思科公司提供的網(wǎng)絡(luò)設(shè)備，如路由器或者防火墻，都提供了管理接口，方便網(wǎng)絡(luò)管理人員對(duì)其進(jìn)行管理維護(hù)。但是，這也給企業(yè)網(wǎng)絡(luò)帶來了一定的安全隱患。如果非法入侵者能夠成功德訪問管理接口，那么這個(gè)接口就成為了他們的聚寶盆，路由器、防火墻等相關(guān)設(shè)置就會(huì)被竊取，甚至被惡意更改。為他們進(jìn)一步入侵企業(yè)網(wǎng)絡(luò)掃清道路。

為此，提高這些網(wǎng)絡(luò)設(shè)備管理接口的安全性已經(jīng)迫在眉睫。筆者下面就對(duì)這個(gè)話題提一些建議，或許能夠?qū)Υ蠹矣兴鶐椭?/P>

一、通過密碼保護(hù)管理接口的安全性

在思科的網(wǎng)絡(luò)設(shè)備中，默認(rèn)情況下，控制臺(tái)是沒有設(shè)置口令的。為此，作為一種基本的和便于使用的安全措施，網(wǎng)絡(luò)管理員在啟用網(wǎng)絡(luò)設(shè)備后，第一個(gè)任務(wù)就是應(yīng)當(dāng)立即為接口設(shè)置密碼。

如就拿路由器來說，其有兩種操作模式，分別為用戶級(jí)模式與特權(quán)級(jí)模式。其中，用戶級(jí)模式是默認(rèn)的訪問模式。網(wǎng)絡(luò)管理員在這個(gè)模式下可以執(zhí)行某些查詢命令，但是，不能夠修改路由器的相關(guān)配置，也不能夠利用調(diào)試工具。而在特權(quán)模式下，網(wǎng)絡(luò)管理員可以管理、維護(hù)路由器，對(duì)相關(guān)配置進(jìn)行修改;也可以通過調(diào)試工具來改善路由器的性能等等。

為了提高通過控制臺(tái)接口訪問路由器的安全性，筆者建議為兩種模式都設(shè)置相關(guān)口令。而且，特權(quán)模式下的密碼要跟用戶級(jí)別模式下的密碼不一致，同時(shí)，特權(quán)模式下因?yàn)榭梢愿木W(wǎng)絡(luò)設(shè)備的配置，所以密碼要復(fù)雜一些。另外需要注意一點(diǎn)，在思科的網(wǎng)絡(luò)產(chǎn)品中，密碼是區(qū)分大小寫的。

通常情況下，這些密碼是以明文形式存儲(chǔ)在路由器的配置文件中。所以，如果網(wǎng)絡(luò)管理員對(duì)于安全性要求比較高的話，那么最好能夠使用加密口令技術(shù)，讓其通過密文的形式存儲(chǔ)密碼。在實(shí)際工作中，我們可以通過兩種途徑來加強(qiáng)這些已經(jīng)存在明文口令的安全性。一是通過Enable Secret Password命令。這個(gè)命令只加密特權(quán)模式口令，對(duì)于用戶級(jí)別模式的口令不起作用。二是采用Service Password-encrption命令。這個(gè)命令跟前面命令的唯一不同，就是會(huì)加密路由器的所有口令，包括特權(quán)模式與用戶模式的口令。如此的話，任何人通過查看路由器配置文件都不能夠看到路由器的口令。不過要注意的一點(diǎn)是，雖然密碼可以通過加密的形式來提高其安全性，但是他仍然可以破解的。為了提高其破解的難度，在設(shè)置密碼的時(shí)候，要是需要增加一些復(fù)雜度，如利用字母、數(shù)字、特殊字符等組合來設(shè)置密碼。這可以提高密碼破解的難度。

二、設(shè)置管理會(huì)話超時(shí)

在管理操作系統(tǒng)安全性時(shí)，我們可以通過屏幕保護(hù)程序來防止用戶來離開時(shí)操作系統(tǒng)的安全性。其實(shí)，在路由器等管理中，也需要如此做。因?yàn)榫W(wǎng)絡(luò)管理員在路由器維護(hù)中，中途可能離開去做其它的事情。此時(shí)，其它一些別有用心的員工，如對(duì)網(wǎng)絡(luò)管理員不滿，就可以輕易的乘管理員離開的那段時(shí)間，進(jìn)行破壞動(dòng)作。這不需要多少時(shí)間，只要一分鐘不到的時(shí)間，就可以更改路由器等網(wǎng)絡(luò)設(shè)備的配置，從而影響網(wǎng)絡(luò)的正常運(yùn)行。

