DragonSoft 電子報

重視網路相關設備的安全管理，為企業資安加分

網路設備在企業的網路環境裡扮演著一個不可或缺的角色，舉凡印表機、集線器/交換器、路由器、防火牆、無線網路設備、VPN設備等，這些都隸屬於網路設備的範疇，不管其重要性高低，只要有提供服務，則在企業中就有舉足輕重的地位，所以，MIS/IT人員就需注意它的安全風險。
大多數MIS/IT人員極少注意到網路設備也存在著安全問題，此篇文章特別以此篇幅與各位分享，提醒網管工作者除了設定好這些設備外，更不可忽略安全管理機制的建立，控制好企業的安全風險。

網路相關設備的安全機制建立

變更網路設備內建的管理帳號及密碼。
許多網路設備都有其內建管理帳號，透過這個帳號可以進入設備進行設定的變更，管理者除了設定好符合企業的運作需求外，切記改掉其內建管理帳號或預設的密碼，避免有心人猜測帳號與密碼，進行破壞。
限制存取清單(Access List)。
有些網路設備有提供存取清單的設定，可以防止不被允許的來源主機與網路設備連線進行設定更改，例如：在路由器的存取清單中列上網管人員使用的主機，代表非網管人員使用的主機皆不可連線進行設定的變更，達到更安全的管理。
變更網路設備預設的HTTP Port Number。
愈來愈多網路設備有提供Web的管理介面，為了不希望一般內部使用者透過瀏覽器連到這些設備的管理介面，我們建議改掉其預設的80 Port，改由其他Port繼續運作。
更新較安全穩定的內建軟/韌體。
網路設備的內建軟/韌體提供讓這些設備運作，亦可說是網路設備的靈魂，但也是安全上最讓人顧慮的，所以，建議網管人員使用較安全且穩定的軟/韌體，網管人員可到原廠網站找尋其較新且穩定的軟體，並進行軟體升級。
改掉常用的SNMP Community String。
大多數的網路設備皆支援SNMP，網管軟體皆可透過SNMP community String取得其網路設備的相關設定值，若您不希望這些設備的相關資訊可輕易被未授權的人取得，建議您可以改掉SNMP Community String，同時也切記不要開放可以進行寫入的SNMP community String。
關閉不使用的通訊協定及TCP/IP Port Number。
對於網路設備的通訊協定請關閉不使用的通訊協定及TCP/IP Port Number，以避免未授權的人使用，同時也可減少網路的負擔。

如何利用DragonSoft Secure Scanner(DSS)檢測出您企業中網路設備的相關弱點。
DSS可以檢測您企業中網路設備的相關弱點，並提供修補連結，快速協助您將安全漏洞進行修補。

進行一個安全檢測，並採用"一般檢測"政策，檢測目標選擇您欲檢查網路設備IP Address，若環境中網路設備數量很多，建議您可以分批檢測，製作出各單位的網路設備安全報告。
按下工具列上的開始按鈕進行檢測。
檢測完成後，按下工具列上的報表按鈕，進行報表產生。
報表產生後，您可以依著弱點進行修正。