默认配置很危险,别让交换机成后门
刚接手公司网络时,发现一台核心交换机还是出厂默认设置:admin/admin 登录,Telnet 明文传输,远程管理对全网开放。这种操作就像把家门钥匙挂在门外,谁路过都能进来转一圈。
交换机不是插上网线就能不管的设备,管理接口一旦被攻破,整个内网流量都可能被监听、篡改。做好基础安全设置,是每个运维人员必须踩实的第一步。
改掉默认账户和密码
几乎所有品牌交换机都有默认用户名和密码,比如 Cisco 是 cisco/cisco,H3C 是 admin/admin。这些信息网上随手能查到,攻击者扫描到管理界面后第一件事就是尝试默认凭据。
登录设备后第一件事:修改管理员账户密码,并使用强密码策略。8位以上,包含大小写字母、数字和特殊字符。不要用 company@2024 这种套路化密码,更别写在便利贴上贴在显示器边。
关闭不必要的管理服务
Telnet 和 HTTP 管理虽然方便,但数据明文传输,抓包工具一截一个准。某次排查问题时,同事用 Wireshark 顺手抓了下包,居然看到隔壁部门工程师还在用 Telnet 登录交换机,账号密码清清楚楚。
应该关闭 Telnet 和 HTTP,启用 SSH 和 HTTPS:
service ssh
service http-server disable
service ssh enable
ip http secure-server这样所有管理流量都会加密,哪怕被截获也看不到内容。
限制管理访问来源
不是谁都该能连上交换机。通过 ACL 控制管理接口的访问来源,只允许运维主机或跳板机 IP 访问。
比如只允许 192.168.10.50 这台运维机通过 SSH 登录:
access-list 100 permit tcp host 192.168.10.50 any eq 22
access-list 100 deny tcp any any eq 22
line vty 0 4
access-class 100 in这样即使密码泄露,外人没有对应IP也连不上。
启用日志记录和变更审计
有次交换机配置莫名出问题,查不到谁动过。后来才想起没开日志。开启 syslog 把操作记录发到日志服务器,谁在什么时候做了什么,一目了然。
logging 192.168.10.100
logging trap debugging
service timestamps log datetime msec再配合命令行权限分级,普通维护员只能查看状态,修改配置需要高权限账户,责任到人。
定期更新固件,别忽视补丁
有家公司用了五年的交换机从没升级过系统,直到某天发现设备异常发热,查出来是被人植入挖矿脚本。漏洞利用的就是一个早已修复的 Web 管理界面 RCE 漏洞。
厂家发布的固件更新不只是加新功能,更多是修复安全问题。制定周期性检查计划,关注厂商安全公告,及时打补丁。交换机管理安全不是一次性的任务,而是持续的过程。每次巡检、每次变更,多问一句:这个设置会不会带来风险?小习惯,大防线。