路由技術(shù):用Nipper審核路由器安全性

字號:

Nipper是怎樣一個(gè)軟件
    其實(shí)Nipper是Network Infrastructure Parser的簡寫,應(yīng)該說它是網(wǎng)絡(luò)架構(gòu)的剖析器。Nipper是一個(gè)開源的網(wǎng)絡(luò)設(shè)備安全審核工具。開源的好處當(dāng)然是它的免費(fèi)性。Nipper以前被稱為CiscoPars,界面樸素,不過功能強(qiáng)大,并且易于安裝和使用,能夠精確完成所承諾的任務(wù)。Nipper能夠處理網(wǎng)絡(luò)設(shè)備配置文件,對網(wǎng)絡(luò)設(shè)備執(zhí)行安全審核,并能夠輸出一個(gè)帶有建議信息的安全報(bào)告,還可輸出一個(gè)配置報(bào)告。Nipper目前支持Cisco IOS, PIX, ASA, FWSM, NMP, CatOS and Juniper NetScreen等設(shè)備。
    可以說,它可以與許多不同的網(wǎng)絡(luò)設(shè)備協(xié)同工作,而不僅僅是思科的。具體來說, Nipper能夠?qū)徍说木W(wǎng)絡(luò)兼容設(shè)備有:思科交換機(jī)(IOS)、思科路由器(IOS)、思科防火墻(PIX,ASA,FWSM)、思科Catalyst交換機(jī)(NMP,CatOS,IOS)、思科Content Service交換機(jī)、Juniper NetScreen防火墻(ScreenOS)。
    如何使用Nipper?
    Nipper支持許多設(shè)備并擁有許多選項(xiàng),在此筆者不打算展示其所有的功能。不過,筆者將展示其基本的應(yīng)用。對本文的例子來說,我們將用Nipper來審核一個(gè)僅擁有默認(rèn)配置的思科路由器。
    為進(jìn)行審核,筆者采用了思科2600 Series路由器,清除了原來手動(dòng)配置信息,并重新啟動(dòng)之。然后,就開始了審核路由器的過程。
    首先,從Sourceforge.net(http://downloads.sourceforge.net/nipper/nipper-0.10.7.zip?modtime=1192735478&big_mirror=0,此鏈接下載得到的是Windows平臺的Nipper,此軟件還有一個(gè)在Linux平臺也可正常運(yùn)行版本)下載Nipper,。將其解壓到計(jì)算機(jī)的一個(gè)文件夾中,如C: nipper
    下一步,獲得路由器配置文件的文本信息。用Telnet或SSH方式登錄到路由器,使用show running-configuration命令,將輸出結(jié)果復(fù)制、粘貼到記事本中,將其保存在前面創(chuàng)建的C:nipper文件夾中。
    作為選擇,你可以使用一個(gè)TFTP服務(wù)器并將其配置復(fù)制到你的本地PC中。例如,筆者用Tftpd32.exe試驗(yàn)過,運(yùn)行起來既快又簡單。復(fù)制時(shí)請使用copy running-configuration tftp命令。
    在將需要審核的的配置文件在PC中準(zhǔn)備好以后,切換到Windows命令提示窗口,鍵入“cd nipper”命令,然后鍵入:
    nipper --ios-router --input=testrouterconfig.txt --output=audit.html。
    系統(tǒng)將回返回到命令提示符狀態(tài),并沒有返回任何信息。不過,不要緊,它已經(jīng)開始工作。
    下一步,打開一個(gè)Web瀏覽器,并在其地址欄中輸入如下的內(nèi)容:c:nipperaudit.html。這樣就會(huì)打開一個(gè)安全報(bào)告。
    Nipper告訴我們什么信息
    瀏覽上圖中的安全報(bào)告,你將會(huì)看到Nipper提供的安全審核信息,例如:
    1. 擁有漏洞的軟件版本號,以及這些漏洞的參考數(shù)目。
    2. 給用戶提供一些建議,幫助用戶禁用那些會(huì)導(dǎo)致其他人訪問這臺路由器的服務(wù)。
    3. 你需要啟用的可以保障路由器安全的命令。
    在本例中,Nipper告訴我們需要執(zhí)行如下操作:
    1. 升級路由器的IOS,防止會(huì)導(dǎo)致Telnet遠(yuǎn)程DoS攻擊的漏洞和TCP監(jiān)聽者DoS攻擊的漏洞。
    2. 配置service tcp-keepalives-in 命令以有助于防止DoS攻擊。
    3. 在控制臺上配置超時(shí)數(shù),用以防止任何人通過Telnet或控制臺會(huì)話訪問路由器。
    4. 啟用日志功能。
    除了其它的幾個(gè)建議之外,Nipper還提供了一個(gè)設(shè)備的總結(jié)性信息:哪些服務(wù)打開了,哪些服務(wù)關(guān)閉了,線路狀態(tài),接口狀態(tài),DNS,時(shí)區(qū)等等。
    雖然Nipper如此嬌小、簡易,又是免費(fèi)的軟件,卻為我們提供了如此強(qiáng)大的網(wǎng)絡(luò)設(shè)備安全審核功能。要得到Nipper的幫助信息,用戶在下載、解壓程序后可以鍵入“nipper -help”命令得到幫助信息。筆者相信,你在用了之后一定會(huì)喜歡的。