信息安全工程师-软考中级-备考笔记:第二十一章 网络设备安全
第21章 网络设备安全
本章相关命令配置详情请看书
网络设备安全概况
• 交换机安全威胁
o MAC地址泛洪
o ARP欺骗
o 口令威胁
o 漏洞利用
• 路由器安全威胁
o 漏洞利用
o 口令安全威胁
o 路由协议安全威胁
o DoS/DDoS威胁
o 依赖性威胁
网络设备安全机制与实现技术
• 认证机制
o 交换机、路由器等设置支持认证方式
TACACS+(Terminal Access Controller Access Control System)认证
RADIUS(Remote Authentication Dial In User Service)认证
访问控制
• 网络设备的访问分为带外(Out-of-band)访问和带内(in-band)访问
带外访问不依赖其他网络
带内访问要求提供网络支持
• 访问方法主要有控制端口(Console Port)、辅助端口(AUX port)、VTY、HTTP、TFTP、SNMP
Con端口访问:限制特定主机访问路由器
VTY访问控制:指定固定IP地址访问,并增加时间约束
HTTP访问控制:限制指定IP地址
SNMP(简单网络管理协议)访问控制
SNMP访问控制
限制SNMP访问的IP地址
关闭SNMP访问
• 设置管理专网
具体方法:
将管理主机和路由器之间的全部通信进行加密,使用SSH替换Telnet
在路由器设置包过滤规则,只允许管理主机远程访问路由器
• 特权分级
• 每种权限级别对应不同的操作能力
信息加密
• 启用service password-encryption配置
安全通信
• 使用SSH配置步骤
(1)使用hostname指定设备名称
(2)使用ip domain-name配置设备域
(3)使用crypto key generate rsa生成 RSA 加密密钥。建议最小密钥大小1024位
(4)使用ip ssh设置SSH访问
(5)使用transport input命令配置使用SSH
• 使用VPN配置步骤
日志审计
• 网络设备提供控制台日志审计、缓冲区日志审计、终端审计、SNMP traps、AAA审计、Syslog审计
• 因网络设备存储有限,开启Syslog服务配置专用日志服务器
安全增强
• 关闭非安全的网络服务及功能
• 信息过滤
• 协议认证
• 安全措施:
• 启用OSPF路由协议的认证
• RIP协议的认证
• 启用IP Unicast Reverse-Path Verification
物理安全,策略如下:
• 指定授权人安装、卸载和移动网络设备
• 指定授权人进行维护以及改变网络设备的物理设备
• 指定授权人进行网络设备的物理连接
• 指定授权人进行网络设备的控制台使用以及其他的直接访问端口连接
• 明确网络设备受到物理顺坏时的恢复过程或者出现网络设备被篡改配置后的恢复过程
网络设备安全增强技术方法
• 交换机安全增强技术方法
o 配置交换机访问口令和ACL,限制安全登录
交换机的安全访问控制分为两级:
通过控制用户的连接实现
通过用户口令认证实现
• 利用镜像技术检测网络流量
• MAC地址控制技术
• 设置最多可学习到的MAC地址数
• 设置系统MAC地址老化时间
• 安全增强
• 主要方法:
关闭交换机不必要的网络服务
限制安全远程访问
限制控制台的访问
启动登录安全检查
安全审计
以思科交换机安全增强为例,命令见P463-P465
路由器安全增强技术方法
• 及时升级操作系统和打补丁
• 关闭不需要的网络服务
• 关闭危险的网络服务
禁止CDP(Cisco Discovery Protocol)
禁止其他的TCP、UDP Small服务
禁止Finger服务
禁止HTTP服务
禁止BOOTP服务
禁止从网络启动和自动从网络下载初始配置文件
禁止IP Source Routing
禁止ARP-Proxy服务
明确地禁止IP Directed Broadcast
禁止IP Classless
禁止ICMP协议的IP Unreachables、Redirects、Mask Replies
禁止SNMP协议服务
禁止WINS和DNS服务
• 明确禁止不使用的端口
• 禁止IP直接广播和源路由
• 增强路由器VTY安全
• 阻断恶意数据包
• 常见恶意数据包类型:
源地址声称来自内部网
loopback数据包
ICMP重定向
广播包
源地址和目标地址相同
• 路由器口令安全
• 传输加密
• 增强路由器SNMP的安全
网络设备常见漏洞与解决方法
• 网络设备常见漏洞
o 拒绝服务漏洞
o 跨站伪造请求CSRF
o 格式化字符串漏洞
o XSS
o 旁路
o 代码执行
o 溢出
o 内存破坏
• 网络设备漏洞解决方法
o 及时获取网络设备漏洞信息
o 网络设备漏洞扫描:
端口扫描工具
通用漏洞扫描器
专用漏洞扫描器
• 网络设备漏洞修补
修改配置文件
安全漏洞利用限制
服务替换
软件包升级