思科公司提供的網絡設備,如路由器或者防火墻,都提供了管理接口,方便網絡管理人員對其進行管理維護。但是,這也給企業網絡帶來了一定的安全隱患。如果非法入侵者能夠成功德訪問管理接口,那么這個接口就成為了他們的聚寶盆,路由器、防火墻等相關設置就會被竊取,甚至被惡意更改。為他們進一步入侵企業網絡掃清道路。
為此,提高這些網絡設備管理接口的安全性已經迫在眉睫。筆者下面就對這個話題提一些建議,或許能夠對大家有所幫助。
一、通過密碼保護管理接口的安全性
在思科的網絡設備中,默認情況下,控制臺是沒有設置口令的。為此,作為一種基本的和便于使用的安全措施,網絡管理員在啟用網絡設備后,第一個任務就是應當立即為接口設置密碼。
如就拿路由器來說,其有兩種操作模式,分別為用戶級模式與特權級模式。其中,用戶級模式是默認的訪問模式。網絡管理員在這個模式下可以執行某些查詢命令,但是,不能夠修改路由器的相關配置,也不能夠利用調試工具。而在特權模式下,網絡管理員可以管理、維護路由器,對相關配置進行修改;也可以通過調試工具來改善路由器的性能等等。
為了提高通過控制臺接口訪問路由器的安全性,筆者建議為兩種模式都設置相關口令。而且,特權模式下的密碼要跟用戶級別模式下的密碼不一致,同時,特權模式下因為可以更改網絡設備的配置,所以密碼要復雜一些。另外需要注意一點,在思科的網絡產品中,密碼是區分大小寫的。
通常情況下,這些密碼是以明文形式存儲在路由器的配置文件中。所以,如果網絡管理員對于安全性要求比較高的話,那么最好能夠使用加密口令技術,讓其通過密文的形式存儲密碼。在實際工作中,我們可以通過兩種途徑來加強這些已經存在明文口令的安全性。一是通過Enable Secret Password命令。這個命令只加密特權模式口令,對于用戶級別模式的口令不起作用。二是采用Service Password-encrption命令。這個命令跟前面命令的唯一不同,就是會加密路由器的所有口令,包括特權模式與用戶模式的口令。如此的話,任何人通過查看路由器配置文件都不能夠看到路由器的口令。不過要注意的一點是,雖然密碼可以通過加密的形式來提高其安全性,但是他仍然可以破解的。為了提高其破解的難度,在設置密碼的時候,要是需要增加一些復雜度,如利用字母、數字、特殊字符等組合來設置密碼。這可以提高密碼破解的難度。
二、設置管理會話超時
在管理操作系統安全性時,我們可以通過屏幕保護程序來防止用戶來離開時操作系統的安全性。其實,在路由器等管理中,也需要如此做。因為網絡管理員在路由器維護中,中途可能離開去做其它的事情。此時,其它一些別有用心的員工,如對網絡管理員不滿,就可以輕易的乘管理員離開的那段時間,進行破壞動作。這不需要多少時間,只要一分鐘不到的時間,就可以更改路由器等網絡設備的配置,從而影響網絡的正常運行。
筆者在工作中,就遇到過類似的情況。那時筆者企業規定,要使用QQ的話,就必須申請。通常情況下,在公司不能夠采用QQ等即時通信軟件。所以,筆者把QQ軟件在路由器防火墻中禁用掉了。但是,一次筆者在維護路由器的過程中,中途離開了半個小時。此時有個程序員就更改了路由器的配置,讓他的電腦可以上QQ。后來發現,筆者還為此受到了一個處分。可見,在路由器等網絡設備管理中,設置管理會話超時也是非常有必要的。
當管理員終端還保持連接,但因為某些原因,網絡管理員已不再進行任何操作。此時,就應該采用自動注銷機制來確保在這種情況下沒人能夠使用該終端更改配置。簡單的說,就是到網絡管理員在一段時間內沒有進行任何操作的話,則路由器等網絡設備就自動注銷管理員用戶。通過設置管理會話超時,可以為路由器等關鍵網絡設備提供更好的安全機制。若要采用管理員超時機制的話,在思科網絡設備中,可以采用exec-timeout命令。其中,后面跟的第一個參數為分鐘,第二個參數為秒。一般情況下,設置個一分鐘就差不多了,沒有必要精確到秒。
