思科公司提供的网络设备,如路由器或者防火墙,都提供了管理接口,方便网络管理人员对其进行管理维护。但是,这也给企业网络带来了一定的安全隐患。如果非法入侵者能够成功德访问管理接口,那么这个接口就成为了他们的聚宝盆,路由器、防火墙等相关设置就会被窃取,甚至被恶意更改。为他们进一步入侵企业网络扫清道路。
为此,提高这些网络设备管理接口的安全性已经迫在眉睫。笔者下面就对这个话题提一些建议,或许能够对大家有所帮助。
一、通过密码保护管理接口的安全性
在思科的网络设备中,默认情况下,控制台是没有设置口令的。为此,作为一种基本的和便于使用的安全措施,网络管理员在启用网络设备后,第一个任务就是应当立即为接口设置密码。
如就拿路由器来说,其有两种操作模式,分别为用户级模式与特权级模式。其中,用户级模式是默认的访问模式。网络管理员在这个模式下可以执行某些查询命令,但是,不能够修改路由器的相关配置,也不能够利用调试工具。而在特权模式下,网络管理员可以管理、维护路由器,对相关配置进行修改;也可以通过调试工具来改善路由器的性能等等。
为了提高通过控制台接口访问路由器的安全性,笔者建议为两种模式都设置相关口令。而且,特权模式下的密码要跟用户级别模式下的密码不一致,同时,特权模式下因为可以更改网络设备的配置,所以密码要复杂一些。另外需要注意一点,在思科的网络产品中,密码是区分大小写的。
通常情况下,这些密码是以明文形式存储在路由器的配置文件中。所以,如果网络管理员对于安全性要求比较高的话,那么最好能够使用加密口令技术,让其通过密文的形式存储密码。在实际工作中,我们可以通过两种途径来加强这些已经存在明文口令的安全性。一是通过Enable Secret Password命令。这个命令只加密特权模式口令,对于用户级别模式的口令不起作用。二是采用Service Password-encrption命令。这个命令跟前面命令的唯一不同,就是会加密路由器的所有口令,包括特权模式与用户模式的口令。如此的话,任何人通过查看路由器配置文件都不能够看到路由器的口令。不过要注意的一点是,虽然密码可以通过加密的形式来提高其安全性,但是他仍然可以破解的。为了提高其破解的难度,在设置密码的时候,要是需要增加一些复杂度,如利用字母、数字、特殊字符等组合来设置密码。这可以提高密码破解的难度。
二、设置管理会话超时
在管理操作系统安全性时,我们可以通过屏幕保护程序来防止用户来离开时操作系统的安全性。其实,在路由器等管理中,也需要如此做。因为网络管理员在路由器维护中,中途可能离开去做其它的事情。此时,其它一些别有用心的员工,如对网络管理员不满,就可以轻易的乘管理员离开的那段时间,进行破坏动作。这不需要多少时间,只要一分钟不到的时间,就可以更改路由器等网络设备的配置,从而影响网络的正常运行。
笔者在工作中,就遇到过类似的情况。那时笔者企业规定,要使用QQ的话,就必须申请。通常情况下,在公司不能够采用QQ等即时通信软件。所以,笔者把QQ软件在路由器防火墙中禁用掉了。但是,一次笔者在维护路由器的过程中,中途离开了半个小时。此时有个程序员就更改了路由器的配置,让他的电脑可以上QQ。后来发现,笔者还为此受到了一个处分。可见,在路由器等网络设备管理中,设置管理会话超时也是非常有必要的。
当管理员终端还保持连接,但因为某些原因,网络管理员已不再进行任何操作。此时,就应该采用自动注销机制来确保在这种情况下没人能够使用该终端更改配置。简单的说,就是到网络管理员在一段时间内没有进行任何操作的话,则路由器等网络设备就自动注销管理员用户。通过设置管理会话超时,可以为路由器等关键网络设备提供更好的安全机制。若要采用管理员超时机制的话,在思科网络设备中,可以采用exec-timeout命令。其中,后面跟的第一个参数为分钟,第二个参数为秒。一般情况下,设置个一分钟就差不多了,没有必要精确到秒。
