第七章 网络设备安全知识讲解.docx
《第七章 网络设备安全知识讲解.docx》由会员分享,可在线阅读,更多相关《第七章 网络设备安全知识讲解.docx(38页珍藏版)》请在冰豆网上搜索。
第七章网络设备安全知识讲解
第7章网络设备安全知识
项目一网络设备安全
☆预备知识
1.计算网络面临的威胁;
2.黑客基本入侵技术;
3.网络的安全策略。
☆技能目标
1.了解网络设备的安全隐患;
2.掌握路由器在网络安全方面的知识;
3.掌握局域网的安全防范方法。
☆项目案例
在信息中心上网时,小孟打开电脑后发现自己的硬盘驱动被删除了,更严重中的是电脑出现了特洛伊木马程序,小孟纳闷了自己的电脑一直都没人动,怎么会出现这样的现象呢?
他去询问了张主任,根据小孟提供的情况,张主任分析小孟电脑中硬盘驱动被删除可能是有些人通过无线网连接到了他的WLAN对他的网络进行了访问。
并刻意造成了破坏。
主要还是网络设备的问题,小孟问到使用无线局域网应该注意哪些呢?
怎样安全设置路由器?
7.1网络设备面临的威胁
7.1.1主要网络设备简介
从网络安全的角度考虑本章只对路由器、交换机、无线局域网接入器作简单介绍。
1、路由器
路由器工作在网络层,是互联网的关键设备,用于连接不同的网络。
主要功能包括IP数据包的转发、路由的计算和更新、ICMP消息的处理、网络管理四个方面。
同时还具有数据包过虑、网络地址转换的功能,能够完成防火墙的部分功能,但这对路由器的性能提出了较高的要求。
有的路由器还支持虚拟私有专线连接,它适用于企业的总部与分部之间信息的连接,提供数据加密传输、数据可靠性验证、用户身份认证等一系列的安全防范措施,使用户能在现有设备的基础上通过Internet安全传输数据。
2、交换机
交换机一般工作在数据链路层,是智能化的转发设备,能够为每个端口提供独立的高带宽。
主要功能包括分隔冲突域、提供端口的冗余备份、端口的链路汇聚、虚拟局域网、组播技术。
有的交换机还具有三层交换功能、结合管理软件的用户认证功能、网络服务质量(QualityofService,简称QoS)功能、MAC地址和IP地址过滤功能。
3、无线局域网接入器
无线网络作为有线网络的补充,扩大了有线网络的覆盖范围和接入的灵活度,使移动用户和布线困难的位置可以轻松接入网络,可以为用户提供无线漫游接入和移动办公。
无线网桥是无线网络的接入设备,在安全方面一般支持64-bit或128-bitWEP(WiredEquivalentProtocol,有线等效保密)加密,提供MAC地址过滤和SSID(ServiceSetIdentifier,服务识别码)隐藏功能。
7.1.2网络设备面临的安全威胁
目前的网络设备从管理方面可以分为以下三类。
●不需要也不允许用户进行配置和管理的设备,如集线器。
●网络设备支持通过特殊的端口与计算机串口、并口或USB口连接,通过计算机中超级终端或网络设备自带的管理软件进行配置和管理的设备,如通过串口管理的交换机。
●网络设备支持通过网络进行管理。
即允许网络设备通过特殊的端口与计算机串口、并口或USB口连接,进行网络设备的配置和管理;还允许为网络设备设置IP地址,用户可以通过telnet命令、网管软件或Web等方式对网络设备进行配置和管理,如可网管交换机、路由器等。
前两类网络设备不能通过网络进行管理,一般设备本身不会遭到入侵攻击。
第三类网络设备如果设置不当、网络设备中的软件有漏洞都可能引起网络设备被攻击。
网络设备面临的安全威胁主要有以下六个方面。
1、人为设置错误
在网络设备配置和管理中,人为设置错误会给网络设备甚至整个网络带来严重的安全问题。
常见的人为设置错误主要有以下三种:
(1)网络设备管理的密码设置为缺省密码而不更改甚至不设密码
在可网管的网络设备中,都使用密码来验证登录到网络设备上的用户的合法性和权限。
密码在网络设备上有两种保存方式,一种是明码的文本,可以通过查看配置文件直接看到密码,另一种是经过加密的,不能通过查看配置文件而直接识别出来。
网络设备有的有缺省密码,有的密码为空,用户在配置网络设备时首先将密码修改为复杂的密码,并使用加密存放或使用TACACS+或RADIUS认证服务器。
