软考-信息安全-网络设备安全

21.1 网络设备安全概况

  • 网络设备安全是网络信息系统安全保障的基础,主要分析交换机,路由器等主要网络安全设备所面临的威胁。
21.1.1 交换机安全威胁
  • 交换机是构成网络的基础设备,主要的功能是负责网络通信数据包的交换传输。
  • 第一代交换机是集线器
  • 第二代交换机又称为以太网交换机,工作于OSI的数据链路层,称为二层交换机,通过识别数据中的MAC地址信息,根据MAC地址选择转发端口。
  • 第三代交换机通俗地称为三层交换机,针对ARP/DHCP等广播报文对终端和交换的影响,三层交换机实现了虚拟网络VLAN技术来抑制广播风暴。
  • 第四代交换机是在第二代和第三代交换机功能的基础尚新增业务功能,例如防火墙,负载均衡,IPS等,这些功能通常由多核CPU实现。
  • 第五代交换机通常支持软件定义网络(SDN),具有强大的QoS能力。
  • 1.MAC地址泛洪
    • 通过伪造大量虚假的MAC地址发往交换机,由于交换机的地址容量的有限性,当交换机MAC地址表被填满之后,交换机将不再学习其他MAC地址,这样就导致了交换机泛洪转发。
  • 2.ARP欺骗
    • 攻击者随时发送虚假ARP包更新被攻击主机上的ARP缓存,进行地址欺骗,干扰交换机的正常运行。
  • 3.口令威胁
  • 4.漏洞利用
21.1.2 路由器安全威胁
  • 路由器不仅是实现网络通信的主要设备之一,而且也是关系全网安全的设备之一,它的安全性,健壮性将直接影响网络的可用性。
  • 1.漏洞利用
  • 2.口令安全威胁
  • 3.路由协议安全威胁
    • BGP前缀劫持攻击
    • BGP AS路径欺骗攻击
  • 4.DoS/DDoS威胁
  • 5.依赖性威胁
    • 攻击者破坏路由器所依赖的服务或环境,导致路由器非正常运行,例如:破坏路由器依赖的认证服务器,导致管理员无法正常登录到路由器

21.2 网络设备安全机制与实现技术

  • 网络设备是网络安全的重要保护对象,其安全性涉及整个网络系统。目前交换机,路由器通常提供 身份认证,访问控制,信息加密,安全通信以及审计等安全机制,以保护网络设备的安全性。
21.2.1 认证机制
  • 网络设备提供Console,AUX口令,VTY口令,user口令,privilege-level口令等多种形式的口令认证。
  • 为了便于网络安全管理,交换机,路由器等网络设备支持TACACS+(Terminal Access Controlled Access Contol System)认证,RADIUS(Remote Authentication Dial In User Service)认证。
21.2.2 访问控制
  • 网络设备的访问可以分为带外(out-of-band)访问和带内(in-band)访问
  • 带外访问不依赖其他网络。
  • 带内访问则要求提供网络支持。
  • 网络设备的访问方法主要有:控制端口(Console Port),辅助端口(AUX Port),VTY,HTTP,TFTP,SNMP。
  • AUX和VTY称为line
  • Console Port属于默认设置访问,要求物理上访问网络设备。
  • AUX Port提供带外访问。
    • 通过终端服务器或调制解调器Modem连接到网络设备,管理员可以远程访问。
  • VTY提供终端模式通过网络访问网络设备,通常协议是Telnet和SSH2
  • 1.COM端口访问
  • 2.VTY访问控制
  • 3.HTTP访问限制
  • 4.SNMP访问控制
  • 5.设置管理专网
    • 必须建立一个专用的网络用于管理设备。
    • 网络设备配置支持SSH访问。
    • 指定管理机器IP地址才可以访问网络设备。
  • 6.特权分级
21.2.3 信息加密
  • 网络设备配置文件中有敏感口令信息,一旦泄露,将导致网络设备失去控制。
21.2.4 安全通信
  • 网络设备和管理工作站之间的安全通信有两种方式:
    • 一是使用SSH
    • 二是使用αβN
  • 1.SSH
  • 2.IPSec αβN
21.2.5 日志审计
  • 控制台日志审计(Console logging)
  • 缓冲区日志审计(Buffered logging)
  • 终端审计(Terminal logging)
  • SNMP traps,AAA审计,Syslog审计等多种方式
21.2.6 安全增强
  • 为了增强网络设备的抗攻击性,网络设备提供服务关闭及恶意信息过滤等功能,以提升网络设备的自身安全保护能力。
  • 1.关闭非安全的网络服务及功能
    • Telnet,HTTP
  • 2.信息过滤
  • 3.协议认证
    • OSPF路由协议认证
    • RIP协议认证
    • IP Unicast Reverse-Path Verification
21.2.7 物理安全
  • 物理安全是网络设备安全的基础,物理访问必须得到严格控制。
    • 制定授权人安装、卸载和移动网络设备
    • 制定授权人进行维护以及改变网络设备的物理配置
    • 制定授权人进行网络设备的物理连接
    • 制定授权人进行网络设备的控制台使用以及其他的直接访问端口连接
    • 明确网络设备收到物理损坏时的恢复活成或者出现网络设备被篡改配置后的恢复过程

21.3 网络设备安全增强技术方法

21.3.1 交换机安全增强技术方法
  • 1.配置交换机访问口令和ACL,限制安全登录。
    • 交换机的安全访问控制分为两级
      • 1)第一级通过控制用户的连接实现。配置交换机ACL对登录用户进行过滤,只有合法的用户才能和交换机设备建立连接。(配置指定IP,白名单访问
      • 2)第二级通过用户口令认证实现。连接到交换机设备的用户必须通过口令认证才能真正登录到设备。
  • 2.利用镜像技术监测网络流量
  • 3.MAC地址控制技术
    • 通过设置端口上最大可以通过的MAC地址数量,MAC地址老化时间,来抑制MAC攻击
    • 1)设置最多可学习到的MAC地址数。
    • 2)设置系统MAC地址老化时间。(默认300秒就过期了)
  • 4.安全增强
    • 安全增强的作用在于减少交换机的网络攻击威胁面,提升抗攻击能力。
      • 主要包括关闭交换机不必要的网络服务,限制安全远程访问,限制控制台的访问,启动登录安全检查,安全审计等安全增强措施。
      • ①关闭不需要的网络服务;
      • ②创建本地账号;
      • ③启用SSH服务;
      • ④限制安全远程访问;
      • ⑤限制控制台的访问;
      • ⑥启动登录安全检查;
      • ⑦安全审计;
      • ⑧限制 SNMP 访问;
      • ⑨安全保存交换机 IOS 软件镜像文件;
      • ⑩关闭不必要的端口;关闭控制台及监测的审计;警示信息
21.3.2 路由器安全增强技术方法
  • 1.及时升级操作系统和打补丁
  • 2.关闭不需要的网络服务
  • 3.明确禁止不使用的端口
  • 4.禁止IP直接广播和源路由
  • 5.增强路由器VTY安全
  • 6.阻断恶意数据包
  • 7.路由器口令安全
  • 8.传输加密
  • 9.增强路由器SNMP的安全

21.4 网络设备常见漏洞与解决方法

  • 分析网络设备常见的安全漏洞,然后给出安全漏洞的解决方法。
21.4.1 网络设备常见漏洞
  • 1)拒绝服务漏洞
  • 2)跨站伪造请求CSRF
  • 3)格式化字符串漏洞
  • 4)XSS
  • 5)旁路(Bypass something)
  • 6)代码执行(Code Execution)
  • 7)溢出(Overflow)
  • 8)内存破坏(Memory Corruption)
21.4.2 网络设备漏洞解决办法
  • 1.及时获取网络设备漏洞信息
  • 2.网络设备漏洞扫描
  • 3.网络设备漏洞修补
    • 1)修改配置文件
    • 2)安全漏洞利用限制(网络设备访问控制)
    • 3)服务替换(使用SSH替换Telnet)
    • 4)软件包升级
posted @ 2022-08-03 11:39  皇帽讲绿帽带法技巧  阅读(288)  评论(0编辑  收藏  举报