网络设备安全概况
交换机安全威胁
面临威胁:
- MAC地址泛洪
- ARP欺骗
- 口令威胁
- 漏洞利用
路由器安全威胁
面临威胁:
- 漏洞利用
- 口令安全威胁
- 路由协议安全威胁
- DoS/DDoS威胁
- 依赖性威胁
网络设备安全机制与实现技术
认证机制
交换机、路由器等设置支持:
TACACS+(Terminal Access Controller Access Control System)认证
RADIUS(Remote Authentication Dial In User Service)认证
访问控制
网络设备等访问分为:带外访问(不依赖网络)和带内访问(需要网络支持)
访问方法:控制端口(Console Port)、辅助端口(AUX port)、VTY、HTTP、TFTP、SNMP
Con端口访问:限制特定主机访问路由器
VTY访问控制:指定固定IP地址,并增加时间约束
HTTP访问控制:限制指定IP地址
SNMP访问控制
设置管理专网
具体方法:
- 将管理主机和路由器之间的全部通信进行加密,使用SSH替换Telnet
- 在路由器设置包过滤规则,只运行管理主机远程访问路由器
特权分级
以上配置命令见P453-P456
信息加密
启用service password-encryption配置
安全通信
两种方式:
SSH
配置步骤
(1)使用hostname指定设备名称
(2)使用ip domain-name配置设备域
(3)使用crypto key generate rsa生成RSA加密密钥。最小1024位
(4)使用ip ssh设置SSH访问
(5)使用transport input命令配置使用SSH,见P457
IPSec VPN
日志审计
网络设备提供控制台日志审计、缓冲区日志审计、终端审计、SNMP traps、AAA审计、Syslog审计
安全增强
关闭非安全的网络服务及功能
信息过滤:命令见P459
协议认证
安全措施:
- 启用OSPF路由协议的认证:命令见P460
- RIP协议的认证:命令见P460
- 启用IP Unicast Reverse-Path Verification:命令见P461
物理安全
策略:
- 指定授权人安装、卸载和移动网络设备
- 指定授权人进行维护以及改变网络设备的物理设备
- 指定授权人进行网络设备的物理连接
- 指定授权人进行网络设备的控制台使用以及其他的直接访问端口连接
- 明确网络设备受到物理顺坏时的恢复过程或者出现网络设备被篡改配置后的恢复过程
网络设备安全增强技术方法
交换机安全增强技术方法
配置交换机访问口令和ACL,限制安全登录
交换机的安全访问控制分为两级:通过控制用户的连接实现;通过用户口令认证实现
利用镜像技术检测网络流量
MAC地址控制技术
- 设置最多可学习到的MAC地址数
- 设置系统MAC地址老化时间
安全增强
主要方法:关闭交换机不必要的网络服务、限制安全远程访问、限制控制台的访问、启动登录安全检查、安全审计
以思科交换机位例,命令见P463-P465
路由器安全增强技术方法(命令见P466-P469)
及时升级操作系统和打补丁
关闭不需要的网络服务
操作方法
- 禁止CDP
- 禁止其他的TCP、UDP Small服务
- 禁止Finger服务
- 禁止HTTP服务
- 禁止BOOTP服务
- 禁止从网络启动和自动从网络下载初始配置文件
- 禁止ARP-Proxy服务
- 明确地禁止IP Directed Broadcast
- 禁止IP Classless
- 禁止ICMP协议的IP Unreachables、Redirects、Mask Replies
- 禁止SNMP协议服务
- 禁止WINS和DNS服务
明确禁止不使用的端口
禁止IP直接广播和源路由
增强路由器VTY安全
阻断恶意数据包
常见恶意数据包类型:
- 源地址声称来自内部网
- loopback数据包
- ICMP重定向
- 广播包
- 源地址和目标地址相同
路由器口令安全
传输加密
增强路由器SNMP的安全
网络设备常见漏洞与解决方法
网络设备常见漏洞
- 拒绝服务漏洞
- 跨站伪造请求CSRF
- 格式化字符串漏洞
- XSS
- 旁路
- 代码执行
- 溢出
- 内存破坏
网络设备漏洞解决方法
及时获取网络设备漏洞信息
网络设备漏洞扫描:端口扫描工具、通用漏洞扫描器、专用漏洞扫描器
网络设备漏洞修补
处理方法:
- 修改配置文件
- 安全漏洞利用限制
- 服务替换
- 软件包升级