三九宝宝网宝宝百科宝宝知识

不可不知的路由交换安全七宗罪

11月30日 编辑 39baobao.com

[想要恶露排得又快又干净,里面的诀窍很简单,你别不知道]女人生完孩子以后,有一件事情躲不过,就是产后恶露。虽然每位刚生完孩子的女人,都会有排恶露的这个阶段。但是,有的产妇三周左右就排干净了。而有的产妇断断续续几个月还是淋漓不...+阅读

企业网络管理员的最主要职责就是保证内网的安全,而在内网各个网络设备中路由交换特别是核心层的设备是对安全需求的,那么作为中小企业的网络管理员来说又该如何保证路由交换设备的安全呢?在实际工作过程中笔者接触到很多网络管理员,但是他们在路由交换设置上或多或少存在着安全隐患和漏洞,今天就让我们一起来看看路由交换安全的七宗罪。

密码明文化

有过路由交换配置经验的网络管理员都知道默认情况下我们给路由交换设备添加管理密码都通过enable password命令,不过这样建立的密码并不安全,他是以明文的形式存储在running配置文件中的,我们通过show running可以查看到该信息,非常不安全,因此我们需要通过另外一条命令来添加一个加密过的密码,具体指令为——enable secret。

执行命令后我们再通过show running查看配置文件内容的话将会看到密码已经经过加密而存储在配置文件中,当然这个信息也不是安全的,毕竟MD5信息可以通过暴力破解还有一些站点也提供MD5密文反查服务。不过不管怎么说其安全性大大提高。

密码同一化

还有一些网络管理员认为记忆多了密码容易混淆,所以在配置路由交换设备时使用了和自己管理的服务器一样的密码,实际上这也是不安全的,密码同一化会大大提高网络设备被攻击的可能,毕竟设备多了难免会被攻击,一旦某个设备被入侵,那么密码同一化将造成所有设备密码的泄露。另外路由交换设备自身都提供了很多级密码,例如常规模式密码,特权模式密码,配置模式密码等,还有console口连接密码,Tel访问密码等,我们在设置时也要对这些模式与密码区别化,不要全部设置为一样。通过不同级别的密码对不同用户进行授权,从而避免越权问题的发生。

小提示:

默认情况下网络设备都可以利用启动期间的BREAK方式来进入到监听ROMMON模式进行口令恢复,这就存在一个安全隐患,任何人只要靠近网络设备就都可以通过控制台端口来完成重新设置密码的任务,所以我们在保证密码记忆牢靠的情况下可以关闭这个密码恢复方式,通过no service password-recovery命令完成关闭ROMMON监听模式的任务。

密码同级化

所谓密码同级化就是指不针对不同模式和不同配置接口分配不同的密码,管理路由器只通过密码即可完成。实际上这也是错误的,毕竟平时访问和管理路由交换设备的用户不可能只有你一个,所以合理的将密码分级设置分级管理是非常重要的,适当的分配visit,monitor,system,manage等权限会让你的安全工作游刃有余,而在实际应用过程中这些密码分级化也大大提高了核心路由交换设备的安全。

另外在密码管理方面还存在一个问题,那就是临时密码的处理,很多时候当网络出现故障后也许我们需要向厂商寻求技术支持,在这种情况下我们不应该把原来的密码直接告诉技术支持人员,通过设置一个临时密码的方式来解决远程或异地异人维护问题,在维护完毕后也要记得停止临时帐户,笔者就发现很多下属网络管理员在向我寻求帮助时直接告诉了管理员帐户,又或者即使建立了临时帐户,几个月后还能够通过该帐户登录和管理。这些都为路由交换设备带来了一定的安全隐患。

小提示:

默认情况下通过console口控制台登录路由交换设备是不需要密码的,但是为了保证安全我们还是应该为其设置一个密码,通过以下命令来完成——line console 0,login,password XXXXXX,最后再通过service password-encryption命令对设置的密码加密。

管理随意化

实际上对于一台路由交换设备来说,我们可以通过远程终端,本地终端,WEB,TFTP服务器,虚拟终端,SSH等多个方式对其进行配置,在网络设备加固工作时都使用本地终端的方式,即通过PC机的超级终端和交换机的Console口进行配置,这是因为在安全加固过程中要避免外界干扰,通过本地终端连接路由器可以防止管理员因为操作不当后被拒绝登录到网络设备事情的发生。

当然如果我们实在需要使用非本地超级终端的方式进行管理,那么最标准的管理路由交换设备的方法是通过访问控制列表ACL来阻止非授权IP地址对路由交换设备的访问,这样就算非法人员知道了管理密码也会因使用的IP未授权而无法入侵。就个人经验来说对内网可以通过划分VLAN虚拟局域网的形式控制访问权限,而对外网则要借助ACL访问控制列表来精细化的分配授权。

