10第10章-网络设备安全.docxVIP

网络管理与维护技术 主编XXX 中国XXX出版社 第10章网络设备安全 ?本章重点 -物理安全 -口令管理 -SNMP及其安全配置 -HTTP管理方式安全管理 -终端访问控制方式 -设备安全策略 1071物理安全 ?工作环境安全 网络设备安装环境须从设备|進全与 稳定运行方面考虑：防盗、防火、防静电、 适当的通风和可控制的环境温度；确保设 备有一个良好的电磁兼容工作环境。只有 满足这些基本要求，设备才能正常、 可靠、高效运行。 物理安全 物理安全 ?物理防范 、 设备Console 口具有特殊权限，攻击 者如果物理接触设备后，实施“口令修复 流程”，登录设备，就可以完全控制设备。 为此必须保障设备安放环境的封闭性，以 保障设备端口的物理安全。 10.2、口令安全 ? 网络设备中secret和enable 口令的权限 类似于计算机系统的administrator,拥有 对设备的最高控制权，在对设备访问和配 置过程中可以使用本地口令验证、针对不 同的端口指定不同的认证方法，并对不同 权限的管理人员赋予不同口令，同时对不 同的权限级别赋予对操作命令的运行权限。 口令加密禁止明文显示 通过执行service password-encryption启用口令加密服务: 3640(config)#service password-encrypti 3640#show running-config enable secret 5 $ 1 $fy6O$ymDQtD2Yo8nD2zpd3cK0B 1 enable password 7 094F471A1A0A line con 0 password 7 045804080E254147 line aux 0 line vty 0 4 password 7 110A1016141D login 口令加密禁止明文显示 enable secret用MD5加密方式来加密口令， enable secret 优先级高于enable password, enable password以明文显示口令； 两者所设口令不能相同并且当两者均已设置计只亩 亠 enable secret 口令起作用，enable password 口 令自动失效。 service password-encryption命令采用了可逆的弱加密方 式，加密后的密码可以通过一些工具进行逆向破解， enable secret采用md5方式加密，安全烂较强，在建立用 户与口令时建议用username / secret取代username / password (IOS 12.2(8)T后可以用secret对username的密 码做MD5加密)。 避免口令同一化、同级化 网络设备自身提供了多级口令：、常规模式口令、 特权模式口令、配置模式口令、console控制口连接口 令、ssh访问口令等等，网络设备运行在复杂的网络中 难免会遭受各种无意或刻意的攻击，如果多台设备采用 同一口令，则当网络中某一台设备被非法侵入，所有谟 备口令将暴露无遗，这会对整个网络和设备的安全造成 极大威胁，严重时令网络设备配置文件被非法修改甚至 恶意删除，导致整个网络瘫痪，并且网络管理人员不能 通过正常方式登录和管理被攻击过的网络设备，因此在 设置口令时必须做到设备口令多样化、多级化，禁止口 令的同一化、同级化。 关闭ROM MON监听模式 可以歌saw鈿轆re晞 要物理培触到设黃就可以使用这个方法达到重设口令北 法进去侵入的 目 的。通过no service password-recoveryw 令来关闭ROMMON监听模式，避免由此带来的安全隐 患。 3640(config)#no service password-recovery 禁用 ROMMON o 3640(config)#service password-recovery 竇鵰髄舲未公开的两条命令’必须手工完 3640(config)#no service password-recovery 口令定期维护临时口令及时回收 ⑴禁止把管理口令泄漏给任何人，如果已经发 生口令的泄漏，一定要及时修改原口令。 ?⑵及时回收临时口令，通过设置临时密码的方 式进行远程维护后，及时回收口令停止临时账 户对设备的访问权限。 ?⑶修改默认配置，拒绝空口令访问设备，并对 口令加密。尤其注意一定要对console禁止空口 令访问。 加强日常管理使设备管理规范化 合理限制设备人员的数量，通过严格的访问级别设置不同级别管理员 的权限；通过访可控制表阻止非授权IP地址对网络?设备的访问，采用访问 控制表控制后即使非授权人员知道了管理口令也会因使用的IP未经授权而 被拒绝登录设备；合理设置会话超时时间，在管理人员离开终端一段时间 或