學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>網(wǎng)絡(luò)安全知識(shí)>

網(wǎng)絡(luò)交換機(jī)安全小技巧

時(shí)間: 若木635 分享

歡迎大家來(lái)到學(xué)習(xí)啦,小編為大家介紹網(wǎng)絡(luò)交換機(jī)安全小技巧。

一、通過(guò)訪問(wèn)控制列表來(lái)限制用戶的訪問(wèn)

通過(guò)使用訪問(wèn)控制列表來(lái)限制管理訪問(wèn)和遠(yuǎn)程接入,就可以有效防止對(duì)管理接口的非授權(quán)訪問(wèn)和Dos拒絕服務(wù)攻擊。其實(shí)這個(gè)配置是很基礎(chǔ)的內(nèi)容。如可以在企業(yè)邊緣路由器上(連接到互聯(lián)網(wǎng)的路由器),進(jìn)行訪問(wèn)控制列表配置,拒絕從互聯(lián)網(wǎng)接口接受Ping命令。

另外如果企業(yè)有虛擬局域網(wǎng)設(shè)置,那么這個(gè)訪問(wèn)控制列表還可以跟其結(jié)合使用,進(jìn)一步提高虛擬局域網(wǎng)的安全性。如可以設(shè)置只有網(wǎng)絡(luò)管理員才可以訪問(wèn)某個(gè)特定的虛擬局域網(wǎng)等等。再如可以限制用戶在上班時(shí)間訪問(wèn)娛樂(lè)網(wǎng)站、網(wǎng)上炒股、網(wǎng)絡(luò)游戲等等可能會(huì)危害企業(yè)網(wǎng)絡(luò)安全的行為。筆者認(rèn)為,訪問(wèn)控制列表是一個(gè)很好的安全工具??上У氖?,不少網(wǎng)絡(luò)管理員可能認(rèn)為其太簡(jiǎn)單了,而忽視了這個(gè)技術(shù)的存在。卻不知道,簡(jiǎn)單的往往是比較實(shí)用的。故筆者建議各位讀者,還是需要好好研究一下訪問(wèn)控制列表。在購(gòu)買安全設(shè)備之前,想想能否通過(guò)訪問(wèn)控制列表來(lái)實(shí)現(xiàn)安全方面的需求。盡量不要購(gòu)買第三方的安全產(chǎn)品,以降低網(wǎng)絡(luò)的復(fù)雜性。

二、配置系統(tǒng)警告標(biāo)語(yǔ),以起到警示的作用

我們到超市或者書店的時(shí)候,往往會(huì)看到“市場(chǎng)已安裝涉嫌頭、請(qǐng)各位自重”的標(biāo)語(yǔ)。這種標(biāo)語(yǔ)會(huì)在無(wú)形中給小偷一種心理的警示。其實(shí)在企業(yè)網(wǎng)絡(luò)交換機(jī)安全規(guī)劃中,也可以設(shè)計(jì)一個(gè)警告標(biāo)語(yǔ),讓攻擊者知難而退。

筆者認(rèn)為,無(wú)論是出于安全或者管理的目的,配置一條在用戶登錄前線時(shí)的系統(tǒng)警告標(biāo)語(yǔ)是一種方便、有效的實(shí)施安全和通用策略的方式。即在用戶連接到交換機(jī)、在輸入用戶名與密碼之前,向用戶提供一個(gè)警告標(biāo)語(yǔ)。標(biāo)語(yǔ)可以是這臺(tái)設(shè)備的用途,也可以是警告用戶不要進(jìn)行非授權(quán)訪問(wèn)的警示語(yǔ)。就好像超市中“安裝攝像頭”的警示語(yǔ)一樣,對(duì)非法訪問(wèn)的用戶起到一個(gè)警示的作用。在用戶正式登陸之前,網(wǎng)絡(luò)管理員可以讓交換機(jī)明確的指出交換機(jī)的歸屬、使用方法、安全措施(可以適當(dāng)?shù)目浯?、訪問(wèn)權(quán)限以及所采取的保護(hù)策略(這也可適當(dāng)夸大)。如可以說(shuō)明將對(duì)用戶所采用的IP地址進(jìn)行合法性驗(yàn)證等等。以起到應(yīng)有的警示作用。

三、為交換機(jī)配置一把安全的鑰匙

現(xiàn)在市場(chǎng)上的交換機(jī),通常對(duì)口令采用的都是MD5加密方法。如以思科的多層交換機(jī)為例,通過(guò)使用enable secret命令,可以進(jìn)入系統(tǒng)的特權(quán)模式,設(shè)置相關(guān)的口令。不過(guò)需要注意的是,此時(shí)雖然對(duì)口令進(jìn)行了加密處理,但是這個(gè)加密機(jī)制并不是很復(fù)雜。通常情況下,可以采用字典攻擊來(lái)解除用戶設(shè)置的口令。那這是否說(shuō)明不需要為交換機(jī)設(shè)置口令呢?其實(shí)這是一個(gè)誤解。

我們?cè)谠O(shè)置交換機(jī)口令的時(shí)候,可以增加口令的復(fù)雜性,來(lái)提高解除的難度。這就好像銀行卡密碼一樣。其理論上也可以通過(guò)采用字典攻擊的方式來(lái)解除密碼。但是只要將密碼設(shè)置的復(fù)雜一些(如不要采用相同的數(shù)字、生日、電話號(hào)碼作為密碼),同時(shí)設(shè)置密碼策略(如密碼連續(xù)錯(cuò)誤三次將鎖住),如此就可以提高這個(gè)密碼的安全性。

