10第10章-网络设备安全.ppt

计算机网络安全基础 计算机网络安全基础 网络管理技术 第10章 网络设备安全 本章重点 物理安全 口令管理 SNMP及其安全配置 HTTP管理方式安全管理 终端访问控制方式 设备安全策略 10.1 物理安全 工作环境安全 网络设备安装环境须从设备的安全与稳定运行方面考虑：防盗、防火、防静电、适当的通风和可控制的环境温度；确保设备有一个良好的电磁兼容工作环境。只有满足这些基本要求，设备才能正常、稳定、可靠、高效运行。 10.1 物理安全 物理防范 设备Console口具有特殊权限，攻击者如果物理接触设备后，实施“口令修复流程”，登录设备，就可以完全控制设备。为此必须保障设备安放环境的封闭性，以保障设备端口的物理安全。 10.2 口令安全 网络设备中secret和enable口令的权限类似于计算机系统的administrator，拥有对设备的最高控制权，在对设备访问和配置过程中可以使用本地口令验证、针对不同的端口指定不同的认证方法，并对不同权限的管理人员赋予不同口令，同时对不同的权限级别赋予对操作命令的运行权限。 口令加密 禁止明文显示 通过执行service password-encryption启用口令加密服务： 3640(config)#service password-encryption 3640#show running-config ...... enable secret 5 $1$fy6O$ymDQtD2Yo8nD2zpd3cK0B1 enable password 7 094F471A1A0A line con 0 password 7 045804080E254147 line aux 0 line vty 0 4 password 7 110A1016141D login ...... 口令加密 禁止明文显示 enable secret用MD5加密方式来加密口令， enable secret 优先级高于enable password， enable password 以明文显示口令； 两者所设口令不能相同并且当两者均已设置时只有enable secret口令起作用，enable password口令自动失效。 service password-encryption命令采用了可逆的弱加密方式，加密后的密码可以通过一些工具进行逆向破解，enable secret采用md5方式加密，安全性较强，在建立用户与口令时建议用username / secret取代username / password（IOS12.2(8)T后可以用secret对username的密码做MD5加密）。 避免口令同一化、同级化 网络设备自身提供了多级口令：常规模式口令、特权模式口令、配置模式口令、console控制口连接口令、ssh访问口令等等，网络设备运行在复杂的网络中难免会遭受各种无意或刻意的攻击，如果多台设备采用同一口令，则当网络中某一台设备被非法侵入，所有设备口令将暴露无遗，这会对整个网络和设备的安全造成极大威胁，严重时令网络设备配置文件被非法修改甚至恶意删除，导致整个网络瘫痪，并且网络管理人员不能通过正常方式登录和管理被攻击过的网络设备，因此在设置口令时必须做到设备口令多样化、多级化，禁止口令的同一化、同级化。 关闭ROMMON监听模式 默认情况下利用设备加电重启期间的BREAK方式可以进入ROMMON监听模式进行口令恢复。任何人只要物理接触到设备就可以使用这个方法达到重设口令非法进去侵入的目的。通过no service password-recovery命令来关闭ROMMON监听模式，避免由此带来的安全隐患。 3640(config)#no service password-recovery 禁用ROMMON。 3640(config)#service password-recovery 启用ROMMON，Cisco未公开的两条命令，必须手工完整键入后才可以执行。 ...... 3640(config)#no service password-recovery 口令定期维护 临时口令及时回收 ⑴禁止把管理口令泄漏给任何人，如果已经发生口令的泄漏，一定要及时修改原口令。 ⑵及时回收临时口令，通过设置临时密码的方式进行远程维护后，及时回收口令停止临时账户对设备的访问权限。 ⑶修改默认配置，拒绝空口令访问设备，并对口令加密。尤其注意一定要对console禁止空口令访问。 加强日常管理 使设备管理规