您现在的位置:首页 > 服务支持 > 资讯动态资讯动态

信息安全-网络设备安全(二)

  一、交换机安全威胁

    交换机是构成网络的基础设备,主要的功能是负责网络通信数据包的交换传输.
    目前,工业界按照交换机的功能变化,将交换机分为五代

  1. 集线器是第一代交换机,工作于OSI (开放系统互联参考模型)的物理层,主要功能是对接收到的信号进行再生整形放大,延长网络通信线路的传输距离,同时,把网络中的节点汇聚到集线器的一个中心节点上,集线器会把收到的报文向所有端口转发
  2. 第二代交换机又称以太网交换机,工作于OSI的数据链路层,称为二层交换机。二层交换机识别数据中的MAC地址信息,并根据MAC地址选择转发端口
  3. 第三代交换机俗称三层交换机,针对ARP/DHCP等广播报文对终端和交换机的影响,三层交换机实现了虚拟网络(VLAN)技术来抑制广播风暴,将不同用户划分为不同的VLAN,VLAN之间的数据包转发通过交换机内置的硬件路由查找功能完成,三层交换机工作于OSI模型的网络层
  4. 第四代交换机为满足业务的安全性、可靠性、QoS等需求,在第二、第三代交换机功能的基础上新增业务功能,如防火墙、负载均衡、IPS等。这些功能通常由多核CPU实现
  5. 第五代交换机通常支持软件定义网络(SDN),具有强大的QoS能力
    交换机面临的网络安全威胁主要有
  • MAC地址泛洪(Flooding):通过伪造大量的虚假MAC地址发往交换机,由于交换机的地址表容量的有限性,当交换机的MAC地址表被填满之后,交换机将不再学习其他MAC地址
  • ARP欺骗:攻击者可以随时发送虚假ARP包更新被攻击主机上的ARP缓存,进行地址欺骗,干扰交换机的正常运行
  • 口令威胁:攻击者利用口令认证机制的脆弱性,如弱口令、通信明文传输、口令明文存储等,通过口令猜测、网络监听、密码破解等技术手段获取交换机口令认证信息,从而非授权访问交换机设备
  • 漏洞利用:攻击者利用交换机的漏洞信息,导致拒绝服务、非授权访问、信息泄露、会话劫持


    二、路由器安全威胁
    路由器不仅是实现网络通信的主要设备之一,而且也是关系全网安全的设备之一,它的安全性、健壮性将直接影响网络的可用性
    无论是攻击者发动DoS、DDoS攻击,还是网络蠕虫爆发,路由器往往会首当其冲地受到冲击,甚至导致路由器瘫痪,从而造成网络不可用
    路由器面临的网络安全威胁主要有

  • 漏洞利用:网络设备厂商的路由器漏洞被攻击者利用,导致拒绝服务、非授权访问、信息泄露、会话劫持、安全旁路
  • 口令安全威胁:路由器的口令认证存在安全隐患,导致攻击者可以猜测口令,监听口令,破解口令文件
  • 路由协议安全威胁:路由器接收恶意路由协议包,导致路由服务混乱
  • DoS/DDoS威胁:攻击者利用TCP/IP协议漏洞或路由器的漏洞,对路由器发起拒绝服务攻击。攻击方法有两种
  1. 一是发送恶意数据包到路由器,致使路由器处理数据不当,导致路由器停止运行或干扰正常运行
  2. 二是利用僵尸网络制造大的网络流量传送到目标网络,导致路由器处理瘫痪
  • 依赖性威胁:攻击者破坏路由器所依赖的服务或环境,导致路由器非正常运行。例如,破坏路由器依赖的认证服务器,导致管理员无法正常登录到路由器

