一、网络设备安全增强技术方法
1.1 交换机安全增强技术方法
1.配置交换机访问口令和ACL,限制安全登录
目前,交换机提供了多种用户登录、访问设备的方式,主要有通过Console端口、AUX端口、SNMP访问、TeInet访问、SSH访问、HTTP访问等方式
为增强交换机的访问安全,交换机支持ACL访问和口令认证安全控制,防止非法用户登录访问交换机设备
交换机的安全访问控制分为两级
- 第一级通过控制用户的连接实现:配置交换机ACL对登录用户进行过滤,只有合法用户才能和交换机设备建立连接
- 第二级通过用户口令认证实现:连接到交换机设备的用户必须通过口令认证才能真正登录到设备。为防止未授权用户的非法侵入,必须在不同登录和访问的用户界面设置口令,同时设置登录和访问的默认级别和切换口令
2.利用镜像技术监测网络流量
以太网交换机提供基于端口和流量的镜像功能,即可将指定的1个或多个端口的报文或数据包复制到监控端口,用于报文的分析和监视、网络检测和故障排除
3.MAC地址控制技术
可以通过设置端口上最大可以通过的MAC地址数量、MAC地址老化时间,来抑制MAC攻击
(1)设置最多可学习到的MAC地址数
通过设置以太网端口最多学习到的MAC地址数,用户可以控制以太网交换机维护的MAC地址表的表项数量
- 如果用户设置的值为count,则该端口学习到的MAC地址条数达到count时,该端口将不再对MAC地址进行学习
- 缺省情况下,交换机对于端口最多可以学习到的MAC地址数目没有限制
(2)设置系统MAC地址老化时间
设置合适的老化时间可以有效实现MAC地址老化的功能。用户设置的老化时间过长或者过短,都可能导致以太网交换机广播大量找不到目的MAC地址的数据报文,进而影响交换机的运行性能
- 如果用户设置的老化时间过长,以太网交换机可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致交换机无法根据网络的变化更新MAC地址表
- 如果用户设置的老化时间太短,以太网交换机可能会删除有效的MAC地址表项
- 一般情况下,推荐使用老化时间age的默认值300秒
4.安全增强
作用在于减少交换机的网络攻击威胁面,提升抗攻击能力
方法主要包括:关闭交换机不必要的网络服务、限制安全远程访问、限制控制台的访问、启动登录安全检查、安全审计等安全增强措施
1.2 路由器安全增强技术方法
1.及时升级操作系统和打补丁
路由器的操作系统(IOS)是路由器最核心的部分,及时升级操作系统能有效地修补漏洞、获取新功能并提高性能
2.关闭不需要的网络服务
路由器虽然可以提供BOOTP、Finger、NTP、Echo、Discard、Chargen、CDP等网络服务,然而这些服务会给路由器造成安全隐患,为了安全,建议关闭这些服务
3.明确禁止不使用的端口
Router (Config) # interface eth0/3
Router (Config) # shutdown
4.禁止IP直接广播和源路由
在路由器的网络接口上禁止IP直接广播,可以防止smurf攻击
禁止IP直接广播的配置方法如下
router#interface eth 0/0
router#no ip directed-broadcast
另外,为了防止攻击利用路由器的源路由功能,也应对其禁止使用,其配置方法是
router# no ip source-route
5.增强路由器VTY安全
路由器给用户提供虚拟终端(VTY)访问,用户可以使用TeInet从远程操作路由器。为了保护路由器的虚拟终端安全使用,要求用户必须提供口令认证,并且限制访问网络区域或者主机
6.阻断恶意数据包
网络攻击者经常通过构造一些恶意数据包来攻击网络或路由器,为了阻断这些攻击,路由器利用访问控制来禁止这些恶意数据包通行
常见的恶意数据包有以下类型
- 源地址声称来自内部网
- loopback数据包
- ICMP重定向包
- 广播包
- 源地址和目标地址相同
7.路由器口令安全
口令是保护路由器安全的有效方法,但是一旦口令信息泄露就会危及路由器安全,路由器的口令存放应是密文
在路由器配置时,使用Enable secret命令保存口令密文,配置操作如下
Router#Enable secret 2Many-Routes-4-U
8.传输加密
- 启用路由器的IPSec功能,对路由器之间传输的信息进行加密
- 借助IPSec,路由器支持建立虚拟专用网(VPN),因而可以用在公共IP网络上确保数据通信的保密性
- 由于IPSec的部署简便,只须安全通道两端的路由器支持IPSec协议即可,几乎不需要对网络现有的基础设施进行变动
9.增强路由器SNMP的安全
修改路由器设备厂商的SNMP默认配置,对于其public和private的验证字一定要设置好,尤其是private的,一定要设置一个安全的、不易猜测的验证字,因为入侵者知道了验证字,就可以通过SNMP改变路由器的配置
二、网络设备常见漏洞与解决方法
2.1 网络设备常见漏洞
根据已经公开的CVE漏洞信息,思科、华为等网络设备厂商的路由器、交换机等产品不同程度地存在安全漏洞
常见的安全漏洞如下
- 拒绝服务漏洞:拒绝服务漏洞将导致网络设备停止服务,危害网络服务可用性
- 跨站伪造请求CSRF (Cross-Site Request Forgery)
- 格式化字符串漏洞
- XSS (Cross-Site Scripting)
- 旁路(Bypass something):旁路漏洞绕过网络设备的安全机制,使得安全措施没有效果
- 代码执行(Code Execution):该类漏洞使得攻击者可以控制网络设备,导致网络系统失去控制,危害性极大
- 溢出(Overflow):该类漏洞利用后可以导致拒绝服务、特权或安全旁路
- 内存破坏(Memory Corruption):内存破坏漏洞利用常会对路由器形成拒绝服务攻击
2.2 网络设备漏洞解决方法
1.及时获取网络设备漏洞信息
确认当前网络设备的IOS的版本号,然后对照网络设备厂商的安全建议资料库或CVE漏洞信息库,检查该设备是否存在漏洞。目前,国内外网络设备主要厂商都公布本公司的产品漏洞信息
2.网络设备漏洞扫描
网络设备的漏洞对网络系统来说,是一个安全隐患。通过对网络设备的漏洞扫描,可以获知网络设备的漏洞状况,以便采取安全修补措施
目前,用于网络设备漏洞扫描的软件主要有
- 端口扫描工具:利用Nmap工具,可以查看网络设备开放的端口或服务
- 通用漏洞扫描器:使用Shadow Scanner、OpenVAS、Metasploit可以发现网络设备漏洞
- 专用漏洞扫描器:Cisco Torch、CAT(Cisco Auditing Tool) 可以检查Cisco路由设备常见的漏洞
3.网络设备漏洞修补
网络设备安全漏洞的处理方法
- 修改配置文件:用户调整网络设备配置就可修补漏洞,常见漏洞是默认口令、开放不必要的服务、敏感数据未加密等
- 安全漏洞利用限制:针对网络设备的安全漏洞触发条件,限制漏洞利用条件。例如,利用网络设备访问控制,限制远程计算机访问网络设备
- 服务替换:针对网络设备的非安全服务,使用安全服务替换。如使用SSH替换Telnet,启用IPSec服务
- 软件包升级:针对网络设备的软件实现产生的漏洞,通过获取厂商的软件包,升级网络设备的软件
个人导航:http://xqnav.top/
2802
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
