我想使用 Cisco 的网络助手来管理我的 Cisco 路由器(我知道还有其他解决方案,但目前我决定使用 CNA)。它要求在受管理的路由器上运行 HTTP 或 HTTPS 服务。我工作的地方已经被告知我可能不被允许实施这一点,因为在路由器上启用 HTTP/HTTPS 存在安全风险。
但只要我启用 HTTPS 并更改默认端口号,这真的是一个安全漏洞吗?我希望能够自信地说,这样做是完全安全的。当然,没有什么是“完全”安全的,端口扫描器可以找到任何开放端口,但 IOS 中运行的 HTTP 服务不是那么容易被黑客入侵的,不是吗?
最后,我应该在安全论坛上问这个问题吗?
答案1
作为信息保障 (IA) 原则,设备上运行的不必要服务越少,攻击面就越低。要缓解问题,正确的配置和修补级别是关键。更改端口是降低潜在安全风险的众多方法之一。
Cisco 在此处提供了有关如何正确实施 HTTP/HTTPS 服务的出色指南(使用 HTTP 或 HTTPS 选择性启用应用程序)
答案2
HTTPS 的一个潜在问题是,懒人(比如我)可能不会在设备上设置 Kerberos 证书以确保与设备的连接是安全的。您的证书必须来自以下三个来源之一:商业证书颁发机构(如 Verisign,价格昂贵)、使用 Windows 或 Linux 服务器设置您自己的 CA(不是那么难,但很耗时)、第三个选项是使用自签名证书,如下所述:
如果您的设备没有证书,连接仍应加密,这会使普通 wireshark 用户更加难以使用,但绝不是任何意义上的“安全”。您无法保证连接不会受到中间人攻击的影响。除此之外,您(或依赖资源的用户)可能会产生虚假的安全感,类似于安装了防病毒软件,但没有更新它。
我认为,虽然更改监听端口是一个很好的基本预防措施,但一旦您的设备在端口扫描中被发现,任何感兴趣的人都可以开始尝试基本服务,例如 HTTP、HTTPS、SSH 或 SMTP,使用该服务的适当客户端,看看他们是否得到任何有效的响应。这可以编写脚本,例如使用 cURL 编写 HTTP/S 脚本,使用 mutt 编写 smtp 脚本,使用 ssh...编写 SSH 脚本。如果您的监听端口必须面向互联网,那么最好的防御措施是保持操作系统和服务的修补,并使用 ACL(访问控制列表)将访问限制在您信任的 IP 地址或范围。
答案3
启用HTTPS和更改端口号其实是很常见的做法。使用安全的密码登录也会增加安全性。
当然,您应该始终使用 HTTPS 而不是 HTTP。
但最终要回答你的问题,不,它并不不安全。 Web 管理界面只是一种用户友好的配置设置方式,但如果有人想进入你的路由器(并且知道他们在做什么),他们不会使用 Web 界面。你应该没事的。
答案4
毫无疑问,设备或服务器上的每个开放端口都会增加攻击面。也就是说,启用 HTTPS 比启用 Telnet 或 HTTP 等非加密协议更安全。
您提到更改端口号。请小心,否则可能会阻止 Cisco Network Assistant 查找/管理设备。(CNA 是否允许您指定自定义端口号?)
无论您拥有哪种管理服务,请确保已实施适当的安全封锁。尽可能实施以下措施:
- 仅使用加密协议进行管理(HTTPS 和 SSH)。
- 任何管理端口都不应暴露给公共互联网或访客网络(例如访客 WiFi)。
- 管理接口的空闲会话超时。请注意,这些可能针对 HTTP、SSH 和串行控制台分别进行配置,因此请确保已涵盖所有基础。
- 实施速率限制和暂时的帐户锁定以减轻暴力攻击。
- 使用长、复杂、独特的密码
- 交换机上的管理员帐户不应是“众所周知”的帐户,如 admin、administrator、root。(自动脚本可能会尝试使用这些帐户来入侵。)
- 确保密码/超时/锁定也适用于串行控制台。(我见过很多设备的串行控制台没有密码,或者从未超时。您可以插入串行电缆并加入几个月前打开的活动会话。)
- 注意 SNMP 会在系统中留下后门。
- 考虑使用 AAA 和 RADIUS 来允许集中管理密码和权限。
- 确保配置日志来追踪谁在何时登录了设备。
- 使用 NTP 在日志中获取正确的时间/日期(对于证书有效性也很重要)。
- 将日志存储在某个地方,即使设备崩溃/重启也不会被清除。记录到文件系统,或者最好是独立的系统日志服务器。
- 定期备份您的配置。
- 设备中存储的密码应使用最强大的加密技术进行加密。(如果有人偶然发现您的配置备份,他们应该无法获取密码。)
- 关注影响您设备的安全公告,定期更新您的 IOS。
- 使用您自己的内部证书颁发机构实施适当的 HTTPS 证书。
- 限制可以访问管理端口的IP范围(例如仅限安装了CNA的PC)
- 将管理接口限制为普通用户无法访问的特定 VLAN 或网络端口。
- 如果多人管理设备,请考虑具有不同访问级别的多个管理帐户。