不可不知的路由交換安全七宗罪

企業(yè)網絡管理員的最主要職責就是保證內網的安全，而在內網各個網絡設備中路由交換特別是核心層的設備是對安全需求的，那么作為中小企業(yè)的網絡管理員來說又該如何保證路由交換設備的安全呢?在實際工作過程中筆者接觸到很多網絡管理員，但是他們在路由交換設置上或多或少存在著安全隱患和漏洞，今天就讓我們一起來看看路由交換安全的七宗罪。
    密碼明文化
    有過路由交換配置經驗的網絡管理員都知道默認情況下我們給路由交換設備添加管理密碼都通過enable password命令，不過這樣建立的密碼并不安全，他是以明文的形式存儲在running配置文件中的，我們通過show running可以查看到該信息，非常不安全，因此我們需要通過另外一條命令來添加一個加密過的密碼，具體指令為——enable secret。
    執(zhí)行命令后我們再通過show running查看配置文件內容的話將會看到密碼已經經過加密而存儲在配置文件中，當然這個信息也不是安全的，畢竟MD5信息可以通過暴力*還有一些站點也提供MD5密文反查服務。不過不管怎么說其安全性大大提高。
    密碼同一化
    還有一些網絡管理員認為記憶多了密碼容易混淆，所以在配置路由交換設備時使用了和自己管理的服務器一樣的密碼，實際上這也是不安全的，密碼同一化會大大提高網絡設備被攻擊的可能，畢竟設備多了難免會被攻擊，一旦某個設備被入侵，那么密碼同一化將造成所有設備密碼的泄露。另外路由交換設備自身都提供了很多級密碼，例如常規(guī)模式密碼，特權模式密碼，配置模式密碼等，還有console口連接密碼，Telnet訪問密碼等，我們在設置時也要對這些模式與密碼區(qū)別化，不要全部設置為一樣。通過不同級別的密碼對不同用戶進行授權，從而避免越權問題的發(fā)生。
    小提示：
    默認情況下網絡設備都可以利用啟動期間的BREAK方式來進入到監(jiān)聽ROMMON模式進行口令恢復，這就存在一個安全隱患，任何人只要靠近網絡設備就都可以通過控制臺端口來完成重新設置密碼的任務，所以我們在保證密碼記憶牢靠的情況下可以關閉這個密碼恢復方式，通過no service password-recovery命令完成關閉ROMMON監(jiān)聽模式的任務。
    密碼同級化
    所謂密碼同級化就是指不針對不同模式和不同配置接口分配不同的密碼，管理路由器只通過密碼即可完成。實際上這也是錯誤的，畢竟平時訪問和管理路由交換設備的用戶不可能只有你一個，所以合理的將密碼分級設置分級管理是非常重要的，適當?shù)姆峙鋠isit,monitor,system,manage等權限會讓你的安全工作游刃有余，而在實際應用過程中這些密碼分級化也大大提高了核心路由交換設備的安全。
    另外在密碼管理方面還存在一個問題，那就是臨時密碼的處理，很多時候當網絡出現(xiàn)故障后也許我們需要向廠商尋求技術支持，在這種情況下我們不應該把原來的密碼直接告訴技術支持人員，通過設置一個臨時密碼的方式來解決遠程或異地異人維護問題，在維護完畢后也要記得停止臨時帳戶，筆者就發(fā)現(xiàn)很多下屬網絡管理員在向我尋求幫助時直接告訴了管理員帳戶，又或者即使建立了臨時帳戶，幾個月后還能夠通過該帳戶登錄和管理。這些都為路由交換設備帶來了一定的安全隱患。
    小提示：
    默認情況下通過console口控制臺登錄路由交換設備是不需要密碼的，但是為了保證安全我們還是應該為其設置一個密碼，通過以下命令來完成——line console 0,login,password XXXXXX，最后再通過service password-encryption命令對設置的密碼加密。
    管理隨意化
