autosecure

路由器命令auto secure用起来比较方便,而且可以关闭一些不安全的服务和启用一些安全的服务。这里对这个命令做了一个总结。(注:ios版本为:12.3(1)以上才支持使用) 
    总结如下:
    1、关闭一些全局的不安全服务如下:
    Finger
    PAD
    Small Servers
    Bootp
    HTTP service
    Identification Service
    CDP
    NTP
    Source Routing
     2、开启一些全局的安全服务如下:
    Password-encryption service
    Tuning of scheduler interval/allocation
    TCP synwait-time
    TCP-keepalives-in and tcp-kepalives-out
    SPD configuration
    No ip unreachables for null 0
     3、关闭接口的一些不安全服务如下:
    ICMP
    Proxy-Arp
    Directed Broadcast
    Disables MOP service
    Disables icmp unreachables
    Disables icmp mask reply messages.
     4、提供日志安全如下:
    Enables sequence numbers & timestamp
    Provides a console log
    Sets log buffered size
    Provides an interactive dialogue to configure the logging server ip address.
     5、保护访问路由器如下:
    Checks for a banner and provides facility to add text to automatically configure:
    Login and password
    Transport input & output
    Exec-timeout
    Local AAA
    SSH timeout and ssh authentication-retries to minimum number
    Enable only SSH and SCP for access and file transfer to/from the router
     6、保护转发Forwarding Plane
    Enables Cisco Express Forwarding (CEF) or distributed CEF on the router, when available
    Anti-spoofing
    Blocks all IANA reserved IP address blocks
    Blocks private address blocks if customer desires
    Installs a default route to NULL 0, if a default route is not being used
    Configures TCP intercept for connection- timeout, if TCP intercept feature is available and the user is interested
    Starts interactive configuration for CBAC on interfaces facing the Internet, when using a Cisco IOS Firewall image,
    Enables NetFlow on software forwarding platforms



用autosecure加强CISCO路由器安全
 
CISCO IOS 12.3版本 Autosecure特性用于加强Cisco路由器的安全。
CISCO IOS 12.3及后续的12.3T版本,适用CISCO800,1700,2600,3600,3700,7200,7500系列路由器
        Autosecure是一个特权EXEC命令,允许管理员快速简便的消除很多潜在安全威胁。
    有助于更高效地实施Cisco路由器安全。
        Autosecure可以在目标路由器上执行以下任务:
           禁止某些潜在的不安全的全局服务
           启用某些基于安全的全局服务
           禁止某些潜在的不安全的接口服务
           启用恰当的安全相关的日志
           逐步加强对路由器管理访问的安全
           逐步加强路由器转发层面的安全
        Autosecure有两种操作模式
          1交互模式  提示管理员选择想要对路由器服务进行配置的方式,以及其他安全相关的特性
          2非交互模式  基于缺省情况来配置路由器的安全相关特性
         Autosecure命令:
             auto secure [management|forwarding] [no-interact]
                  management 只考虑管理层面的安全
                  forwarding 只考虑转发层面的安全
                  no-interact 非交互模式
安全的management层面服务
      下面全局服务被认为是具有高风险攻击因素的,会被autosecure禁止掉:
         Finger--禁止该项服务  让入侵者无法知晓登录路由器的有哪些人,包括登录位置
         PAD--禁止该项服务  防止入侵者访问路由器上的X.25 PAD命令设置
         小型服务器--禁止该项服务  防止攻击者借机发动DOS攻击
         CDP--禁止该项服务  防止攻击者利用已知的一个CDP安全威胁
         BOOTP--禁止该项服务  防止攻击者借机发送DOS攻击
         HTTP-禁止该项服务   防止攻击者访问HTTP路由器管理访问接口
         Identification--禁止该项服务  防止攻击者查询TCP端口身份
         NTP--禁止该项服务  防止攻击者破坏路由器时间基准
         源路由选择--禁止该项服务   防止攻击者利用老的基于cisco ios软件的路由器不能正确处理源路由选择的漏洞
         无根据ARP--禁止该项服务    防止路由器宣告自己接口的IP地址
      在启用autosecure后,下面全局服务被启用的有:
         服务口令加密  自动对所有路由器配置中的口令进行加密
         TCP keepalives in/out  允许路由器快速清除不用的TCP会话
      在启用autosecure后,下一步提示管理员创建一个安全旗标(banner)
      接下来,autosecure提示管理员配置以下内容:
         enable secret   autosecure会检查是否路由器的enable secret口令和enable口令相同,或者根本没有配置,如果相同,会提示输入一个新   的            enable secret口令
         AAA本地认证    autosecure会检查AAA本地认证已被启用,是否存在一个本地用户帐号。如果没有,会提示输入新的用户名和口令
         SSH服务器    autosecure会询问是否需要配置SSH服务器,答案肯定需要,autosecure会自动配置ssh超时为60秒,认证重复次数为2
         主机名 如果路由器使用的出厂缺省的router主机名,autosecure会提示输入一个唯一的主机名;(在SSH的密钥生成时,需要一个唯一的主机名)
         域名 autosecure会提示该路由器所属的域名。
      配置特定接口服务
         autosecure自动禁止所有路由器接口上的以下服务:
             IP重定向
             IP代理ARP
             IP不可达
             IP定向广播
             IP掩码应答
         autosecure通过完成以下操作来加强路由器转发层面安全
             启用CISCO快速前向转发(cisco express forwarding,CEF),必须路由器平台支持此类缓存
             为入口过滤建立以下三个扩展命名ACL(防欺骗)
                       autosec_private_block--阻塞RFC1918私用IP地址块
                       autosec_completc_block--阻塞源地址是组播,E类和其他IP地址的包,以及所有被列于此处的前两个ACL阻塞的地址
         autosecure配置入口过滤和CBAC
             在边界接口上配置入口过滤:  autosecure会询问是否要在路由器边界接口上采用入口过滤
             启用单播RPF:  autosecure会在所有连接因特网的接口上自动配置严格的单播RPF,有助于丢弃任何源欺骗数据包
             配置CBAC防火墙特性:  autosecure会询问是否在所有连接因特网的接口上启用一般的CBAC检查规则
         最后是检查配置并应用于运行配置中

 

你可能感兴趣的:(职场,休闲,autosecure)