网络设备安全特性
⦁ 由于IP网络规模庞大,导致网络设备数量众多、通信协议层出不穷。同时,IP网络的管理也变得极其复杂,安全性和业务灵活性以及安全性和管理维护便利性之间存在着矛盾。不同技术能力、管理水平的管理人员,对这些矛盾的处理能力也参差不齐。管理员往往追求业务可用性,而忽略了安全防御能力,导致必要的安全措施没有得到妥善的配置,设备本身的安全能力无法发挥。
⦁ 主要介绍常见的网络设备安全加固策略,对一些常见的安全配置进行了举例说明。
常见设备安全加固策略
常见的设备安全加固策略主要可以从以下方面部署:
⦁ 关闭不使用的业务和协议端口
⦁ 废弃不安全的访问通道
⦁ 基于可信路径的访问控制
⦁ 本机防攻击
⦁ 通过命令行、WEB、网管等方式登录设备时,建议采用安全加密的通道SSH、HTTPS、SNMPv3。
⦁ 设备之间,以及设备和终端之间数据传输,也建议采用加密的数据传输协议SFTP。
安全的数据访问通道
⦁ 为保证设备安全,尽量选择安全的访问通道。
⦁ 设备数据传输安全常见场景及采用协议:
⦁ 用户远程登录:
⦁ Telnet:采用TCP协议进行明文传输。
⦁ STelnet:基于SSH协议,提供安全的信息保障和强大的认证功能。
⦁ 设备文件操作:
⦁ FTP:支持文件传输以及文件目录的操作,具有授权和认证功能,明文传输数据。
⦁ TFTP:只支持文件传输,不支持授权和认证,明文传输数据。
⦁ SFTP:支持文件传输及文件目录的操作,数据进行了严格加密和完整性保护。
SSH
⦁ SSH协议由IETF制订,最新版本是V2.0,1.3和1.5版本存在安全隐患,已经逐步被淘汰。
⦁ SSH支持服务端和客户端的双向认证,提供保密性和完整性等安全服务。
⦁ SSH中用到的算法主要有几类:
⦁ 用于数据完整性保护的MAC算法,如hmac-md5、hmac-md5-96等;
⦁ 用于数据信息加密的算法,如3des-cbc、aes128-cbc、des-cbc等;
⦁ 用于产生会话密钥的密钥交换算法,如diffle-hellman-group-exchange-sha1等;
⦁ 用于进行数字签名和认证的主机公钥算法,如RSA、DSA等;
⦁ RSA(Rivest-Shamir-Adleman)加密算法,一种非对称加密算法。RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。RSA就是他们三人姓氏开头字母拼在一起组成的。
⦁ DES(Data Encryption Standard)数据加密标准。DES使用一个56比特的密钥。
⦁ 3DES(Triple Data Encryption Standard),是DES的一个更安全的变形。它使用3条56位的密钥对数据进行三次加密。
⦁ DSA(Digital Signature Algorithm)数字签名算法。
⦁ 对称密钥技术:
⦁ 对称密钥加密又叫专用密钥加密,即发送和接收数据的双方必使用相同的密钥对明文进行加密和解密运算。对称密钥加密算法主要包括:DES、3DES等。
⦁ 公开密钥技术:
⦁ 公钥加密算法也称非对称密钥算法,用两对密钥:一个公共密钥和一个专用密钥。用户要保障专用密钥的安全;公共密钥则可以发布出去。公共密钥与专用密钥是有紧密关系的,用公共密钥加密的信息只能用专用密钥解密,反之亦然。由于公钥算法不需要联机密钥服务器,密钥分配协议简单,所以极大简化了密钥管理。除加密功能外,公钥系统还可以提供数字签名。
⦁ 机密性(Confidentiality):指信息在存储、传输、使用的过程中,不会被泄漏给非授权用户或实体;
⦁ 完整性(Integrity):指信息在存储、传输、使用的过程中,不会被非授权用户篡改或防止授权用户对信息进行不恰当的篡改;
⦁ 可用性(Availability):指确保授权用户或实体对信息资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息资源。