筆者在工作中，就遇到過類似的情況。那時(shí)筆者企業(yè)規(guī)定，要使用QQ的話，就必須申請(qǐng)。通常情況下，在公司不能夠采用QQ等即時(shí)通信軟件。所以，筆者把QQ軟件在路由器防火墻中禁用掉了。但是，一次筆者在維護(hù)路由器的過程中，中途離開了半個(gè)小時(shí)。此時(shí)有個(gè)程序員就更改了路由器的配置，讓他的電腦可以上QQ。后來發(fā)現(xiàn)，筆者還為此受到了一個(gè)處分。可見，在路由器等網(wǎng)絡(luò)設(shè)備管理中，設(shè)置管理會(huì)話超時(shí)也是非常有必要的。

當(dāng)管理員終端還保持連接，但因?yàn)槟承┰颍W(wǎng)絡(luò)管理員已不再進(jìn)行任何操作。此時(shí)，就應(yīng)該采用自動(dòng)注銷機(jī)制來確保在這種情況下沒人能夠使用該終端更改配置。簡(jiǎn)單的說，就是到網(wǎng)絡(luò)管理員在一段時(shí)間內(nèi)沒有進(jìn)行任何操作的話，則路由器等網(wǎng)絡(luò)設(shè)備就自動(dòng)注銷管理員用戶。通過設(shè)置管理會(huì)話超時(shí)，可以為路由器等關(guān)鍵網(wǎng)絡(luò)設(shè)備提供更好的安全機(jī)制。若要采用管理員超時(shí)機(jī)制的話，在思科網(wǎng)絡(luò)設(shè)備中，可以采用exec-timeout命令。其中，后面跟的第一個(gè)參數(shù)為分鐘，第二個(gè)參數(shù)為秒。一般情況下，設(shè)置個(gè)一分鐘就差不多了，沒有必要精確到秒。

三、限制Telnet訪問相關(guān)接口

在網(wǎng)絡(luò)設(shè)備維護(hù)中，我們除了可以通過控制臺(tái)訪問網(wǎng)絡(luò)設(shè)備之外，還可以采用一些遠(yuǎn)程連接的方式來訪問與管理路由器等網(wǎng)絡(luò)設(shè)別。如可以通過Telnet程序來跟路由器建立遠(yuǎn)程連接，進(jìn)行一些維護(hù)工作。

Telnet程序與路由器建立遠(yuǎn)程連接之后，網(wǎng)絡(luò)管理員即可以登錄到用戶模式，也可以登錄到特權(quán)模式。與通過控制臺(tái)端口訪問路由器一樣，管理員在使用Telnet訪問時(shí)，也需要在路由器提示后通過密碼進(jìn)行身份鑒別。此時(shí)，路由器上的Telnet端口也被叫做虛擬終端。至所以給他去了這個(gè)名字，主要是因?yàn)樘摂M終端仿真了控制臺(tái)終端的功能。在通常情況下，路由器同時(shí)允許五個(gè)用戶通過Telent程序連接到路由器上執(zhí)行管理任務(wù)。

不過遠(yuǎn)程連接有其自身的脆弱性。為了提高遠(yuǎn)程連接的安全性，最好能夠采取一些對(duì)應(yīng)的安全措施。

如可一通過訪問列表的方式來加強(qiáng)Telnet連接的安全性。通過訪問控制列表，可以限制只有一些特定的IP地址或者M(jìn)AC地址的主機(jī)，如管理員的主機(jī)，才可以遠(yuǎn)程連接到路由器等關(guān)鍵網(wǎng)絡(luò)設(shè)備上。如此的話，其他未經(jīng)授權(quán)的用戶，即使通過不法手段獲取了管理員用戶與密碼，也不能夠登錄到路由器上。

