不可不知的路由交换安全七宗罪
时间:10-27
来源:IT专家网论坛
点击:
六宗罪:SNMP低权限
很多网络管理员为了自己方便或者通过第三方工具来管理内网流量,这时我们都需要在核心路由交换设备上开启SNMP协议的支持,SNMP的开启同样存在问题,很多用户都使用默认的snmp社区名以及分配WRITE可读可写的权限,要知道这是非常危险的,很多网络管理软件都可以获取路由交换设备发来的SNMP数据信息,如果对应的管理社区帐户名具备可读可写权限的话,入侵者可以轻易的利用SNMP协议获取路由交换设备的配置文件,再通过暴力破解等方法直接窃取到登录密码。因此在维护路由交换设备时尽可能的不使用SNMP协议,如果必须使用那么修改默认缺省的社区名以及分配一个低的RO只读权限可以在一定程度上保护路由交换设备自身。(如图6)
最后我要说的则是网络同一化问题,很多企业很少针对网络进行规划,系统集成商实施完后网络参数与配置就没有改变过,要知道网络同一化让企业所有网络设备都处于同一个网络,一方面造成广播数据包的增多,影响网络通讯效率,另外一方面也不利于隐私数据的保护,企业内部任何一台计算机被入侵后都可以将其作为跳板来攻击其他所有设备。因此将网络适当的分隔也是解决上述问题的最好办法。就个人经验来说通过划分VLAN虚拟局域网的方式是最简单和直接有效的,当然在划分时要根据企业网络规模和客户端数量去设计,每个VLAN内部的主机数量要适当。(如图7)
很多网络管理员为了自己方便或者通过第三方工具来管理内网流量,这时我们都需要在核心路由交换设备上开启SNMP协议的支持,SNMP的开启同样存在问题,很多用户都使用默认的snmp社区名以及分配WRITE可读可写的权限,要知道这是非常危险的,很多网络管理软件都可以获取路由交换设备发来的SNMP数据信息,如果对应的管理社区帐户名具备可读可写权限的话,入侵者可以轻易的利用SNMP协议获取路由交换设备的配置文件,再通过暴力破解等方法直接窃取到登录密码。因此在维护路由交换设备时尽可能的不使用SNMP协议,如果必须使用那么修改默认缺省的社区名以及分配一个低的RO只读权限可以在一定程度上保护路由交换设备自身。(如图6)
最后我要说的则是网络同一化问题,很多企业很少针对网络进行规划,系统集成商实施完后网络参数与配置就没有改变过,要知道网络同一化让企业所有网络设备都处于同一个网络,一方面造成广播数据包的增多,影响网络通讯效率,另外一方面也不利于隐私数据的保护,企业内部任何一台计算机被入侵后都可以将其作为跳板来攻击其他所有设备。因此将网络适当的分隔也是解决上述问题的最好办法。就个人经验来说通过划分VLAN虚拟局域网的方式是最简单和直接有效的,当然在划分时要根据企业网络规模和客户端数量去设计,每个VLAN内部的主机数量要适当。(如图7)
总结:
当然本文介绍的仅仅是大家在网络管理和维护过程中最容易犯的小毛病,但是有时小错误一样会引来大麻烦,所以说在维护路由交换设备过程中我们应该养成好的习惯,从根本上杜绝上述七宗罪的发生,让企业内网更加安全。
- 无线自组织网络测试平台设计与实现(08-18)
- 移动IPv6路由关键技术及其优化(01-08)
- ADSL Modem路由功能全接触(01-08)
- 动态路由协议OSPF原理和特性(01-10)
- IPv4/IPv6双栈方法(01-16)
- IP网络路由技术(01-16)