    實際上對于一臺路由交換設備來說，我們可以通過遠程終端，本地終端，WEB，TFTP服務器，虛擬終端，SSH等多個方式對其進行配置，在網絡設備加固工作時都使用本地終端的方式，即通過PC機的超級終端和交換機的Console口進行配置，這是因為在安全加固過程中要避免外界干擾，通過本地終端連接路由器可以防止管理員因為操作不當后被拒絕登錄到網絡設備事情的發(fā)生。
    當然如果我們實在需要使用非本地超級終端的方式進行管理，那么最標準的管理路由交換設備的方法是通過訪問控制列表ACL來阻止非授權IP地址對路由交換設備的訪問，這樣就算非法人員知道了管理密碼也會因使用的IP未授權而無法入侵。就個人經驗來說對內網可以通過劃分VLAN虛擬局域網的形式控制訪問權限，而對外網則要借助ACL訪問控制列表來精細化的分配授權。
    管理明文化
    管理明文化這個安全缺陷是目前中小企業(yè)中最為普遍的問題，大多數(shù)網絡管理員都通過telnet來管理相關設備，還有部分人員借助設備自身提供的HTTP頁面管理模式完成配置工作，要知道不管是telnet還是HTTP都是不安全的，任何連接內網且使用sniffer類工具的人員都可以輕松的嗅探到管理密碼及配置口令。所以說在管理上盡量使用SSH或HTTPS等經過加密的協(xié)議，這樣可以有效避免sniffer類工具的嗅探。關于通過SSH來連接路由交換設備的方法我們在之前的文章中已經介紹過，這里就不詳細說明了，感興趣的讀者可以參考相關內容。
    要想開啟路由交換設備的HTTPS管理我們需要執(zhí)行以下操作——首先進入到路由交換設備的配置模式，然后執(zhí)行ip http server-secure，默認HTTPS是使用443端口進行管理和訪問的，我們可以通過ip http secure-port XXX來更改默認管理端口。
    SNMP低權限
    很多網絡管理員為了自己方便或者通過第三方工具來管理內網流量，這時我們都需要在核心路由交換設備上開啟SNMP協(xié)議的支持，SNMP的開啟同樣存在問題，很多用戶都使用默認的snmp社區(qū)名以及分配WRITE可讀可寫的權限，要知道這是非常危險的，很多網絡管理軟件都可以獲取路由交換設備發(fā)來的SNMP數(shù)據信息，如果對應的管理社區(qū)帳戶名具備可讀可寫權限的話，入侵者可以輕易的利用SNMP協(xié)議獲取路由交換設備的配置文件，再通過暴力*等方法直接竊取到登錄密碼。因此在維護路由交換設備時盡可能的不使用SNMP協(xié)議，如果必須使用那么修改默認缺省的社區(qū)名以及分配一個低的RO只讀權限可以在一定程度上保護路由交換設備自身。
    網絡同一化
    最后我要說的則是網絡同一化問題，很多企業(yè)很少針對網絡進行規(guī)劃，系統(tǒng)集成商實施完后網絡參數(shù)與配置就沒有改變過，要知道網絡同一化讓企業(yè)所有網絡設備都處于同一個網絡，一方面造成廣播數(shù)據包的增多，影響網絡通訊效率，另外一方面也不利于隱私數(shù)據的保護，企業(yè)內部任何一臺計算機被入侵后都可以將其作為跳板來攻擊其他所有設備。因此將網絡適當?shù)姆指粢彩墙鉀Q上述問題的辦法。就個人經驗來說通過劃分VLAN虛擬局域網的方式是最簡單和直接有效的，當然在劃分時要根據企業(yè)網絡規(guī)模和客戶端數(shù)量去設計，每個VLAN內部的主機數(shù)量要適當。
    總結：
    當然本文介紹的僅僅是大家在網絡管理和維護過程中最容易犯的小毛病，但是有時小錯誤一樣會引來大麻煩，所以說在維護路由交換設備過程中我們應該養(yǎng)成好的習慣，從根本上杜絕上述七宗罪的發(fā)生，讓企業(yè)內網更加安全。