   三、网络设备安全增强技术方法
3.1 交换机安全增强技术方法
1.配置交换机访问口令和ACL,限制安全登录
    目前,交换机提供了多种用户登录、访问设备的方式,主要有通过Console端口、AUX端口、SNMP访问、TeInet访问、SSH访问、HTTP访问等方式。
    为增强交换机的访问安全,交换机支持ACL访问和口令认证安全控制,防止非法用户登录访问交换机设备。
交换机的安全访问控制分为两级

  • 第一级通过控制用户的连接实现:配置交换机ACL对登录用户进行过滤,只有合法用户才能和交换机设备建立连接。
  • 第二级通过用户口令认证实现:连接到交换机设备的用户必须通过口令认证才能真正登录到设备。为防止未授权用户的非法侵入,必须在不同登录和访问的用户界面设置口令,同时设置登录和访问的默认级别和切换口令。

2.利用镜像技术监测网络流量
以太网交换机提供基于端口和流量的镜像功能,即可将指定的1个或多个端口的报文或数据包复制到监控端口,用于报文的分析和监视、网络检测和故障排除。

3.MAC地址控制技术
可以通过设置端口上最大可以通过的MAC地址数量、MAC地址老化时间,来抑制MAC攻击。
(1)设置最多可学习到的MAC地址数
通过设置以太网端口最多学习到的MAC地址数,用户可以控制以太网交换机维护的MAC地址表的表项数量。

  • 如果用户设置的值为count,则该端口学习到的MAC地址条数达到count时,该端口将不再对MAC地址进行学习。
  • 。缺省情况下,交换机对于端口最多可以学习到的MAC地址数目没有限制

(2)设置系统MAC地址老化时间
设置合适的老化时间可以有效实现MAC地址老化的功能。用户设置的老化时间过长或者过短,都可能导致以太网交换机广播大量找不到目的MAC地址的数据报文,进而影响交换机的运行性能。

  • 如果用户设置的老化时间过长,以太网交换机可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致交换机无法根据网络的变化更新MAC地址表。
  • 如果用户设置的老化时间太短,以太网交换机可能会删除有效的MAC地址表项。
  • 一般情况下,推荐使用老化时间age的默认值300秒。

4.安全增强
作用在于减少交换机的网络攻击威胁面,提升抗攻击能力。
方法主要包括:关闭交换机不必要的网络服务、限制安全远程访问、限制控制台的访问、启动登录安全检查、安全审计等安全增强措施。

3.2 路由器安全增强技术方法
1.及时升级操作系统和打补丁
路由器的操作系统(IOS)是路由器最核心的部分,及时升级操作系统能有效地修补漏洞、获取新功能并提高性能。

2.关闭不需要的网络服务
路由器虽然可以提供BOOTP、Finger、NTP、Echo、Discard、Chargen、CDP等网络服务,然而这些服务会给路由器造成安全隐患,为了安全,建议关闭这些服务。

3.明确禁止不使用的端口
Router (Config) # interface eth0/3
Router (Config) # shutdown

4.禁止IP直接广播和源路由
在路由器的网络接口上禁止IP直接广播,可以防止smurf攻击
禁止IP直接广播的配置方法如下
router#interface  eth 0/0
router#no ip directed-broadcast
另外,为了防止攻击利用路由器的源路由功能,也应对其禁止使用,其配置方法是
router# no ip  source-route

5.增强路由器VTY安全
    路由器给用户提供虚拟终端(VTY)访问,用户可以使用TeInet从远程操作路由器。为了保护路由器的虚拟终端安全使用,要求用户必须提供口令认证,并且限制访问网络区域或者主机

6.阻断恶意数据包
网络攻击者经常通过构造一些恶意数据包来攻击网络或路由器,为了阻断这些攻击,路由器利用访问控制来禁止这些恶意数据包通行。

常见的恶意数据包有以下类型

  • 源地址声称来自内部网
  • loopback数据包
  • ICMP重定向包
  • 广播包
  • 源地址和目标地址相同

7.路由器口令安全
    口令是保护路由器安全的有效方法,但是一旦口令信息泄露就会危及路由器安全,路由器的口令存放应是密文。
    在路由器配置时,使用Enable secret命令保存口令密文,配置操作如下
Router#Enable secret 2Many-Routes-4-U。

