Fork me on GitHub

网络设备安全

网络设备安全

本文简要整理网络设备安全。

资料来源:《信息安全完全参考手册》,清华大学出版社,第二版,第十八章

路由器和交换机基线配置

虽然IPv6技术已经开始部署,但是由于设备的更新换代和许多现实问题,IPv4仍然是目前的主流的内部网络减缓协议。IPv4地址早在2011年2月3日被用完,但是IPv6的部署仍然在过程中。

OSI

OSI模型由七层架构组成,来显示一台计算机程序向另外一台计算机传送数据的过程,如下表:

层数 名称 简述
第七层 应用层 为应用程序提供网络服务所需要的协议,如HTTP、SMTP、POP3、IMAP
第六层 表示层 将应用层的数据转换成可接受和可兼容的格式以便传输。数据被编码加密或被编码,数据压缩
第五层 会话层 为两台主机提供网络连接或会话的机制。通过该层维持会话。
第四层 传输层 TCP、UDP。用于使上三层和下三层协议正常通信,通过分配不同的端口来区别不同的应用程序。
第三层 网络层 为每台主机提供一个独一无二的地址。IP协议。
第二层 数据链路层 MAC(Media Access Control)介质访问控制和LLC(Logical Link Control) 逻辑链路层两层组成。MAC用来和同网段其他机器的电信号来进行信息交换。LLC提供流量控制、错误检验和同步功能。
第一层 物理层 以太网。用来定义和控制通过物理介质的电信号。

MAC地址、IP地址、ARP

网络中每个设备有两个和网络有关的地址:

  • MAC 物理地址:在每一个硬件网络接口上指定了独一无二的48位16进制的数据,或由虚拟化管理程序分派。
  • IP 地址:这里通常32位的IPv4地址。
  • ARP 地址解析协议:为了确定MAC地址,类似于DNS解析IP地址。

TCP/IP协议

TCP/IP模型和OSI模型不是严格对应的,大概如下:

TCP/IP OSI
应用层 应用层、表示层、会话层
TCP 传输层
IP 网络层
介质访问控制 数据链路层
物理层 物理层
  • 端口

除了使用公认的已知端口,则服务提供者需要提供说明使用的端口

TCP和UDP必须包含源端口(服务器端)。在源主机随机分配,一般在1023~65535内。

服务端和客户端用于通信的应用程序的服务/端口统称为“套接字”。

常见端口协议号

服务 协议 端口
FTP TCP 20,21
SSH TCP 22
Telnet TCP 23
SMTP TCP 25
DNS(zone transfers) TCP 53
DNS(queries) UDP 53
HTTP TCP 80
HTTPS TCP 443
POP3 TCP 110
IMAP TCP 143
SNMP UDP/TCP 161
NetBIOS TCP,UDP 137-139,445

集线器

解决最基本的网络连接问题的哑终端设备。用于将两个以上的设备连接起来。从一个端口接受到的数据包从另一个端口传输出去。

  • 网络冲突:网络中的两台设备同时进行传输而导致的数据包重叠或损坏。

将网络划分为小规模的网络区域十分必要,以此使网络性能达到可接受的水平。

交换机

交换机属于第二层设备(数据链路层)。

交换机能智能地得治所连接设备的MAC地址并将数据包转发给指定的地址,所以网络冲突显著减少,提供减少检测或“嗅探”其他工作站的网络通信来保障安全传输。

不能避免网络被嗅探的危险。可以ARP欺骗。

为了减少ARP攻击,可以:将重要主机从三层网络设备中独立出来或在交换机上创建虚拟局域网VLAN。或设置静态MAC地址的配对信息。

路由器

路由器属于第三层设备(网络层)。

路由器主要用在不同网络之间或同一网络的不同部分间进行通信。

得知不同网络的地址:

  • 路由协议动态获取
  • 管理策略手动指定静态路由

当网络中的路由不能 或者不应该通过路由协议进行直接分配时,需要使用静态路由,防火墙不通常不适用动态路由协议。

网络中伪造的路由信息会干扰正常的网络通信。

路由协议:距离矢量协议和链路状态协议。区别:到目标网络时计算有效路径的方法不同。

  • 距离矢量协议:小型网络(15台路由器以下)RIP最常用的协议,距离用跳来代表hop
  • 链路状态协议:大型网络。使用不同度量来计算与其他网络之间的最佳路由,同时还维护整个网络的路由表,使能其确定到远端网络的替换和平行的路由路径。OSPF、IS-IS。维持整个网络拓扑数据库。

当网络不稳定的时候,会发生路由回路(两台路由器都相信到制定网络的最短路径是下一跳是对方)

针对某些路由协议的特定格式数据包或缓冲区溢出的漏洞还是存在的。对设备进行检查:代码版本,关闭不需要的功能,明确与谁交换路由信息。

网络加固

安装补丁

及时更新补丁。

交换机安全实践

端口安全:交换机被配置成只有指定的MAC地址才能通过交换机的某个端口才能通信。

虚拟局域网VLANs:如果要与另外一个VLAN的主机通信,必须通过第三层设备发送数据包并将其路由转发到相应的VLAN。

访问控制列表

配置好信任的访问列表。

通过指定的主机或管理站点才能通过管理服务进行路由器管理。

禁用多余服务

  • ARP代理:允许一台主机代表真实的主机相应ARP请求,通常在防火墙上使用,用来为受保护的主机代理通信。
  • 网络发现协议:禁止。
  • 其他服务:
    • 诊断服务
    • BOOTP服务器
    • TFTP服务器
    • 指纹服务器
    • 网页服务器

管理实践

  • 远程命令行管理

    早期: Telent,无加密无保护

    推荐:SSH(安全壳协议)

    两套密码:一套用于访问控制一套用于配置管理

  • 集中账户管理AAA

    追溯多人操作时发生的内容

    劣势:若某个特权账户泄露,则可以获得所有管理设备的管理权限

    协议: RADIUS, TACACS

  • 简单网络管理协议

    提供集中监控与配置功能的一种协议,可以用于网络设备的监控与管理

互联网消息控制协议(ICMP)

ICMP = Internet control message protocol

  • 回显和路由跟踪

    ping,检测对方是否可用或者网络是否可达,若两台主机能互相ping通,那么网络互通且都满足OSI模式下的三层结构。

    路由跟踪通过发送主次增加的TTL(存活时间)的连续数据包来工作。

  • 不可达信息

    转发数据包时目标对象不可达或服务不可达

  • 定向广播

    网段中的第一个和最后一个IP地址是特殊地址,第一个被称为网络地址,最后一个被称为广播地址,向这两个地址发送数据宝将会认为是向这个网络中的所有主机发送数据包。

    流量放大攻击——攻击者向大型网络的广播地址发送ICMP信息,源地址为受攻击者。

  • 转发

    ICMP被用于向目标网络发送更有效的路由更新信息。应该禁止路由器接口上向不信任的网络或外部网络转发ICMP数据包。

反欺骗及源路由

向TCP/IP包中插入虚假信息,将外部地址伪装成内部地址。可以通过丢弃在入口接受到的内部源IP的数据包。边界路由器也应该丢弃RFC 1918中定向的私有IP地址和广播包。

日志

在路由器上保存日志,SIEM在入侵检测详细说到。