■ 河南 劉景云
編者按:網絡管理人員經常使用到路由器或交換機進行網絡管理,這就會涉及到許多相關的管理協議,例如Telnet、SSH、基于HTTP/HTTPS 的Web 訪問以及SNMP 等。網絡設備之所以可以接收和執行管理人員發出的指令,其主要是在管理層面發揮作用。在路由器等設備中,管理層面運行在進程級別,即其需要占用設備的CPU 和內存資源。這些設備在高效處理網絡數據的同時,也會面臨一系列的安全風險。
在管理層面會面臨一些不可忽視的安全威脅,例如濫用路由器等設備的可用功能。
在默認情況下,網絡設備會經常開啟一些網管服務,但是管理員對安全性認識不足,沒有為其配置必要的安全認證以及授權操作,導致任何用戶都可以連接上來,進入網絡設備的管理界面,進而隨意執行各種操作。這對于網絡安全威脅很大。
解決的方法是采取一些強有力的認證方式,以及使用RDBC(基于策略和規則的訪問控制)等技術,對設備管理進行授權。這樣,當有人試圖對目標網絡設備進行管理時,當連接請求發送到設備上后,設備就會對其進行安全認證,只有通過認證獲得授權后,該用戶才可以訪問該設備,否則其將會被拒之門外。

值得說明的是,RDBC 還可以針對特定的管理命令(例如Enable 等)進行授權,只允許訪問者使用許可范圍的命令,對于之外的命令則禁止使用,這可以進一步保護設備的安全。
對于網絡設備管理會話的欺騙,同樣是不可忽視的安全威脅。……