8.传输加密

  • 启用路由器的IPSec功能,对路由器之间传输的信息进行加密。
  • 借助IPSec,路由器支持建立虚拟专用网(VPN),因而可以用在公共IP网络上确保数据通信的保密性。
  • 由于IPSec的部署简便,只须安全通道两端的路由器支持IPSec协议即可,几乎不需要对网络现有的基础设施进行变动。

9.增强路由器SNMP的安全
修改路由器设备厂商的SNMP默认配置,对于其public和private的验证字一定要设置好,尤其是private的,一定要设置一个安全的、不易猜测的验证字,因为入侵者知道了验证字,就可以通过SNMP改变路由器的配置。

四、网络设备常见漏洞与解决方法
4.1 网络设备常见漏洞
根据已经公开的CVE漏洞信息,思科、华为等网络设备厂商的路由器、交换机等产品不同程度地存在安全漏洞。

常见的安全漏洞如下

  1. 拒绝服务漏洞:拒绝服务漏洞将导致网络设备停止服务,危害网络服务可用性
  2. 跨站伪造请求CSRF (Cross-Site Request Forgery)
  3. 格式化字符串漏洞
  4. XSS (Cross-Site Scripting)
  5. 旁路(Bypass something):旁路漏洞绕过网络设备的安全机制,使得安全措施没有效果。
  6. 代码执行(Code Execution):该类漏洞使得攻击者可以控制网络设备,导致网络系统失去控制,危害性极大。
  7. 。溢出(Overflow):该类漏洞利用后可以导致拒绝服务、特权或安全旁路
  8. 内存破坏(Memory Corruption):内存破坏漏洞利用常会对路由器形成拒绝服务攻击。

4.2 网络设备漏洞解决方法
1.及时获取网络设备漏洞信息
确认当前网络设备的IOS的版本号,然后对照网络设备厂商的安全建议资料库或CVE漏洞信息库,检查该设备是否存在漏洞。目前,国内外网络设备主要厂商都公布本公司的产品漏洞信息。

2.网络设备漏洞扫描
    网络设备的漏洞对网络系统来说,是一个安全隐患。通过对网络设备的漏洞扫描,可以获知网络设备的漏洞状况,以便采取安全修补措施

目前,用于网络设备漏洞扫描的软件主要有

  1. 端口扫描工具:利用Nmap工具,可以查看网络设备开放的端口或服务
  2. 通用漏洞扫描器:使用Shadow Scanner、OpenVAS、Metasploit可以发现网络设备漏洞。
  3. 专用漏洞扫描器:Cisco Torch、CAT(Cisco Auditing Tool) 可以检查Cisco路由设备常见的漏洞。

3.网络设备漏洞修补
网络设备安全漏洞的处理方法

  • 修改配置文件:用户调整网络设备配置就可修补漏洞,常见漏洞是默认口令、开放不必要的服务、敏感数据未加密等。
  • 安全漏洞利用限制:针对网络设备的安全漏洞触发条件,限制漏洞利用条件。例如,利用网络设备访问控制,限制远程计算机访问网络设备。
  • 服务替换:针对网络设备的非安全服务,使用安全服务替换。如使用SSH替换Telnet,启用IPSec服务。
  • 软件包升级:针对网络设备的软件实现产生的漏洞,通过获取厂商的软件包,升级网络设备的软件。
上一条:信息安全-网络设备安全(一) 下一条:【传感器技术】应变式传感器,电位器式电阻传感器,电阻应变片特性
首页 产品中心 解决方案 服务支持 企业简介 企业文化 联系我们
业务咨询:027-83621617 邮箱:wuhanliyoude@163.com
Copyright © 2015-2017 武汉利又德科技有限公司 版权所有 鄂ICP备19020730号-1