另外，Telnet程序其自身安全性也不高。因?yàn)槠湓趥鬏斶^程中，都是通過明文傳輸?shù)摹９史浅Ｈ菀妆粍e有用心的人竊取用戶名與密碼。所以，在可行的情況下，網(wǎng)絡(luò)管理員最好不要采用Telnet等進(jìn)行遠(yuǎn)程連接路由器。若確實(shí)有這個(gè)必要的話，則最好采用更加安全的SSH協(xié)議。這也是一個(gè)跟Telnet類似的遠(yuǎn)程連接工具。只不過它在連接過程中，無論是密碼還是命令，都是通過加密的。故其安全性要比Telnet程序要高。

四、關(guān)注HTTP訪問的安全性

在思科最近幾個(gè)版本的IOS(網(wǎng)絡(luò)操作系統(tǒng))中，已經(jīng)可以通過Web服務(wù)器來配置路由器等網(wǎng)路設(shè)備。這種圖形化的管理方式，讓路由器等網(wǎng)絡(luò)設(shè)備管理起來更加的方便。或者說，我們可以把它們叫做傻瓜式的管理方法。

但是，我們都知道，HTTP協(xié)議其安全性并不高。如果在路由器等關(guān)鍵設(shè)設(shè)備中，一旦允許網(wǎng)絡(luò)管理員通過HTTP進(jìn)行訪問，則應(yīng)該加強(qiáng)其安全性能。因?yàn)槿绻捎肏TTP方式來管理路由器等網(wǎng)絡(luò)設(shè)備的話，其他用戶很容易可以通過網(wǎng)絡(luò)設(shè)備的瀏覽器接口對(duì)路由器等網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)視，甚至可以對(duì)路由器等設(shè)備的配置進(jìn)行更改。如此的話，在管理員不知覺的情況下，更改路由器等配置，達(dá)到其惡作劇或者入侵的目的。

為此，雖然通過Web服務(wù)器方式來管理路由器會(huì)更加的形象化，可以少輸很多命令，不過思科公司還不是很建議采用這種方式來管理網(wǎng)絡(luò)設(shè)備。默認(rèn)情況下，這種HTTP管理方式是關(guān)閉的。若網(wǎng)絡(luò)管理員對(duì)自己的網(wǎng)絡(luò)安全比較有信心的話，則可以利用ip http server命令來開啟HTTP服務(wù)。

若通過WEB方式來管理路由器等網(wǎng)絡(luò)設(shè)別的話，其也要通過路由器的身份驗(yàn)證。為了提高其安全性，最好能夠采用一些獨(dú)立的身份驗(yàn)證方法。如可以采用AAA服務(wù)器、TACAC服務(wù)器等等，來統(tǒng)一管理用戶身份認(rèn)證。這對(duì)于提高路由器的安全性是非常必要的。這些方式可以抵消因?yàn)椴捎肏TTP管理方式而帶來的安全風(fēng)險(xiǎn)。

同時(shí)，在必要的情況下，也可以通過訪問控制列表來進(jìn)一步限制通過HTTP連接的用戶。就如同Telnet進(jìn)行遠(yuǎn)程連接一樣，讓只有經(jīng)過授權(quán)的用戶(通過IP地址或者M(jìn)AC地址來進(jìn)行授權(quán))，才能夠進(jìn)行遠(yuǎn)程連接。如果進(jìn)行這么設(shè)置的話，就可以大大提高WEB管理方式的安全性。

不過，話說回來，筆者并不建議網(wǎng)絡(luò)管理員通過HTTP的方式來管理路由器等網(wǎng)絡(luò)設(shè)備。對(duì)于思科路由器等網(wǎng)絡(luò)設(shè)備來說，筆者首先是建議用戶通過控制臺(tái)的方式來管理。若網(wǎng)絡(luò)管理員無法時(shí)時(shí)在路由器等網(wǎng)絡(luò)設(shè)備面前的話，則建立通過SSH等方式來遠(yuǎn)程管理。并且，采用遠(yuǎn)程管理的話，要利用訪問列表等功能來限制遠(yuǎn)程連接的用戶。網(wǎng)絡(luò)管理員若能夠遵循這個(gè)建議，那么其網(wǎng)絡(luò)設(shè)備的管理接口的安全性，一般都是可以保障的。

【編輯推薦】

1. 統(tǒng)一規(guī)范網(wǎng)絡(luò)設(shè)備化解無線網(wǎng)絡(luò)安全威脅
2. 關(guān)于我國(guó)網(wǎng)絡(luò)設(shè)備測(cè)試的標(biāo)準(zhǔn)