強(qiáng)化路由器管理安全

■ 河南 劉景云

編者按：網(wǎng)絡(luò)管理人員經(jīng)常使用到路由器或交換機(jī)進(jìn)行網(wǎng)絡(luò)管理，這就會(huì)涉及到許多相關(guān)的管理協(xié)議，例如Telnet、SSH、基于HTTP/HTTPS 的Web 訪問以及SNMP 等。網(wǎng)絡(luò)設(shè)備之所以可以接收和執(zhí)行管理人員發(fā)出的指令，其主要是在管理層面發(fā)揮作用。在路由器等設(shè)備中，管理層面運(yùn)行在進(jìn)程級(jí)別，即其需要占用設(shè)備的CPU 和內(nèi)存資源。這些設(shè)備在高效處理網(wǎng)絡(luò)數(shù)據(jù)的同時(shí)，也會(huì)面臨一系列的安全風(fēng)險(xiǎn)。

和設(shè)備管理相關(guān)的安全威脅

在管理層面會(huì)面臨一些不可忽視的安全威脅，例如濫用路由器等設(shè)備的可用功能。

在默認(rèn)情況下，網(wǎng)絡(luò)設(shè)備會(huì)經(jīng)常開啟一些網(wǎng)管服務(wù)，但是管理員對(duì)安全性認(rèn)識(shí)不足，沒有為其配置必要的安全認(rèn)證以及授權(quán)操作，導(dǎo)致任何用戶都可以連接上來(lái)，進(jìn)入網(wǎng)絡(luò)設(shè)備的管理界面，進(jìn)而隨意執(zhí)行各種操作。這對(duì)于網(wǎng)絡(luò)安全威脅很大。

解決的方法是采取一些強(qiáng)有力的認(rèn)證方式，以及使用RDBC（基于策略和規(guī)則的訪問控制）等技術(shù)，對(duì)設(shè)備管理進(jìn)行授權(quán)。這樣，當(dāng)有人試圖對(duì)目標(biāo)網(wǎng)絡(luò)設(shè)備進(jìn)行管理時(shí)，當(dāng)連接請(qǐng)求發(fā)送到設(shè)備上后，設(shè)備就會(huì)對(duì)其進(jìn)行安全認(rèn)證，只有通過認(rèn)證獲得授權(quán)后，該用戶才可以訪問該設(shè)備，否則其將會(huì)被拒之門外。

值得說(shuō)明的是，RDBC 還可以針對(duì)特定的管理命令（例如Enable 等）進(jìn)行授權(quán)，只允許訪問者使用許可范圍的命令，對(duì)于之外的命令則禁止使用，這可以進(jìn)一步保護(hù)設(shè)備的安全。

對(duì)于網(wǎng)絡(luò)設(shè)備管理會(huì)話的欺騙，同樣是不可忽視的安全威脅。……