四招提高网络管理接口安全性
来源:不详 责任编辑:栏目编辑 发表时间:2013-07-02 04:28 点击:次
思科公司提供的网络设备,如路由器或者防火墙,都提供了管理接口,方便网络管理人员对其进行管理维护。但是,这也给企业网络带来了一定的安全隐患。如果非法入侵者能够成功德访问管理接口,那么这个接口就成为了他们的聚宝盆,路由器、防火墙等相关设置就会被窃取,甚至被恶意更改。为他们进一步入侵企业网络扫清道路。
为此,提高这些网络设备管理接口的安全性已经迫在眉睫。笔者下面就对这个话题提一些建议,或许能够对大家有所帮助。
一、通过密码保护管理接口的安全性
在思科的网络设备中,默认情况下,控制台是没有设置口令的。为此,作为一种基本的和便于使用的安全措施,网络管理员在启用网络设备后,第一个任务就是应当立即为接口设置密码。
如就拿路由器来说,其有两种操作模式,分别为用户级模式与特权级模式。其中,用户级模式是默认的访问模式。网络管理员在这个模式下可以执行某些查询命令,但是,不能够修改路由器的相关配置,也不能够利用调试工具。而在特权模式下,网络管理员可以管理、维护路由器,对相关配置进行修改;也可以通过调试工具来改善路由器的性能等等。
为了提高通过控制台接口访问路由器的安全性,笔者建议为两种模式都设置相关口令。而且,特权模式下的密码要跟用户级别模式下的密码不一致,同时,特权模式下因为可以更改网络设备的配置,所以密码要复杂一些。另外需要注意一点,在思科的网络产品中,密码是区分大小写的。
通常情况下,这些密码是以明文形式存储在路由器的配置文件中。所以,如果网络管理员对于安全性要求比较高的话,那么最好能够使用加密口令技术,让其通过密文的形式存储密码。在实际工作中,我们可以通过两种途径来加强这些已经存在明文口令的安全性。一是通过Enable Secret Password命令。这个命令只加密特权模式口令,对于用户级别模式的口令不起作用。二是采用Service Password-encrption命令。这个命令跟前面命令的唯一不同,就是会加密路由器的所有口令,包括特权模式与用户模式的口令。如此的话,任何人通过查看路由器配置文件都不能够看到路由器的口令。不过要注意的一点是,虽然密码可以通过加密的形式来提高其安全性,但是他仍然可以破解的。为了提高其破解的难度,在设置密码的时候,要是需要增加一些复杂度,如利用字母、数字、特殊字符等组合来设置密码。这可以提高密码破解的难度。
二、设置管理会话超时
在管理操作系统安全性时,我们可以通过屏幕保护程序来防止用户来离开时操作系统的安全性。其实,在路由器等管理中,也需要如此做。因为网络管理员在路由器维护中,中途可能离开去做其它的事情。此时,其它一些别有用心的员工,如对网络管理员不满,就可以轻易的乘管理员离开的那段时间,进行破坏动作。这不需要多少时间,只要一分钟不到的时间,就可以更改路由器等网络设备的配置,从而影响网络的正常运行。
笔者在工作中,就遇到过类似的情况。那时笔者企业规定,要使用QQ的话,就必须申请。通常情况下,在公司不能够采用QQ等即时通信软件。所以,笔者把QQ软件在路由器防火墙中禁用掉了。但是,一次笔者在维护路由器的过程中,中途离开了半个小时。此时有个程序员就更改了路由器的配置,让他的电脑可以上QQ。后来发现,笔者还为此受到了一个处分。可见,在路由器等网络设备管理中,设置管理会话超时也是非常有必要的。
当管理员终端还保持连接,但因为某些原因,网络管理员已不再进行任何操作。此时,就应该采用自动注销机制来确保在这种情况下没人能够使用该终端更改配置。简单的说,就是到网络管理员在一段时间内没有进行任何操作的话,则路由器等网络设备就自动注销管理员用户。通过设置管理会话超时,可以为路由器等关键网络设备提供更好的安全机制。若要采用管理员超时机制的话,在思科网络设备中,可以采用exec-timeout命令。其中,后面跟的第一个参数为分钟,第二个参数为秒。一般情况下,设置个一分钟就差不多了,没有必要精确到秒。
三、限制Telnet访问相关接口
在网络设备维护中,我们除了可以通过控制台访问网络设备之外,还可以采用一些远程连接的方式来访问与管理路由器等网络设别。如可以通过Telnet程序来跟路由器建立远程连接,进行一些维护工作。
Telnet程序与路由器建立远程连接之后,网络管理员即可以登录到用户模式,也可以登录到特权模式。与通过控制台端口访问路由器一样,管理员在使用Telnet访问时,也需要在路由器提示后通过密码进行身份鉴别。此时,路由器上的Telnet端口也被叫做虚拟终端。至所以给他去了这个名字,主要是因为虚拟终端仿真了控制台终端的功能。在通常情况下,路由器同时允许五个用户通过Telent程序连接到路由器上执行管理任务。
