相关动态
信息安全-网络设备安全(一)
2024-11-19 18:46

  一、网络设备安全概况

信息安全-网络设备安全(一)

  1.1 交换机安全威胁

   交换机是构成网络的基础设备,主要的功能是负责网络通信数据包的交换传输。

    目前,按照交换机的功能变化,将交换机分为五代:

    交换机面临的网络安全威胁主要有

  1.2 路由器安全威胁

    路由器不仅是实现网络通信的主要设备之一,而且也是关系全网安全的设备之一,它的安全性、健壮性将直接影响网络的可用性。

    无论是攻击者发动DoS、DDoS攻击,还是网络蠕虫爆发,路由器往往会首当其冲地受到冲击,甚至导致路由器瘫痪,从而造成网络不可用。

    路由器面临的网络安全威胁主要有

    二、网络设备安全机制与实现技术

    2.1 认证机制

    为防止网络设备滥用,网络设备对用户身份进行认证,用户需要提供正确口令才能使用网络设备资源

    市场上的网络设备提供的口令认证有:Console口令、AUX口令、VTY口令、user 口令、privilege-level口令等多种形式

    以路由器为例,Console 口令的使用过程如下:

Router #config terminal

Enter configuration commands,one per line. End with CNTL/Z.

Router (config) #line console 0

Router (config-line) #login

Router (config-line) #password console-password

Router (config-line) #^Z 

Router#

    为了便于网络安全管理,交换机、路由器等网络设备支持TACACS+ (Terminal Access Controller Access Control System)认证、RADIUS (Remote Authentication Dial In User Service)认证

TACACS+认证的过程如图

    假定服务器的密钥是MyTACACSkey,配置网络设备使用TACACS+服务器的步骤如下:

    现以路由器通过AUX、VTY使用TACACS+进行认证为例,其中,TACACS+服务器的IP地址为X.Y.Z.10,服务器的密钥是MyTACACSkey

其配置过程如下:

Router#config terminal

Enter configuration commands,one per line. End with CNTL/Z.

Router (config) #aaa new-model

Router (config) #tacacs-server host X.Y.Z.10

Router (config) #tacacs-server key MyTACACSkey

Router (config) #aaa authentication login default group tacacs+ local

Router (config) #line aux 0

Router (config-line) #login authentication default

Router (config-line) #exit

Router (config) #line vty 0 4

Router (config-line) #login authentication default

Router (config-line) #^Z.

Router#

TACACS+要求用户提供用户名和口令进行认证,认证通过后再进行授权操作和审计

相比于TACACS+,RADIUS的认证过程简单,如图

配置网络设备使用RADIUS认证的步骤如下

2.2 访问控制

网络设备的访问可以分为

网络设备的访问方法:主要有控制端口(Console Port)、辅助端口(AUX Port)、VTY、HTTP、TFTP、SNMP,Console、AUX和VTY称为line,每种访问方法都有不同的特征

1. CON端口访问

为了进一步严格控制CON端口的访问,限制特定的主机才能访问路由器

可做如下配置,其指定X.Y.Z.1可以访问路由器

Router (Config) #Access-list 1 permit X.Y.Z.1

Router (Config) #line con 0

Router (Config-line) #Transport input none

Router (Config-line) #Login local

Router (Config-line) #Exec-timeoute 5 0

Router (Config-line) #access-class 1 in

Router (Config-line) #end

2. VTY访问控制

为保护VTY的访问安全,网络设备配置可以指定固定的IP地址才能访问,并且增加时间约束

3. HTTP访问控制

限制指定IP地址可以访问网络设备

4. SNMP访问控制

为避免攻击者利用Read-only SNMP或Read/Write SNMP对网络设备进行危害操作,网络设备提供了SNMP访问安全控制措施,具体如下:

一是 SNMP访问认证:当通过SNMP访问网络设备时,网络设备要求访问者提供社区字符串(community strings)认证,类似口令密码

如下所示,路由器设置SNMP访问社区字符串

(1)设置只读SNMP访问模式的社区字符串

Router # config terminal

Enter configuration commands,one per line. End with CNTL/Z.

Router (config) # snmp-server community UnGuessableStringReadonly RO

Router (config) #^Z

(2)设置读/写SNMP访问模式的社区字符串

Router# config terminal

Enter configuration commands,one per line. End with CNTL/Z.

Router (config) # snmp-server community UnGuessableStringWriteable RW

Router (config) #^Z

二是限制SNMP访问的IP地址:如下所示,只有X.Y.Z.8和X.Y.Z.7的IP地址对路由器进行SNMP只读访问

Router # config terminal

Enter configuration commands,one per line. End with CNTL/Z.

