Nipper是一款功能强大的网络设备安全检查工具,尽管可以完成网络设备安全检查的工具有很多,Nipper却显得比较独特。下面就让我来告诉你为什么我会这样说。
什么是Nipper?
Nipper是网络架构分析器的英文Network Infrastrutcture Parser的缩写,它是一个开源网络设备安全检查工具。作为一个开源软件的好处之一当然首先是免费的。此前被称为CiscoParse的Nipper在外观上并不是特别好看,但是它是一个实力派选手。它可以很容易的被安装和使用,而且可以对于宣称的功能一点不打折扣实现。更令人印象深刻的是,它支持许多不同类型的网络设备,不仅仅思科设备。以下是Nipper可以审核的网络设备的一个简单列表:
。思科交换机(IOS )
。思科路由器(IOS )
。思科防火墙(PIX ,ASA ,FWSM)
。思科Catalyst交换机(NMP ,CatOS ,OS)
。思科内容服务交换机(CSS )
。Juniper NetScreen 防火墙(Screen OS )
如何使用Nipper?
由于Nipper支持如此众多的设备,还号称支持众多功能选项,因此我不可能面面俱到的来演示它们。但是我们可以做一个基本的示范。在我们的例子中,我们将使用Nipper来审核一个只具有默认设置的思科路由器。
在开始之前,我拿来一个思科2600系列路由器,清空配置,然后将其重启。下面我们就可以开始审核这个路由器的过程了。
首先,从著名的开源网站上下载Nipper,它目前有Windows版和Linux版。将其解压到你的本地计算机上,我们假定其位置为C:\nipper。
接下来,获得一个文本版的这个路由器的配置文件。通过Telnet或SSH登录到路由器上,运行show running-configuration命令,并将显示的配置拷贝到一个记事本中,然后将其保存到前面所说的C:\nipper这个文件夹下。
当然,你也可以使用一个TFTP服务器来将配置拷到你的本地计算机中。举个例子来说,我使用Tftpd32.exe这个工具可以非常快速而简单的完成这个操作。使用了命令copy running-configuration tftp。
一旦在你的计算机上有了这个运行配置后,进入Windows命令行窗口,然后进入到Nipper目录下。运行如下命令,如下图所示:
nipper --ios-router --input=testrouterconfig.txt --output=audit.html
输入完该命令会,没有提供任何信息,光标就立刻回到提示符前。不过,不用担心,它已经搞定了。
接下来,打开一个浏览器,然后在地址栏中输入:
c:\nipper\audit.html
一个安全报告将展现在你的眼前。下图是一个截屏。
安全报告告诉了我们什么?
从这份安全报告中,你将看到Nipper提供了如下安全审核信息:
·具有安全风险的软件版本和这些安全风险的相关索引号;
·禁用那些可能导致别人能够访问这个路由器的建议;
·你需要使用哪些命令来加固这个路由器的安全性。
在我们这个例子中,Nipper告诉我们需要进行如下操作:
·为了防止Telnet远程拒绝服务(DoS)攻击和TCP监听拒绝服务(DoS)攻击,需要升级这个路由器的IOS。
·配置service tcp-keepalives-in命令,以阻止一个拒绝服务攻击。
·配置终端上的超时时间,以防止其他人从一个Telnet或console会话中获得对路由器的访问。
·配置HTTP服务为安全的HTTPS,并且启用认证。
·启用日志功能。
除了几个其他的建议外,Nipper还提供了这个设备配置的总结,例如,什么服务被打开或关闭,接口的状态,域名解析(DNS),时区等等。
考虑到Nipper是一款如此小巧、简单而且免费的软件,却又能提供如此详细的报告和建议,不能不说这是令人吃惊的强大网络设备安全审核工具。你如果想了解更多关于Nipper的帮助信息,可以在命令行中输入C:\nipper\nipper -help 命令。
