- 论坛徽章:
- 0
|
网络设备的安全对整个网络的安全非常重要,作为网络管理员必须十分清楚自己所管理的网络设备的安全程度并及时作出调整,确保设备安全,以避免受到攻击而造成不必要的损失。
从广义上讲,网络安全可以分为网络设备的安全和网络信息的安全。网络管理员通常都能够对网络信息的安全给予足够的重视,但却往往忽略了网络设备的安全。然而,几乎所有的网络设备都有一些技巧或漏洞,掌握了这些内容的人可以完全控制它,产生的后果很可能是毁灭性的。因此,没有网络设备的安全,网络的安全策略就没有任何意义。
下面,笔者将从网络设备的物理安全和对网络设备的访问控制两个方面谈谈网络设备的安全策略。
网络设备的物理安全
网络设备的物理安全是指网络设备周围环境的安全及网络设备硬件的安全,是网络安全体系中最为重要的部分。通常可以从以下几个方面加以提高。
1、提供正确的物理环境
正确的物理环境应该对场地的封闭、防火、防盗、防静电、适当的通风、温度的控制以及电源的安全等提供符合网络设备要求的安全保证。
2、控制到设备的直接访问
在可能的情况下为机架上锁,并且在控制台和辅助端口设置口令。
小提示:如果不使用的话,建议关闭这类辅助端口,因为从理论上讲,只要能从物理上接近设备,就能通过改变设备上的一些硬件开关重置管理员口令或恢复出厂设置。
对网络设备访问的控制
网络设备的访问控制主要目的是防止非法用户进入网络设备并对其配置进行非法修改,避免网络瘫痪。
本文以Cisco交换机为例,如何实施对网络设备的访问控制。
1、通过设置并加密口令实现访问控制
网络设备提供的最基本的安全是在设备访问和配置过程中设置登录口令。如果对设备的访问和配置不加以审查,往往会引发安全问题。
例如,有些设备出厂时往往没有设置登录口令或设置一些缺省口令字,而一些管理员就利用这些缺省的口令进行管理,攻击者很容易就找到了一个入口,从而引发安全问题。
◆ 控制台端口登录口令设置
设置格式如下:
Switch(config)#line console 0
/*从全局配置模式进入控制台线路配置模式*/
Switch(config-line)#login
/*设置当用户使用超级终端进入控制台端口时,交换机提示输入密码*/
Switch(config-line)#password abcd123
/*设置abcd123为控制台端口登录口令*/
这样,当下一次使用超级终端进入控制台端口时,就必须输入正确的密码,以避免非授权用户进入控制台。
◆ 虚拟终端远程登录口令设置
Switch(config)#line vty 0 4
/*从全局配置模式进入虚拟终端线路配置模式,其中0 4表示可以同时进行5个(即0、1、2、3、4)虚拟终端会话*/
Switch(config-line)#login
/*设置当用户对交换机进行远程telnet时,交换机提示输入密码*/
Switch(config-line)#password abcd123
/*设置abcd123为控制台端口登录口令*/
◆ 使能密码的设置
使能密码是由用户模式(switch>)进入特权模式(switch#)时的密码,其设置有两种格式:enable password password和enable secret password。
这两种方式在表面上看是一样的,但enable secret经过MD5加密,在交换机配置文件中无法看到enable secret密码;而enable password密码则以明文形式显示,但可通过service password-encryption对其进行加密,其强壮性不如enable secret密码。
设置格式如下:
Switch(config)#enable password level 15 abcd123
/*表示为特权级别15设置使能密码abcd123,由于默认的特权级别为15,所以在此level 15可以省略。*/
或者:
Switch(config)#enable secret level 15 efgh123
说明:enable secret会覆盖enable password所定义的密码。上例中若同时使用了两个命令,则使能密码则为efgh123,而非abcd123。
2、对虚拟终端的访问控制
虚拟端口相对于实端口而言,一般根据需要在交换机(或路由器)上虚拟出一些端口,这些端口被称为虚拟终端或虚拟端口。每台Cisco设备一般有5个缺省虚拟终端,在虚拟终端线路上实施访问控制列表,可以控制谁可以远程登录(Telnet)到该设备。
其设置格式如下:
Switch(config)#access-list 1 permit host 192.168.1.1
