不可不知的路由交換的安全七宗罪

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

路由交換的安全七宗罪（上）

企業(yè)網(wǎng)絡(luò)管理員的最主要職責(zé)就是保證內(nèi)網(wǎng)的安全，而在內(nèi)網(wǎng)各個(gè)網(wǎng)絡(luò)設(shè)備中路由交換特別是核心層的設(shè)備是對(duì)安全需求最高的，那么作為中小企業(yè)的網(wǎng)絡(luò)管理員來(lái)說(shuō)又該如何保證路由交換設(shè)備的安全呢?在實(shí)際工作過(guò)程中筆者接觸到很多網(wǎng)絡(luò)管理員，但是他們?cè)诼酚山粨Q設(shè)置上或多或少存在著安全隱患和漏洞，今天就讓我們一起來(lái)看看路由交換安全的七宗罪。

一宗罪：密碼明文化

有過(guò)路由交換配置經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員都知道默認(rèn)情況下我們給路由交換設(shè)備添加管理密碼都通過(guò)enable password命令，不過(guò)這樣建立的密碼并不安全，他是以明文的形式存儲(chǔ)在running配置文件中的，我們通過(guò)show running可以查看到該信息，非常不安全，因此我們需要通過(guò)另外一條命令來(lái)添加一個(gè)加密過(guò)的密碼，具體指令為——enable secret。(如圖1)

執(zhí)行命令后我們?cè)偻ㄟ^(guò)show running查看配置文件內(nèi)容的話(huà)將會(huì)看到密碼已經(jīng)經(jīng)過(guò)加密而存儲(chǔ)在配置文件中，當(dāng)然這個(gè)信息也不是百分之百安全的，畢竟MD5信息可以通過(guò)暴力破解還有一些站點(diǎn)也提供MD5密文反查服務(wù)。不過(guò)不管怎么說(shuō)其安全性大大提高。(如圖2)

二宗罪：密碼同一化

還有一些網(wǎng)絡(luò)管理員認(rèn)為記憶多了密碼容易混淆，所以在配置路由交換設(shè)備時(shí)使用了和自己管理的服務(wù)器一樣的密碼，實(shí)際上這也是不安全的，密碼同一化會(huì)大大提高網(wǎng)絡(luò)設(shè)備被攻擊的可能，畢竟設(shè)備多了難免會(huì)被攻擊，一旦某個(gè)設(shè)備被入侵，那么密碼同一化將造成所有設(shè)備密碼的泄露。另外路由交換設(shè)備自身都提供了很多級(jí)密碼，例如常規(guī)模式密碼，特權(quán)模式密碼，配置模式密碼等，還有console口連接密碼，Telnet訪(fǎng)問(wèn)密碼等，我們?cè)谠O(shè)置時(shí)也要對(duì)這些模式與密碼區(qū)別化，不要全部設(shè)置為一樣。通過(guò)不同級(jí)別的密碼對(duì)不同用戶(hù)進(jìn)行授權(quán)，從而避免越權(quán)問(wèn)題的發(fā)生。(如圖3)

小提示：

默認(rèn)情況下網(wǎng)絡(luò)設(shè)備都可以利用啟動(dòng)期間的BREAK方式來(lái)進(jìn)入到監(jiān)聽(tīng)ROMMON模式進(jìn)行口令恢復(fù)，這就存在一個(gè)安全隱患，任何人只要靠近網(wǎng)絡(luò)設(shè)備就都可以通過(guò)控制臺(tái)端口來(lái)完成重新設(shè)置密碼的任務(wù)，所以我們?cè)诒ＷC密碼記憶牢靠的情況下可以關(guān)閉這個(gè)密碼恢復(fù)方式，通過(guò)no service password-recovery命令完成關(guān)閉ROMMON監(jiān)聽(tīng)模式的任務(wù)。

三宗罪：密碼同級(jí)化

所謂密碼同級(jí)化就是指不針對(duì)不同模式和不同配置接口分配不同的密碼，管理路由器只通過(guò)唯一密碼即可完成。實(shí)際上這也是錯(cuò)誤的，畢竟平時(shí)訪(fǎng)問(wèn)和管理路由交換設(shè)備的用戶(hù)不可能只有你一個(gè)，所以合理的將密碼分級(jí)設(shè)置分級(jí)管理是非常重要的，適當(dāng)?shù)姆峙鋠isit,monitor,system,manage等權(quán)限會(huì)讓你的安全工作游刃有余，而在實(shí)際應(yīng)用過(guò)程中這些密碼分級(jí)化也大大提高了核心路由交換設(shè)備的安全。(如圖4)

另外在密碼管理方面還存在一個(gè)最大問(wèn)題，那就是臨時(shí)密碼的處理，很多時(shí)候當(dāng)網(wǎng)絡(luò)出現(xiàn)故障后也許我們需要向廠(chǎng)商尋求技術(shù)支持，在這種情況下我們不應(yīng)該把原來(lái)的密碼直接告訴技術(shù)支持人員，通過(guò)設(shè)置一個(gè)臨時(shí)密碼的方式來(lái)解決遠(yuǎn)程或異地異人維護(hù)問(wèn)題，在維護(hù)完畢后也要記得停止臨時(shí)帳戶(hù)，筆者就發(fā)現(xiàn)很多下屬網(wǎng)絡(luò)管理員在向我尋求幫助時(shí)直接告訴了管理員帳戶(hù)，又或者即使建立了臨時(shí)帳戶(hù)，幾個(gè)月后還能夠通過(guò)該帳戶(hù)登錄和管理。這些都為路由交換設(shè)備帶來(lái)了一定的安全隱患。

小提示：

默認(rèn)情況下通過(guò)console口控制臺(tái)登錄路由交換設(shè)備是不需要密碼的，但是為了保證安全我們還是應(yīng)該為其設(shè)置一個(gè)密碼，通過(guò)以下命令來(lái)完成——line console 0,login,password XXXXXX，最后再通過(guò)service password-encryption命令對(duì)設(shè)置的密碼加密。