sdm
配置sdm
1.创建本地用户名和密码(级别15)
username admin privilege 15 password yeslabccies
2.启用http或者https服务器
ip http secure-server/ip http server
3.配置http的本地认证
ip http authentication local
4.配置vty线路的本地用户认证或ssh
line vty 0 15
login local
5.限制vty线路拨入协议(可选)
transport input ssh
ios提供的服务
1.cdp
2.ntp网络时间协议,17,26,存不住时间。必须设置ntp服务器源。
3.tcp/udp minor services tcp的回显,默认关闭。
service tcp-small-servers
show tcp brief
telnet 1.1.1.1 echo回显,tcp的ping
退出ctrl+shift.+6+x
telnet 1.1.1.1 daytime
telnet 1.1.1.1 chargen
4.gratuitous arp免费arp用来检测ip冲突
no ip arp gratuitous
5.proxy arp代理arp
int f0/0
no ip proxy-arp
6.snmp
7.ip directed broadcast ip直接广播smurf.
int f0/0
ip directed-broadcast开启直接广播
8.ip souce routing源栈路由,没有路由使用扩展ping也能到达目的,逐跳。
no ip source-route
9.finger service
telnet x.x.x.x
不用认证就可以show user,默认禁用
10.icmp unreachable
debug ip icmp
unreachable信息,说明对方没有去路由。
administratively prohibited unreachable,说明对方有acl过滤
关闭no ip unreachables关闭。显示信息
两大功能:
1.禁用适当的ip服务,防止网络攻击
2.打开ip服务和特性,协助抵御攻击
配置命令:
使用auto secure关闭不需要的服务。
设计安全的管理和报告1
1.通过网络和安全组成员的反馈,决定什么重要的信息需要log
2.选择适当的syslog级别
3.保证log信息安全的传输与存储,防止被而已的篡改
4.使用ntp保障log信息准确的时间最好使用ntpv3,它提供了对时间更新的认证
5.判断什么log数据能够提供足够的犯罪证据
6.预留足够的存储空间保证log的需求
7.确定企业管理系统,用于管理多个设备
8.为了追踪配置的修改,部署更改管理计划
什么是带外管理(oob)
带内管理
带外管理
网络管理需要考虑的问题
1.建议对服务器实施二层隔离(pvlan或switchport protect).
2.带内管理不建议使用telnet/https.
3.任何从非信任网络来的管理流量建议使用ipsec/ssh加密,并且使用acl控制源地址。
4.如果使用snmp管理网络,强烈建议使用snmpv3,因为它能够对管理流量进行加密和验证。
5.terminal server有效地提供了router的带外管理,对terminal server的访问建议使用ssh+access-class
6.使用aaa服务器存储管理设备的syslog信息,建议使用acl限制对syslog服务器的访问。
7.syslog服务器存储管理设备的syslog信息,建议使用acl限制对syslog服务器的访问。
8.应该使用ntp提供设备的时间同步,有助于pki/syslog的部署,建议使用ntpv3
为什么要配置syslog
log分析攻击
log排错
通过查看log能够对事件进行关联
log能够输出的地方
1.console
no logging console关闭log输出console
2.vty lines
vty默认远程登录不显示log信息,如果要使显示,terminal monitor
3.buffer
把log信息存到本地buffer.
show buffer查看,默认不启用
logging buffered
show logging
4.snmp server简单网络管理协议
snmp三大组件:
1.snmp manager
2.snmp agent
3.mib表
三种messages
get:读
set:写
trap:通告
community的安全问题
like a password
v1,v2完全没有安全性
v3可以加密和认证。
完整性
认证
加密
snmpv1/2c基本陪孩子
基于trap配置:
snmp-server location bjsec 地点
snmp-server contact cq_bomb 联系人
snmp-server enable traps 激活trap
snmp-server host 137.78.2.200 gw 发送到服务器
基本get/set配置
snmp-server community gwro(密码) ro(读)
snmp-server community gwrw(密码) rw(读写)
snmpv3基本配置
snmp-server engineid remote 192.168.6.100(管理中心地址)1234567890(管理中心engineid)(可选)
snmp-server enginid local 101010101010(本地engine id可选)
snmp-server view test mib-2 included(mib范围)
snmp-server group grp1 v3 priv read test write test(创建组)
snmp-server user user1 grp1 v3 auth md5 123 priv des 321
snmp-server host 137.78.5.200 version 3 priv user1(trap配置)
5.syslog server
logging host 202.100.1.241 发送到log服务器
logging trap 6把0-6的log都发送到服务器,越小越严重
标签:log,ip,snmp,server,syslog,第二天,CCNA,服务器,Security From: https://www.cnblogs.com/smoke520/p/18357891