思科公司提供的網(wǎng)絡(luò)設(shè)備，如路由器或者防火墻，都提供了管理接口，方便網(wǎng)絡(luò)管理人員對(duì)其進(jìn)行管理維護(hù)。但是，這也給企業(yè)網(wǎng)絡(luò)帶來(lái)了一定的安全隱患。如果非法入侵者能夠成功德訪問(wèn)管理接口，那么這個(gè)接口就成為了他們的聚寶盆，路由器、防火墻等相關(guān)設(shè)置就會(huì)被竊取，甚至被惡意更改。為他們進(jìn)一步入侵企業(yè)網(wǎng)絡(luò)掃清道路。

為此，提高這些網(wǎng)絡(luò)設(shè)備管理接口的安全性已經(jīng)迫在眉睫。筆者下面就對(duì)這個(gè)話題提一些建議，或許能夠?qū)Υ蠹矣兴鶐椭?/P>

一、通過(guò)密碼保護(hù)管理接口的安全性

在思科的網(wǎng)絡(luò)設(shè)備中，默認(rèn)情況下，控制臺(tái)是沒(méi)有設(shè)置口令的。為此，作為一種基本的和便于使用的安全措施，網(wǎng)絡(luò)管理員在啟用網(wǎng)絡(luò)設(shè)備后，第一個(gè)任務(wù)就是應(yīng)當(dāng)立即為接口設(shè)置密碼。

如就拿路由器來(lái)說(shuō)，其有兩種操作模式，分別為用戶級(jí)模式與特權(quán)級(jí)模式。其中，用戶級(jí)模式是默認(rèn)的訪問(wèn)模式。網(wǎng)絡(luò)管理員在這個(gè)模式下可以執(zhí)行某些查詢命令，但是，不能夠修改路由器的相關(guān)配置，也不能夠利用調(diào)試工具。而在特權(quán)模式下，網(wǎng)絡(luò)管理員可以管理、維護(hù)路由器，對(duì)相關(guān)配置進(jìn)行修改;也可以通過(guò)調(diào)試工具來(lái)改善路由器的性能等等。

為了提高通過(guò)控制臺(tái)接口訪問(wèn)路由器的安全性，筆者建議為兩種模式都設(shè)置相關(guān)口令。而且，特權(quán)模式下的密碼要跟用戶級(jí)別模式下的密碼不一致，同時(shí)，特權(quán)模式下因?yàn)榭梢愿木W(wǎng)絡(luò)設(shè)備的配置，所以密碼要復(fù)雜一些。另外需要注意一點(diǎn)，在思科的網(wǎng)絡(luò)產(chǎn)品中，密碼是區(qū)分大小寫(xiě)的。

通常情況下，這些密碼是以明文形式存儲(chǔ)在路由器的配置文件中。所以，如果網(wǎng)絡(luò)管理員對(duì)于安全性要求比較高的話，那么最好能夠使用加密口令技術(shù)，讓其通過(guò)密文的形式存儲(chǔ)密碼。在實(shí)際工作中，我們可以通過(guò)兩種途徑來(lái)加強(qiáng)這些已經(jīng)存在明文口令的安全性。一是通過(guò)Enable Secret Password命令。這個(gè)命令只加密特權(quán)模式口令，對(duì)于用戶級(jí)別模式的口令不起作用。二是采用Service Password-encrption命令。這個(gè)命令跟前面命令的唯一不同，就是會(huì)加密路由器的所有口令，包括特權(quán)模式與用戶模式的口令。如此的話，任何人通過(guò)查看路由器配置文件都不能夠看到路由器的口令。不過(guò)要注意的一點(diǎn)是，雖然密碼可以通過(guò)加密的形式來(lái)提高其安全性，但是他仍然可以破解的。為了提高其破解的難度，在設(shè)置密碼的時(shí)候，要是需要增加一些復(fù)雜度，如利用字母、數(shù)字、特殊字符等組合來(lái)設(shè)置密碼。這可以提高密碼破解的難度。

二、設(shè)置管理會(huì)話超時(shí)

在管理操作系統(tǒng)安全性時(shí)，我們可以通過(guò)屏幕保護(hù)程序來(lái)防止用戶來(lái)離開(kāi)時(shí)操作系統(tǒng)的安全性。其實(shí)，在路由器等管理中，也需要如此做。因?yàn)榫W(wǎng)絡(luò)管理員在路由器維護(hù)中，中途可能離開(kāi)去做其它的事情。此時(shí)，其它一些別有用心的員工，如對(duì)網(wǎng)絡(luò)管理員不滿，就可以輕易的乘管理員離開(kāi)的那段時(shí)間，進(jìn)行破壞動(dòng)作。這不需要多少時(shí)間，只要一分鐘不到的時(shí)間，就可以更改路由器等網(wǎng)絡(luò)設(shè)備的配置，從而影響網(wǎng)絡(luò)的正常運(yùn)行。