一旦入侵者通过了网络设备的密码验证,该网络设备的控制权就被入侵者控制了,将威胁网络设备及网络的安全。
(2)不对远程管理等进行适当的控制
对于网络设备的管理,通常使用图形界面的网管软件、telnet命令、浏览器等方式,方便地对网络设备进行远程管理,用户要对这些远程管理进行适当的限制。
(3)网络设备的配置错误
如果网络设备的配置错误将无法达到预期的目的,会威胁网络的安全。
如路由器中的访问控制配置错误、无线局域网接入器广播服务识别码等。
2、网络设备上运行的软件存在漏洞
必须对在设备上运行的软件的缺陷给予充分的注意。
当接到软件缺陷报告时需要迅速进行版本升级等措施,并对网络设备上的软件和配置文件作备份。
3、泄漏路由设备位置和网络拓扑
攻击者利用tracert命令和SNMP(简单网络管理协议)很容易确定网络路由设备位置和网络拓扑结构。
如用tracert命令可以查看经过的路由。
4、拒绝服务攻击的目标
拒绝服务攻击服务器会使服务器无法提供服务,而攻击网络设备,特别是局域网出口的路由器,将影响整个网络的应用。
在局域网出口的路由器上采取防止拒绝服务攻击的配置,可以有效的保护路由器及整个网络的安全。
5、攻击者的攻击跳板
攻击者入侵网络设备后可以再通过该网络设备攻击内部网络。
如入侵网络设备后使用telnet、ping等命令入侵内部网络。
6、交换机端口监听
在使用集线器的网络中网络很容易被监听,在使用交换机的网络中使用一些工具也可以捕获交换机环境下的敏感数据。
总之,安全始终是信息网络安全的一个重要方面,攻击者往往通过控制网络中设备来破坏系统和信息,或扩大已有的破坏。
一般说来,一次网络攻击的成功与否取决于三个因素:
攻击者的能力(capability);攻击者的动机(motivation);攻击者的机会(opportunity)。
正常情况下,普通用户是无法削弱攻击者的能力和动机这两个因素的,但是有一点我们可以做到:
那就是尽量减少他们的攻击机会。
而对网络设备进行安全加固的目的就是减少攻击者的攻击机会。
一般来说,当用户按照其信息保护策略(InformationProtectionPolicy,IPP)购入(或采用其它方式获得)并部署好设备后,设备中的主要组成系统,包括操作系统、软件配置等,往往在一定时间段内是保持相对稳定的。
在这段时间内,如果设备本身存在安全上的脆弱性,则它们往往会成为攻击者攻击的目标。
这些设备的安全脆弱性包括:
●提供不必要的网络服务,提高了攻击者的攻击机会;
●存在不安全的配置,带来不必要的安全隐患;
●不适当的访问控制;
●存在系统软件上的安全漏洞;
●物理上没有得到安全存放,容易遭受临近攻击(close-inattack);
7.2路由器在网络安全方面的应用
路由器是局域网连接外部网络的重要桥梁,是网络系统中不可或缺的重要部件,也是网络安全的前沿关口。
但是路由器的维护却很少被大家所重视。
试想,如果路由器连自身的安全都没有保障,整个网络也就毫无安全可言。
因此在网络安全管理上,必须对路由器进行合理规划、配置,采取必要的安全保护措施,避免因路由器自身的安全问题而给整个网络系统带来漏洞和风险 。
7.2.1路由器安全存在的问题
1.身份问题
虽然关于弱(默认)口令的问题已经有所改善,但如果黑客能够浏览系统的配置文件,则会引起身份危机,所以建议启用路由器上的口令加密功能。
另外,要实施合理的验证控制以便路由器安全地传输证书。
可以配置一些协议,如远程验证拨入用户服务,这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。
验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器。
验证服务器还可以要求用户使用双因素验证,以此加强验证系统。
双因素的前者是软件或硬件的令牌生成部分,后者则是用户身份和令牌通行码。
其他验证解决方案涉及在安全外壳(SSH)或IPSec内传送安全证书。
2.漏洞问题
路由器也有自己的操作系统即网络操作系统(IOS),及时打上安全补丁可以减少路由器漏洞问题的发生。
