深度防御

当前安全面临的挑战

混合攻击

自防御网络

sdn产品线:

router

asa 5500

4200ips

csa主机ips

acs

6500/7600模块

sdm

mars安全网管软件

cisco security manager企业级安全配置管理软件

ios安全特性

防火墙

ips

vpn

isr增强特性

isr支持的其他扩展模块

广域网模块

1.wic-2t

2.wic-1b

3.vwic-1mft

cisco hwic-ap无线模块

硬件ips模块

web cache

网络分析模块

router管理登陆方式

con

aux

vty

telnet

ssh

http

https

cisco对密码的建议

密码长度最短长度为10个字符

复杂性要求

密钥不能再字典中找到

周期性更新密码

username smoke secret smoke

service password-encryption

no service password-recovery不能恢复密码慎用

设置密码最短长度

security passwords min-length 6

设置line超时时间

exec-timeout 2 30

privilege命令介绍

privilege特点:把命令从一个级别抠出来送到另外一个级别

level 0 level1 level2-level14 level15

privilege exec level 1 clear line把clear line设置1级用户可以用

role-based cli views介绍

类似于privilege,role-based cli views技术能够更加粒度的控制用户所有使用的命令。

配置

step1:激活aaa

aaa new-model

step2:配置enable secret

enable secret yeslabccies

step3:进入root view模式

enable view

password:yeslabccies

step4:配置view"test"

parser view test 创建一个view

secret yeslabccies 这个密码随便敲,

设置命令集

commands exec include all copy

commands exec include traceroute

commands exec include ping

测试

enable view test

protecting router files

有效保护ios和configuration的安全,防止恶意删除。

启用:

secure boot-image(加密隐藏保护ios)

secure boot-config(加密备份配置)

恢复:(注意:只有console才能禁用和恢复)

rommon1>boot flash:c2800nm-adventerprisek9-mz.124-15.t5.bin

copy flash:/secure.cfg running-config

远程登录看不到flash,只有console才能看到flash

login增强

有效抵御telnet/ssh/http协议对ios router的dos攻击(猜测密码)

默认思科路由密码可以无限猜测

能够增加输入密码延迟,

可以挂起一个登录,多少次错误就不能让输入。

每次都会有登录日志。

配置实例:

login block-for 600 attempts 3 within 60如果600秒内3次密码错误未来的60秒任何人都不能登录

login delay2 输入密码错误下次输入的延迟

login quiet-mode access-class block.ssh.new600秒内不能登录除

过这个源

login on-failure trap every 3 每3此登录失败都会发送一个log信息

login on-success trap 每次成功登录都会发送log信息

ip access-list standard block.ssh.new

permit 137.78.5.5

permit 222.129.0.0 0.0.255.255

permit 61.149.0.0 0.0.255.255