.2 //到192.168.100.0/24通过192.168.10.2接口
end
show ip route //可以看到前面标明S,即为静态路由
四、配置动态路由(RIP)
命令
en
config t //全局模式
no route rip //禁止rip协议
route rip
network 192.168.1.0 //network参数为路由的两个端口对应的网络地址
network 192.168.10.0
exit
end
disable
五、配置DHCP
命令
en
config t //全局模式
ip dhcp excluded-address 192.168.1.1 //需要排除的ip地址
ip dhcp pool gr-dhcp-pool //ip地址池名
default-server 192.168.1.1 //指定dhcp服务器
network 192.168.1.0 255.255.255.0 //配置网络
dns-server 61.177.7.1 //配置dns服务器
exit
end
disable
可以通过 ip helper-address指定 DHCP中继代理
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip helper-address 192.168.10.2 \\配置DHCP中继代理,DHCP
六、配置NAT
命令
en
config t //全局模式
interface f0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside //内部端口
no shu
exit
interface f0/1
ip address 192.168.10.1 255.255.255.0
ip nat outside //外部端口
no shu
exit
access-list 1 permit any //设置一个可访问列表
ip nat pool gr-nat-pool 192.168.10.3 192.168.10.254 netmask 255.255.255.0 //设置分配池
ip nat inside resource list 1 pool gr-nat-pool overload
show ip nat traslations
clear ip nat traslation *
七、其它
sh running-config //显示当前运行配置
sh startup-config //显示开机配置
sh ip route //显示路由
sh nat traslations //显示nat当前情况
微思网址:http://www.xmws.cn
腾讯微博:http://t.qq.com/xmwisdom
新浪微博:http://weibo.com/xmwisdom
【思科技术】Cisco路由器SSH配置
1、 给路由器配置一个IP地址
interface GigabitEthernet 0/0
ip address x.x.x.x 255.255.255.0
2、 配置路由器的名字(默认名字一定要改变)
hostname R1
3、 配置路由器的域名。路由器的域名一定要配置,随便配置一个就可以了
Ip domain-name test.com
4、 产生非对称密钥,密钥的名字是:R1.test.com。然后询问密钥的长度,这里输入1024。
稍后路由器提示“SSH 1.99 has been enabled”,表示路由器可以支持SSH了。联合网讯官方微信SYUNI-1024
crypto key generate rsa
5、 配置VTY用户使用本地验证,验证的方法是SSH
username cisco,123 password cisco,123
line vty 0 4
login local
transport input ssh
6、 优化调整SSH
ip ssh timeout 15 SSH窗口的超时时间,此时提示输入密码,如果用户迟疑15秒钟,然后再输入,则认为已经超时,需刷新后重新输入
ip ssh authentication-retries 3 每次SSH连接允许尝试的次数,三次登录失败后,需再次连接SSH联合网讯官方微信SYUNI-1024
-THE END -
有人用微信聊天,有人却在微信中每天学习,自我成长。我们现在的很多时间都是碎片的,你可以用它来发呆,也可以用它来玩游戏,也可以关注一些优质的微信公众号(联合网讯官方微信SYUNI-1024),每天成长一点点。
※版权与免责声明:
本平台所发布、转载、摘编的文章部分来源于互联网,转载目的在于传递更多信息, 如作品内容、版权和其它问题侵害到您的权益,请与本平台联系, 联系方式:QQ39367144
请您多多关注联合网讯官方微信每天发送的文章,只要发现以【网讯活动公告】为标题的文章,那恭喜您了,快按要求操作100%送您礼品每期礼品内容不定,请多留意联合网讯官方微信SYUNI-1024
思科路由器设置IS-IS具体步骤
