第21章 网络设备安全

本章相关命令配置详情请看书

网络设备安全概况

• 交换机安全威胁
  • MAC地址泛洪
  • ARP欺骗
  • 口令威胁
  • 漏洞利用
• 路由器安全威胁
  • 漏洞利用
  • 口令安全威胁
  • 路由协议安全威胁
  • DoS/DDoS威胁
  • 依赖性威胁

网络设备安全机制与实现技术

• 认证机制

  • 交换机、路由器等设置支持认证方式

    • TACACS+（Terminal Access Controller Access Control System）认证

      

    • RADIUS（Remote Authentication Dial In User Service）认证

      

• 访问控制

  • 网络设备的访问分为带外（Out-of-band）访问和带内（in-band）访问
    • 带外访问不依赖其他网络
    • 带内访问要求提供网络支持
  • 访问方法主要有控制端口（Console Port）、辅助端口（AUX port）、VTY、HTTP、TFTP、SNMP
    • Con端口访问：限制特定主机访问路由器
    • VTY访问控制：指定固定IP地址访问，并增加时间约束
    • HTTP访问控制：限制指定IP地址
    • SNMP（简单网络管理协议）访问控制
      • SNMP访问控制
      • 限制SNMP访问的IP地址
      • 关闭SNMP访问
    • 设置管理专网
      • 具体方法：
        • 将管理主机和路由器之间的全部通信进行加密，使用SSH替换Telnet
        • 在路由器设置包过滤规则，只允许管理主机远程访问路由器
    • 特权分级
      • 每种权限级别对应不同的操作能力

• 信息加密

  • 启用service password-encryption配置

• 安全通信

  • 使用SSH配置步骤

    （1）使用hostname指定设备名称

    （2）使用ip domain-name配置设备域

    （3）使用crypto key generate rsa生成 RSA 加***。建议最小**大小1024位

    （4）使用ip ssh设置SSH访问

    （5）使用transport input命令配置使用SSH

  • 使用v*n配置步骤

    

• 日志审计

  • 网络设备提供控制台日志审计、缓冲区日志审计、终端审计、SNMP traps、AAA审计、Syslog审计

  • 因网络设备存储有限，开启Syslog服务配置专用日志服务器

    

• 安全增强

  • 关闭非安全的网络服务及功能
  • 信息过滤
  • 协议认证
    • 安全措施：
      • 启用OSPF路由协议的认证
      • RIP协议的认证
      • 启用IP Unicast Reverse-Path Verification

• 物理安全，策略如下：

  • 指定授权人安装、卸载和移动网络设备
  • 指定授权人进行维护以及改变网络设备的物理设备
  • 指定授权人进行网络设备的物理连接
  • 指定授权人进行网络设备的控制台使用以及其他的直接访问端口连接
  • 明确网络设备受到物理顺坏时的恢复过程或者出现网络设备被篡改配置后的恢复过程

网络设备安全增强技术方法

• 交换机安全增强技术方法

  • 配置交换机访问口令和ACL，限制安全登录

    • 交换机的安全访问控制分为两级：
      • 通过控制用户的连接实现
      • 通过用户口令认证实现

  • 利用镜像技术检测网络流量

  • MAC地址控制技术

    • 设置最多可学习到的MAC地址数
    • 设置系统MAC地址老化时间

  • 安全增强

    • 主要方法：
      • 关闭交换机不必要的网络服务
      • 限制安全远程访问
      • 限制控制台的访问
      • 启动登录安全检查
      • 安全审计

    以思科交换机安全增强为例，命令见P463-P465

• 路由器安全增强技术方法

  • 及时升级操作系统和打补丁
  • 关闭不需要的网络服务
    • 关闭危险的网络服务
      • 禁止CDP（Cisco Discovery Protocol）
      • 禁止其他的TCP、UDP Small服务
      • 禁止Finger服务
      • 禁止HTTP服务
      • 禁止BOOTP服务
      • 禁止从网络启动和自动从网络下载初始配置文件
      • 禁止IP Source Routing
      • 禁止ARP-Proxy服务
      • 明确地禁止IP Directed Broadcast
      • 禁止IP Classless
      • 禁止ICMP协议的IP Unreachables、Redirects、Mask Replies
      • 禁止SNMP协议服务
      • 禁止WINS和DNS服务
  • 明确禁止不使用的端口
  • 禁止IP直接广播和源路由
  • 增强路由器VTY安全
  • 阻断恶意数据包
    • 常见恶意数据包类型：
      • 源地址声称来自内部网
      • loopback数据包
      • ICMP重定向
      • 广播包
      • 源地址和目标地址相同
  • 路由器口令安全
  • 传输加密
  • 增强路由器SNMP的安全

网络设备常见漏洞与解决方法

• 网络设备常见漏洞
  • 拒绝服务漏洞
  • 跨站伪造请求CSRF
  • 格式化字符串漏洞
  • XSS
  • 旁路
  • 代码执行
  • 溢出
  • 内存破坏
• 网络设备漏洞解决方法
  • 及时获取网络设备漏洞信息
  • 网络设备漏洞扫描：
    • 端口扫描工具
    • 通用漏洞扫描器
    • 专用漏洞扫描器
  • 网络设备漏洞修补
    • 修改配置文件
    • 安全漏洞利用限制
    • 服务替换
    • 软件包升级