筆者在工作中，就遇到過(guò)類似的情況。那時(shí)筆者企業(yè)規(guī)定，要使用QQ的話，就必須申請(qǐng)。通常情況下，在公司不能夠采用QQ等即時(shí)通信軟件。所以，筆者把QQ軟件在路由器防火墻中禁用掉了。但是，一次筆者在維護(hù)路由器的過(guò)程中，中途離開(kāi)了半個(gè)小時(shí)。此時(shí)有個(gè)程序員就更改了路由器的配置，讓他的電腦可以上QQ。后來(lái)發(fā)現(xiàn)，筆者還為此受到了一個(gè)處分?？梢?jiàn)，在路由器等網(wǎng)絡(luò)設(shè)備管理中，設(shè)置管理會(huì)話超時(shí)也是非常有必要的。

當(dāng)管理員終端還保持連接，但因?yàn)槟承┰?，網(wǎng)絡(luò)管理員已不再進(jìn)行任何操作。此時(shí)，就應(yīng)該采用自動(dòng)注銷機(jī)制來(lái)確保在這種情況下沒(méi)人能夠使用該終端更改配置。簡(jiǎn)單的說(shuō)，就是到網(wǎng)絡(luò)管理員在一段時(shí)間內(nèi)沒(méi)有進(jìn)行任何操作的話，則路由器等網(wǎng)絡(luò)設(shè)備就自動(dòng)注銷管理員用戶。通過(guò)設(shè)置管理會(huì)話超時(shí)，可以為路由器等關(guān)鍵網(wǎng)絡(luò)設(shè)備提供更好的安全機(jī)制。若要采用管理員超時(shí)機(jī)制的話，在思科網(wǎng)絡(luò)設(shè)備中，可以采用exec-timeout命令。其中，后面跟的第一個(gè)參數(shù)為分鐘，第二個(gè)參數(shù)為秒。一般情況下，設(shè)置個(gè)一分鐘就差不多了，沒(méi)有必要精確到秒。

三、限制Telnet訪問(wèn)相關(guān)接口

在網(wǎng)絡(luò)設(shè)備維護(hù)中，我們除了可以通過(guò)控制臺(tái)訪問(wèn)網(wǎng)絡(luò)設(shè)備之外，還可以采用一些遠(yuǎn)程連接的方式來(lái)訪問(wèn)與管理路由器等網(wǎng)絡(luò)設(shè)別。如可以通過(guò)Telnet程序來(lái)跟路由器建立遠(yuǎn)程連接，進(jìn)行一些維護(hù)工作。

Telnet程序與路由器建立遠(yuǎn)程連接之后，網(wǎng)絡(luò)管理員即可以登錄到用戶模式，也可以登錄到特權(quán)模式。與通過(guò)控制臺(tái)端口訪問(wèn)路由器一樣，管理員在使用Telnet訪問(wèn)時(shí)，也需要在路由器提示后通過(guò)密碼進(jìn)行身份鑒別。此時(shí)，路由器上的Telnet端口也被叫做虛擬終端。至所以給他去了這個(gè)名字，主要是因?yàn)樘摂M終端仿真了控制臺(tái)終端的功能。在通常情況下，路由器同時(shí)允許五個(gè)用戶通過(guò)Telent程序連接到路由器上執(zhí)行管理任務(wù)。

不過(guò)遠(yuǎn)程連接有其自身的脆弱性。為了提高遠(yuǎn)程連接的安全性，最好能夠采取一些對(duì)應(yīng)的安全措施。

如可一通過(guò)訪問(wèn)列表的方式來(lái)加強(qiáng)Telnet連接的安全性。通過(guò)訪問(wèn)控制列表，可以限制只有一些特定的IP地址或者M(jìn)AC地址的主機(jī)，如管理員的主機(jī)，才可以遠(yuǎn)程連接到路由器等關(guān)鍵網(wǎng)絡(luò)設(shè)備上。如此的話，其他未經(jīng)授權(quán)的用戶，即使通過(guò)不法手段獲取了管理員用戶與密碼，也不能夠登錄到路由器上。

另外，Telnet程序其自身安全性也不高。因?yàn)槠湓趥鬏斶^(guò)程中，都是通過(guò)明文傳輸?shù)?。故非常容易被別有用心的人竊取用戶名與密碼。所以，在可行的情況下，網(wǎng)絡(luò)管理員最好不要采用Telnet等進(jìn)行遠(yuǎn)程連接路由器。若確實(shí)有這個(gè)必要的話，則最好采用更加安全的SSH協(xié)議。這也是一個(gè)跟Telnet類似的遠(yuǎn)程連接工具。只不過(guò)它在連接過(guò)程中，無(wú)論是密碼還是命令，都是通過(guò)加密的。故其安全性要比Telnet程序要高。

四、關(guān)注HTTP訪問(wèn)的安全性

在思科最近幾個(gè)版本的IOS(網(wǎng)絡(luò)操作系統(tǒng))中，已經(jīng)可以通過(guò)Web服務(wù)器來(lái)配置路由器等網(wǎng)路設(shè)備。這種圖形化的管理方式，讓路由器等網(wǎng)絡(luò)設(shè)備管理起來(lái)更加的方便?；蛘哒f(shuō)，我們可以把它們叫做傻瓜式的管理方法。

但是，我們都知道，HTTP協(xié)議其安全性并不高。如果在路由器等關(guān)鍵設(shè)設(shè)備中，一旦允許網(wǎng)絡(luò)管理員通過(guò)HTTP進(jìn)行訪問(wèn)，則應(yīng)該加強(qiáng)其安全性能。因?yàn)槿绻捎肏TTP方式來(lái)管理路由器等網(wǎng)絡(luò)設(shè)備的話，其他用戶很容易可以通過(guò)網(wǎng)絡(luò)設(shè)備的瀏覽器接口對(duì)路由器等網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)視，甚至可以對(duì)路由器等設(shè)備的配置進(jìn)行更改。如此的話，在管理員不知覺(jué)的情況下，更改路由器等配置，達(dá)到其惡作劇或者入侵的目的。

為此，雖然通過(guò)Web服務(wù)器方式來(lái)管理路由器會(huì)更加的形象化，可以少輸很多命令，不過(guò)思科公司還不是很建議采用這種方式來(lái)管理網(wǎng)絡(luò)設(shè)備。默認(rèn)情況下，這種HTTP管理方式是關(guān)閉的。若網(wǎng)絡(luò)管理員對(duì)自己的網(wǎng)絡(luò)安全比較有信心的話，則可以利用ip http server命令來(lái)開(kāi)啟HTTP服務(wù)。

若通過(guò)WEB方式來(lái)管理路由器等網(wǎng)絡(luò)設(shè)別的話，其也要通過(guò)路由器的身份驗(yàn)證。為了提高其安全性，最好能夠采用一些獨(dú)立的身份驗(yàn)證方法。如可以采用AAA服務(wù)器、TACAC服務(wù)器等等，來(lái)統(tǒng)一管理用戶身份認(rèn)證。這對(duì)于提高路由器的安全性是非常必要的。這些方式可以抵消因?yàn)椴捎肏TTP管理方式而帶來(lái)的安全風(fēng)險(xiǎn)。

同時(shí)，在必要的情況下，也可以通過(guò)訪問(wèn)控制列表來(lái)進(jìn)一步限制通過(guò)HTTP連接的用戶。就如同Telnet進(jìn)行遠(yuǎn)程連接一樣，讓只有經(jīng)過(guò)授權(quán)的用戶(通過(guò)IP地址或者M(jìn)AC地址來(lái)進(jìn)行授權(quán))，才能夠進(jìn)行遠(yuǎn)程連接。如果進(jìn)行這么設(shè)置的話，就可以大大提高WEB管理方式的安全性。

不過(guò)，話說(shuō)回來(lái)，筆者并不建議網(wǎng)絡(luò)管理員通過(guò)HTTP的方式來(lái)管理路由器等網(wǎng)絡(luò)設(shè)備。對(duì)于思科路由器等網(wǎng)絡(luò)設(shè)備來(lái)說(shuō)，筆者首先是建議用戶通過(guò)控制臺(tái)的方式來(lái)管理。若網(wǎng)絡(luò)管理員無(wú)法時(shí)時(shí)在路由器等網(wǎng)絡(luò)設(shè)備面前的話，則建立通過(guò)SSH等方式來(lái)遠(yuǎn)程管理。并且，采用遠(yuǎn)程管理的話，要利用訪問(wèn)列表等功能來(lái)限制遠(yuǎn)程連接的用戶。網(wǎng)絡(luò)管理員若能夠遵循這個(gè)建議，那么其網(wǎng)絡(luò)設(shè)備的管理接口的安全性，一般都是可以保障的。

【編輯推薦】

1. 統(tǒng)一規(guī)范網(wǎng)絡(luò)設(shè)備化解無(wú)線網(wǎng)絡(luò)安全威脅
2. 關(guān)于我國(guó)網(wǎng)絡(luò)設(shè)備測(cè)試的標(biāo)準(zhǔn)