Nipper是怎樣一個軟件

其實Nipper是Network Infrastructure Parser的簡寫，應該說它是網絡架構的剖析器。Nipper是一個開源的網絡設備安全審核工具。開源的好處當然是它的免費性。Nipper以前被稱為CiscoPars,界面樸素，不過功能強大，并且易于安裝和使用，能夠精確完成所承諾的任務。Nipper能夠處理網絡設備配置文件，對網絡設備執行安全審核，并能夠輸出一個帶有建議信息的安全報告，還可輸出一個配置報告。Nipper目前支持Cisco IOS, PIX, ASA, FWSM, NMP, CatOS and Juniper NetScreen等設備。

可以說，它可以與許多不同的網絡設備協同工作，而不僅僅是思科的。具體來說， Nipper能夠審核的網絡兼容設備有：思科交換機(IOS)、思科路由器(IOS)、思科防火墻(PIX,ASA,FWSM)、思科Catalyst交換機(NMP,CatOS，IOS)、思科Content Service交換機、Juniper NetScreen防火墻(ScreenOS)。

如何使用Nipper?

Nipper支持許多設備并擁有許多選項，在此筆者不打算展示其所有的功能。不過，筆者將展示其基本的應用。對本文的例子來說，我們將用Nipper來審核一個僅擁有默認配置的思科路由器。

為進行審核，筆者采用了思科2600 Series路由器，清除了原來手動配置信息，并重新啟動之。然后，就開始了審核路由器的過程。

首先，從Sourceforge.net(http://downloads.sourceforge.net/nipper/nipper-0.10.7.zip?modtime=1192735478&big_mirror=0,此鏈接下載得到的是Windows平臺的Nipper,此軟件還有一個在Linux平臺也可正常運行版本)下載Nipper，。將其解壓到計算機的一個文件夾中，如C: nipper

下一步，獲得路由器配置文件的文本信息。用Telnet或SSH方式登錄到路由器，使用show running-configuration命令，將輸出結果復制、粘貼到記事本中，將其保存在前面創建的C:nipper文件夾中。

作為選擇，你可以使用一個TFTP服務器并將其配置復制到你的本地PC中。例如，筆者用Tftpd32.exe試驗過，運行起來既快又簡單。復制時請使用copy running-configuration tftp命令。

在將需要審核的的配置文件在PC中準備好以后，切換到Windows命令提示窗口，鍵入“cd nipper”命令，然后鍵入：

nipper --ios-router --input=testrouterconfig.txt --output=audit.html。如下圖1所示：

系統將回返回到命令提示符狀態，并沒有返回任何信息。不過，不要緊，它已經開始工作。

下一步，打開一個Web瀏覽器，并在其地址欄中輸入如下的內容：c:nipperaudit.html。這樣就會打開一個安全報告。下圖2.bmp展示了安全審核的屏幕窗口：

Nipper告訴我們什么信息

瀏覽上圖中的安全報告，你將會看到Nipper提供的安全審核信息，例如：

1. 擁有漏洞的軟件版本號，以及這些漏洞的參考數目。

2. 給用戶提供一些建議，幫助用戶禁用那些會導致其他人訪問這臺路由器的服務。

3. 你需要啟用的可以保障路由器安全的命令。

在本例中，Nipper告訴我們需要執行如下操作：

1. 升級路由器的IOS，防止會導致Telnet遠程DoS攻擊的漏洞和TCP監聽者DoS攻擊的漏洞。

2. 配置service tcp-keepalives-in 命令以有助于防止DoS攻擊。

3. 在控制臺上配置超時數，用以防止任何人通過Telnet或控制臺會話訪問路由器。

4. 啟用日志功能。

除了其它的幾個建議之外，Nipper還提供了一個設備的總結性信息：哪些服務打開了，哪些服務關閉了，線路狀態，接口狀態，DNS，時區等等。

雖然Nipper如此嬌小、簡易，又是免費的軟件，卻為我們提供了如此強大的網絡設備安全審核功能。要得到Nipper的幫助信息，用戶在下載、解壓程序后可以鍵入“nipper -help”命令得到幫助信息。筆者相信，你在用了之后一定會喜歡的。