Router (config) #access-list 6 permit X.Y.Z.8

Router (config) #access-list 6 permit X.Y.Z.7

Router (config) #access-list 6 deny any

Router (config) # snmp-server community UnGuessableStringRead0nly RO 6

Router (config) #^Z

三是关闭SNMP访问:如下所示,网络设备配置no snmp-server community命令关闭SNMP访问

Router #config terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router (config) #no snmp-server community UnGuessableStringReadonly RO

Router (config) #^Z

5.设置管理专网

    远程访问路由器一般是通过路由器自身提供的网络服务来实现的,例如Telnet、SNMP、Web服务或拨号服务

    虽然远程访问路由器有利于网络管理,但是在远程访问的过程中,远程通信时的信息是明文,因而,攻击者能够监听到远程访问路由器的信息,如路由器的口令

    为增强远程访问的安全性,应建立一个专用的网络用于管理设备,如图

    同时,网络设备配置支持SSH访问,并且指定管理机器的IP地址才可以访问网络设备,从而降低网络设备的管理风险,具体方法如下

6.特权分级

针对交换机、路由器潜在的操作安全风险,交换机、路由器提供权限分级机制,每种权限级别对应不同的操作能力

在Cisco网络设备中,将权限分为0~15共16个等级,0为最低等级,15为最高等级,等级越高,操作权限就越多

具体配置如下

Router>show privilege

Current privilege level is 1

Router>enable 5

Password: level-5-password

Router#show privilege

Current privilege level is 5

Router#

2.3 信息加密

网络设备配置文件中有敏感口令信息,一旦泄露,将导致网络设备失去控制

为保护配置文件的敏感信息,网络设备提供安全加密功能,保存敏感口令数据

2.4 安全通信

网络设备和管理工作站之间的安全通信有两种方式

1. SSH:为了远程访问安全,网络设备提供SSH服务以替换非安全的Telnet,其配置步骤如下

    如下所示,是在路由器RouterOne上设置 SSH访问,VTY配置成只允许SSH访问

Router #config terminal

Enter configuration commands,one per line. End with CNTL/Z.

Router (config) #hostname RouterOne

RouterOne (config) #ip domain-name mydomain.com

RouterOne (config) #crypto key generate rsa

The namefor the keys will be: RouterOne

Choose the size of the key modulus in the range of 360 to :2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.

How many bits in the modulus [512] : 1024

Generating RSA keys ...

[OK]

RouterOne (config) #ip ssh time-out 60

RouterOne (config) #ip ssh authentication-retries 2

RouterOne (config) #line vty 0 4

RouterOne (config-line) #transport input ssh

RouterOne (config-line) #^Z

RouterOne#

2. IPSec VPN

网络设备若支持IPSec,则可以保证管理工作站和网络设备的网络通信内容是加密传输的

其主要配置步骤如下:

2.5 日志审计

    网络运行中会发生很多突发情况,通过对网络设备进行审计,有利于管理员分析安全事件

    网络设备提供控制台日志审计(Console logging)、缓冲区日志审计(Buffered logging)、终端

    审计(Terminal logging)、SNMP traps、AAA 审计、Syslog 审计等多种方式

    由于网络设备的存储信息有限,一般是建立专用的日志服务器,并开启网络设备的Syslog

服务,接收网络设备发送出的报警信息

    2.6 安全增强

    为了增强网络设备的抗攻击性,网络设备提供服务关闭及恶意信息过滤等功能,以提升网络设备的自身安全保护能力

1.关闭非安全的网络服务及功能

网络设备自身提供许多网络服务,例如Telnet、Finger、HTTP 等,为了增强网络设备的安全,减少网络攻击面,网络设备应尽量不提供网络服务,或关闭危险的网络服务,或限制网络服务范围

2.信息过滤

过滤恶意路由信息,控制网络的垃圾信息流

3.协议认证

为保证路由协议的正常运行,用户在配置路由器时要使用协议认证。否则路由器就会来者不拒,接收任意的路由信息,从而可能被恶意利用

安全措施

    2.7 物理安全

    物理安全是网络设备安全的基础,物理访问必须得到严格控制

    以上就是本篇文章【信息安全-网络设备安全(一)】的全部内容了,欢迎阅览 ! 文章地址:http://fswenzheng.xhstdz.com/quote/80846.html 
     栏目首页      相关文章      动态      同类文章      热门文章      网站地图      返回首页 物流园资讯移动站 http://fswenzheng.xhstdz.com/mobile/ , 查看更多   
发表评论
0评