首页 > 信息安全 > 正文

企业多层网络交换机安全应该从细节抓起

2010-11-24 17:46:00  来源:it168网站

摘要:  笔者受邀对一些企业的网络安全进行评估时,发现一种奇怪的现象。很多网络管理员在安全设计时,喜欢采用高端的设备与技术,但是却忽视了一些细节与基础性的内容。
关键词: 信息安全 安全策略

  笔者受邀对一些企业的网络安全进行评估时,发现一种奇怪的现象。很多网络管理员在安全设计时,喜欢采用高端的设备与技术,但是却忽视了一些细节与基础性的内容。如采用了企业级的防火墙,但是却没有重视交换机本身的安全。为此笔者借助这个平台,向各位读者建议,企业网络安全应该从细节抓起。

  一、通过访问控制列表来限制用户的访问

  通过使用访问控制列表来限制管理访问和远程接入,就可以有效防止对管理接口的非授权访问和Dos拒绝服务攻击。其实这个配置是很基础的内容。如可以在企业边缘路由器上(连接到互联网的路由器),进行访问控制列表配置,拒绝从互联网接口接受Ping命令。

  另外如果企业有虚拟局域网设置,那么这个访问控制列表还可以跟其结合使用,进一步提高虚拟局域网的安全性。如可以设置只有网络管理员才可以访问某个特定的虚拟局域网等等。再如可以限制用户在上班时间访问娱乐网站、网上炒股、网络游戏等等可能会危害企业网络安全的行为。笔者认为,访问控制列表是一个很好的安全工具。可惜的是,不少网络管理员可能认为其太简单了,而忽视了这个技术的存在。却不知道,简单的往往是比较实用的。故笔者建议各位读者,还是需要好好研究一下访问控制列表。在购买安全设备之前,想想能否通过访问控制列表来实现安全方面的需求。尽量不要购买第三方的安全产品,以降低网络的复杂性。

  二、配置系统警告标语,以起到警示的作用

  我们到超市或者书店的时候,往往会看到“市场已安装涉嫌头、请各位自重”的标语。这种标语会在无形中给小偷一种心理的警示。其实在企业网络交换机安全规划中,也可以设计一个警告标语,让攻击者知难而退。

  笔者认为,无论是出于安全或者管理的目的,配置一条在用户登录前线时的系统警告标语是一种方便、有效的实施安全和通用策略的方式。即在用户连接到交换机、在输入用户名与密码之前,向用户提供一个警告标语。标语可以是这台设备的用途,也可以是警告用户不要进行非授权访问的警示语。就好像超市中“安装摄像头”的警示语一样,对非法访问的用户起到一个警示的作用。在用户正式登陆之前,网络管理员可以让交换机明确的指出交换机的归属、使用方法、安全措施(可以适当的夸大)、访问权限以及所采取的保护策略(这也可适当夸大)。如可以说明将对用户所采用的IP地址进行合法性验证等等。以起到应有的警示作用。

  三、为交换机配置一把安全的钥匙

  现在市场上的交换机,通常对口令采用的都是MD5加密方法。如以思科的多层交换机为例,通过使用enable secret命令,可以进入系统的特权模式,设置相关的口令。不过需要注意的是,此时虽然对口令进行了加密处理,但是这个加密机制并不是很复杂。通常情况下,可以采用字典攻击来破解用户设置的口令。那这是否说明不需要为交换机设置口令呢?其实这是一个误解。

  我们在设置交换机口令的时候,可以增加口令的复杂性,来提高破解的难度。这就好像银行卡密码一样。其理论上也可以通过采用字典攻击的方式来破解密码。但是只要将密码设置的复杂一些(如不要采用相同的数字、生日、电话号码作为密码),同时设置密码策略(如密码连续错误三次将锁住),如此就可以提高这个密码的安全性。

  对于交换机来说,也是这个道理。虽然其只是采用了MD5加密机制,可以通过字典攻击来破解。但是我们仍然可以通过加强密码的复杂性,让字典攻击知难而退。这个道理,可能大家都懂得。在学校的网络安全课程上,这也是一个基础性的内容。可是真的到了实际工作中,很多人都忽视了其的存在。笔者认为,可以在交换机的密码中加入一些特殊的字符,如标点符号,或者大小写、字母与数字混用等等,来为交换机配置比较坚固的口令。

  笔者受邀对一些企业的网络安全进行评估时,发现一种奇怪的现象。很多网络管理员在安全设计时,喜欢采用高端的设备与技术,但是却忽视了一些细节与基础性的内容。如采用了企业级的防火墙,但是却没有重视交换机本身的安全。为此笔者借助这个平台,向各位读者建议,企业网络安全应该从细节抓起。

  一、通过访问控制列表来限制用户的访问

  通过使用访问控制列表来限制管理访问和远程接入,就可以有效防止对管理接口的非授权访问和Dos拒绝服务攻击。其实这个配置是很基础的内容。如可以在企业边缘路由器上(连接到互联网的路由器),进行访问控制列表配置,拒绝从互联网接口接受Ping命令。

  另外如果企业有虚拟局域网设置,那么这个访问控制列表还可以跟其结合使用,进一步提高虚拟局域网的安全性。如可以设置只有网络管理员才可以访问某个特定的虚拟局域网等等。再如可以限制用户在上班时间访问娱乐网站、网上炒股、网络游戏等等可能会危害企业网络安全的行为。笔者认为,访问控制列表是一个很好的安全工具。可惜的是,不少网络管理员可能认为其太简单了,而忽视了这个技术的存在。却不知道,简单的往往是比较实用的。故笔者建议各位读者,还是需要好好研究一下访问控制列表。在购买安全设备之前,想想能否通过访问控制列表来实现安全方面的需求。尽量不要购买第三方的安全产品,以降低网络的复杂性。

