萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 淺析網絡管理接口安全設置

淺析網絡管理接口安全設置

   眾所周知,思科公司提供的網絡設備,如路由器或者防火牆,都提供了管理接口,方便網絡管理人員對其進行管理維護。但是,這也給企業網絡帶來了一定的安全隱患。

    如果非法入侵者能夠成功德訪問管理接口,那麼這個接口就成為了他們的聚寶盆,路由器、防火牆等相關設置就會被竊取,甚至被惡意更改。為他們進一步入侵企業網絡掃清道路。

    小編下面就對這個話題提一些建議,或許能夠對大家有所幫助。

    一、通過密碼保護管理接口的安全性

    在思科的網絡設備中,默認情況下,控制台是沒有設置口令的。為此,作為一種基本的和便於使用的安全措施,網絡管理員在啟用網絡設備後,第一個任務就是應當立即為接口設置密碼。

    如就拿路由器來說,其有兩種操作模式,分別為用戶級模式與特權級模式。其中,用戶級模式是默認的訪問模式。網絡管理員在這個模式下可以執行某些查詢命令, 但是,不能夠修改路由器的相關配置,也不能夠利用調試工具。而在特權模式下,網絡管理員可以管理、維護路由器,對相關配置進行修改;也可以通過調試工具來 改善路由器的性能等等。

    為了提高通過控制台接口訪問路由器的安全性,筆者建議為兩種模式都設置相關口令。而且,特權模式下的密碼要跟用戶級別模式下的密碼不一致,同時,特權模式 下因為可以更改網絡設備的配置,所以密碼要復雜一些。另外需要注意一點,在思科的網絡產品中,密碼是區分大小寫的。

    通常情況下,這些密碼是以明文形式存儲在路由器的配置文件中。所以,如果網絡管理員對於安全性要求比較高的話,那麼最好能夠使用加密口令技術,讓其通過密文的形式存儲密碼。在實際工作中,我們可以通過兩種途徑來加強這些已經存在明文口令的安全性。

    一是通過Enable Secret Password命令。這個命令只加密特權模式口令,對於用戶級別模式的口令不起作用。

    二是采用Service Password-encrption命令。這個命令跟前面命令的唯一不同,就是會加密路由器的所有口令,包括特權模式與用戶模式的口令。如此的話,任何 人通過查看路由器配置文件都不能夠看到路由器的口令。不過要注意的一點是,雖然密碼可以通過加密的形式來提高其安全性,但是他仍然可以破解的。

    為了提高其破解的難度,在設置密碼的時候,要是需要增加一些復雜度,如利用字母、數字、特殊字符等組合來設置密碼。這可以提高密碼破解的難度。

copyright © 萬盛學電腦網 all rights reserved