【51CTO.com 綜合消息】網(wǎng)絡(luò)改造方案

  

安全特性及措施

分級配置用戶口令

將網(wǎng)絡(luò)交換機(jī)的登錄口令分為4級：參觀級、監(jiān)控級、配置級、管理級，不同的級別所能做的操作都不相同。

參觀級：網(wǎng)絡(luò)診斷工具命令（ping、tracert）、從本設(shè)備出發(fā)訪問外部設(shè)備的命令（包括：Telnet客戶端、SSH客戶端、RLOGIN）等，該級別命令不允許進(jìn)行配置文件保存的操作。

監(jiān)控級：用于系統(tǒng)維護(hù)、業(yè)務(wù)故障診斷等，包括display、debugging命令，該級別命令不允許進(jìn)行配置文件保存的操作。

配置級：業(yè)務(wù)配置命令，包括路由、各個網(wǎng)絡(luò)層次的命令，這些用于向用戶提供直接網(wǎng)絡(luò)服務(wù)。

管理級：關(guān)系到系統(tǒng)基本運行，系統(tǒng)支撐模塊的命令，這些命令對業(yè)務(wù)提供支撐作用，包括文件系統(tǒng)、FTP、TFTP、Xmodem下載、配置文件切換命令、電源控制命令、備板控制命令、用戶管理命令、級別設(shè)置命令、系統(tǒng)內(nèi)部參數(shù)設(shè)置命令（非協(xié)議規(guī)定、非RFC規(guī)定）等。

建議分級設(shè)置登錄口令，以便于對于不同的維護(hù)人員提供不同的口令。

對任何方式登陸的用戶都要認(rèn)證，也可采用SSH

建議對于各種登錄設(shè)備的方式（通過TELNET、CONSOLE口、AUX口）都進(jìn)行認(rèn)證。

在默認(rèn)的情況下，CONSOLE口不進(jìn)行認(rèn)證，在使用時建議對于CONSOLE口登錄配置上認(rèn)證。

對于安全級別一般的設(shè)備，建議認(rèn)證方式采用本地認(rèn)證，認(rèn)證的時候要求對用戶名和密碼都進(jìn)行認(rèn)證，配置密碼的時候要采用密文方式。用戶名和密碼要求足夠的強(qiáng)壯。

對于安全級別比較高的設(shè)備，建議采用AAA方式到RADIUS去認(rèn)證。 

對網(wǎng)絡(luò)上已知病毒使用的端口進(jìn)行過濾

現(xiàn)在網(wǎng)絡(luò)上的很多病毒發(fā)作時，對網(wǎng)絡(luò)上的主機(jī)進(jìn)行掃描搜索，該攻擊雖然不是針對設(shè)備本身，但是在攻擊過程中會涉及到發(fā)ARP探詢主機(jī)位置等操作，某些時候?qū)τ诰W(wǎng)絡(luò)設(shè)備的資源消耗十分大，同時會占用大量的帶寬。對于這些常見的病毒，通過分析它們的工作方式，可知道他們所使用的端口號。

為了避免這些病毒對于設(shè)備運行的影響，建議在設(shè)備上配置ACL，對已知的病毒所使用的TCP、UDP端口號進(jìn)行過濾。一方面保證了設(shè)備資源不被病毒消耗，另一方面阻止了病毒的傳播，保護(hù)了網(wǎng)絡(luò)中的主機(jī)設(shè)備。

關(guān)閉危險的服務(wù)

如果在不使用以下服務(wù)的時候，建議將這些服務(wù)關(guān)閉，防止那些通過這些服務(wù)的攻擊對設(shè)備的影響。

1、禁止HDP(Huawei Discovery Protocol)。

2、禁止其他的TCP、UDP Small服務(wù)。路由器提供一些基于TCP和UDP協(xié)議的小服務(wù)如：echo、chargen和discard。這些小服務(wù)很少被使用，而且容易被攻擊者利用來越過包過濾機(jī)制。

