不可不知的路由交换安全七宗罪

企业网络管理员最重要的职责是保证内网的安全，安全需要路由交换机，尤其是核心层的设备。那么，作为中小企业的网络管理员，如何保证路由交换设备的安全呢？在实际工作过程中，笔者接触到很多网络管理员，但他们的路由和交换设置都或多或少存在安全隐患和漏洞。今天，我们来看看路由和交换安全的七宗罪。
密码文化
有路由交换机配置经验的网络管理员知道，默认情况下，我们使用enable password命令向路由交换机设备添加管理密码。然而，以这种方式建立的密码是不安全的。它以纯文本的形式存储在运行配置文件中，我们可以通过show running查看这些信息，这是非常不安全的。因此，我们需要通过另一个命令添加加密的密码。具体说明是-
执行完命令后，如果我们通过show running检查配置文件的内容，会看到密码已经被加密并存储在配置文件中。当然，这些信息并不安全。毕竟MD5信息是可以被暴力破解的，有些站点还提供MD5密文反向校验服务。反正它的安全性大大提高。
密码统一
有些网络管理员认为记忆太多密码容易混淆，所以在配置路由交换设备时，使用与自己管理的服务器相同的密码。其实这样并不安全，密码统一会大大增加网络设备被攻击的可能性。毕竟设备太多，难免会被攻击。一旦某个设备被入侵，密码统一会导致所有设备的密码泄露。此外，路由交换设备本身提供多种级别的密码，如普通模式密码、特权模式密码、配置模式密码等。，以及控制台端口连接密码、Telnet访问密码等。我们在设置的时候也要区分这些模式和密码，不要设置的都一样。不同的用户通过不同级别的密码进行授权，避免了越权的问题。
提示:
默认情况下，所有网络设备在启动时都可以使用BREAK模式进入监控ROMMON模式进行密码恢复，存在安全隐患。任何人只要靠近网络设备，都可以通过控制台端口重置密码，所以我们可以关闭这种密码恢复模式，在密码记忆牢固的情况下，通过无服务密码恢复命令完成关闭ROMMON监控模式的任务。
密码均衡
所谓密码均衡，就是不为不同的模式和不同的配置接口分配不同的密码，仅通过密码就可以完成对路由器的管理。其实这也是不对的。毕竟你不可能是平时唯一访问和管理路由交换设备的用户，所以合理设置密码的分级管理非常重要。适当分配权限，如访问、监控、系统、管理等。将使您的安全工作变得轻松，并且在实际应用过程中，分级密码也大大提高了核心路由交换设备的安全性。
另外，密码管理上还有一个问题，就是临时密码的处理。在很多情况下，当网络出现故障时，我们可能需要向制造商寻求技术支持。在这种情况下，我们不应该直接把原始密码告诉技术支持人员，而设置一个临时密码来解决远程或异地维护的问题。维护结束后记得停用临时账户。我发现很多下级网管在找我帮忙的时候都是直接告诉管理员账号，或者即使设置了临时账号，几个月后也可以通过它登录管理。这些都给路由和交换设备带来了一定的安全隐患。
提示:
默认情况下，通过控制台端口console登录路由交换机设备不需要密码，但是为了保证安全，我们还是应该为其设置一个密码，可以通过以下命令来完成——line console 0，login，password XXXXXX，最后通过service password-encryption命令对设置的密码进行加密。
随机管理
其实对于一个路由交换机设备，我们可以通过远程终端、本地终端、WEB、TFTP服务器、虚拟终端、SSH等方式进行配置。在加强网络设备时，我们都使用本地终端，即通过PC的超级终端和交换机的控制台端口。这是因为在安全加强的过程中，要避免外界干扰，通过本地终端连接路由器。
当然，如果我们真的需要使用非本地超级终端进行管理，那么管理路由交换设备最标准的方法就是通过访问控制列表ACL来阻止未授权的IP地址访问路由交换设备，这样即使非法人员知道管理密码，也无法入侵，因为使用的IP是未授权的。就个人体验而言，内网可以通过将VLAN划分为虚拟局域网来控制访问权限，外网则需要使用ACL访问控制列表来精细分配授权。
经营明文化
经营明文化的安全漏洞是目前中小企业最普遍的问题。大多数网络管理员通过telnet来管理相关设备，也有人使用设备本身提供的HTTP页面管理方式来完成配置工作。要知道无论是telnet还是HTTP都是不安全的，任何连接到内网并使用嗅探工具的人都可以轻易嗅探到管理密码和配置密码。所以在管理上尽量使用SSH或HTTPS等加密协议，可以有效避免被嗅探工具嗅探。我们在上一篇文章中已经介绍了通过SSH连接路由交换机设备的方法，这里就不详细解释了。感兴趣的读者可以参考相关内容。
要打开路由交换设备的HTTPS管理，我们需要做以下事情——首先进入路由交换设备的配置模式，然后执行ip http server-secure。使用端口443管理和访问默认HTTPS，我们可以通过ip http secure-port XXX更改默认管理端口。
snmp权限低
许多网络管理员为了自己的方便或者通过第三方工具来管理内部网流量。这时候我们都需要在核心路由交换设备上开启对SNMP协议的支持。SNMP的开放也有问题。许多用户使用默认的SNMP社区名称并分配读写权限，这是非常危险的。许多网络管理软件可以获取路由交换设备发送的SNMP数据信息。如果对应的管理社区帐户名具有读写权限，入侵者可以很容易地利用SNMP协议获取路由交换设备的配置文件，然后通过暴力破解等方法直接窃取登录密码。因此，在维护路由交换设备时，尽量不要使用SNMP协议。如果必须使用的话，修改默认的团体名，分配一个低RO只读权限，可以在一定程度上保护路由交换设备本身。
网络同质化
最后，我想说一下网络同质化的问题。很多企业很少对网络进行规划，系统集成商实施后网络参数和配置没有变化。你要知道，网络同质化使得企业内的所有网络设备都在同一个网络中，一方面造成广播包的增加，影响网络通信的效率，另一方面也不利于隐私数据的保护。企业中的任何一台计算机都可以被用作入侵。因此，适当的分离网络也是解决上述问题的方法。就个人经验而言，划分VLAN虚拟局域网是最简单、直接、有效的方法。当然要根据企业网络的规模和客户端的数量来设计，每个VLAN的主机数量要合适。
总结:
当然，本文只是介绍了人们在网络管理和维护过程中最容易犯的小错误，但有时小错误也可能酿成大麻烦。所以在维护路由和交换设备的过程中要养成良好的习惯，从根本上杜绝以上七宗罪的发生，让内网更加安全。