2020软考 信息安全工程师(第二版)学习总结【十七】
时间 2021-06-05
标签
2020软考
安全
第21章 网络设备安全
本章相关命令配置详情请看书
网络设备安全概况
- 交换机安全威胁
- 路由器安全威胁
- 漏洞利用
- 口令安全威胁
- 路由协议安全威胁
- DoS/DDoS威胁
- 依赖性威胁
网络设备安全机制与实现技术
-
认证机制
-
访问控制
- 网络设备的访问分为带外(Out-of-band)访问和带内(in-band)访问
- 访问方法主要有控制端口(Console Port)、辅助端口(AUX port)、VTY、HTTP、TFTP、SNMP
- Con端口访问:限制特定主机访问路由器
- VTY访问控制:指定固定IP地址访问,并增加时间约束
- HTTP访问控制:限制指定IP地址
- SNMP(简单网络管理协议)访问控制
- SNMP访问控制
- 限制SNMP访问的IP地址
- 关闭SNMP访问
- 设置管理专网
- 具体方法:
- 将管理主机和路由器之间的全部通信进行加密,使用SSH替换Telnet
- 在路由器设置包过滤规则,只允许管理主机远程访问路由器
- 特权分级
-
信息加密
- 启用service password-encryption配置
-
安全通信
-
日志审计
-
安全增强
- 关闭非安全的网络服务及功能
- 信息过滤
- 协议认证
- 安全措施:
- 启用OSPF路由协议的认证
- RIP协议的认证
- 启用IP Unicast Reverse-Path Verification
-
物理安全,策略如下:
- 指定授权人安装、卸载和移动网络设备
- 指定授权人进行维护以及改变网络设备的物理设备
- 指定授权人进行网络设备的物理连接
- 指定授权人进行网络设备的控制台使用以及其他的直接访问端口连接
- 明确网络设备受到物理顺坏时的恢复过程或者出现网络设备被篡改配置后的恢复过程
网络设备安全增强技术方法
-
交换机安全增强技术方法
-
路由器安全增强技术方法
- 及时升级操作系统和打补丁
- 关闭不需要的网络服务
- 关闭危险的网络服务
- 禁止CDP(Cisco Discovery Protocol)
- 禁止其他的TCP、UDP Small服务
- 禁止Finger服务
- 禁止HTTP服务
- 禁止BOOTP服务
- 禁止从网络启动和自动从网络下载初始配置文件
- 禁止IP Source Routing
- 禁止ARP-Proxy服务
- 明确地禁止IP Directed Broadcast
- 禁止IP Classless
- 禁止ICMP协议的IP Unreachables、Redirects、Mask Replies
- 禁止SNMP协议服务
- 禁止WINS和DNS服务
- 明确禁止不使用的端口
- 禁止IP直接广播和源路由
- 增强路由器VTY安全
- 阻断恶意数据包
- 常见恶意数据包类型:
- 源地址声称来自内部网
- loopback数据包
- ICMP重定向
- 广播包
- 源地址和目标地址相同
- 路由器口令安全
- 传输加密
- 增强路由器SNMP的安全
网络设备常见漏洞与解决方法
- 网络设备常见漏洞
- 拒绝服务漏洞
- 跨站伪造请求CSRF
- 格式化字符串漏洞
- XSS
- 旁路
- 代码执行
- 溢出
- 内存破坏
- 网络设备漏洞解决方法
- 及时获取网络设备漏洞信息
- 网络设备漏洞扫描:
- 网络设备漏洞修补
- 修改配置文件
- 安全漏洞利用限制
- 服务替换
- 软件包升级