Ağ cihazlarında fiziksel güvenlik

ŞİFRE YÖNETİMİ
Şifreler cihazlara her türlü izinsiz erişim de hesaba katılarak iyi seçilmelidir. İyi şifrelerin özellikleri aşağıdaki gibidir :
Büyük ve küçük harf içerirler,
Noktalama işaretleri ve rakamlar içerirler,
Bazı kontrol karakterleri ve/veya boşluklar içerirler,
Kolaylıkla hatırlanabilirler ve bu nedenle bir yere not edilme ihtiyacı duymazlar,
En az yedi veya sekiz karakter uzunluğundadırlar,
Kolay ve hızlı yazılırlar; ve böylece etraftan bakan birisi ne yazdığını anlayamaz.

Şifre yönetmenin en iyi yolu LDAP, TACACS+[1] veya RADIUS doğrulama (authentication) sunucuları aracılığıyla onay mekanizmasını kullanmaktır. Bu sistem kullanılsa bile yetkili (privileged) haklar için o cihaza yerel (local) tanımlı bir şifre, konfigürasyon dosyasında bulunmalıdır [6]. Birçok yönetilebilir cihaz, kullanıcı (user) modu ve yetkili (enable) mod gibi iki ayrı login mekanizmasına sahiptir.

Kullanıcı modunda sadece arayüzler (interface) incelenebilirken yetkili modda ek olarak cihaz konfigürasyonu da yapılabilmektedir. Cisco cihazlarında girilen kullanıcı ve parolaların konfigürasyon dosyasında gözükmemesi için "service password-encryption" komutu girilmiş olmalıdır.

Zayıf şifreleme algoritması kullanan "enable password" komutu yerine MD5-tabanlı algoritmayla şifreyi koruyan "enable secret" komutu kullanılmalıdır. "no enable password" komutu kullanılarak enable password'ler silinmeli yerine "enable secret yeni_şifreniz " ile yeniden şifreler girilmelidir.