10第10章 网络设备安全.ppt

网络管理技术 第 10 章 网络设备安全 ? 本章重点 – 物理安全 – 口令管理 – SNMP 及其安全配置 – HTTP 管理方式安全管理 – 终端访问控制方式 – 设备安全策略 10.1 物理安全 ? 工作环境安全 网络设备安装环境须从设备的 安全 与 稳定 运行方面考虑：防盗、防火、防静电、 适当的通风和可控制的环境温度；确保设 备有一个良好的电磁兼容工作环境。只有 满足这些基本要求，设备才能 正常 、 稳定 、 可靠 、 高效 运行。 10.1 物理安全 ? 物理防范 设备 Console 口具有特殊权限，攻击 者如果物理接触设备后，实施“口令修复 流程”，登录设备，就可以完全控制设备。 为此必须保障设备安放环境的封闭性，以 保障设备端口的物理安全。 10.2 口令安全 ? 网络设备中 secret 和 enable 口令的权限 类似于计算机系统的 administrator ，拥有 对设备的最高控制权，在对设备访问和配 置过程中可以使用本地口令验证、针对不 同的端口指定不同的认证方法，并对不同 权限的管理人员赋予不同口令，同时对不 同的权限级别赋予对操作命令的运行权限。 口令加密 禁止明文显示 ? 通过执行 service password-encryption 启用口令加密服务： 3640(config)# service password-encryption 3640#show running-config ...... enable secret 5 $1$fy6O$ymDQtD2Yo8nD2zpd3cK0B1 enable password 7 094F471A1A0A line con 0 password 7 045804080E254147 line aux 0 line vty 0 4 password 7 110A1016141D login ...... 口令加密 禁止明文显示 enable secret 用 MD5 加密方式来加密口令， enable secret 优先级高于 enable password ， enable password 以明文显示口令； 两者所设口令不能相同并且当两者均已设置时只有 enable secret 口令起作用， enable password 口令自动失效。 service password-encryption 命令采用了可逆的弱加密方 式，加密后的密码可以通过一些工具进行逆向破解， enable secret 采用 md5 方式加密，安全性较强，在建立用 户与口令时建议用 username / secret 取代 username / password （ IOS12.2(8)T 后可以用 secret 对 username 的密 码做 MD5 加密）。 避免口令同一化、同级化 网络设备自身提供了多级口令：常规模式口令、 特权模式口令、配置模式口令、 console 控制口连接口 令、 ssh 访问口令等等，网络设备运行在复杂的网络中 难免会遭受各种无意或刻意的攻击，如果多台设备采用 同一口令，则当网络中某一台设备被非法侵入，所有设 备口令将暴露无遗，这会对整个网络和设备的安全造成 极大威胁，严重时令网络设备配置文件被非法修改甚至 恶意删除，导致整个网络瘫痪，并且网络管理人员不能 通过正常方式登录和管理被攻击过的网络设备，因此在 设置口令时必须做到设备口令多样化、多级化，禁止口 令的同一化、同级化。 关闭 ROMMON 监听模式 默认情况下利用设备加电重启期间的 BREAK 方式 可以进入 ROMMON 监听模式进行口令恢复。任何人只 要物理接触到设备就可以使用这个方法达到重设口令非 法进去侵入的目的。通过 no service password-recovery 命 令来关闭 ROMMON 监听模式，避免由此带来的安全隐 患。 3640(config)#no service password-recovery 禁用 ROMMON 。 3640(config)#service password-recovery 启用 ROMMON ， Cisco 未公开的两条命令，必须手工完 整键入后才可以执行。 ...... 3640(