博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2006|回复: 1

用Nipper审核路由器的安全性(转载,有修改)

[复制链接]
发表于 2008-2-1 05:52:18 | 显示全部楼层 |阅读模式
用Nipper审核路由器的安全性(转载,有修改)


注:今天看到一篇文章,感觉很不错,因此略加编辑整理,在这里与论坛的各位分享。




因不能加附件,您可以按下文中给出的连接下载这个软件。这个软件不需要安装,下载后直接解压到一个文件夹中即可。




该软件是一个命令行工具。因此需要在dos窗口中运行。




使用nipper -help可以获取帮助。




我已试了试这个软件,能得到一个审计报告,审计结果是一个。.html文件,直接打开这个文件,可以查看审计结果。(全是英文)




以下是一个示例:




假设Nipper被解压到c:\nipper文件夹下。



在dos窗口中,




cd c:\nipper



nipper --ios --input=cisco2811.txt --output=audit.html




其中,cisco2811.txt是我的Cisco2811的运行配置文件,audit.html是审计结果文件。这两个文件我都放在了c:\nipper文件夹下。




还要注意的是,上面命令行中ios、input、output前面都是两个横杠(减号)



下面文字是转载的。




---------------------------------------------------------------------------------------



你确信自己的路由器安全吗?你用什么工具管理自己的路由器的安全性?近来,笔者从一位网络管理员那里得知了这个软件。虽然现在有许多工具可以审核网络设备的安全性,而Nipper在这方面却是独树一帜。下面结合笔者的使用经验,我们看看它是如何审核思科路由器的安全性。




Nipper是怎样一个软件




其实Nipper是Network Infrastructure Parser的简写,应该说它是网络架构的剖析器。Nipper是一个开源的网络设备安全审核工具。开源的好处当然是它的免费性。Nipper以前被称为CiscoPars,界面朴素,不过功能强大,并且易于安装和使用,能够精确完成所承诺的任务。Nipper能够处理网络设备配置文件,对网络设备执行安全审核,并能够输出一个带有建议信息的安全报告,还可输出一个配置报告。Nipper目前支持Cisco IOS、PIX、ASA、FWSM、NMP、CatOS and Juniper NetScreen等设备。



可以说,它可以与许多不同的网络设备协同工作,而不仅仅是思科的。具体来说,Nipper能够审核的网络兼容设备有:思科交换机(IOS)、思科路由器(IOS)、思科防火墙(PIX、ASA、FWSM)、思科Catalyst交换机(NMP、CatOS、IOS)、思科Content Service交换机、Juniper NetScreen防火墙(ScreenOS)。




如何使用Nipper?




Nipper支持许多设备并拥有许多选项,在此笔者不打算展示其所有的功能。不过,笔者将展示其基本的应用。对本文的例子来说,我们将用Nipper来审核一个仅拥有默认配置的思科路由器。




为进行审核,笔者采用了思科2600 Series路由器,清除了原来手动配置信息,并重新启动之。然后,就开始了审核路由器的过程。




首先,从Sourceforge.net(http://downloads.sourceforge.net ... 97&big_mirror=0),此链接下载得到的是Windows平台的Nipper,此软件还有一个在Linux平台也可正常运行的版本。将其解压到计算机的一个文件夹中,如C:\ nipper




您可以通过http://sourceforge.net/project/showfiles.php?group_id=191582来获取最新版本的Nipper软件信息。




下一步,获得路由器配置文件的文本信息。简言之,就是将路由器的运行配置保存为一个.txt文件。用Telnet或SSH方式登录到路由器,使用show running-configuration命令,将输出结果复制、粘贴到记事本中,将其保存在前面创建的C:\nipper文件夹中。




作为选择,你可以使用一个TFTP服务器并将其配置复制到你的本地PC中。例如,笔者用Tftpd32.exe试验过,运行起来既快又简单。复制时请使用copy running-config tftp:命令。




在将需要审核的配置文件在PC中准备好以后,切换到Windows命令提示窗口,键入“cd nipper”命令,然后键入:




nipper --ios-router --input=testrouterconfig.txt --output=audit.html。如下图1所示:



(图片略)







系统将回返回到命令提示符状态,并没有返回任何信息。不过,不要紧,它已经开始工作。



接下来,打开一个浏览器,然后在地址栏中输入:c:\nipper\audit.html。(或者,在资源管理器中,直接到c:\nipper文件夹下,找到刚才生成的audit.html文件,双击打开。)一个安全报告将展现在你的眼前。下图是一个截屏。
(图片略)
 楼主| 发表于 2008-2-1 05:52:32 | 显示全部楼层
Nipper告诉我们什么信息

浏览上图中的安全报告,你将会看到Nipper提供的安全审核信息,例如:

1.拥有漏洞的软件版本号,以及这些漏洞的参考数目。

2.给用户提供一些建议,帮助用户禁用那些会导致其他人访问这台路由器的服务。

3.你需要启用的可以保障路由器安全的命令。

在本例中,Nipper告诉我们需要执行如下操作:

1.升级路由器的IOS,防止会导致Telnet远程DoS攻击的漏洞和TCP监听者DoS攻击的漏洞。

2.配置service tcp-keepalives-in 命令以有助于防止DoS攻击。

3.在控制台上配置超时数,用以防止任何人通过Telnet或控制台会话访问路由器。

4.启用日志功能。

除了其它的几个建议之外,Nipper还提供了一个设备的总结性信息:哪些服务打开了,哪些服务关闭了,线路状态,接口状态,DNS,时区等等。

考虑到Nipper是一款如此小巧、简单而且免费的软件,却又能提供如此详细的报告和建议,不能不说这是令人吃惊的强大网络设备安全审核工具。你如果想了解更多关于Nipper的帮助信息,可以在命令行中输入C:\nipper\nipper -help 命令。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-24 10:36 , Processed in 0.085340 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表