IS-IS很多熟悉思科路由器的朋友都知道,但是对于新手来说,就不知道思科路由器设置IS-IS该怎么处理了,本文将从实验的角度来讲解思科路由器设置IS-IS的具体步骤。以下是思科路由器使用IS-IS路由IP的基本设置步骤:
新型思科路由器后门分析与防护
思科路由器在国内使用量不小,而且时常作为核心部件连接企业网络。但最近出现的一个新型思科路由器后门,已经严重威胁到了企业安全。这次思科路由器"SYNful Knock"后门事件引发业界恐慌,纷纷开始着手应急预案。
影响范围涉及4个国家及常见型号
通常来说,思科路由器的植入后门以前经常被认为是理论可行或较难实现,但近日有国外安全公司FireEye发现这种针对路由器的植入式后门正悄然流行,涉及Cisco 1841/Cisco 2811/Cisco 3825路由器及其他常见型号。目前发现在乌克兰、菲律宾、墨西哥和印度这4个国家中正有至少14个类似的植入后门在传播。
要知道,大部分公司的核心网络设备使用的都是思科路由器。如果一个企业的核心网关设备被黑,不仅可以控制企业网络出入口,更可以对过往的信息进行修改及欺骗,这危害就验证了。
通过弱口令登录替换思科路由器固件
这个后门是通过修改思科路由器的固件植入恶意代码实现的,类似病毒感染正常文件。攻击者需要通过其他途径将这个后门固件上传或者加载到目标路由器上。目前看攻击者并没有利用任何的0day漏洞来上传固件,而是利用路由器的缺省口令或者弱口令来登录路由器,然后上传后门固件,替换原有正常固件。只要路由器管理员不升级固件,攻击者就可以持久获得对路由器的长期控制。
放进去的后门类似病毒感染正常文件,攻击者需要通过各种途径,将这个后门上传或者加载到目标路由器上,而且它还采用了先进的技术,可以非常方便的随时加入新的后门功能。这种做法与大家电脑上的僵尸木马非常相似,但用在路由器后门中还是比较少见。这个后门被命名为" SYNful Knock",可能是因为其后门的网络控制功能中有个特殊的标记。
将僵尸木马的手法移植到路由器上
这个后门植入了一个万能后门口令,攻击者可以利用这个后门口令通过telnet或者控制台登录路由器。它还采用了动态加载模块的技术,可以非常方便的随时加载新的恶意功能模块,在Windows/Unix系统下的僵尸木马网络中这已是很常见的技术了,但用在路由器后门中还是比较少见。每个模块都可以通过HTTP协议来更新、加载和删除。
这个后门被命名为“ SYNful Knock”,可能是因为后门的网络控制功能(CnC)会通过一个特殊的TCP SYN包来触发。
思科路由器植入后门的技术细节
(由于尚未获得真实样本,本章节技术细节均来自FireEye公司的相关技术报告,仅供参考)
这个后门通过篡改一个正常的Cisco IOS映像文件来植入恶意功能,主要的修改操作包括:
修改所有translation lookaside buffer (TLB)的属性为可读可写(RW)
正常IOS映像文件中,有些TLB的属性是只读的(RO),而此后门会将所有TLB的属性都设置为可读可写(RW),这可能是为了实现通过Hook IOS函数来加载模块。如果TLB属性不是可读可写(RW),那对缓存内存页的修改就不能被同步到内存中原始内存页中。可以通过“ show platform”命令来检查TLB的属性情况,如果发现全部TLB属性都被设置为RW,那可能意味着系统被植入了恶意后门。
据信是修改了一个与进程调度相关的函数入口,将其指向一段恶意代码,这段代码完成恶意软件的初始化后,再执行原有正常函数功能。选择该函数是因为其在每次系统重启时都会被调用,这样攻击者就可以持续获得控制权。
用恶意代码重写一些正常的协议处理函数
为了防止映像文件大小发生变化,此后门会直接用恶意代码替换原有的一些正常函数的代码。
用恶意代码需要使用的字符串重写正常函数用到的字符串
同样为了防止大小变化,攻击者还会将CnC通信时用到的一些字符串直接替换正常函数使用的字符串。这样导致在执行一些正常IOS命令时,就可能返回一些如下的异常结果。
后门口令
攻击者在后门映像中植入了一个万能口令,保证攻击者可以绕过正常口令限制随时登录系统。这个后门口令可以通过控制台、Telnet、enable(提升到管理员时)时输入,一旦匹配则赋予攻击者管理权限,否则就会继续正常的口令检查过程。目前看SSH和HTTPS登录时没有设置后门口令。
网络命令和控制(CnC)
此后门还使用了模块化方式来完成命令控制,可以随时将恶意功能加载到路由器中执行,这在路由器后门中还是比较少见的。这大大增强了恶意软件的可扩展性。一旦路由器重启,所有加载的恶意模块都会消失,攻击者需要重新上传恶意模块。
攻击者通过发送一些特殊的TCP报文来开启CnC控制,即使路由器管理员设置了一些过滤策略,后门仍然会接收并处理这些报文。
CnC命令格式
后门支持5种控制命令,包括显示模块状态、为模块加载分配内存、加载模块、激活模块、卸载模块,最多可加载100个模块。
防护方式
常见的国外厂商防护方式
既然有漏洞,那就打补丁,升级!但在实际的操作环境中,执行会遇到挑战:
1. 安全需求弱的小客户,难度特别大
2. 安全需求强的小客户,可执行,但是整改周期特别长
