淺析網絡管理接口安全設置

   眾所周知，思科公司提供的網絡設備，如路由器或者防火牆，都提供了管理接口，方便網絡管理人員對其進行管理維護。但是，這也給企業網絡帶來了一定的安全隱患。

    如果非法入侵者能夠成功德訪問管理接口，那麼這個接口就成為了他們的聚寶盆，路由器、防火牆等相關設置就會被竊取，甚至被惡意更改。為他們進一步入侵企業網絡掃清道路。

    小編下面就對這個話題提一些建議，或許能夠對大家有所幫助。

    一、通過密碼保護管理接口的安全性

    在思科的網絡設備中，默認情況下，控制台是沒有設置口令的。為此，作為一種基本的和便於使用的安全措施，網絡管理員在啟用網絡設備後，第一個任務就是應當立即為接口設置密碼。

    如就拿路由器來說，其有兩種操作模式，分別為用戶級模式與特權級模式。其中，用戶級模式是默認的訪問模式。網絡管理員在這個模式下可以執行某些查詢命令， 但是，不能夠修改路由器的相關配置，也不能夠利用調試工具。而在特權模式下，網絡管理員可以管理、維護路由器，對相關配置進行修改；也可以通過調試工具來 改善路由器的性能等等。

    為了提高通過控制台接口訪問路由器的安全性，筆者建議為兩種模式都設置相關口令。而且，特權模式下的密碼要跟用戶級別模式下的密碼不一致，同時，特權模式 下因為可以更改網絡設備的配置，所以密碼要復雜一些。另外需要注意一點，在思科的網絡產品中，密碼是區分大小寫的。

    通常情況下，這些密碼是以明文形式存儲在路由器的配置文件中。所以，如果網絡管理員對於安全性要求比較高的話，那麼最好能夠使用加密口令技術，讓其通過密文的形式存儲密碼。在實際工作中，我們可以通過兩種途徑來加強這些已經存在明文口令的安全性。

    一是通過Enable Secret Password命令。這個命令只加密特權模式口令，對於用戶級別模式的口令不起作用。

    二是采用Service Password-encrption命令。這個命令跟前面命令的唯一不同，就是會加密路由器的所有口令，包括特權模式與用戶模式的口令。如此的話，任何 人通過查看路由器配置文件都不能夠看到路由器的口令。不過要注意的一點是，雖然密碼可以通過加密的形式來提高其安全性，但是他仍然可以破解的。

    為了提高其破解的難度，在設置密碼的時候，要是需要增加一些復雜度，如利用字母、數字、特殊字符等組合來設置密碼。這可以提高密碼破解的難度。