cisco 路由器可以自己執行命令嗎?
我的 Cisco 路由器 1900 系列遇到問題,路由器有時會停止路由數據包,當我登錄它並顯示 running-config 時,我看到 no ip routing 執行 ip routing 命令不能解決問題,我必須重新啟動路由器使其再次工作。我以為這是一次攻擊,但即使更改了所有密碼,問題仍然存在,而且每次發生的時間間隔非常隨機!somtimes 15min somtimes 幾個小時或幾天。
我在 cisco support forum 上看到一個討論,令人驚訝的是 6 天前開始的,(我的問題也是最近的,大約 2 週)
直到現在他們還沒有解決,我想听聽您的意見和想法,路由器可以在某些情況下或出於某些原因禁用他的路由嗎?你有沒有遇到過這樣的問題?你是怎麼解決的?
謝謝!
思科支持論壇執行緒現在有了答案。這是您的 SNMP 配置,具有易於猜測的社區字元串和 RW 訪問權限。
http://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html#anc50
這是來自 Cisco 支持論壇的答案,以防連結損壞。顯然它與SNMP配置有關,它應該更安全。
強化簡單網路管理協議
本節重點介紹可用於保護 IOS 設備內 SNMP 部署的幾種方法。為了保護網路數據和傳輸該數據的網路設備的機密性、完整性和可用性,正確保護 SNMP 至關重要。SNMP 為您提供有關網路設備執行狀況的大量資訊。應保護此資訊免受想要利用此數據對網路進行攻擊的惡意使用者。
- SNMP 社區字元串
團體字元串是應用於 IOS 設備的密碼,用於限制對設備上 SNMP 數據的只讀和讀寫訪問。與所有密碼一樣,應仔細選擇這些社區字元串,以確保它們不是微不足道的。應根據網路安全策略定期更改社區字元串。例如,當網路管理員更改角色或離開公司時,應更改字元串。
這些配置行配置只讀社區字元串 READONLY 和讀寫社區字元串 READWRITE:
! snmp-server community READONLY RO snmp-server community READWRITE RW !注意:選擇前面的社區字元串範例是為了清楚地解釋這些字元串的使用。對於生產環境,應謹慎選擇社區字元串,並應由一系列字母、數字和非字母數字元號組成。有關選擇重要密碼的更多資訊,請參閱創建強密碼的建議。
有關此功能的詳細資訊,請參閱 IOS SNMP 命令參考。
- 帶有 ACL 的 SNMP 社區字元串
除了社區字元串之外,還應應用 ACL,進一步將 SNMP 訪問限制為一組選定的源 IP 地址。此配置限制 SNMP 只讀訪問位於 192.168.100.0/24 地址空間的終端主機設備,並將 SNMP 讀寫訪問限制為僅位於 192.168.100.1 的終端主機設備。
注意:這些 ACL 允許的設備需要正確的社區字元串才能訪問請求的 SNMP 資訊。
! access-list 98 permit 192.168.100.0 0.0.0.255 access-list 99 permit 192.168.100.1 ! snmp-server community READONLY RO 98 snmp-server community READWRITE RW 99 !有關此功能的詳細資訊,請參閱 Cisco IOS 網路管理命令參考中的 snmp-server 社區。
- 基礎架構 ACL
可以部署基礎架構 ACL (iACL) 以確保只有具有可信 IP 地址的終端主機才能將 SNMP 流量發送到 IOS 設備。iACL 應包含拒絕 UDP 埠 161 上未經授權的 SNMP 數據包的策略。
有關使用 iACL 的更多資訊,請參閱本文件的使用基礎架構 ACL 限制對網路的訪問部分。
- SNMP 視圖
SNMP 視圖是一種安全功能,可以允許或拒絕對某些 SNMP MIB 的訪問。使用 snmp-server community community-string view 全域配置命令創建視圖並將其應用於社區字元串後,如果您訪問 MIB 數據,您將受限於視圖定義的權限。適當時,建議您使用視圖將 SNMP 使用者限制為他們需要的數據。
此配置範例使用社區字元串 LIMITED 將 SNMP 訪問限制為位於系統組中的 MIB 數據:
! snmp-server view VIEW-SYSTEM-ONLY system include ! snmp-server community LIMITED view VIEW-SYSTEM-ONLY RO ! Refer to Configuring SNMP Support for more information.
