在 Cisco 路由器上啟用 https 是否存在相當大的安全風險?
我想使用 Cisco 的 Network Assistant 來管理我的 Cisco 路由器(我知道還有其他解決方案,但現在我決定使用 CNA)。它要求 HTTP 或 HTTPS 服務在被管理的路由器上執行。在我工作的地方,我已經被告知我可能不會被允許實現這一點,因為在路由器上啟用 HTTP/HTTPS 會帶來安全風險。
但是,只要我啟用 HTTPS 並更改預設埠號,這真的是一個安全漏洞嗎?我希望能夠自信地說,這樣做是完全安全的。當然,沒有什麼是“完全”安全的,埠掃描器可以找到任何開放的埠,但是在 IOS 中執行的 HTTP 服務不是那麼容易被破解嗎?
最後,我應該在安全論壇上問這個問題嗎?
作為資訊保障 (IA) 原則,設備上執行的不必要服務越少,攻擊面就越低。為了緩解問題,正確的配置和更新檔級別是關鍵。更改埠是您可以採取的許多降低潛在安全風險的措施之一。
思科在此處提供了正確實施 HTTP/HTTPS 服務的出色指南(使用 HTTP 或 HTTPS 選擇性啟用應用程序)
HTTPS 的一個潛在問題是懶惰的人(比如我)可能不會在設備上設置 Kerberos 證書以確保與它的連接是安全的。您的證書必須來自 3 個來源之一:像 Verisign 這樣的商業證書頒發機構(昂貴),使用 Windows 或 Linux 伺服器設置您自己的 CA(不是那麼難,但耗時),第三種選擇是使用自簽名證書,如此處所述:
如果您的設備沒有證書,則連接仍應加密,這對於普通的wireshark 使用者來說更加困難,但絕不是任何有意義的“安全”。您無法保證連接不受中間人攻擊的影響。除此之外,您(或取決於資源的使用者)可能有一種錯誤的安全感,類似於安裝了防病毒軟體,但沒有更新它。
我認為,雖然更改偵聽埠是一個很好的基本預防措施,但一旦在埠掃描中找到您的設備,任何有興趣的人都可以使用該服務的適當客戶端開始嘗試基本服務,例如 HTTP、HTTPS、SSH 或 SMTP,看看他們是否得到任何有效的回應。這可以編寫腳本,例如使用 cURL 用於 HTTP/S,mutt 用於 smtp,ssh…用於 SSH。如果您的偵聽埠必鬚麵向 Internet,則最好的防禦措施是保持作業系統和服務的更新檔,並使用 ACL(訪問控制列表)限制對您信任的 IP 地址或範圍的訪問。