但是这样也不能保证彻底解决漏洞问题,因为漏洞常常是在供应商发行补丁之前被披露,这个时间差也是发生漏洞问题的危险时间。
3.访问控制问题
(1)限制物理访问
限制系统物理访问是确保路由器安全的有效方法。
限制系统物理访问就是要避免将调制解调器连接至路由器的辅助端口,或者将控制台和终端会话配置成在较短闲置时间后自动退出系统。
(2)限制逻辑访问
限制逻辑访问主要是借助于访问控制列表,由于访问控制列表在数据过滤方面的重要作用,所以下面单列一段对此进行详细阐述。
4.路由协议问题
路由协议方面,要避免使用路由信息协议(RIP),因为RIP很容易被欺骗从而接受不合法的路由更新,在江苏烟草行业,各烟草单位都是统一配置,使用开放最短路径优先协议(OSPF)等,以便在接受路由更新之前,通过发送口令的MD5散列,使用口令验证对方,所以,路由协议方面应该不会构成问题。
5.配置管理问题
要有控制存放、检索及更新路由器配置的配置管理策略,将配置备份文档妥善保存在安全服务器上,以防新配置遇到问题时方便更换、重装或恢复到原先的配置。
可以通过两种方法将配置文档(包括系统日志)存放在支持命令行接口(CLI)的路由器平台上。
一种方法是运行脚本,配置脚本使其能够在服务器到路由器之间建立SSH会话、登录系统、关闭控制器日志功能、显示配置、保存配置到本地文件以及退出系统;另外一种方法是在服务器到路由器之间建立IPSec隧道,通过该安全隧道内的TFTP将配置文件拷贝到服务器。
7.2.2路由器的安全配置
下面给大家介绍一些加强路由器安全的措施和方法,让我们的网络更加安全。
1.为路由器间的协议交换增加认证功能,提高网络安全性。
路由器的一个重要功能是路由的管理和维护,目前具有一定规模的网络都采用动态的路由协议,常用的有:
RIP、EIGRP、OSPF、IS-IS、BGP等。
一台设置了相同路由协议和相同区域标示符的路由器加入网络后,会学习网络上的路由信息表。
但此种方法可能导致网络拓扑信息泄漏,也可能由于向网络发送自己的路由信息表,扰乱网络上正常工作的路由信息表,严重时可以使整个网络瘫痪。
这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证。
当路由器配置了认证方式,就会鉴别路由信息的收发方。
2.路由器的物理安全防范。
路由器控制端口是具有特殊权限的端口,如果攻击者物理接触路由器后,断电重启,实施“密码修复”进而登录路由器,就可以完全控制路由器。
3.保护路由器口令。
在备份的路由器配置文件中,密码即使是用加密的形式存放,密码明文仍存在被破解的可能。
一旦密码泄漏,网络也就毫无安全可言。
4.阻止察看路由器诊断信息。
关闭命令如下:
no service tcp-small-servers no service udp-small- servers
5.阻止查看到路由器当前的用户列表。
关闭命令为:
no service finger。
6.关闭CDP服务。
在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息:
设备平台、操作系统版本、端口、IP地址等重要信息。
可以用命令:
no cdp running或no cdp enable关闭这个服务。
7.阻止路由器接收带源路由标记的包,将带有源路由选项的数据流丢弃。
“IP source-route”是一个全局配置命令,允许路由器处理带源路由选项标记的数据流。
启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙。
关闭命令如下:
no ip source- route。
8.关闭路由器广播包的转发。
Sumrf D.o.S攻击以有广播转发配置的路由器作为反射板,占用网络资源,甚至造成网络的瘫痪。
应在每个端口应用“no ip directed-broadcast”关闭路由器广播包。
9.管理HTTP服务。
HTTP服务提供Web管理接口。
“no ip http server”可以停止HTTP服务。
