在初始登录时会被强制要求更改Frethem/index.htm" target="_blank" style=‘text-decoration: underline;color: #0000FF‘>密码,也有密码的期限选项及登录尝试的次数限制,而且以加密方式存储。限期的帐号(维护帐号或后门)是不会存在的。交换机及路由器在掉电,热启动、冷启动,升级IOS、硬件或一个模块失败的情况下都必须是安全的,而且在这些事件发生后应该不会危及安全并恢复运作,因为日志的原因,网络设备应该通过网络时间协议保持安全精确的时间。通过SNMP协议连接管理的名称也应该被改变。
抵挡DoS攻击
从可用性出发,交换机和路由器需要能抵挡拒绝服务式Dos攻击,并在攻击期间保持可用性。理想状态是他们在受到攻击时应该能够做出反应,屏蔽攻击IP及端口。每件事件都会立即反应并记录在日志中,同时他们也能识别并对蠕虫攻击做出反应。
交换机及路由器中使用FTP,HTTP,TELNET或SSH都有可以有代码漏洞,在漏洞被发现报告后,厂商可以开发、创建、测试、发布升级包或补丁。
基于角色的管理给予管理员最低程序的许可来完成任务,允许分派任务,提供检查及平衡,只有受信任的连接才能管理倔们。管理权限可赋予设备或其他主机,例如管理权限可授予一定IP地址及特定的TCP/UDP端口。
控制管理权限的最好办法是在授权进入前分权限,可以通过认证和帐户服务器,例如远程接入服务,终端服务,或LDAP服务。
远程连接的加密
很多情况下,管理员需要远程管理交换机及路由器,通常只能从公共网络上访问。为了保证管理传输的安全,需要加密协议,SSH是所有远程命令行设置和文件传输的标准协,基于WEB的则用SSL或TLS协议,LDAP通常是通讯的协议,而SSL/TLS则加密此通讯。
SNMP用来发现、监控、配置网络设备,SNMP 3是足够安全的版本,可以保证授权的通信。
建立登录控制可以减轻受攻击的可能性,设定尝试登录的次数,在遇到这种扫描时能做出反应。详细的日志在发现尝试破解密码及端口扫描时是非常有效的。
.
- 上一篇:主动出击 用SREng检查系统隐患
- 下一篇:应用层检测看“三度”