不可不知的路由交換的安全七宗罪

申請免費試用、咨詢電話：400-8352-114

路由交換的安全七宗罪（上）

企業(yè)網(wǎng)絡(luò)管理員的最主要職責就是保證內(nèi)網(wǎng)的安全，而在內(nèi)網(wǎng)各個網(wǎng)絡(luò)設(shè)備中路由交換特別是核心層的設(shè)備是對安全需求最高的，那么作為中小企業(yè)的網(wǎng)絡(luò)管理員來說又該如何保證路由交換設(shè)備的安全呢?在實際工作過程中筆者接觸到很多網(wǎng)絡(luò)管理員，但是他們在路由交換設(shè)置上或多或少存在著安全隱患和漏洞，今天就讓我們一起來看看路由交換安全的七宗罪。

一宗罪：密碼明文化

有過路由交換配置經(jīng)驗的網(wǎng)絡(luò)管理員都知道默認情況下我們給路由交換設(shè)備添加管理密碼都通過enable password命令，不過這樣建立的密碼并不安全，他是以明文的形式存儲在running配置文件中的，我們通過show running可以查看到該信息，非常不安全，因此我們需要通過另外一條命令來添加一個加密過的密碼，具體指令為——enable secret。(如圖1)

執(zhí)行命令后我們再通過show running查看配置文件內(nèi)容的話將會看到密碼已經(jīng)經(jīng)過加密而存儲在配置文件中，當然這個信息也不是百分之百安全的，畢竟MD5信息可以通過暴力破解還有一些站點也提供MD5密文反查服務(wù)。不過不管怎么說其安全性大大提高。(如圖2)

二宗罪：密碼同一化

還有一些網(wǎng)絡(luò)管理員認為記憶多了密碼容易混淆，所以在配置路由交換設(shè)備時使用了和自己管理的服務(wù)器一樣的密碼，實際上這也是不安全的，密碼同一化會大大提高網(wǎng)絡(luò)設(shè)備被攻擊的可能，畢竟設(shè)備多了難免會被攻擊，一旦某個設(shè)備被入侵，那么密碼同一化將造成所有設(shè)備密碼的泄露。另外路由交換設(shè)備自身都提供了很多級密碼，例如常規(guī)模式密碼，特權(quán)模式密碼，配置模式密碼等，還有console口連接密碼，Telnet訪問密碼等，我們在設(shè)置時也要對這些模式與密碼區(qū)別化，不要全部設(shè)置為一樣。通過不同級別的密碼對不同用戶進行授權(quán)，從而避免越權(quán)問題的發(fā)生。(如圖3)

小提示：

默認情況下網(wǎng)絡(luò)設(shè)備都可以利用啟動期間的BREAK方式來進入到監(jiān)聽ROMMON模式進行口令恢復，這就存在一個安全隱患，任何人只要靠近網(wǎng)絡(luò)設(shè)備就都可以通過控制臺端口來完成重新設(shè)置密碼的任務(wù)，所以我們在保證密碼記憶牢靠的情況下可以關(guān)閉這個密碼恢復方式，通過no service password-recovery命令完成關(guān)閉ROMMON監(jiān)聽模式的任務(wù)。

三宗罪：密碼同級化

所謂密碼同級化就是指不針對不同模式和不同配置接口分配不同的密碼，管理路由器只通過唯一密碼即可完成。實際上這也是錯誤的，畢竟平時訪問和管理路由交換設(shè)備的用戶不可能只有你一個，所以合理的將密碼分級設(shè)置分級管理是非常重要的，適當?shù)姆峙鋠isit,monitor,system,manage等權(quán)限會讓你的安全工作游刃有余，而在實際應用過程中這些密碼分級化也大大提高了核心路由交換設(shè)備的安全。(如圖4)

另外在密碼管理方面還存在一個最大問題，那就是臨時密碼的處理，很多時候當網(wǎng)絡(luò)出現(xiàn)故障后也許我們需要向廠商尋求技術(shù)支持，在這種情況下我們不應該把原來的密碼直接告訴技術(shù)支持人員，通過設(shè)置一個臨時密碼的方式來解決遠程或異地異人維護問題，在維護完畢后也要記得停止臨時帳戶，筆者就發(fā)現(xiàn)很多下屬網(wǎng)絡(luò)管理員在向我尋求幫助時直接告訴了管理員帳戶，又或者即使建立了臨時帳戶，幾個月后還能夠通過該帳戶登錄和管理。這些都為路由交換設(shè)備帶來了一定的安全隱患。

小提示：

默認情況下通過console口控制臺登錄路由交換設(shè)備是不需要密碼的，但是為了保證安全我們還是應該為其設(shè)置一個密碼，通過以下命令來完成——line console 0,login,password XXXXXX，最后再通過service password-encryption命令對設(shè)置的密碼加密。