3、禁止Finger、NTP服務(wù)。Finger服務(wù)可能被攻擊者利用查找用戶和口令攻擊。NTP不是十分危險的，但是如果沒有一個很好的認(rèn)證，則會影響路由器正確時間，導(dǎo)致日志和其他任務(wù)出錯。

4、建議禁止HTTP服務(wù)。路由器操作系統(tǒng)支持Http協(xié)議進(jìn)行遠(yuǎn)端配置和監(jiān)視，而針對Http的認(rèn)證就相當(dāng)于在網(wǎng)絡(luò)上發(fā)送明文且對于Http沒有有效的基于挑戰(zhàn)或一次性的口令保護(hù)，這使得用Http進(jìn)行管理相當(dāng)危險。

5、禁止BOOTp服務(wù)。

6、禁止IP Source Routing。

7、明確的禁止IP Directed Broadcast。

8、禁止IP Classless。

9、禁止ICMP協(xié)議的IP Unreachables,Redirects,Mask－Replies。

10、如果沒必要則禁止WINS和DNS服務(wù)。

11、禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件。

12、禁止FTP服務(wù)，網(wǎng)絡(luò)上存在大量的FTP服務(wù)，使用不同的用戶名和密碼進(jìn)行嘗試登錄設(shè)備，一旦成功登錄，就可以對設(shè)備的文件系統(tǒng)操作，十分危險。

使用SNMP協(xié)議的建議

在不使用網(wǎng)管的時候，建議關(guān)閉SNMP協(xié)議。

出于SNMPv1/v2協(xié)議自身不安全性的考慮，建議盡量使用SNMPv3，除非網(wǎng)管不支持SNMPv3，只能用SNMPv1/v2。

在配置SNMPv3時，最好既鑒別又加密，以更有效地加強(qiáng)安全。鑒別協(xié)議可通過MD5或SHA，加密協(xié)議可通過DES。

在SNMP服務(wù)中，提供了ACL過濾機(jī)制，該機(jī)制適用于SNMPv1/v2/v3三個版本，建議通過訪問控制列表來限制SNMP的客戶端。

SNMP服務(wù)還提供了視圖控制，可用于SNMPv1/v2/v3。建議使用視圖來限制用戶的訪問權(quán)限。

在配置SNMPv1/v2的community名字時，建議避免使用public、private這樣公用的名字。并且在配置community時，將RO和RW的community分開，不要配置成相同的名字。如果不需要RW的權(quán)限，則建議不要配置RW的community。

關(guān)閉不使用的物理端口

為了防止誤接設(shè)備而引起網(wǎng)絡(luò)的異常，建議對于不使用的物理端口在配置上將其關(guān)閉，防止誤接。

保持系統(tǒng)日志打開

網(wǎng)絡(luò)設(shè)備的系統(tǒng)日志會記錄設(shè)備的運行信息，維護(hù)人員做了哪些操作，執(zhí)行了哪些命令。系統(tǒng)日志建議一直打開，以便于網(wǎng)絡(luò)異常的時候，查找相關(guān)的記錄。

系統(tǒng)日志缺省向console口、日志緩沖區(qū)輸出。

系統(tǒng)日志可以向Telnet終端和啞終端（monitor）、日志主機(jī)（loghost）輸出，但需要配置。

注意檢查設(shè)備的系統(tǒng)時間是否正確

為了保證日志時間的準(zhǔn)確性，建議定期（每月一次）檢查設(shè)備的系統(tǒng)時間是否準(zhǔn)確，和實際時間誤差不超過1分鐘。

在設(shè)備上開啟URPF功能

URPF通過獲取報文的源地址和入接口，以源地址為目的地址，在轉(zhuǎn)發(fā)表中查找源地址對應(yīng)的接口是否與入接口匹配，如果不匹配，認(rèn)為源地址是偽裝的，丟棄該報文。通過這種方式，URPF就能有效地防范網(wǎng)絡(luò)中通過修改源地址而進(jìn)行的惡意攻擊行為的發(fā)生。通過URPF，可以防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。