如果必须使用HTTP,一定要使用访问列表“ip http access-class”命令,严格过滤允许的IP地址,同时用“ip http authentication ”命令设定授权限制。
10.抵御spoofing(欺骗)类攻击。
使用访问控制列表,过滤掉所有目标地址为网络广播地址和宣称来自内部网络,实际却来自外部的包。
在路由器端口配置:
ip access-group list in number 访问控制列表如下:
access-list number deny icmp any any redirect
access-list number deny ip 127.0.0.0 0.255.255.255 any
access-list number deny ip 224.0.0.0 31.255.255.255 any
access-list number deny ip host 0.0.0.0 any
注:
上述四行命令将过滤BOOTP/DHCP 应 用中的部分数据包,在类似环境中使用时要有充分的认识。
11.防止包嗅探。
黑客经常将嗅探软件安装在已经侵入的网络上的计算机内,监视网络数据流 ,从而盗窃密码,包括SNMP 通信密码,也包括路由器的登录和特权密码,这样网络管理员难以保证网络的安全性。
在不可信任的网络上不要用非加密协议登录路由器。
如果路由器支持加密协议,请使用SSH 或 Kerberized Telnet,或使用IPSec加密路由器所有的管理流。
12.校验数据流路径的合法性。
使用RPF(reverse path forwarding)反相路径转发,由于攻击者地址是违法的,所以攻击包被丢弃,从而达到抵御spoofing 攻击的目的。
RPF反相路径转发的配置命令为:
ip verify unicast rpf。
注意:
首先要支持 CEF(Cisco Express Forwarding)快速转发。
13.防止SYN 攻击。
目前,一些路由器的软件平台可以开启TCP 拦截功能,防止SYN 攻击,工作模式分拦截和监视两种,默认情况是拦截模式。
(拦截模式:
路由器响应到达的SYN请求,并且代替服务器发送一个SYN-ACK报文,然后等待客户机ACK。
如果收到ACK,再将原来的SYN报文发送到服务器;监视模式:
路由器允许SYN请 求直接到达服务器,如果这个会话在30秒内没有建立起来,路由器就会发送 一个RST,以清除这个连接。
)
首先,配置访问列表,以备开启需要保护的IP 地址:
accesslist [1-199] [deny|permit] tcp any destination destination-wildcard,然后,开启TCP拦截:
Ip tcp intercept mode intercept Ip tcp intercept list access list-number Ip tcp intercept mode watch
14.使用安全的SNMP管理方案。
SNMP广泛应用在路由器的监控、配置方面。
SNMP Version 1在穿越公网的管 理应用方面,安全性低,不适合使用。
利用访问列表仅仅允许来自特定工作 站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能。
配置命令:
snmp-server community xxxxx RW xx ;xx是访问控制列表号 SNMP Version 2使用MD5数字身份鉴别方式。
不同的路由器设备配置不同的数字签名密码, 这是提高整体安全性能的有效手段。
路由器作为整个网络的关键性设备,安全问题是需要我们特别重视。
当然,如果仅仅是靠上面的这些设置方法,来保护我们的网络是远远不够的 ,还需要 配合其他的设备来一起做好安全防范措施,将网络打造成为一个 安全稳定的信息交流平台。
7.3交换机的安全技术
网络交换机作为内部网络的核心和骨干,交换机的安全性对整个内部网络的安全起着举足轻重的作用。
目前市面上的大多数二层、三层交换机都有丰富的安全功能,以满足各种应用对交换机安全的需求。
