我想使用思科的networking助理来pipe理我的思科路由器(我知道还有其他解决scheme,但现在我已经决定使用CNA)。 它要求HTTP或HTTPS服务在被pipe理的路由器上运行。 在我工作的地方我已经被告知我可能不会被允许实现这个,因为在路由器上启用HTTP / HTTPS是一个安全风险。
但是,只要启用HTTPS并更改默认端口号,是否真的存在安全漏洞? 我希望能够有把握地说,这样做是完全安全的。 当然,没有什么是“完全”的安全,端口扫描器可以find任何开放的端口,但在IOS中运行的HTTP服务是不是可以破解的?
最后,我是否应该在安全论坛上提出这个问题?
作为信息保障(IA)原则,设备上运行的不必要的服务越less,攻击面就越低。 为了缓解问题,正确的configuration和修补程度是关键。 更换端口是您可以降低潜在安全风险的许多要素之一。
思科在这里正确实施HTTP / HTTPS服务有一个很好的指导(使用HTTP或HTTPSselect性启用应用程序)
HTTPS的一个潜在问题是懒惰的人(像我一样)不能在设备上设置Kerberos证书来确保连接到它的安全。 您的证书必须来自以下三个来源之一:像Verisign这样的商业证书颁发机构(昂贵的),使用Windows或Linux服务器设置您自己的CA(不那么困难,但耗时),第三种方法是使用自签名证书签署证书,如下所述:
如果您的设备没有证书,连接仍然应该被encryption,这使得休闲wireshark用户更加困难,但绝不意味着“安全”。 你不能保证连接不受中间人攻击的影响。 除此之外,你(或者依赖于资源的用户)可能会产生虚假的安全感,类似于防病毒,而不是更新。
我认为,尽pipe更改监听端口是一个很好的基本防范措施,但是一旦您的设备在端口扫描中find,任何感兴趣的人都可以开始尝试基本服务,例如HTTP,HTTPS,SSH或SMTP,并看看他们是否得到任何有效的答复。 这可以编写脚本,例如,对于HTTP / S使用cURL,对于smtp使用mutt,对于SSH使用ssh。 如果您的侦听端口必须面向互联网,最好的防御措施是保持操作系统和服务的安全,并使用ACL(访问控制列表)限制只访问您信任的IP地址或范围。
启用HTTPS并更改端口号实际上是非常普遍的做法。 使用安全的login密码也会增加安全性。
当然,你应该总是使用HTTPS over HTTP。
但最终要回答你的问题,不,这不是不安全的。 Webpipe理界面只是用户友好的方式来configuration设置,但如果有人想要到您的路由器(并知道他们在做什么),他们将不会使用Web界面。 你应该没问题。
当然,设备或服务器上的每个开放端口都会增加攻击面。 也就是说,启用HTTPS比启用Telnet或HTTP等非encryption协议更安全。
你提到改变端口号。 要小心,你可能会阻止思科networking助手查找/pipe理设备。 (CNA是否允许您指定自定义端口号?)
无论您拥有哪些pipe理服务,都要确保安全locking到位。 尽可能多地执行以下操作: