当前位置: 金桥电子资料网-电器维修行业资料门户网站 → 电脑相关网络安全 → 配置网络交换机防恶意攻击方法
内容详细

配置网络交换机防恶意攻击方法

作者:金桥电子  来源:本站整理  发布时间:2010-04-24 18:41:42

        网络交换机与路由器不同,网络交换机的安全威胁主要来自局域网内部。出于来自一些无知、好奇的黑客对中小型企业某些局域网用户进行恶意攻击。为此公司的管理员们要从技术上做好防恶意攻击部署,让攻击者无功而返。

本以Cisco网络交换机的安全防恶意攻击为例,和大家分享自己的经验方法!

第一、做好网络交换机配置一定要加密码

尽可能使用Enable Secret特权加密密码,而不使用Enable Password创建的密码。

第二、禁用 交换机上不必要或不安全的服务

在网络交换机上尤其是三层交换机上,不同的厂商默认开启了不同的服务、特性以及协议。为提高安全,应只开启必须的部分,多余的任何东西都可能成为安全漏洞。可椐据用户实际需求,打开某些必要的服务或是关闭一些不必要的服务。下面以Cisco网络交换机通常可以直接将其禁用的有。

  禁用Finger服务

  no service finger

  禁用Config服务

  no service config

  禁用Hootp服务

  no iP hootp server

禁用Http Server

  no ip http server

  禁用IP源路由,防止路由欺骗

  no ip source route

  禁用Finger服务

  禁用小的UDP服务

  no service udp-small-s

  禁用小的TCP服务

  no service tcp-small-s

第三、网络 交换机控制台和虚拟终端的安全部署

  在网络交换机虚拟终端(Vty)线路上配置认证,另外还需要对Vty线路使用简单的访问控制列表。

  Switch(config-line)#access-class 1 in

Switch(config)#access-list 1 permit 192.168.1.1

  Switch(config)#line vty 0 4


第四、禁用 交换机所有没有用的端口

  强烈建议网络管理员一定要将没有用的端口ShutDown掉。此方法也能在一定程度上防范恶意用户连接此端口并协商中继模式。

第五、确保交换机STP协议的安全,启用根防护与BPDU防护

  STP保护生成树协议,主要是防范其他分公司在新加入一台交换机时,容易配置错误使得新交换机成为根网桥,带来意外的BPDU。因此按以

下需要核心管理员启用根防护与BPDU防护。

  A、默认情况下, 交换机端口也禁用BPDU防护。启用它需使用下列命令:

   Switch(config)#Spanning-tree Portfast bpduguard default

B、默认情况下交换机端口禁用根防护,要启用它需要使用以下命令:

   Switch(config)#spanning-tree guard root

  C、如果要在所有端口上启用BPDU防护,可使用下面的命令:

   Switch(config)#Spanning-tree Portfast bpduguard enable

第六、网络 交换机用SSH服务代替Telnet服务

  网络 交换机的Telnet服务是管理员们连接至交换机的主要通道,但是在Telnet会话中输入的每个字节都将会被明文发送,这可以被类似

Sniffer这样的软件嗅探获取用户名、密码等敏感信息。因此,使用安全性能更高的SSH强加密无疑比使用Telnet更加安全。

  test-ssh(config)#crypto key generate rsaThe name for the keys will be:test-ssh.net.ctocio.com

  test-ssh(config)#ip ssh time-out 180

  test-ssh(config)#ip ssh authentication-retries 5

Switch(config)#hostname test-ssh

  test-ssh(config)#ip domain-name net.ctocio.com

  test-ssh(config)#username test password 0 test

  test-ssh(config)#line vty 0 4

  test-ssh(config-line)#login local

  通过上述配置将网络 交换机命名为test-ssh,域名为net.ctocio.com,创建了一个命名test密码为test的用户,设置ssh的设为test-ssh.net.ctocio.com,ssh超时时间设为180秒,最大连接次数最好是5次。
 

  • 好的评价如果您觉得此文章好,就请您
      0%(0)
  • 差的评价如果您觉得此文章差,就请您
      0%(0)



文章评论
   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
栏目导航

本类热门
  

下载排行

关于我们 | 网站帮助 | 广告合作 | 下载声明 | 免责声明 | 申请连接 | 付款方式 | 网站地图 | 返回顶部
  • 版权:Copyright©2009-2013 www.jqdzw.Com.  All Rights Reserved . 金桥电子资料网 版权所有| 苏ICP备11037958号|DMOZ中文网站分类目录||
  • 中国互联网协会 不良信息举报中心 江苏网络警察