Simone通过四步防御SSH攻击
的有关信息介绍如下:
SSH攻击对于企业通讯过程中的攻击方式是最为常见的,SSH攻击可以冒充真正的服务器对你的数据进行侦听,也可以接受并且发送恶意数据给真正的服务器,然后继续进行其他入侵。防范SSH攻击是十分必要的。企业内网路由器安装之后,如何利用应用nat123从外网访问我们的内网路由器进行一些工作呢。
基本配置:
有不认证,密码认证,用户名和密码认证三中方式,建议采用基于用户和密码的认证方式。如果考虑到所有网络设备进行统一认证,可以使用同一个radius服务器进行认证。具体如下:
建立一个权限是观察级别的telnet用户:
local-user test
password cipher 3M]*QF/H]KL`K&@YU8<4)!!!
service-type telnet level 0
在tty 0 4 接口上使能用户和密码认证:
user-interface vty 0 4
authentication-mode scheme
2、考虑到安全性,可以将认证用户的权限设置为level 0参观级别。
然后使用super命令进行权限提升,综合考虑到用户名,密码,超级密码,可以说为黑客设置了三道防线。具体如下:
super password level 3 cipher /C]JIDTXNUC8BT:.'_^U$A!!
3、可以在tty接口设置acl,只允许部分ip远程telnet,具体如下:
建立一个基于源ip的acl:
acl number 2000
rule 0 permit source 192.168.1.0 0.0.0.255
将acl应用在vty 0 4的inbound方向:
user-interface vty 0 4
acl 2000 inbound
4、结合以往经验,经常会有SSH攻击网络设备,虽然不会导致设备被入侵,但会占用cpu和内存等资源,可以在tty接口不允许ssh报文进入具体如下:
在vty 0 4接口只允许telnet用户访问:
user-interface vty 0 4
protocol inbound telnet
企业内网安全之后,如何利用应用nat123从外网访问内网路由器,完成一些工作上的任务呢。
步骤是:下载,安装登录nat123.。
登录后/主面板/端口映射列表/添加映射。
设置映射信息。选择全端口映射模式。内网地址是内网路由器访问地址。外网地址域名可以是自己的域名,或二级域名,鼠标放在输入框上有提示。
保存映射信息后,可以查看映射图标状态信息,一般几分钟内映射生效。
可以将鼠标放在映射图标上,会出现状态提示信息。