⦁ IP网络的开放性决定了,只要路由可达,任何人都可以对目标主机进行访问或者攻击。
⦁ 对于某一个主机而言,访问它的客户端的报文历经的路径通常是固定的,尤其是在网络边缘,这种路径的固定特性表现得更加明显。
⦁ URPF(Unicast Reverse Path Forwarding,单播逆向路径转发)分为严格模式和松散模式以及允许匹配缺省路由的方式。其原理是当设备转发IP报文时,检查数据报文的源IP地址是否合法,检查的原理是根据数据包的源IP地址查路由表。
⦁ 对于严格模式:如果报文能匹配明细路由,并且入接口跟匹配路由的出接口一致,则允许报文上送,否则丢弃报文。
⦁ 对于松散模式:如果报文匹配上明细路由,则运行报文上送,否则丢弃报文,不检查接口是否匹配。默认情况下,会认为缺省路由不存在,不会去匹配缺省路由,只有进行了配置时候,才会去匹配缺省路由的。
⦁ 对允许匹配缺省路由的模式,必须和严格模式一起配置,报文匹配明细路由或者缺省路由,并且报文入接口跟匹配路由的出接口一致才上送,否则丢弃。不支持缺省路由与松散模式一起配置,因为这样无法达到防攻击的效果。松散模式和严格模式互斥,只能配置一种模式。
本机防攻击
⦁ 在网络中,存在着大量针对CPU的恶意攻击报文以及需要正常上送CPU的各类报文。针对CPU的恶意攻击报文会导致CPU长时间繁忙的处理攻击报文,从而引发其他业务的断续甚至系统的中断;大量正常的报文也会导致CPU占用率过高,性能下降,从而影响正常的业务。
⦁ 为了保护CPU,保证CPU对正常业务的处理和响应,设备提供了本机防攻击功能。本机防攻击针对的是上送CPU的报文,主要用于保护设备自身安全,保证已有业务在发生攻击时的正常运转,避免设备遭受攻击时各业务的相互影响。
⦁ 本机防攻击包括CPU防攻击和攻击溯源两部分。
⦁ CPU防攻击针对上送CPU的报文进行限制和约束,使单位时间内上送CPU报文的数量限制在一定的范围之内,从而保护CPU的安全,保证CPU对业务的正常处理。
⦁ 攻击溯源针对DoS(Denial of Service,拒绝服务)攻击进行防御。设备通过对上送CPU的报文进行分析统计,然后对统计的报文设置一定的阈值,将超过阈值的报文判定为攻击报文,再对这些攻击报文根据报文信息找出攻击源用户或者攻击源接口,最后通过日志、告警等方式提醒管理员以便管理员采用一定的措施来保护设备,或者直接丢弃攻击报文以对攻击源进行惩罚。
CPU防攻击
⦁ 多级安全机制,保证设备的安全,实现了对设备的分级保护。设备通过以下策略实现对设备的分级保护:
⦁ 第一级:通过黑名单来过滤上送CPU的非法报文。
⦁ 第二级:CPCAR(Control Plane Committed Access Rate)。对上送CPU的报文按照协议类型进行速率限制,保证每种协议上送CPU的报文不会过多。
⦁ 第三级:对上送CPU的报文,按照协议优先级进行调度,保证优先级高的协议先得到处理。
⦁ 第四级:对上送CPU的报文统一限速,对超过统一限速值的报文随机丢弃,保证整体上送CPU的报文不会过多,保护CPU安全。⦁ 动态链路保护功能的CPU报文限速,是指当设备检测到SSH Session数据、Telnet Session数据、HTTP Session数据、FTP Session数据以及BGP Session数据建立时,会启动对此Session的动态链路保护功能,后续上送报文如匹配此Session特征信息,此类数据将会享受高速率上送的权利,由此保证了此Session相关业务的运行可靠性、稳定性。
缺省情况下,SSH报文、Telnet报文、SSHv6报文、Telnetv6报文、HTTP报文、BGP报文的动态链路保护功能的限制速率是512pps,FTP报文的动态链路保护功能的限制速率是1024pps。
应用层联动不需要使能,只要关闭Router的Telnet服务器功能,Router会丢弃收到的Telnet报文