  二、配置系统警告标语,以起到警示的作用

  我们到超市或者书店的时候,往往会看到“市场已安装涉嫌头、请各位自重”的标语。这种标语会在无形中给小偷一种心理的警示。其实在企业网络交换机安全规划中,也可以设计一个警告标语,让攻击者知难而退。

  笔者认为,无论是出于安全或者管理的目的,配置一条在用户登录前线时的系统警告标语是一种方便、有效的实施安全和通用策略的方式。即在用户连接到交换机、在输入用户名与密码之前,向用户提供一个警告标语。标语可以是这台设备的用途,也可以是警告用户不要进行非授权访问的警示语。就好像超市中“安装摄像头”的警示语一样,对非法访问的用户起到一个警示的作用。在用户正式登陆之前,网络管理员可以让交换机明确的指出交换机的归属、使用方法、安全措施(可以适当的夸大)、访问权限以及所采取的保护策略(这也可适当夸大)。如可以说明将对用户所采用的IP地址进行合法性验证等等。以起到应有的警示作用。

  三、为交换机配置一把安全的钥匙

  现在市场上的交换机,通常对口令采用的都是MD5加密方法。如以思科的多层交换机为例,通过使用enable secret命令,可以进入系统的特权模式,设置相关的口令。不过需要注意的是,此时虽然对口令进行了加密处理,但是这个加密机制并不是很复杂。通常情况下,可以采用字典攻击来破解用户设置的口令。那这是否说明不需要为交换机设置口令呢?其实这是一个误解。

  我们在设置交换机口令的时候,可以增加口令的复杂性,来提高破解的难度。这就好像银行卡密码一样。其理论上也可以通过采用字典攻击的方式来破解密码。但是只要将密码设置的复杂一些(如不要采用相同的数字、生日、电话号码作为密码),同时设置密码策略(如密码连续错误三次将锁住),如此就可以提高这个密码的安全性。

  对于交换机来说,也是这个道理。虽然其只是采用了MD5加密机制,可以通过字典攻击来破解。但是我们仍然可以通过加强密码的复杂性,让字典攻击知难而退。这个道理,可能大家都懂得。在学校的网络安全课程上,这也是一个基础性的内容。可是真的到了实际工作中,很多人都忽视了其的存在。笔者认为,可以在交换机的密码中加入一些特殊的字符,如标点符号,或者大小写、字母与数字混用等等,来为交换机配置比较坚固的口令。

  四、CDP协议要尽量少用

  CDP思科发现协议是思科网络设备中一个比较重要的协议。其可以传播网络设备的详细信息。如在多层交换网络中,辅助Vlan和其他的专用解决方案需要CDP协议的支持。所以默认情况下,这个协议是开启的。但是我们做安全的人员需要注意,这个协议会带来比较大的安全隐患。我们需要在安全与实用性之间取得一个均衡。通常情况下,我们并不需要在所有的交换机等网络设备上都启用这个协议。或者说,这个协议要尽量的少用,要用在刀口上。

  如CDP协议通常情况下只有管理员才用的着。所以安全人员可以在交换机的每个接口上都禁用CDP协议,而只为管理目的运行CDP协议。如通常情况下,需要在交换机的廉洁上和IP电话连接的接口上启用CDP协议。

  再如可以考虑只在受控制范围内定设备之间运行CDP协议。这主要是因为CDP协议时一种链路级别的协议。通常情况下除非使用了第二层隧道机制,否则的话它是不会通过Wan进行端到端的传播。这也就是说,对于Wan连接,CDP表中可能包含服务器提供的下一跳路由器或者交换机的信息,而不是企业控制之下的远端路由器。总之就是不要再不安起的连接(一般Internet连接被认为是不安全的)上运行CDP协议。

  总之,CDP协议在某些方面确实很有用。但是从安全的角度讲,不能够对CDP协议进行滥用。而应该将其用在刀刃上,在必需的接口上启用CDP协议。

  五、注意SNMP是一把双刃剑

  SNMP协议通CDP协议一样,其安全性也一直备受争议。笔者认为,SNMP协议是一把双刃剑。从管理角度讲,很多网络管理员离不开SNMP协议。但是从安全角度讲,其确实存在着比较大的安全隐患。这主要是因为SNMP协议在网络中通常是通过明文来传输的。即使是采用了SNMPV2C,其虽然采用了身份验证技术。但是其身份验证信息也是由简单的文本字符组成。而这些字符则是通过明文来进行传输。这就给企业的网络安全造成了隐患。

  遇到这种情况时,安全管理人员应该采取适当的措施来确保SNMP协议的安全。笔者常用的手段是升级SNMP协议,采用SNMPV3版本。在这个版本中,可以设置对于传输的数据都采用加密处理,从而确保通信流量的安全性。

  其次,可以结合上面谈到的访问控制列表来加强SNMP协议的安全性。如在访问控制列表中设置,交换机只转发那些来自受信子网或者工作站(其实就访问控制列表中定义允许的子网或者工作站的IP地址)的SNMP通信流量通过交换机。一般来说,只要做到这两点,SNMP协议的安全是有所保障的。

  除此之外,限制链路聚集连接、关闭不需要的服务、少用HTTP协议等等,都是企业网络安全管理中的细节方面的内容。根据笔者的经验,大部分企业只要把握住这些细节,并不需要购买额外的安全设别,就可以满足企业在安全方面的需求。当然,像银行等金融机构,对安全性级别要求特高,那在做好这些细节时,还需要购买专业的安全设备。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:lyfzlj

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。