防攻擊的措施

這類防范措施請根據(jù)實際網(wǎng)絡(luò)和遭受攻擊的情況進(jìn)行。配置會對網(wǎng)絡(luò)造成一定影響，請慎重實施。

目前，網(wǎng)絡(luò)上最大也是最難解決的攻擊是DOS攻擊。大多數(shù)的Dos攻擊都是通過發(fā)送大量的無用包，從而占用路由器和帶寬的資源，導(dǎo)致網(wǎng)絡(luò)和設(shè)備過載，這種攻擊也稱為”洪泛攻擊”。對于這種攻擊的防范首先要明確瓶頸在哪里。

ICMP協(xié)議的安全配置：

ICMP協(xié)議很多具有一些安全隱患，因此在骨干網(wǎng)絡(luò)上，如果沒有特別需要建議禁止一些ICMP協(xié)議報文：ECHO、Redirect、Mask request。同時禁止TraceRoute命令的探測。對于流出的ICMP流，可以允許ECHO、Parameter Problem、Packet too big。還有TraceRoute命令的使用。這些的措施通過ACL功能都可以實現(xiàn)。

DDOS攻擊的防范：

DDoS(分布式拒絕服務(wù))，它的英文全稱為Distributed Denial of Service，它是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點，比如商業(yè)公司，搜索引擎和政府部門的站點。

該攻擊需要在發(fā)現(xiàn)問題后接入層面實施，先探測到DDOS攻擊源和攻擊使用的端口（這個功能可以通過端口鏡像，將數(shù)據(jù)流鏡像到專門的設(shè)備上進(jìn)行分析，以獲取攻擊源和攻擊使用的端口），然后對攻擊源的通信進(jìn)行限制，這類防范手段也可以通過ACL來實現(xiàn)。

Smurf攻擊的防范：

Smurf攻擊是向一個子網(wǎng)的廣播地址發(fā)一個帶有特定請求（如ICMP回應(yīng)請求）的包，并且將源地址偽裝成想要攻擊的主機(jī)地址。子網(wǎng)上所有主機(jī)都回應(yīng)廣播包請求而向被攻擊主機(jī)發(fā)包，使該主機(jī)受到攻擊。

該攻擊需要在發(fā)現(xiàn)問題后接入層面實施，先探測到Smurf攻擊源和攻擊使用的端口（這個功能可以通過端口鏡像，將數(shù)據(jù)流鏡像到專門的設(shè)備上進(jìn)行分析，以獲取攻擊源和攻擊使用的端口），然后對攻擊源的通信進(jìn)行限制，這類防范手段也可以通過ACL來實現(xiàn)。

TCP SYN攻擊的防范：

利用TCP連接機(jī)制的攻擊。Synflood: 該攻擊以多個隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送SYN包，而在收到目的主機(jī)的SYN ACK后并不回應(yīng)，這樣，目的主機(jī)就為這些源主機(jī)建立了大量的連接隊列，而且由于沒有收到ACK一直維護(hù)著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務(wù)。

該攻擊需要在發(fā)現(xiàn)問題后接入層面實施，先探測到TCP SYN攻擊源和攻擊使用的端口（這個功能可以通過端口鏡像，將數(shù)據(jù)流鏡像到專門的設(shè)備上進(jìn)行分析，以獲取攻擊源和攻擊使用的端口），然后對攻擊源的通信進(jìn)行限制，這類防范手段也可以通過ACL來實現(xiàn)。

LAND.C攻擊的防范：

攻擊者將一個包的源地址和目的地址都設(shè)置為目標(biāo)主機(jī)的地址，然后將該包通過IP欺騙的方式發(fā)送給被攻擊主機(jī)，這種包可以造成被攻擊主機(jī)因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能。

該攻擊需要在發(fā)現(xiàn)問題后接入層面實施，先探測到LAND.C攻擊源和攻擊使用的端口（這個功能可以通過端口鏡像，將數(shù)據(jù)流鏡像到專門的設(shè)備上進(jìn)行分析，以獲取攻擊源和攻擊使用的端口），然后對攻擊源的通信進(jìn)行限制，這類防范手段也可以通過ACL來實現(xiàn)。