不可不知的路由交换安全七宗罪（1）

　企业网络管理员的最主要职责就是保证内网的安全，而在内网各个网络设备中路由交换特别是核心层的设备是对安全需求最高的，那么作为中小企业的网络管理员来说又该如何保证路由交换设备的安全呢?在实际工作过程中笔者接触到很多网络管理员，但是他们在路由交换设置上或多或少存在着安全隐患和漏洞，今天就让我们一起来看看路由交换安全的七宗罪。

　　一宗罪：密码明文化

　　有过路由交换配置经验的网络管理员都知道默认情况下我们给路由交换设备添加管理密码都通过enable password命令，不过这样建立的密码并不安全，他是以明文的形式存储在running配置文件中的，我们通过show running可以查看到该信息，非常不安全，因此我们需要通过另外一条命令来添加一个加密过的密码，具体指令为——enable secret。(如图1)

　　

　　执行命令后我们再通过show running查看配置文件内容的话将会看到密码已经经过加密而存储在配置文件中，当然这个信息也不是百分之百安全的，毕竟MD5信息可以通过暴力破解还有一些站点也提供MD5密文反查服务。不过不管怎么说其安全性大大提高。(如图2)

　　

　二宗罪：密码同一化

　　还有一些网络管理员认为记忆多了密码容易混淆，所以在配置路由交换设备时使用了和自己管理的服务器一样的密码，实际上这也是不安全的，密码同一化会大大提高网络设备被攻击的可能，毕竟设备多了难免会被攻击，一旦某个设备被入侵，那么密码同一化将造成所有设备密码的泄露。另外路由交换设备自身都提供了很多级密码，例如常规模式密码，特权模式密码，配置模式密码等，还有console口连接密码，Telnet访问密码等，我们在设置时也要对这些模式与密码区别化，不要全部设置为一样。通过不同级别的密码对不同用户进行授权，从而避免越权问题的发生。(如图3)

　　

　　小提示：

　　默认情况下网络设备都可以利用启动期间的BREAK方式来进入到监听ROMMON模式进行口令恢复，这就存在一个安全隐患，任何人只要靠近网络设备就都可以通过控制台端口来完成重新设置密码的任务，所以我们在保证密码记忆牢靠的情况下可以关闭这个密码恢复方式，通过no service password-recovery命令完成关闭ROMMON监听模式的任务。

　　三宗罪：密码同级化

　　所谓密码同级化就是指不针对不同模式和不同配置接口分配不同的密码，管理路由器只通过唯一密码即可完成。实际上这也是错误的，毕竟平时访问和管理路由交换设备的用户不可能只有你一个，所以合理的将密码分级设置分级管理是非常重要的，适当的分配visit,monitor,system,manage等权限会让你的安全工作游刃有余，而在实际应用过程中这些密码分级化也大大提高了核心路由交换设备的安全。(如图4)

　　

　　另外在密码管理方面还存在一个最大问题，那就是临时密码的处理，很多时候当网络出现故障后也许我们需要向厂商寻求技术支持，在这种情况下我们不应该把原来的密码直接告诉技术支持人员，通过设置一个临时密码的方式来解决远程或异地异人维护问题，在维护完毕后也要记得停止临时帐户，笔者就发现很多下属网络管理员在向我寻求帮助时直接告诉了管理员帐户，又或者即使建立了临时帐户，几个月后还能够通过该帐户登录和管理。这些都为路由交换设备带来了一定的安全隐患。

　　小提示：

　　默认情况下通过console口控制台登录路由交换设备是不需要密码的，但是为了保证安全我们还是应该为其设置一个密码，通过以下命令来完成——line console 0,login,password XXXXXX，最后再通过service password-encryption命令对设置的密码加密。