- SNMP 版本 3
SNMP 版本 3 (SNMPv3) 由 RFC3410、RFC3411、RFC3412、RFC3413、RFC3414 和 RFC3415 定義,是一種可互操作的基於標準的網路管理協議。SNMPv3 提供對設備的安全訪問,因為它對網路上的數據包進行身份驗證和加密。在支持的情況下,可以使用 SNMPv3 在部署 SNMP 時添加另一層安全性。SNMPv3 包含三個主要配置選項:
no auth - 此模式不需要任何身份驗證或對 SNMP 數據包進行任何加密 auth - 此模式需要對 SNMP 數據包進行身份驗證而不加密 priv - 此模式需要對每個 SNMP 數據包進行身份驗證和加密(隱私) 必須存在權威引擎 ID為了使用 SNMPv3 安全機制 - 身份驗證或身份驗證和加密 - 來處理 SNMP 數據包;預設情況下,引擎 ID 是在本地生成的。可以使用 show snmp engineID 命令顯示引擎 ID,如下例所示:
router#show snmp engineID Local SNMP engineID: 80000009030000152BD35496 Remote Engine ID IP-addr Port注意:如果 engineID 改變,所有 SNMP 使用者帳戶必須重新配置。
下一步是配置 SNMPv3 組。此命令使用 SNMP 伺服器組 AUTHGROUP 為 SNMPv3 配置 Cisco IOS 設備,並僅使用 auth 關鍵字啟用此組的身份驗證:
! snmp-server group AUTHGROUP v3 auth ! This command configures a Cisco IOS device for SNMPv3 with an SNMP server group PRIVGROUP and enables both authentication and encryption for this group with the priv keyword: ! snmp-server group PRIVGROUP v3 priv ! This command configures an SNMPv3 user snmpv3user with an MD5 authentication password of authpassword and a 3DES encryption password of privpassword: ! snmp-server user snmpv3user PRIVGROUP v3 auth md5 authpassword priv 3des privpassword !請注意,snmp-server 使用者配置命令不會按照 RFC 3414 的要求顯示在設備的配置輸出中;因此,無法從配置中查看使用者密碼。為了查看配置的使用者,輸入 show snmp user 命令,如本例所示:
router#show snmp user User name: snmpv3user Engine ID: 80000009030000152BD35496 storage-type: nonvolatile active Authentication Protocol: MD5 Privacy Protocol: 3DES Group-name: PRIVGROUP有關此功能的詳細資訊,請參閱配置 SNMP 支持。
- 管理平面保護
Cisco IOS 軟體中的管理平面保護 (MPP) 功能可用於幫助保護 SNMP,因為它限制了 SNMP 流量可以在設備上終止的介面。MPP 功能允許管理員指定一個或多個介面作為管理介面。管理流量只能通過這些管理介面進入設備。啟用 MPP 後,除指定管理介面外,其他介面均不接受發往設備的網路管理流量。
請注意,MPP 是 CPPr 功能的子集,需要支持 CPPr 的 IOS 版本。有關 CPPr 的更多資訊,請參閱了解控制平面保護。
在此範例中,使用 MPP 將 SNMP 和 SSH 訪問限制為僅 FastEthernet 0/0 介面:
! control-plane host management-interface FastEthernet0/0 allow ssh snmp !有關詳細資訊,請參閱管理平面保護功能指南。
但是我發現這也可能與漏洞有關,這是他們談論的連結以及如何修復它: http ://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco- sa-20010227-ios-snmp-ilmi