|
|
|
|
|
|
|
|
,从而构造一个假的登录过程来偷盗口令或其他的非法活动。所以最好禁止这项功能,可以采用transport input none设置任何异步或Modem不接收来自网络用户的连结。如果可能,不要用相同的Modem拨入和拨出,且禁止反向Telnet拨入。
2.控制VTY
为了保证安全,任何VTY应该仅允许指定的协议建立连结。利用transport input命令。如一个VTY只支持Telnet服务,可以如下设置transport input telnet。如果路由器操作系统支持SSH,最好只支持这个协议,避免使用明文传送的Telnet服务。如下设置:transport input ssh。也可以利用ip access-class限制访问VTY的ip地址范围。
因为VTYs的数目有一定的限制,当所有的VTYs用完了,就不能再建立远程的网络连结了。这就有可能被利用进行Dos(拒绝服务攻击)。这里攻击者不必登录进入,只要建立连结,到login提示符下就可以,消耗到所有的VTYs。对于这种攻击的一个好的防御方法就是利用ip access-class命令限制最后一个VTYs的访问地址,只向特定管理工作站打开。而其他的VTYs不限制,从而既保证了灵活性,也保证关键的管理工作不被影响。另一个方法是利用exec-timeout命令,配置VTY的超时。避免一页码:[1] [2] [3] [4] [5] [6] [7] [8] [9] 第4页、共9页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
