郭建伟

对于路由器、交换机等网络设备来说，进入其管理界面，可以对其进行各种配置。因此，如果任由一般人随意登录，那么就会给网络管理造成不利影响。例如随意修改各种参数，造成网络设备无法正常运行等。所以，只能由管理人员进行登录。那么，为网络设备设置严格的登录权限，就显得尤为重要了。

设置特权密码

这里以常用的思科网络设备为例进行说明，设置合适的密码，对于登录安全是极为重要的。例如密码的长度不能小于10位，必须满足复杂性要求（包括大小写、数字和特殊字符），在字典中不能找到该密码，并且密码需要定期更新等。当登录一台网络设备（例如交换机、路由器等）时，可能存在多种密码，包括Enable password、Enable secret password和vty password等。前两种密码对从用户模式进入特权模式进行控制，所不同的是第一种密码是明文的，第二种是经过特殊哈希处理的。

在默认情况下，Enable密码是空的。在交换机控制界面中执行“config t”命令进入特权模式，执行“enable password xxx”命令，来设置Enable密码，其中的“xxx”为具体的密码。执行“sh run | in enable”命令，可以看到以明文显示的密码。执行“enable secret xxx”命令，设置Enable Secret密码。执行“sh run”命令，在返回信息中的“enable secret 4”和“enable password”栏中看到上述两个密码，可以看到Enable Secret密码处于MD5散列状态。注意，MD5哈希和加密是存在区别的，哈希算法用于保证数据的完整性，例如对于1MB和10MB大小的两个文件来说，经过MD5哈希计算，都可以得到固定长度的散列值。

设置VTY密码

只要原始的文件数据发生细微的变化，经过MD5哈希计算后其散列值就会发生变化。MD5哈希具有不可逆的特点，无法由某个哈希值反推出原始的密码。除了以上密码外，其实在vty、aux、console下也可以配置密码，不过最常用的是在vty下的密码。当管理员在局域网中通过Telnet或者SSH连接某个网络设备时，会要求输入vty密码来获得虚拟控制台。在特权模式下执行“lin vty 0 4”命令，执行“password xxx”命令，来设置vty密码。执行“login”和“transport input telnet”命令，只允许以Telnet方式登录。执行“sh valn brief”命令，来查看VLAN配置情况。例如所有的接口都处于VLAN1中，那么就可以基于VLAN1来创建vty接口。

特权模式级别

执行“int ethernet 0/0”和“no switchport”命令，将该端口设置为三层接口。执行“ip address xxx.xxx.xxx.xxx 255.255.225.0”和“no shut”命令，为其配置具体的IP并打开该端口。管理员在客户机上执行“telnet xxx.xxx.xxx.xxx”命令，来连接交换机。在认证界面中输入上述vty密码，进入交换机用户模式。执行“show privi”命令，显示当前用戶级别为1，级别从0到15，等级越高，权限越大能用的命令也越多。执行“enable”命令，输入Enable secret密码进入特权模式。由此看见，Enable的MD5哈希密码要优先于明文密码。执行“no enable secret xxx”命令，可以禁用Enable secret密码。这样，就可以使用Enable密码。出于安全考虑，可以将该明文密码进行隐形，避免别人使用“sh run”命令来查看该密码。

密码的安全等级

在特权模式下执行“service password-encryption”命令，可以对Enable密码进行加密处理。执行“sh run”命令，在返回信息中显示其已经变成了加密串。其实，不仅是Enable密码。其他的诸如vty等密码也会进行加密处理。虽然存在各种密码，但是其安全等级是不同的，例如对于明文的Enable密码来说，其等级为0。对于Enable secret密码来说，因为其拥有不可逆的特性，所以其等级为5，该密码是极为可靠的。对于加密后的Enable密码来说，因为其实际上存在被破解的风险，其对应的等级为7。因此，在网络设备上应该启用Enable secret密码。对于VPN Key的加密，也会涉及到密码的设定，其等级为6，具有不可逆的特点。