安全性较高的交换机应该具有VLAN的划分、数据包过滤、用户验证、地址绑定、入侵检测、报文审计管理、操作日志管理、安全策略管理等安全技术和安全管理等措施。
在交换机安全方面主要有以下技术。
1、虚拟局域网(VirtualLocalAreaNetwork,VLAN)技术
由于以太网是基于CSMA/CD机制的网络,不可避免地会产生包的广播和冲突,而数据广播会占用带宽,也影响安全,在网路比较大、比较复杂时有必要使用VLAN来减少网络中的广播。
采用VLAN技术基于一个或多个交换机的端口、地址或协议将本地局域网分成组,每个组形成一个对外界封闭的用户群,具有自己的广播域,组内广播的数据流只发送给组内用户,不同VLAN间不能直接通讯,组间通讯需要通过三层交换机或路由器来实现,从而增强了局域网的安全性。
2、交换机端口安全技术
交换机除了可以基于端口划分VLAN之外,还能将MAC地址锁定在端口上,以阻止非法的MAC地址连接网络。
这样的交换机能设置一个安全地址表,并提供基于该地址表的过滤,也就是说只有在地址表中的MAC地址发来的数据包才能在交换机的指定端口进行网络连接,否则不能。
在交换机端口安全技术方面,交换机支持设置端口的学习状态、设置端口最多学习到的MAC地址个数、端口和MAC地址绑定以及广播报文转发开关等地址安全技术。
此外,还通过报文镜像、基于ACL的报文包数和字节数的报文统计、基于ACL的流量限制等技术来保障整个网络的安全。
3、包过滤技术
随着三层及三层以上交换技术的应用,交换机除了对MAC地址过滤之外,还支持IP包过滤技术,能对网络地址、端口号或协议类型进行严格检查,根据相应的过滤规则,允许和/或禁止从某些节点来的特定类型的IP包进入局域网交换,这样就扩大了过滤的灵活性和可选择的范围,增加了网络交换的安全性。
4、交换机的安全网管
为了方便远程控制和集中管理,中高档交换机通常都提供了网络管理功能。
在网管型交换机中,要考虑的是其网管系统与交换系统相独立的,当网管系统出现故障时,不能影响网络的正常运行。
此外交换机的各种配置数据必须有保护措施,如修改默认口令、修改简单网络管理协议(SimpleNetworkManagementProtocol,SNMP)密码字,以防止未授权的修改。
5、集成的入侵检测技术
由于网络攻击可能来源于内部可信任的地址,或者通过地址伪装技术欺骗MAC地址过滤,因此,仅依赖于端口和地址的管理是无法杜绝网络入侵的,入侵检测系统是增强局域网安全必不可少的部分。
在高端交换机中,已经将入侵检测代理或微代码增加在交换机中以加强其安全性。
集成入侵检测技术目前遇到的一大困难是如何跟上高速的局域网交换速度。
6、用户认证技术
目前一些交换机支持PPP、Web和802.1x等多种认证方式。
802.1x适用于接入设备与接入端口间点到点的连接方式,其主要功能是限制未授权设备通过以太网交换机的公共端口访问局域网。
结合认证服务器和计费服务器可以完成用户的完全认证和计费。
目前一些交换机结合认证服务系统,可以做到基于交换机、交换机端口、IP地址、MAC地址、VLAN、用户名和密码六个要素相结合的认证。
基本解决IP地址盗用、用户密码盗用等安全问题。
要做好全面的内网安全,除了正确使用交换机的安全技术外,还应该修改交换机的缺省口令和管理验证字、考虑禁止交换机上不需要的网络服务、防范交换环境下的网络监听、防范DoS攻击、使用入侵检测系统等。
此外可网管交换机上运行有交换机的操作系统,这些软件也会有代码漏洞,在漏洞被发现并报告后,可以通过厂商升级包或补丁及时弥补漏洞。
7.4无线局域网的安全知识
无线局域网(WLAN)因其安装便捷、组网灵活的优点在许多领域获得了越来越广泛的应用,但由于它传送的数据利用无线电波在空中传播,发射的数据可能到达预期之外的接收设备,因而WLAN存在着网络信息容易被窃取的问题。
对某些人来说,他们可能认为无线网络的安全性问题显得很复杂,设置一个安全的无线网络可能需要十分专业的基础知识和进行复杂的设置,也有人会讲:
“我只是用电脑上上网而已,并没有干其他什么重要的事情,为什么我还要为安全问题费心呢?
