交换安全之设备安全
本文主要阐明如何通过安全部署来保证设备本身的安全。
SSH
远程登录设备,在内网中使用 telnet 也是可以的,如果是通过外网来接入交换机或者服务器,会建议使用 SSH,否则密码可能会被盗取。
SSH,Secure Shell,安全外壳协议,基于应用层,用于远程登录会话和其他的网络服务中防止信息泄露,保证远程管理的安全性。客户端登录服务端,会通过密钥的生成,保证通信过程中的安全。
部署:
SSH Server:
hostname R1 //定义主机名
ip domain name cisco.com //定义域名
crypto key generate rsa //生成RSA密钥,密钥长度从 360 到 2048
ip ssh authentication-retries < 0-5 > //定义登录次数
ip ssh version 2 //修改SSH版本
username cisco privilege 15 password cisco
line vty 0 15
login local
SSH Client:
ssh -l cisco 172.16.23.2 // -l 要求添加用户名
VTY
VTY,Virtual Teletype Terminal,虚拟终端,远程通过虚拟终端进行登录实现远程管理。
部署:
line vty 0 2 //同时允许的人数,允许0 到2 总共3个管理员登录
access-class 1 in
login local
transport input ssh //不允许不安全的流量访问
transport output ssh
access-list 1 permit host 23.1.1.2 //匹配流量,只允许指定主机登录
line vty 3 15 //允许 0-2 后将剩余的关闭
transport input none
transport output none
VTY限制:限制 IP + 协议 + 数量 + 账号 共四个方面。
HTTPS
HTTPS,Hyper Text Transfer Protocol over SecureSocket Layer,超文本传输安全协议,在 HTTP 协议的基础上通过传输加密和身份认证保证了传输过程的安全性,是具有安全性的 HTTP 通道。
很少通过网页对交换机和路由器进行管理,使用场景一般是整个项目完成后搭建一个图形化的管理界面。
部署:
ip http server
ip http secure-server
ip http authentication enable //开启 HTTP 认证
ip http authentication local //调用本地用户名数据库
username cisco privilege 15 password cisco123 //定义用户名和密码
Banner
banner,标语,配置标语,好的安全规划应该包含对标语的适当配置,例如对未授权的访问发出警告。
设备开机时会有一堆字符输出,例如产品厂商、标记、是否授权提醒等,使用 banner 可以自定义输出。
banner login # 字符 # //进来前,两个井号中间编辑想要输出的字符
banner motd # 字符 # //进来后
CDP
CDP,Cisco Discovery Protocol,思科发现协议,二层网络协议,用于思科直连设备之间分享操作系统软件版本、ip 地址、硬件平台等信息。
黑客进行内网渗透,如果思科设备开启了该协议,输入以下命令可以获得所有连接设备的详细信息。
show cdp neighbor detail
为了增强安全性,建议关闭。
方法一:全局关闭
no cdp run
方法二:接口下关闭
interface f0/0
no cdp enable