例如，在路由器命令行管理界面中进入特权模式，执行“crypto isakmp policy 10”命令，标识所要创建的策略。执行“encryption des”“hash md5”“authentication pre-share”“exit”命令，之后执行“crypto isakmp key xxx address xxx.xxx.xxx.xxx”命令，创建VPN Key。这样，当对方和自己建立VPN IPSec连接时，必须使用同样的VPN Key，才可以建立连接通道。执行“sh run”命令，在“crypto isakmp key”栏中可以看到上述密码，该密码无法使用上述方法进行加密。

对VPN密码加密

当然，可以使用另外的方法，对VPN密码进行加密。执行“key config-key password-encrypt xxxxxx”命令，其中的“xxxxxx”为密钥，执行“password encrypt aes”命令，使用AES加密算法。执行“crypto isakmp key xxx address xxx.xxx.xxx.xxx”命令，创建VPN Key。这样，该VPN Key就会进行加密处理。执行“sh run”命令，在返回信息中显示“crypt isakmp key”的等级为6，原来的密码已经变成了加密串。这样，当出现各种故障时，即使将设备的配置文件发送给别人进行分析，也不必担心泄漏密码。

注意，该VPN Key拥有密钥保护，和上述加密Enable密码是不同的，后者可以直接进行破解，而后者必须获得密钥才可以破解。只要密钥足够复杂，则解密很难进行，所以其安全性是很高的。在默认情况下，在配置密码时对长度是没有要求的，这显然会对安全造成不利影响。在全局配置模式下执行“security passswords min-length 10”命令，表示将密码最小长度限制为10个，这样在设置密码时其长度必须不小于10位。

解决Console线程安全风险

在有些情况下，当使用Console线连接到交换机，当登录之后执行了一些命令后，如果管理员暂时离开，没有退出登录界面的话，那么别人只要插上Console线，无须输入密码就可以直接登录，对路由器等网络设备进行管理，因为Console线程已经处于开启状态，这对于设备的安全是极为不利的。

对于这种问题，有两种解决方式，其一是在Console下配置超时时间，当超过预设时间后，即可退出登录状态。其二是养成良好的使用习惯，在离开设备时及时退出登录状态。对于前一种方式来说，例如执行“line vty 0 4”“exec-timeout 1 0”等命令，可以将超时设置为1分钟0秒，这样即使管理员离开后没有退出登錄状态，设备也会在超时后自动管理界面。

使用SSH加密传输

前面谈到，可以使用Telnet来连接交换机等设备，其网络连接过程其实是不安全的。如果有人使用Wireshark等网络嗅探工具来执行抓包操作，那么就可以毫不费力地将所有的连接数据捕获，其中的密码等敏感信息会彻底暴露。因此使用Telnet、HTTP、FTP等明文协议是很不安全的，使用SSH加密传输可以有效解决该问题。其配置步骤是利用设备的Hostname和Domain-name来生成RSA非对称密钥，之后利用该密钥对进行加解密操作。例如在路由器上进入全局配置模式，执行“hostname”命令，设置设备名称。

执行“ip domain-name xxx”命令设置域名，注意该Domain-name域名可以不存在或者不可用，但是必须进行设置。执行“crypto key generate rsa modulus 1024”命令，创建RSA的2014位密钥对。执行“crypto key mypubkey rsa”命令，会显示创建的RSA密钥对。之后配置SSH连接参数，执行“line vty 0 4”命令，允许0到4个用户同时登录。执行“login local”命令，使用本地的数据库对登录用户进行身份验证。执行“transport input ssh”命令，启用SSH登录功能，执行“exec-timeout 1 0”命令，将超时时间设置为1分钟。执行“username user1 password hello”命令，创建名为“user1”的账户，其密码为“hello”。

执行“do sh ru”命令，在返回信息中的“Username”行中显示用户名和密码信息，其密码经过加密处理，等级为7。注意，任何的网络设备都可以作为SSH的客户端使用，例如在路由器上配置了SSH后，可以使用PC、服务器、路由器、交换机等网络设备通过SSH对其进行连接。例如在某台路由器上执行“ssh -l user1 xxx.xxx.xxx.xxx”命令，连接到目标设备后，输入该账户的密码，就可以登录到该设备上。即使有人使用嗅探工具进行抓包，也只能得到无法破译的数据。