如何保障网络安全设备的安全,是网络管理员必须考虑的一个问题。换句话说,除了网络性能因素之外,网络设备的安全是网络管理员最关心的一个话题。思科网络设备在这方面比其他公司的产品更加具有远见。如果大家有异议,或许听过我的讲述之后,会有所转变。
一、HTTP安全性
为了使得网络设备的管理与维护更加的便利,许多网络设备厂商都在自己的产品中实现了HTTP服务器,以建立一个交叉平台的、易于管理的图形化解决方案。用户可以通过WEB图形化界面对网络设备进行管理。思科在这方面当然也有类似的处理机制。
不过思科在这方面比其他厂商走先了一步。多数的思科网络设备,拥有一整套机制来进行认证和限制HTTP远程访问。网络管理员必须牢记,嵌入到网络基础设施设备的HTTP客户机和服务器之间的通信应当是安全的。思科为此提供了一整套解决方案。如果网络管理员能够通过合理的配置,那么思科设备的安全性是毋庸置疑的。
1、在必要的时候开启HTTP服务器。其实对于大部分有经验的网络管理员来说,都不习惯利用WEB界面来管理网络设备。如笔者,现在都是通过命令行来进行配置。因为这不仅安全,而且,还可以提高管理的效率。所以通常情况下,思科大部分产品默认情况下,都关闭了HTTP服务器。可见,思科专家们也不是很鼓励我们网络管理员通过WEB形式来管理他们的网络设备。一般情况下,只有刚接触思科网络设备的“菜鸟”才会通过图形化的管理界面来熟悉思科的网络设备。
2、若实在需要开启HTTP服务器的话,则需要进行相关的安全配置,来保障HTTP连接的准确性。
虽然思科不建议我们通过HTTP协议来管理思科网络设备,但是,我们网络管理员仍然可以使用WEB浏览器来发布绝大部分的IOS命令。通过使用WEB浏览器界面可以访问思科的大多数管理功能。思科网络设备的大部分管理功能都可以通过HTTP协议来配置。
思科HTTP服务器程序它是思科IOS管理软件的一个嵌入式组件,他允许特权级别(或其他任何配置的优先级别)为15用户通过浏览器来访问思科设备。若要启用HTTP服务器来管理思科网络设备,需要通过如下步骤。
(1)启用HTTP服务。上面笔者已经说过,思科不少的网络设备,默认情况下都没有开启HTTP服务。所以,网络管理员若需要采用这个服务的话,则必须手工的启动它。如我们网络管理员需要通过利用“http server”命令来启用它。
(2)相关的权限控制。若思科设备启用了HTTP服务器之后,网络管理员就可以通过WEB浏览器访问路由器并进行相关的管理。默认情况下,思科的IOS管理软件通常只允许特权级别为15的用户访问路由器预先定义的主页或者访问服务器。如果用户的访问级别不是15,则用户没有完全管理路由器的权限。在网页上只显示出与这个用户所对应的功能。另外需要注意一个版本之间的差异。在IOS11.3之前的版本,只有特权为15的用户才能够使用HTTP功能,并且唯一的认证机制就是启用Enable口令。不过在现在的IOS版本中,除了特权级别为15的用户可以通过HTTP来管理路由器。而且,还可以给其他用户进行授权,让其叶具有类似的管理功能。
(3)若要给某个用户授予某些HTTP管理的功能,只需要通过简单的两步就可以授予。一是在WEB浏览器中输入网络设备的地址,并以特权用户的口令登陆管理系统。二是通过HTTP authentication enable命令来给某个特定级别的用户启用HTTP功能。HTTP访问只对特定的用户级别开放,启用密码是认证HTTP服务器用户的方法。所以,网络管理员需要注意,授权不是针对具体的用户,而是通过对用户级别进行授权实现的。#p#
二、对于密码管理的一些建议
为了给Cisco网络设备一个安全的管理环境,往往还需要注意一些密码设置的技巧。对于不同的设备往往需要配置不同的密码,所以,密码管理是一件非常令人头疼的工作。在实际工作中,我们可以通过AAA机制可以极大的减轻管理的工作量。因为当前思科许多软件版本都支持AAA认证和授权。所以,通过AAA机制是密码管理的一个很不错的选择。
与此同时,在条件允许的情况下,还可以遵循如下的建议。