三、限制Telnet訪問相關接口
在網絡設備維護中,我們除了可以通過控制臺訪問網絡設備之外,還可以采用一些遠程連接的方式來訪問與管理路由器等網絡設別。如可以通過Telnet程序來跟路由器建立遠程連接,進行一些維護工作。
Telnet程序與路由器建立遠程連接之后,網絡管理員即可以登錄到用戶模式,也可以登錄到特權模式。與通過控制臺端口訪問路由器一樣,管理員在使用Telnet訪問時,也需要在路由器提示后通過密碼進行身份鑒別。此時,路由器上的Telnet端口也被叫做虛擬終端。至所以給他去了這個名字,主要是因為虛擬終端仿真了控制臺終端的功能。在通常情況下,路由器同時允許五個用戶通過Telent程序連接到路由器上執行管理任務。
不過遠程連接有其自身的脆弱性。為了提高遠程連接的安全性,最好能夠采取一些對應的安全措施。
如可一通過訪問列表的方式來加強Telnet連接的安全性。通過訪問控制列表,可以限制只有一些特定的IP地址或者MAC地址的主機,如管理員的主機,才可以遠程連接到路由器等關鍵網絡設備上。如此的話,其他未經授權的用戶,即使通過不法手段獲取了管理員用戶與密碼,也不能夠登錄到路由器上。
另外,Telnet程序其自身安全性也不高。因為其在傳輸過程中,都是通過明文傳輸的。故非常容易被別有用心的人竊取用戶名與密碼。所以,在可行的情況下,網絡管理員最好不要采用Telnet等進行遠程連接路由器。若確實有這個必要的話,則最好采用更加安全的SSH協議。這也是一個跟Telnet類似的遠程連接工具。只不過它在連接過程中,無論是密碼還是命令,都是通過加密的。故其安全性要比Telnet程序要高。
四、關注HTTP訪問的安全性
在思科最近幾個版本的IOS(網絡操作系統)中,已經可以通過Web服務器來配置路由器等網路設備。這種圖形化的管理方式,讓路由器等網絡設備管理起來更加的方便。或者說,我們可以把它們叫做傻瓜式的管理方法。
但是,我們都知道,HTTP協議其安全性并不高。如果在路由器等關鍵設設備中,一旦允許網絡管理員通過HTTP進行訪問,則應該加強其安全性能。因為如果采用HTTP方式來管理路由器等網絡設備的話,其他用戶很容易可以通過網絡設備的瀏覽器接口對路由器等網絡設備進行監視,甚至可以對路由器等設備的配置進行更改。如此的話,在管理員不知覺的情況下,更改路由器等配置,達到其惡作劇或者入侵的目的。
為此,雖然通過Web服務器方式來管理路由器會更加的形象化,可以少輸很多命令,不過思科公司還不是很建議采用這種方式來管理網絡設備。默認情況下,這種HTTP管理方式是關閉的。若網絡管理員對自己的網絡安全比較有信心的話,則可以利用ip http server命令來開啟HTTP服務。
若通過WEB方式來管理路由器等網絡設別的話,其也要通過路由器的身份驗證。為了提高其安全性,最好能夠采用一些獨立的身份驗證方法。如可以采用AAA服務器、TACAC服務器等等,來統一管理用戶身份認證。這對于提高路由器的安全性是非常必要的。這些方式可以抵消因為采用HTTP管理方式而帶來的安全風險。
同時,在必要的情況下,也可以通過訪問控制列表來進一步限制通過HTTP連接的用戶。就如同Telnet進行遠程連接一樣,讓只有經過授權的用戶(通過IP地址或者MAC地址來進行授權),才能夠進行遠程連接。如果進行這么設置的話,就可以大大提高WEB管理方式的安全性。
不過,話說回來,筆者并不建議網絡管理員通過HTTP的方式來管理路由器等網絡設備。對于思科路由器等網絡設備來說,筆者首先是建議用戶通過控制臺的方式來管理。若網絡管理員無法時時在路由器等網絡設備面前的話,則建立通過SSH等方式來遠程管理。并且,采用遠程管理的話,要利用訪問列表等功能來限制遠程連接的用戶。網絡管理員若能夠遵循這個建議,那么其網絡設備的管理接口的安全性,一般都是可以保障的。