不过远程连接�
为此,提高这些网络设备管理接口的安全性已经迫在眉睫。笔者下面就对这个话题提一些建议,或许能够对大家有所帮助。
一、通过密码保护管理接口的安全性
在思科的网络设备中,默认情况下,控制台是没有设置口令的。为此,作为一种基本的和便于使用的安全措施,网络管理员在启用网络设备后,第一个任务就是应当立即为接口设置密码。
如就拿路由器来说,其有两种操作模式,分别为用户级模式与特权级模式。其中,用户级模式是默认的访问模式。网络管理员在这个模式下可以执行某些查询命令,但是,不能够修改路由器的相关配置,也不能够利用调试工具。而在特权模式下,网络管理员可以管理、维护路由器,对相关配置进行修改;也可以通过调试工具来改善路由器的性能等等。
为了提高通过控制台接口访问路由器的安全性,笔者建议为两种模式都设置相关口令。而且,特权模式下的密码要跟用户级别模式下的密码不一致,同时,特权模式下因为可以更改网络设备的配置,所以密码要复杂一些。另外需要注意一点,在思科的网络产品中,密码是区分大小写的。
通常情况下,这些密码是以明文形式存储在路由器的配置文件中。所以,如果网络管理员对于安全性要求比较高的话,那么最好能够使用加密口令技术,让其通过密文的形式存储密码。在实际工作中,我们可以通过两种途径来加强这些已经存在明文口令的安全性。一是通过Enable Secret Password命令。这个命令只加密特权模式口令,对于用户级别模式的口令不起作用。二是采用Service Password-encrption命令。这个命令跟前面命令的唯一不同,就是会加密路由器的所有口令,包括特权模式与用户模式的口令。如此的话,任何人通过查看路由器配置文件都不能够看到路由器的口令。不过要注意的一点是,虽然密码可以通过加密的形式来提高其安全性,但是他仍然可以破解的。为了提高其破解的难度,在设置密码的时候,要是需要增加一些复杂度,如利用字母、数字、特殊字符等组合来设置密码。这可以提高密码破解的难度。
二、设置管理会话超时
在管理操作系统安全性时,我们可以通过屏幕保护程序来防止用户来离开时操作系统的安全性。其实,在路由器等管理中,也需要如此做。因为网络管理员在路由器维护中,中途可能离开去做其它的事情。此时,其它一些别有用心的员工,如对网络管理员不满,就可以轻易的乘管理员离开的那段时间,进行破坏动作。这不需要多少时间,只要一分钟不到的时间,就可以更改路由器等网络设备的配置,从而影响网络的正常运行。
笔者在工作中,就遇到过类似的情况。那时笔者企业规定,要使用QQ的话,就必须申请。通常情况下,在公司不能够采用QQ等即时通信软件。所以,笔者把QQ软件在路由器防火墙中禁用掉了。但是,一次笔者在维护路由器的过程中,中途离开了半个小时。此时有个程序员就更改了路由器的配置,让他的电脑可以上QQ。后来发现,笔者还为此受到了一个处分。可见,在路由器等网络设备管理中,设置管理会话超时也是非常有必要的。
当管理员终端还保持连接,但因为某些原因,网络管理员已不再进行任何操作。此时,就应该采用自动注销机制来确保在这种情况下没人能够使用该终端更改配置。简单的说,就是到网络管理员在一段时间内没有进行任何操作的话,则路由器等网络设备就自动注销管理员用户。通过设置管理会话超时,可以为路由器等关键网络设备提供更好的安全机制。若要采用管理员超时机制的话,在思科网络设备中,可以采用exec-timeout命令。其中,后面跟的第一个参数为分钟,第二个参数为秒。一般情况下,设置个一分钟就差不多了,没有必要精确到秒。
三、限制Telnet访问相关接口
在网络设备维护中,我们除了可以通过控制台访问网络设备之外,还可以采用一些远程连接的方式来访问与管理路由器等网络设别。如可以通过Telnet程序来跟路由器建立远程连接,进行一些维护工作。
Telnet程序与路由器建立远程连接之后,网络管理员即可以登录到用户模式,也可以登录到特权模式。与通过控制台端口访问路由器一样,管理员在使用Telnet访问时,也需要在路由器提示后通过密码进行身份鉴别。此时,路由器上的Telnet端口也被叫做虚拟终端。至所以给他去了这个名字,主要是因为虚拟终端仿真了控制台终端的功能。在通常情况下,路由器同时允许五个用户通过Telent程序连接到路由器上执行管理任务。
不过远程连接�
相关新闻>>
最新推荐更多>>>
- 发表评论
-
- 最新评论 更多>>