對(duì)于交換機(jī)來(lái)說(shuō),也是這個(gè)道理。雖然其只是采用了MD5加密機(jī)制,可以通過(guò)字典攻擊來(lái)解除。但是我們?nèi)匀豢梢酝ㄟ^(guò)加強(qiáng)密碼的復(fù)雜性,讓字典攻擊知難而退。這個(gè)道理,可能大家都懂得。在學(xué)校的網(wǎng)絡(luò)安全課程上,這也是一個(gè)基礎(chǔ)性的內(nèi)容。可是真的到了實(shí)際工作中,很多人都忽視了其的存在。筆者認(rèn)為,可以在交換機(jī)的密碼中加入一些特殊的字符,如標(biāo)點(diǎn)符號(hào),或者大小寫、字母與數(shù)字混用等等,來(lái)為交換機(jī)配置比較堅(jiān)固的口令。

四、CDP協(xié)議要盡量少用

CDP思科發(fā)現(xiàn)協(xié)議是思科網(wǎng)絡(luò)設(shè)備中一個(gè)比較重要的協(xié)議。其可以傳播網(wǎng)絡(luò)設(shè)備的詳細(xì)信息。如在多層交換網(wǎng)絡(luò)中,輔助Vlan和其他的專用解決方案需要CDP協(xié)議的支持。所以默認(rèn)情況下,這個(gè)協(xié)議是開(kāi)啟的。但是我們做安全的人員需要注意,這個(gè)協(xié)議會(huì)帶來(lái)比較大的安全隱患。我們需要在安全與實(shí)用性之間取得一個(gè)均衡。通常情況下,我們并不需要在所有的交換機(jī)等網(wǎng)絡(luò)設(shè)備上都啟用這個(gè)協(xié)議?;蛘哒f(shuō),這個(gè)協(xié)議要盡量的少用,要用在刀口上。

如CDP協(xié)議通常情況下只有管理員才用的著。所以安全人員可以在交換機(jī)的每個(gè)接口上都禁用CDP協(xié)議,而只為管理目的運(yùn)行CDP協(xié)議。如通常情況下,需要在交換機(jī)的廉潔上和IP電話連接的接口上啟用CDP協(xié)議。

再如可以考慮只在受控制范圍內(nèi)定設(shè)備之間運(yùn)行CDP協(xié)議。這主要是因?yàn)镃DP協(xié)議時(shí)一種鏈路級(jí)別的協(xié)議。通常情況下除非使用了第二層隧道機(jī)制,否則的話它是不會(huì)通過(guò)Wan進(jìn)行端到端的傳播。這也就是說(shuō),對(duì)于Wan連接,CDP表中可能包含服務(wù)器提供的下一跳路由器或者交換機(jī)的信息,而不是企業(yè)控制之下的遠(yuǎn)端路由器??傊褪遣灰俨话财鸬倪B接(一般Internet連接被認(rèn)為是不安全的)上運(yùn)行CDP協(xié)議。

總之,CDP協(xié)議在某些方面確實(shí)很有用。但是從安全的角度講,不能夠?qū)DP協(xié)議進(jìn)行濫用。而應(yīng)該將其用在刀刃上,在必需的接口上啟用CDP協(xié)議。

五、注意SNMP是一把雙刃劍

SNMP協(xié)議通CDP協(xié)議一樣,其安全性也一直備受爭(zhēng)議。筆者認(rèn)為,SNMP協(xié)議是一把雙刃劍。從管理角度講,很多網(wǎng)絡(luò)管理員離不開(kāi)SNMP協(xié)議。但是從安全角度講,其確實(shí)存在著比較大的安全隱患。這主要是因?yàn)镾NMP協(xié)議在網(wǎng)絡(luò)中通常是通過(guò)明文來(lái)傳輸?shù)摹<词故遣捎昧薙NMPV2C,其雖然采用了身份驗(yàn)證技術(shù)。但是其身份驗(yàn)證信息也是由簡(jiǎn)單的文本字符組成。而這些字符則是通過(guò)明文來(lái)進(jìn)行傳輸。這就給企業(yè)的網(wǎng)絡(luò)安全造成了隱患。

遇到這種情況時(shí),安全管理人員應(yīng)該采取適當(dāng)?shù)拇胧﹣?lái)確保SNMP協(xié)議的安全。筆者常用的手段是升級(jí)SNMP協(xié)議,采用SNMPV3版本。在這個(gè)版本中,可以設(shè)置對(duì)于傳輸?shù)臄?shù)據(jù)都采用加密處理,從而確保通信流量的安全性。

其次,可以結(jié)合上面談到的訪問(wèn)控制列表來(lái)加強(qiáng)SNMP協(xié)議的安全性。如在訪問(wèn)控制列表中設(shè)置,交換機(jī)只轉(zhuǎn)發(fā)那些來(lái)自受信子網(wǎng)或者工作站(其實(shí)就訪問(wèn)控制列表中定義允許的子網(wǎng)或者工作站的IP地址)的SNMP通信流量通過(guò)交換機(jī)。一般來(lái)說(shuō),只要做到這兩點(diǎn),SNMP協(xié)議的安全是有所保障的。

除此之外,限制鏈路聚集連接、關(guān)閉不需要的服務(wù)、少用HTTP協(xié)議等等,都是企業(yè)網(wǎng)絡(luò)安全管理中的細(xì)節(jié)方面的內(nèi)容。根據(jù)筆者的經(jīng)驗(yàn),大部分企業(yè)只要把握住這些細(xì)節(jié),并不需要購(gòu)買額外的安全設(shè)別,就可以滿足企業(yè)在安全方面的需求。當(dāng)然,像銀行等金融機(jī)構(gòu),對(duì)安全性級(jí)別要求特高,那在做好這些細(xì)節(jié)時(shí),還需要購(gòu)買專業(yè)的安全設(shè)備。

116197