遗憾的是,并非所有网络设备在构建时都考虑到了安全性。有些产品出厂时带有默认凭据,例如admin / admin,SNMP设置为public或操作系统多年未更新。

与其他任何设备一样,管理网络设备时要保持良好的卫生习惯,这一点很重要。良好的卫生习惯意味着 保持固件最新,将凭据从默认值更改为其他值,并刷新报废的硬件和软件。

如果您已经在做这些事情,那就太好了!您将获得当之无愧的轻拍。遵循这些简单的准则,您已经在网络管理包的前半部分。但是,您可以采取什么措施来不断改善网络基础设施设备的安全性呢?

这是一些要看的东西。

  1. 限制可以管理网络基础结构的IP范围
  2. 您的用户是否需要直接访问交换机或防火墙? IP电话子网怎么样?对于与我交谈的几乎每个人,答案都是明确的“不”。

    大多数网络设备允许您选择管理IP或应用 访问控制列表 (ACL)到SNMP和SSH等服务。使用此功能可以限制对您在现场拥有的几个管理服务器的访问。

    这对于外围设备尤其重要。如果您从外部启用了SSH访问防火墙的权限,则必须锁定访问。 小心不要把自己锁在外面.

  3. 在整个网络中使用SNMPv3
  4. SNMP协议 这些年来已经经历了几次迭代。 SNMP协议v2c是最常用的版本,已经存在了几十年,几乎没有变化。 SNMP协议v3对于那些希望通过SNMP管理设备同时为该管理增加一些安全性和加密的用户来说,是一个不错的选择。

    在公用网络上使用SNMPv3代替v2c是显而易见的,但是,注重安全性的服务提供商也越来越多地在专用网络中使用SNMPv3。这是因为v3减少了以明文形式遍历网络的管理数据量,以防万一有人在监听谁不应该监听。

  5. 旋转网络设备凭证
  6. 现在是一年中的那个时候:是时候将防火墙密码从Fall2019更改为Winter2019了,对吗?

    虽然有些人可能会合理地质疑您对密码的选择,但最好每季度轮换一次凭据。我们通常会看到团队至少每年轮换一次网络设备凭据。

    已经定期轮换?您在曲线方面遥遥领先。

    凭证轮换还不是您常规的日历?现在,通过在PSA中设置循环票来养成这种习惯。

  7. 禁用未使用的网络端口
  8. 乐于助人的员工,恶意行为者,影子IT —所有这些人都希望将某些东西插入交换机上的开放式以太网端口。麻烦的是,它们可能会引起广泛的问题, 广播风暴 网络上的安全漏洞和未经批准的硬件。

    完成初始配置后,如果路由器,交换机和防火墙上还有其他端口,请禁用它们。如果再次需要它们,则可以重新登录并重新启用它们。

  9. 网络设备上的安全SSH
  10. 首先,感谢您配置了SSH而不是Telnet。 (您确实禁用了Telnet,对吗?)

    保护SSH时需要考虑一些事项。

    1. 禁用SSHv1。版本2较新且更安全。
    2. 启用空闲超时,以便关闭所有空闲会话。
    3. 确保网络设备软件是最新的。许多网络设备使用OpenSSH,并且在过去的几年中,已经发现了许多OpenSSH错误并已进行修复。

  11. 奖金! 添加警告横幅
  12. 考虑实施由法律团队批准的警告标语,用户登录时会看到警告标语。虽然这不会阻止访问并不会阻止恶意行为者,但可能会给黑客带来意外的想法。

请务必牢记,在网络设备供应商之间,实施上述建议的步骤将有所不同。您可能还会发现所讨论的某些设置在网络设备上不可用。没关系-尽您所能并管理其他风险。

实现安全网络是一个不断发展的目标。如果您不积极主动,并且不断地重新评估和管理风险,那么您将不知所措。