Я хотел бы использовать Cisco Network Assistant для управления своими маршрутизаторами Cisco (я знаю, что для этого есть другие решения, но пока я решил использовать CNA). Для этого требуется, чтобы служба HTTP или HTTPS работала на управляемых маршрутизаторах. Там, где я работаю, мне уже сказали, что мне, вероятно, не разрешат реализовать это, потому что включение HTTP / HTTPS на маршрутизаторах представляет собой угрозу безопасности.
Но действительно ли это дыра в безопасности, если я включаю HTTPS и меняю номер порта по умолчанию? Я хочу иметь возможность с уверенностью сказать, что это совершенно безопасно. Конечно, ничто не является «полностью» безопасным, и сканер портов может найти любые открытые порты, но служба HTTP, работающая в IOS, не так уж ли взломана?
Наконец, должен ли я задать этот вопрос на форуме безопасности?
В соответствии с принципом обеспечения информации (IA), чем меньше на устройстве запущено ненужных сервисов, тем меньше поверхность для атаки. Для смягчения проблем важны правильная конфигурация и уровни исправлений. Смена портов - это один из многих способов снизить потенциальную угрозу безопасности.
Здесь у Cisco есть отличное руководство по правильной реализации службы HTTP / HTTPS. (Выборочное включение приложений, использующих HTTP или HTTPS)
Одна потенциальная проблема с HTTPS заключается в том, что ленивые люди (например, я) могут не настроить сертификат Kerberos на устройстве, чтобы гарантировать безопасность подключений к нему. Ваш сертификат должен быть получен из одного из трех источников: коммерческого центра сертификации, такого как Verisign (дорого), настроить собственный центр сертификации с использованием сервера Windows или Linux (не так сложно, но требует много времени), третий вариант - использовать самостоятельный сертификат. подписанный сертификат, как описано здесь:
Если у вашего устройства нет сертификата, соединения все равно должны быть зашифрованы, что усложняет задачу для обычного пользователя wirehark, но никоим образом не означает «безопасность» в каком-либо значимом смысле. У вас не будет гарантии, что соединения не будут затронуты атакой «человек посередине». кроме того, у вас (или у пользователей в зависимости от ресурса) может возникнуть ложное чувство безопасности, аналогичное наличию антивируса, но не обновлению его.
Я бы сказал, что, хотя изменение порта прослушивания является хорошей базовой мерой предосторожности, как только ваше устройство будет обнаружено при сканировании портов, любой желающий может начать пробовать основные службы, например. HTTP, HTTPS, SSH или SMTP с использованием соответствующего клиента для этой службы и посмотрите, получат ли они какие-либо действительные ответы. Это может быть написано, например, с cURL для HTTP / S, mutt для smtp, ssh ... для SSH. Лучшая защита, если ваши порты прослушивания должны выходить в Интернет, - это держать ОС и службы исправленными и ограничивать доступ только теми IP-адресами или диапазонами, которым вы доверяете, используя ACL (списки контроля доступа).
Включение HTTPS и изменение номера порта на самом деле очень распространенная практика. Использование надежного пароля для входа в систему также повысит безопасность.
Конечно, вы всегда должны использовать HTTPS поверх HTTP.
Но в конечном итоге, чтобы ответить на ваш вопрос, нет, это небезопасно. Интерфейс веб-управления - это просто удобный способ настройки параметров, но если кто-то хочет войти в ваш маршрутизатор (и знает, что делает), он не будет использовать веб-интерфейс. Все должно быть в порядке.
Каждый открытый порт на вашем устройстве или сервере, безусловно, увеличивает поверхность атаки. Тем не менее, включение HTTPS будет более безопасным, чем включение незашифрованного протокола, такого как Telnet или HTTP.
Вы упомянули об изменении номера порта. Будьте осторожны, вы можете помешать Cisco Network Assistant найти устройство и управлять им. (Позволяет ли CNA указать собственный номер порта?)
Какие бы услуги управления у вас ни были, убедитесь, что установлены соответствующие меры безопасности. Реализуйте как можно больше из следующего: