第21章 网络设备安全

第21章 网络设备安全

21.1 网络设备安全概况

21.1.1 交换机安全威胁

  交换机是构成网络的基础设备,主要的功能是负责网络通信数据包的交换传输。目前,工业界按照交换机的功能变化,将交换机分为第一代交换机、第二代交换机、第三代交换机、第四代交换机、第五代交换机。其中,集线器是第一代交换机,工作于物理层。第二代交换机又称为以太网交换机,工作于数据链路层,称为二层交换机。第三代交换机通俗地称为三层交换机,工作于网络层。第四代交换机新增业务功能,如防火墙、负载均衡、IPS等。第五代交换机通常支持软件定义网络(SDN),具有强大的QoS能力。目前,交换机设备的国内代表厂商主要有华为、锐捷、中兴、华三等,国外代表厂商主要有思科、Juniper等。交换机面临的网络安全威胁主要有如下几个方面。
  1. MAC地址泛洪
  2. ARP欺骗
  3. 口令威胁
  4. 漏洞利用

21.1.2 路由器安全威胁

  路由器面临的安全威胁主要有以下几个方面:
  1. 漏洞利用
  2. 口令安全威胁
  3. 路由协议安全威胁
  4. DoS/DDoS威胁
  5. 依赖性威胁

21.2 网络设备安全机制与实现技术

  目前,交换机、路由器通常提供身份认证、访问控制、信息加密、安全通信以及审计等安全机制,以保护网络设备的安全性。

21.2.1 认证机制

  目前,市场上的网络设备提供Console口令、AUX口令、VTY口令、user口令、privilege-level口令等多种形式的口令认证。

21.2.2 访问控制

  网络设备的访问可以分为带外访问和带内访问。带外不依赖其他网络,面带内访问则要求提供网络支持。网络设备的访问方法主要有控制端口、辅助端口、VTY、HTTP、TFTP、SNMP。Console、AUX和VTY称为line。

21.2.3 信息加密

  网络设备配置文件中有敏感口令信息,一旦泄露,将导致网络设备失去控制。为保护配置文件的敏感信息,网络设备提供安全加密功能,保存敏感口令数据。启用service password-encryption配置后,对口令明文信息进行加密保护。

21.2.4 安全通信

  网络设备和管理工作站之间的安全通信有两种方式:一是使用SSH;二是使用VPN。
  1. SSH
  为了远程访问安全,网络设备提供SSH服务以替换非安全的Telnet,其配置步骤如下:
  (1)使用hostname指定设备名称。
  (2)使用ip domain-name配置设备域。
  (3)使用crypto key generate rsa生成RSA加密密钥。建议最小密钥大小为1024位。
  (4)使用ip ssh设置SSH访问。
  (5)使用transport input命令配置使用SSH。
  2. IPSec VPN
  网络设置若支持IPSec,则可以保证管理工作站和网络设备的网络通信内容是加密传输的,其主要配置步骤如下:
  (1)设置ISAKMP预共享密钥;
  (2)创建可扩展的ACL;
  (3)创建IPSec transforms;
  (4)创建crpto map;
  (5)应用crypto map到路由接口。

21.2.5 日志审计

  网络运行中会发生很多突发情况,通过对网络设备进行审计,有利于管理员分析安全事件。网络设备提供控制台日志审计(Console logging)、缓冲区日志审计(Buffered logging)、终端审计(Terminal logging)、SNMP traps、AAA审计、Syslog审计等多种方式。

21.2.6 安全增强

  为了增强网络设备的抗攻击性,网络设备提供服务关闭及恶意信息过滤等功能,以提升网络设备的自身安全保护能力。
  1. 关闭非安全的网络服务及功能
  2. 信息过滤
  3. 协议认证
  1)启用OSPF路由协议的认证
  2)RIP协议的认证
  3)启用IP Unicast Rerverse-Path Verification

21.2.7 物理安全

  物理安全是网络设备安全的基础,物理访问必须得到严格控制。物理安全的策略主要如下:

  • 指定授权人安装、卸载和移动网络设备;
  • 指定授权人进行维护以及改变网络设备的物理配置;
  • 指定授权人进行网络设备的控制台使用以及其他的直接访问端口连接;
  • 明确网络设备受到我是损坏时的恢复过程或者出现网络设备被篡改配置后的恢复过程。

21.3 网络设备安全增强技术方法

21.3.1 交换机安全增强技术方法

  1. 配置交换机访问口令和ACL,限制安全登录
  2. 利用镜像技术监测网络流量
  3. MAC地址控制技术
  4. 安全增强
  (1)关闭不需要的网络服务
  (2)创建本地帐号
  (3)启用SSH服务
  (4)限制安全远程访问
  (5)限制控制台的访问
  (6)启动登录安全检查
  (7)安全审计
  (8)限制SNMP访问
  (9)安全保存交换机IOS软件镜像文件
  (10)关闭不必要的端口
  (11)关闭控制台及监测的审计
  (12)警示信息。

21.3.2 路由器安全增强技术方法

  1. 及时升级操作系统和补丁
  2. 关闭不需要的网络服务
  (1)禁止CDP
  (2)禁止其他的TCP、UDP Small服务
  (3)禁止Finger服务
  (4)禁止HTTP服务
  (5)禁止BOOTP服务
  (6)禁止从网络启动和自动从网络下载初始配置文件
  (7)禁止IP Source Routing
  (8)禁止ARP-Proxy服务
  (9)明确地禁止IP Directed-broadcast
  (10)禁止 IP Classless
  (11)禁止ICMP协议的IP Unreachables、Redirects、Mask Replies。
  (12)禁止SNMP协议服务
  (13)禁止WINS和DNS服务
  3. 明确禁止不使用的端口
  4. 禁止IP直接广播和源路由
  5. 增强路由器VTY安全
  6. 阻断恶意数据包
  7. 路由器口令安全
  8. 传输加密
  9. 增强路由器SNMP的安全

21.4 网络设备常见漏洞与解决方法

21.4.1 网络设备常见漏洞

  根据已公开的CVE漏洞信息,思科、华为等网络设备厂商的路由器、交换机等产品不同速度地存在安全漏洞,常见的安全漏洞主要如下:
  (1)拒绝服务漏洞。
  (2)跨站伪造请求CSRF。
  (3)格式化字符串漏洞。
  (4)XSS。
  (5)旁路。
  (6)代码执行。
  (7)溢出。
  (8)内存破坏。

21.4.2 网络设备漏洞解决方法

  1. 及时获取网络设备漏洞信息
  2. 网络设备漏洞扫描
  (1)端口扫描工具。
  (2)通用漏洞扫描器。
  (3)专用漏洞扫描器。
  3. 网络设备漏洞修补
  (1)修改配置文件。
  (2)安全漏洞利用限制。
  (3)服务替换。
  (4)软件包升级。

posted @ 2023-02-04 15:35  Evan-whc  阅读(239)  评论(0编辑  收藏  举报