一是特权密码***与其它密码不同。在思科设备中,任何用户都有普通用户与特权用户两个基本的级别。普通用户只能够对路由器的配置进行查看,而无法对其进行任何的配置,包括命名等等。当网络出现故障时,我们往往会先利用普通用户级别的角色去查看网络设备的基本情况。等到发现问题的原因,再利用特权模式进行维护。为此,若把特权密码与其它用户密码设置为不同,则可以在很大程度上提高网络设备的安全性。
二是定期的更改特权密码,并保障密码的复杂性。有时候,不怕一万,就怕万一。特群用户密码有时候会在网络管理员不经意之间泄露。如在输入密码的时候别人偷窥或者被窃取等等。所以,笔者建议,网络管理员应该养成定期更改特权密码的习惯。同时,在更改时,尽量要保障密码的复杂性。
三是要更改设备的默认密码。当设备一连入企业网络后,管理员就要更改设备的网络密码。思科的网络设备往往都会有默认的管理员密码,而且,可惜的是,任何网络设备的管理员密码都是相同的。#p#
三、利用SNMPv2 协议来代替SNMPv1 协议。
简单网络管理协议(SNMP)是一个搜集统计信息并远程监视网络基础设施设备的协议。他是一个非常简单地协议。在V1版本中,其实根本没有提供任何的安全措施。那时,SNMP协议都是通过明文传输的。包括密码在内,在网络内的传输都是明文的。所以,是非常不安全的。
为此,笔者建议,应该采用V2版本,而不要采用V1版本。因为V2解决了V1版本中的一些漏洞。特别值得强调的是,在V2种,采用了MD5算法来验证SNMP管理器和代理器之间传递信息。在思科网络设备中,有SNMP两个选项,分别为只读与读写两个模式。
只读模式下往往只能够读取SNMP MIB对象;而读写模式则指定SNMP管理员可以读取并更改MIB对象。另外在实际工作中,要结合IP地址来管理网络设备的访问权限。通常情况下,用户都应该配置过滤器并且只允许某些特定的IP地址拥有设备的SNMP访问权。另外,在平时的管理中,如果只是收集一些统计信息,则***只采用只读模式。对于读写模式的管理选项,要慎用。并且启用读写模式时,一定要做好相关的安全配置。如笔者在日常配置中,***只允许自己的IP地址来启用读写模式,以保障管理的安全性。
另外,在***的思科管理软件中,还采用了SNMPv3版本。这个版本在V2 的基础上,安全性更高。如增加了更多的认证方式,同时,机密性也得到了进一步提高。在对于网络稳定性与安全性有特殊要求的企业,可以考虑采用V3版本的SNMP协议来管理思科网络设备。#p#
四、SSH与Telnet远程管理协议
笔者在实际工作中,还是喜欢通过一些远程管理协议来远程管理网络设备。如果用户需要远程管理的话,则有SSH与Telnet两种协议可以选择。不过在选择的时候,需要注意一个问题。Telnet与SSH在安全上是相差很大的。
Telnet属于一种远程管理协议,但是,其跟SNMPv1版本一样,基本上没有提供可以使用的安全机制。其无论是代码,还是用户名与口令,在网络上都是明文传输的。所以,其是非常危险的。所以,思科网络设备在通常情况下,都是没有启用这个功能的。若网络管理员需要的话,要先开启这个功能。不过向HTTP协议一样,思科网络管理专家一般不建议大家通过这种方式对网络设备进行管理。若用户真的需要采用这个协议的话,则笔者建议网络管理员,结合Ipsec等安全工具来加强其安全性。
笔者更倾向于SSH来管理思科网络设备。因为SSH比起Telnet协议来说,提供了更高的安全性。如其口令与代码在网络中都是通过密文来传输的。所以,相对来说,其安全性要比Telent安全的多。若用户采用的是Linux操作系统,则其自身就带有SSH功能。若用户采用的是微软操作系统的话,则其只有Telent工具,而没有SSH远程连接工具。若此时用户需要SSH来管理的话,则可以从网络免费下载SSh协议客户端。这是一个大小只有几十K的软件包,使用起来非常的方便。而且其还是免费的。
笔者认为,在维护思科网络设备时,其性能、安全性、灵活性是我们日常管理工作中的三个主要目标。故对于安全性来说,大家可以借鉴我以上的三个建议,为思科网络设备提供一个安全的管理环境。
【编辑推荐】