3. 安全需求弱的大客户,难度特别大,因为要涉及到整体业务链路停机
4. 安全需求强的大客户,可执行,但是整改周期特别长,牵涉面广
绿盟科技推荐的防护方式
绿盟科技推荐用1个基准3个阶段来进行落地防护。1个基准,把风险面转化为风险点;3个阶段,分为设计及实施、试运行及验收、长期运维。各部分内容在项目实施过程中细节较多,下面仅提要说明。
设计、实施
1. 统计系统范围内cisco设备的数量以及需要纳入统一策略管理的其他厂商的设备集合,实现风险的识别
2. 设计时采用区域隔离:管理域与生产域严格隔离(VLAN技术和防火墙),实现风险的控制
3. 管理域实现堡垒机统一纳管,并且在堡垒机中设定相关口令策略,实现风险的转移
4. 设计选型时,在稳定的基础上使用较为新的IOS固件并做MD5校验,实现风险的削弱
5. 设计网络入侵检测及防护设备(NIDS/NIPS)对此事进行检测,并且把对应异常网络事件进行每日监控,实现风险的监控
a) 从整个SYNful Knock事件过程中,有三个重要阶段事件:弱口令猜测,后门外链,后门命令控制。NIPS不仅仅能够针对每一个阶段单独防护,同时能够建立起逐层防护的机制;
b) 首先是弱口令,NIPS中弱口令规则能够进行Telnet弱口令事件告警,提示管理员关注账号弱口令问题,同时也能够阻断暴力猜测行为;
c) 其次后门外链,通过检测TCP会话建立过程中特征,阻断后门的通信连接;
d) 最后后门命令控制,需要使用CnC或者TCP方式进行命令控制,NIPS在检测流量时,对控制命令进行检测,达到阻断控制的效果。即便是植入了后门,阻断命令发送无法对其命令控制
6. 选型考虑国产设备,实现风险的规避
试运行、验收
1. 做基础安全评估(漏洞扫描、基线核查、内网渗透测试)
2. 重新规整所有用户口令;
3. 测试入侵检测日报的可用性;
等等……
长期运维
1. 新交维的系统:按设计、实施规范定期作为维护;
2. 老系统:
2.1 快速处理: 搭建TFTP服务器 强制备份所有线上IOS镜像,并且对已经备份的IOS进行与官方下载IOS镜像进行md5校验;
md5校验成功的处理方式:参照 2.2
md5校验失败的处理方式:
本着安全原则,清除IOS已经不保险了,建议采用替换的方式把有问题设备替换下来;
有问题的设备返厂检测吧,当然也可以考虑将其做成蜜罐;
建议做一次网络区域内的大排查,不然很危险哦;
2.2 按新系统设计标准,对管理域进行整改。
3. 分析 每日入侵检测报告(木马)
小结
本文主要技术细节部分来自于FireEye公司的一篇技术报告,其大致的过程就是这样的
1. 寻找能登录的cisco 设备(通过暴力破解、社工、弱口令等方式),能进去是前提;
2. 传一个带马的IOS上去;找机会重新加载新的IOS,同时痕迹清理;
3. 然后加固路由器,防止被其他人拿走这个“成果”;
4. 开始植入木马等恶意程序,然后实施攻击动作,比如JS劫持等
从报告披露的信息来看,针对Cisco路由器的后门映像植入技术已经逐渐从理论走向实用化,后门功能从简单的万能口令已经扩展到模块化远程加载任意恶意代码。由于路由器位于网络的核心出入口位置,一旦攻击者可以在路由器中执行代码,意味着攻击者可以对经过路由器的网络流量进行各种操作,而不仅限于路由器原有提供的功能,从而导致更大的危害。
来源:绿盟科技投稿
思科路由器配置指南
网络技术支持系统集成IT维护网络外包服务系统架构设计方案咨询----------------------------------------
刚拿到新的路由器,上架后我们要做的基本配置如下:
1. 路由器默认登录用户名和密码是cisco.登录后一定要修改用户名和密码,否则下次将无法登录。
全局模式下:R2(config)#username test password 12345
如果要防止别人查看你的密码,可以将密码加密:
R2(config)#service password-encryption
2.路由器的enable密码一定要设置的,特别是我们通过虚拟终端VTY方式登录时。
R2(config)#enable secret cisco123
3. 很多时候我们的路由器需要通过远程管理,我们需要配置TELNET。
R1(config)#line vty 0 4
R1(config-line)#pass
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#end
4. 通过上面三步后我们基本就能管理起设备了,当然管理设备的IP是需要配置的,这里就不讲了,考虑到设备配置后,我们需要了解设备的运行状态,这里讲下日志的配置。
R1(config)#logging on
R1(config)#service timestamps log
R1(config)#logging buffered 40960
R1(config)#service sequence-numbers
5. 设置时间:
R1#clock set 22:32:00 july 20 2013
R1(config)#clock timezone GMT + 8