三、限制Telnet访问相关接口
在网络设备维护中,我们除了可以通过控制台访问网络设备之外,还可以采用一些远程连接的方式来访问与管理路由器等网络设别。如可以通过Telnet程序来跟路由器建立远程连接,进行一些维护工作。
Telnet程序与路由器建立远程连接之后,网络管理员即可以登录到用户模式,也可以登录到特权模式。与通过控制台端口访问路由器一样,管理员在使用Telnet访问时,也需要在路由器提示后通过密码进行身份鉴别。此时,路由器上的Telnet端口也被叫做虚拟终端。至所以给他去了这个名字,主要是因为虚拟终端仿真了控制台终端的功能。在通常情况下,路由器同时允许五个用户通过Telent程序连接到路由器上执行管理任务。
不过远程连接有其自身的脆弱性。为了提高远程连接的安全性,最好能够采取一些对应的安全措施。
如可一通过访问列表的方式来加强Telnet连接的安全性。通过访问控制列表,可以限制只有一些特定的IP地址或者MAC地址的主机,如管理员的主机,才可以远程连接到路由器等关键网络设备上。如此的话,其他未经授权的用户,即使通过不法手段获取了管理员用户与密码,也不能够登录到路由器上。
另外,Telnet程序其自身安全性也不高。因为其在传输过程中,都是通过明文传输的。故非常容易被别有用心的人窃取用户名与密码。所以,在可行的情况下,网络管理员最好不要采用Telnet等进行远程连接路由器。若确实有这个必要的话,则最好采用更加安全的SSH协议。这也是一个跟Telnet类似的远程连接工具。只不过它在连接过程中,无论是密码还是命令,都是通过加密的。故其安全性要比Telnet程序要高。
四、关注HTTP访问的安全性
在思科最近几个版本的IOS(网络操作系统)中,已经可以通过Web服务器来配置路由器等网路设备。这种图形化的管理方式,让路由器等网络设备管理起来更加的方便。或者说,我们可以把它们叫做傻瓜式的管理方法。
但是,我们都知道,HTTP协议其安全性并不高。如果在路由器等关键设设备中,一旦允许网络管理员通过HTTP进行访问,则应该加强其安全性能。因为如果采用HTTP方式来管理路由器等网络设备的话,其他用户很容易可以通过网络设备的浏览器接口对路由器等网络设备进行监视,甚至可以对路由器等设备的配置进行更改。如此的话,在管理员不知觉的情况下,更改路由器等配置,达到其恶作剧或者入侵的目的。
为此,虽然通过Web服务器方式来管理路由器会更加的形象化,可以少输很多命令,不过思科公司还不是很建议采用这种方式来管理网络设备。默认情况下,这种HTTP管理方式是关闭的。若网络管理员对自己的网络安全比较有信心的话,则可以利用ip http server命令来开启HTTP服务。
若通过WEB方式来管理路由器等网络设别的话,其也要通过路由器的身份验证。为了提高其安全性,最好能够采用一些独立的身份验证方法。如可以采用AAA服务器、TACAC服务器等等,来统一管理用户身份认证。这对于提高路由器的安全性是非常必要的。这些方式可以抵消因为采用HTTP管理方式而带来的安全风险。
同时,在必要的情况下,也可以通过访问控制列表来进一步限制通过HTTP连接的用户。就如同Telnet进行远程连接一样,让只有经过授权的用户(通过IP地址或者MAC地址来进行授权),才能够进行远程连接。如果进行这么设置的话,就可以大大提高WEB管理方式的安全性。
不过,话说回来,笔者并不建议网络管理员通过HTTP的方式来管理路由器等网络设备。对于思科路由器等网络设备来说,笔者首先是建议用户通过控制台的方式来管理。若网络管理员无法时时在路由器等网络设备面前的话,则建立通过SSH等方式来远程管理。并且,采用远程管理的话,要利用访问列表等功能来限制远程连接的用户。网络管理员若能够遵循这个建议,那么其网络设备的管理接口的安全性,一般都是可以保障的。