管理明文化

管理明文化这个安全缺陷是目前中小企业中最为普遍的问题,大多数网络管理员都通过tel来管理相关设备,还有部分人员借助设备自身提供的页面管理模式完成配置工作,要知道不管是tel还是都是不安全的,任何连接内网且使用sniffer类工具的人员都可以轻松的嗅探到管理密码及配置口令。所以说在管理上尽量使用SSH或S等经过加密的协议,这样可以有效避免sniffer类工具的嗅探。关于通过SSH来连接路由交换设备的方法我们在之前的文章中已经介绍过,这里就不详细说明了,感兴趣的读者可以参考相关内容。

要想开启路由交换设备的S管理我们需要执行以下操作——首先进入到路由交换设备的配置模式,然后执行ip server-secure,默认S是使用443端口进行管理和访问的,我们可以通过ip secure-port XXX来更改默认管理端口。

SNMP低权限

很多网络管理员为了自己方便或者通过第三方工具来管理内网流量,这时我们都需要在核心路由交换设备上开启SNMP协议的支持,SNMP的开启同样存在问题,很多用户都使用默认的snmp社区名以及分配WRITE可读可写的权限,要知道这是非常危险的,很多网络管理软件都可以获取路由交换设备发来的SNMP数据信息,如果对应的管理社区帐户名具备可读可写权限的话,入侵者可以轻易的利用SNMP协议获取路由交换设备的配置文件,再通过暴力破解等方法直接窃取到登录密码。因此在维护路由交换设备时尽可能的不使用SNMP协议,如果必须使用那么修改默认缺省的社区名以及分配一个低的RO只读权限可以在一定程度上保护路由交换设备自身。

网络同一化

最后我要说的则是网络同一化问题,很多企业很少针对网络进行规划,系统集成商实施完后网络参数与配置就没有改变过,要知道网络同一化让企业所有网络设备都处于同一个网络,一方面造成广播数据包的增多,影响网络通讯效率,另外一方面也不利于隐私数据的保护,企业内部任何一台计算机被入侵后都可以将其作为跳板来攻击其他所有设备。因此将网络适当的分隔也是解决上述问题的办法。就个人经验来说通过划分VLAN虚拟局域网的方式是最简单和直接有效的,当然在划分时要根据企业网络规模和客户端数量去设计,每个VLAN内部的主机数量要适当。

总结:

当然本文介绍的仅仅是大家在网络管理和维护过程中最容易犯的小毛病,但是有时小错误一样会引来大麻烦,所以说在维护路由交换设备过程中我们应该养成好的习惯,从根本上杜绝上述七宗罪的发生,让企业内网更加安全。

以下为关联文档:

HR是这样筛选简历的,不知道就完蛋!HR是如何筛选简历的呢?为什么有的简历只有浏览却没有面试电话,而有的简历上午投下午就有消息了?前程无忧专题调查中有数据统计,规模较大的企业一般每周要接收500份至1000份电子...

不知道我现在到底该教她什么我女儿是2003年8月1日出生的,我的文化也有限,我现在不知道该教她什么,怎么启发她?????? 3岁了,幼儿园教育一些,爸爸妈妈应该也要思考了,以下收藏内容请参考:孩子培养,从兴趣开始 我的孩子...

不可不知的宝宝八大错误睡法一错误做法一:摇睡 当宝宝哭闹或睡眠不安时,一些年轻妈妈便将宝宝抱在怀中或放入摇篮里摇晃,宝宝越哭越凶,妈妈摇晃得也就越猛烈,直到宝宝入睡为止。 殊不知这种做法对宝宝十分有害...

不可不知的宝宝八大错误睡法二错误做法五:蒙睡 主要见于冬春气温较低的季节,妈妈为让宝宝暖和,常将宝宝头部蒙在棉被下,这样做有两大危害: 被窝湿度较高,加上宝宝代谢旺盛,容易诱发“闷热综合症”,可致宝宝大汗淋...

她怎么不知道节约我女儿4岁。每次我们去公园玩、逛商场等,要回家时,她经常会提这些要求:“妈妈,咱们打车回家吧”,“咱们去大饭店吃饭吧”等等。虽然我们家的经济条件还可以,但我觉得不能放纵孩子,...

小儿抽风不知为何,急盼答复!我家宝贝现在1岁11个月,前两天有发热症状,最高烧到39度,并伴有呕吐,吃什么就吐什么,到医院输液后回家,发烧38.8度,后吃退烧药压下去了。第二天早晨9点突发抽搐,手掌紧握成拳.眼睛向上...

不知该不该要这个孩子我刚发现自己怀孕了,我是9月24号来的末次月经,10月8号和14号早上同的房,可是我14号晚上开始过敏,不得已去了医院,医生给我打了一小瓶激素,而后给我开了些治过敏的得药,我无奈服用。...

不知早孕的情况下吃药了请问,我8月10号来的例假,周期35天,依自己推算是8月26日左右受孕的,但是由于要治疗少许阴道炎就吃了一盒左克盐酸氧氟沙星胶囊,六天的量,断药后是9月2号,去很多家医院问了,都没肯定的...

不知道这位爷爷的“牢骚”源何而起从教的时间也不短了,一直以来自认为与家长的关系比较融洽,在家访中也很注意与家长的沟通,比如:问问家长对我们的工作觉得如何?在教学中哪些地方需要改进?回家的作业是否适量?难易度...

推荐阅读
图文推荐