/*access-list命令说明哪些源地址被允许或者拒绝访问的标准访问控制列表*/
Switch(config)#line vty 0 4
/*从全局配置模式进入虚拟终端线路配置模式,0 4表示可以同时进行5个(即0、1、2、3、4)虚拟终端会话*/
Switch(config-line)#access-class 1 in
/*此命令格式为access-class in|out,其功能是将访问列表应用到虚拟终端线路上,其中in表示谁可以远程登录到这台设备,out表示当用户已登录到网络设备内部时还可以远程登录到哪里*/
说明:上例表示只有IP地址为192.168.1.1的计算机可以Telnet到这台交换机。
3、对Web控制台的访问控制
Web console是配置网络设备的另一种常用方法,具有友好的操作界面,使配置网络设备变得更加容易,但同时也引出了一些安全问题。
要想做到防范于未然,可以从下面几种方法着手:
(1)利用Ip http port命令修改网络设备的Web服务的端口号。
IP http port 端口号
此命令在全局配置模式下执行。修改端口号在一定程度上增加了Web控制的安全,但其安全性能不是很高。
(2)通过实施访问控制列表控制哪些地址可以访问网络设备的Web服务。
设置过程如下:
Switch(config)#access-list 1 permit host 192.168.1.1
Switch(config)#ip http server
/*启用Web控制台对交换机进行Web管理,在Cisco IOS 11.3版本后ip http server为默认启用*/
Switch(config)# ip http access-class 1
/*允许IP地址为192.168.1.1的计算机通过Web控制台对交换机进行Web管理*/
(3)关闭网络设备的Web服务。
Web服务为管理人员带来方便的同时也带来了安全上的问题。必要时通过命令no ip http server关闭Web服务,以减少安全隐患。
4、对设备的访问设置不同的权限
在Cisco产品中可以设置0到15,即16级不同的权限级别。
说明:级别15为缺省的特权EXEC级别,拥有最高级别的访问权限。级别1为缺省的用户EXEC级别,仅能执行有限的命令,不能对交换机进行配置。
一般可以通过privilege命令设置不同级别并赋予这些级别一定的权限。
其命令格式如下:
privillege mode level level level-command
其中,mode为配置模式,level level为设置的特权级别,level-command为可执行的命令。
例如,创建一个级别2,在全局配置模式下能执行copy run start、ping和show run命令,并设定级别2的使能密码为abcd123,其配置如下:
Switch(config)#privilege configure level 2 copy run start
Switch(config)# privilege configure level 2 ping
Switch(config)# privilege configure level 2 show run
Switch(config)# enable secret level 2 abcd123
以级别2登录其命令如下:
switch>enable 2
5、控制会话超时及设置警示登录标语消息
如果控制台在特权模式下没有人看管,那么任何用户都可以乘机修改网络设备的配置。而对空闲会话的超时设置可以获得额外的安全保障,默认空闲会话超时时间为十分钟,可以通过exec-timeout命令改变会话超时时间。
其设置格式如下:
Switch(config)#line console 0
Switch(config-line)#exec-timeout 5 10
/*在控制台端口设置空闲会话超时5分10秒*/
Switch(config)#line vty 0 4
Switch(config-line)#exec-timeout 5 10
/*在虚拟终端设置空闲会话超时5分10秒*/
登录标语消息是当用户登录网络设备时,在界面上显示的内容。这里可以显示一些对非授权访问者的 警告,如“非授权访问将被依法起诉”等,从心理上吓退攻击者。
其命令格式如下:
Switch(config)#banner motd & message &
其中&为分界符,可以是未在message中使用的任意字符。 |
|
免费注册
发表于 2008-08-06 15:42
