当前位置：首页 > 网络黑客 > 正文内容

交换机加固经验总结

访客4年前 (2021-04-18)网络黑客1144

一、加固之前的准备事项

1、梳理资产，确定拓扑与上一次风评之后有无改动，确认增加了什么设备，有必要的话需要重新画拓扑。

2、确定拓扑中以及资产列表清单中设备的型号，是否在用，是否需要剔除，相关设备型号还有设备的数量是否和实际环境有出入。

3、确定甲方那边加固时需要着重注意的事项，比如ssh是否需要开启或者关闭，acl策略是否运用等等。

二、交换机的加固

对于如果第一次接触交换机加固的小伙伴，那么需要准备一根console线，还有建议安装SecureCRT这个软件。

当console线连接好后，你可以看到设备管理器中会出现一个外接设备，

有的小伙伴如果第一次做需要安装驱动，驱动装好，就可以看到给你分配的口。

然后打开?SecureCRT，点击?file-quick connect

protocol选择serial，port选择前面设备管理器中给你分配的口，

baud rate视情况而定，一般选择9600。点击connect进行连接。

进入设备后首先输入system-view，进入系统视图模式，

然后输入diaplay current就可以看到完整的交换机配置了。

在进行加固的过程中，同时需要对交换机的品牌、型号、机柜位置、版本、IP地址等进行记录。

版本查询：display version

一般来说大多数的交换机都是已经进行过加固的，一般什么都要改的情况还是比较少出现的。

首先就是用户的三权，也就是实现用户的三权分立，需要有三个账户具有不同的权限。

H3C：

网络设备未实现设备特权用户的权限分离

创建多个账户，设置不同权限等级，实现三权分离

local-user user01

password simple Wingate5.00

authorization-attribute user-role level-0

service-type ssh terminal

local-user user02

password simple Wingate5.00

authorization-attribute user-role level-10

service-type ssh terminal

local-user user03

password simple Wingate5.00

authorization-attribute user-role level-15

service-type ssh terminal

ssh user user01 service-type stelnet authentication-type password

ssh user user02 service-type stelnet authentication-type password

ssh user user03 service-type stelnet authentication-type password

Undo local-user user01

Undo local-user user02

Undo local-user user03

Undo ssh user user01 service-type stelnet authentication-type password

Undo ssh user user02 service-type stelnet authentication-type password

Undo ssh user user03 service-type stelnet authentication-type password

华为：

由于本次的加固在华为设备中只碰到了三权分离的问题，

因此我这边也就写明了华为设备中三权分离如何做的命令，亲测是有效果的。

因此很多时候，如果又不知道的命令，那么就需要赶紧百度然后去尝试一下是否可以执行。

关闭不必要的服务：

禁用不必要的服务

关闭网络设备不必要的服务，例如FTP等

undo ftp server enable

undo ip http enable

undo telnet server enable

ftp server enable

ip http enable

telnet server enable

关闭不使用的端口：

禁用不必要的端口

关闭空闲端口

interface range g1/0/10 to g1/0/22

shutdown（空闲端口）

shutdown

interface range g1/0/10 to g1/0/22

shutdown（空闲端口）

undo shutdown

根据需求查看有无启用syslog，有无使用ssh，有无将acl运用在vty上等等

当然还有可能甲方会让你帮忙做一下不在加固范围内的事情，

这次就帮忙做了一下snmp添加地址，这边用到的命令主要是snmp-agent，这个也需要和客户确认一下读写权限，是否需要加密密码等，

如果甲方没有要求的话，当然尽可能的保证和之前的一致就可以，这样总不会出错。

Snmp的命令其实会在你display current后，如果之前已经有过snmp地址的话，那个命令其实已经是显示给你了，是可以直接照搬的。

三、总结

遇到不知道或者没有记录的命令，学会百度，同时在事后进行记录，防止以后遇到相同的问题。

学会使用，这个命令会告知你在当前情况下有什么命令可以使用。

比如snmp-agent ，就会出现snmp-agent后面你可以使用的命令，如果不确定应该使用什么，那么依旧是找度娘帮忙。

扫描二维码推送至手机访问。

本文链接：https://therlest.com/105230.html

分享给朋友：

返回列表

上一篇：绕过WAF的另类木马文件测试方法

下一篇：京东白条怎么提现到银行卡里-新手必看操作细节详解

“交换机加固经验总结” 的相关文章

华流年京东618怎么个便宜法

京东618年中大促作为京东活动力度最大的一个购物节，自然是受到很多人关注的，有些小伙伴一早就想好要在京东618上面买什么东西了，还有些小伙伴连今年京东618怎么个便宜法都不知道，下面就由百思特小编来给大家说说吧！ 2020京东618便宜多少...

【干货知识】高級不断渗透第八季-demo就是远程控制

本季度是《高級不断渗透-第七季demo的发展》的持续。点一下文尾左下角“阅读”可阅读文章第七季文章正文。在第一季有关后门中，文章内容提及再次编译程序notepad ，来引入有目标源代码后门结构。在第六季有关后门中，文章内容假定不在获知notepad 的源代码，来引入无目标源代码沟...

我老公老是让他家的亲戚来我家,我该怎么办?请各位帮我想想办法,我

我老公老是让他家的亲戚来我家,我该怎么办?请各位帮我想想办法,我请各位帮我想想办法,开网店怎么找女装货源唔爱神起助您成就财富人生，想做微商？想开实体店？想开淘宝店？什么才是你创业的最重要步骤？货源！想在微商卖童装母婴用品纸尿裤女装，开童装女装店铺，你去哪里找最好的货源？如何找童装女装一手货源呢？...

茯苓多少钱一克贵吗 - 土茯苓和茯苓哪个贵

因为很难挖到。茯苓2点5-3点5元一两，2016年1月4日更新。 30元左右一斤，还有以后.药店的销售价格通常在20，价格更高些，我在这边收购，2011年茯苓价格分两种价格，也就是两种产品，心；脾；肺；肾经。也和并不容易挖到。 4]渗湿利水；健脾和胃；宁心安神。即使在茯苓产地的山里面，茯苓价格悄悄地...

如厕阅读-如厕时读书看报有哪些坏处？

如厕阅读-如厕时读书看报有哪些坏处？读书、看报兼如厕，不少人有这样的习惯。然而这一习惯非常不好。蹲厕时读书看报，会干扰大脑对排便传导神经的指挥，延长排便时间。现代医学研究证实，蹲厕超过3分钟即可直接导致直肠静脉曲张淤血，易诱发痔疮，且病情的轻重与时间长短有关。蹲厕时间越长，发病几率越高。因为久蹲...