”,所以他们会放弃在安全方面的打算,这样就导致自己的网络“门户大开”。
通过本节内容的学习可能就不会产生这样的想法了。
7.4.1无安全措施的WLAN所面临的三大风险
1.网络资源暴露无遗
一旦某些别有用心的人通过无线网络连接到你的WLAN,这样他们就与那些直接连接到你LAN交换机上的用户一样,都对整个网络有一定的访问权限。
在这种情况下,除非你事先已采取了一些措施,限制不明用户访问网络中的资源和共享文档,否则入侵者能够做授权用户所能做的任何事情。
在你的网络上,文件、目录、或者整个的硬盘驱动器能够被复制或删除,或者其他更坏的情况是那些诸如键盘记录、特洛伊木马、间谍程序或其他的恶意程序,它们能够被安装到你的系统中,并且通过网络被那些入侵者所操纵工作,这样的后果就可想而知了。
2.敏感信息被泄露
只要运用适当的工具,WEB页面能够被实时重建,这样你所浏览过WEB站点的URL就能被捕获下来,刚才你在这些页面中输入的一些重要的密码会被入侵者偷窃和记录下来,如果是那些信用卡密码之类的话,还将造成经济的损失。
3.充当别人的跳板
在国外,如果开放的WLAN被入侵者用来传送盗版电影或音乐,你极有可能会收到RIAA的律师信。
更极端的事实是,如果你的因特网连接被别人用来从某个FTP站点下载一些不适宜的内容,或者把它来充当服务器,你就有可能面临更严重的问题。
并且,开放的WLAN也可能被用来发送垃圾邮件、DoS攻击或传播病毒等等。
7.4.2保护我们的WLAN
在明白了一个毫无防护的WLAN所面临的种种问题后,我们就应该在问题发生之前作一些相应的应对措施,而不要等到发生严重的后果后才意识到安全的网络维护是多么重要。
下面介绍一些针对各种不同层次的入侵方式时采取的各种应对措施。
对于拥有无线网卡的普通用户,在一个无任何防护的无线LAN前,要想攻击它的话,并不需要采取什么特别的手段,只要任何一台配置有无线网卡的机器就行了,能够在计算机上把无线网卡开启的人就是一个潜在的入侵者。
在许多情况下,人们无心地打开了他们装备有无线设备的计算机,并且恰好位于你的WLAN覆盖范围之内,这样他们的机器不是自动地连接到了你的AP,就是在“可用的”AP列表中看到了它。
不小心,他们就闯进了你未设防的“领域”了。
其实,在平常的统计中,有相当一部分的未授权连接就是来自这样的情况,并不是别人要有意侵犯你的网络,而是有时无意中在好奇心的驱使下的行为而已。
如下的对策可以保护你的网络避免不经意的访问。
1.更改默认设置
最起码,要更改默认的管理员密码,而且如果设备支持的话,最好把管理员的用户名也一同更改。
对大多数无线网络设备来说,管理员的密码可能是通用的,因此,假如你没有更改这个密码,而另外的人就可轻而易举地用默认的用户名和密码登录到了你的无线网络设备上,获得整个网络的管理权限,最后,你可能会发现自己都不能够够登录到你的WLAN了,当然,通过恢复工厂设置还是可重新获得控制权的。
更改你AP或无线路由器的默认SSID,当你操作的环境附近有其他邻近的AP时,更改默认的SSID就尤其需要了,在同一区域内有相同制造商的多台AP时,它们可能拥有相同的SSID,这样客户端就会有一个相当大的偶然机会去连接到不属于它们的AP上。
在SSID
升级会员 