網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備是傳輸數(shù)據(jù)、應(yīng)用程序、服務(wù)和多媒體所需的通信的網(wǎng)絡(luò)組件。這些設(shè)備包括路由器、防火墻、交換機(jī)、服務(wù)器、負(fù)載平衡器、入侵檢測(cè)系統(tǒng)、域名系統(tǒng)和存儲(chǔ)區(qū)域網(wǎng)絡(luò)。

[[442435]]

這些設(shè)備是惡意網(wǎng)絡(luò)攻擊者的理想目標(biāo)，因?yàn)榇蠖鄶?shù)或所有組織和客戶(hù)流量都必須通過(guò)它們。

• 存在于組織網(wǎng)關(guān)路由器上的攻擊者可以監(jiān)視、修改和拒絕進(jìn)出組織的流量。
• 存在于組織內(nèi)部路由和交換基礎(chǔ)設(shè)施上的攻擊者可以監(jiān)控、修改和拒絕進(jìn)出網(wǎng)絡(luò)內(nèi)關(guān)鍵主機(jī)的流量，并利用信任關(guān)系對(duì)其他主機(jī)進(jìn)行橫向移動(dòng)。

使用舊的、未加密的協(xié)議來(lái)管理主機(jī)和服務(wù)的組織和個(gè)人使惡意網(wǎng)絡(luò)攻擊者可以輕松地成功獲取憑據(jù)。誰(shuí)控制了網(wǎng)絡(luò)的路由基礎(chǔ)設(shè)施，本質(zhì)上就是控制流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)。

哪些安全威脅與網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備相關(guān)?

網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備通常很容易成為攻擊者的目標(biāo)。安裝后，許多網(wǎng)絡(luò)設(shè)備的安全級(jí)別不會(huì)與通用臺(tái)式機(jī)和服務(wù)器保持相同。以下因素也可能導(dǎo)致網(wǎng)絡(luò)設(shè)備的脆弱性：

• 很少有網(wǎng)絡(luò)設(shè)備，尤其是小型辦公室/家庭辦公室和住宅級(jí)路由器等運(yùn)行防病毒、完整性維護(hù)和其他有助于保護(hù)通用主機(jī)的安全工具。
• 制造商使用可利用的服務(wù)構(gòu)建和分發(fā)網(wǎng)絡(luò)設(shè)備，服務(wù)易于安裝、操作和維護(hù)。
• 網(wǎng)絡(luò)設(shè)備的所有者和運(yùn)營(yíng)商通常不會(huì)更改供應(yīng)商的默認(rèn)設(shè)置、對(duì)其進(jìn)行加固以進(jìn)行操作或執(zhí)行定期修補(bǔ)。
• 一旦制造商或供應(yīng)商不再支持設(shè)備，互聯(lián)網(wǎng)服務(wù)提供商不得更換客戶(hù)財(cái)產(chǎn)上的設(shè)備。
• 業(yè)主和運(yùn)營(yíng)商在調(diào)查、尋找入侵者、恢復(fù)網(wǎng)絡(luò)入侵后的通用主機(jī)時(shí)，往往會(huì)忽視網(wǎng)絡(luò)設(shè)備。

如何提高網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備的安全性?

鼓勵(lì)用戶(hù)和網(wǎng)絡(luò)管理員實(shí)施以下建議，以更好地保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施：

• 細(xì)分和隔離網(wǎng)絡(luò)和功能。
• 限制不必要的橫向溝通。
• 強(qiáng)化網(wǎng)絡(luò)設(shè)備。
• 安全訪(fǎng)問(wèn)基礎(chǔ)設(shè)施設(shè)備。
• 執(zhí)行帶外 (OoB) 網(wǎng)絡(luò)管理。
• 驗(yàn)證硬件和軟件的完整性。

分段和隔離網(wǎng)絡(luò)和功能

安全架構(gòu)師必須考慮整體基礎(chǔ)架構(gòu)布局，包括分段和隔離。適當(dāng)?shù)木W(wǎng)絡(luò)分段是一種有效的安全機(jī)制，可防止入侵者傳播漏洞或在內(nèi)部網(wǎng)絡(luò)中橫向移動(dòng)。在分段不佳的網(wǎng)絡(luò)上，入侵者能夠擴(kuò)大其影響以控制關(guān)鍵設(shè)備或訪(fǎng)問(wèn)敏感數(shù)據(jù)和知識(shí)產(chǎn)權(quán)。隔離基于角色和功能來(lái)分隔網(wǎng)段。安全隔離的網(wǎng)絡(luò)可以隔離包含惡意事件，從而減少入侵者在網(wǎng)絡(luò)內(nèi)部某處獲得立足點(diǎn)時(shí)的影響。

敏感信息的物理隔離

傳統(tǒng)的網(wǎng)絡(luò)設(shè)備，例如路由器，可以分隔局域網(wǎng) (LAN) 網(wǎng)段。組織可以在網(wǎng)絡(luò)之間放置路由器以創(chuàng)建邊界、增加廣播域的數(shù)量并有效過(guò)濾用戶(hù)的廣播流量。組織可以通過(guò)將流量限制在不同的網(wǎng)段來(lái)使用邊界來(lái)遏制安全漏洞，甚至可以在入侵期間關(guān)閉部分網(wǎng)絡(luò)，限制對(duì)手的訪(fǎng)問(wèn)。

建議：

• 在設(shè)計(jì)網(wǎng)段時(shí)實(shí)施最小權(quán)限和需要知道的原則。
• 將敏感信息和安全要求劃分為網(wǎng)段。
• 將安全建議和安全配置應(yīng)用于所有網(wǎng)段和網(wǎng)絡(luò)層。

敏感信息的虛擬分離

隨著技術(shù)的變化，新的戰(zhàn)略被開(kāi)發(fā)出來(lái)以提高信息技術(shù)效率和網(wǎng)絡(luò)安全控制。虛擬隔離是同一物理網(wǎng)絡(luò)上的網(wǎng)絡(luò)的邏輯隔離。虛擬分段使用與物理分段相同的設(shè)計(jì)原則，但不需要額外的硬件?，F(xiàn)有技術(shù)可用于防止入侵者破壞其他內(nèi)部網(wǎng)段。

建議：

• 使用私有虛擬局域網(wǎng) (VLAN)將用戶(hù)與其余廣播域隔離。
• 使用虛擬路由和轉(zhuǎn)發(fā) (VRF) 技術(shù)在單個(gè)路由器上同時(shí)通過(guò)多個(gè)路由表對(duì)網(wǎng)絡(luò)流量進(jìn)行分段。
• 使用虛擬專(zhuān)用網(wǎng)絡(luò)通過(guò)公共或?qū)Ｓ镁W(wǎng)絡(luò)建立隧道來(lái)安全地?cái)U(kuò)展主機(jī)/網(wǎng)絡(luò)。

限制不必要的橫向通信

允許未經(jīng)過(guò)濾的點(diǎn)對(duì)點(diǎn)通信(包括工作站到工作站)會(huì)產(chǎn)生嚴(yán)重的漏洞，并且可以使網(wǎng)絡(luò)入侵者的訪(fǎng)問(wèn)權(quán)限輕松傳播到多個(gè)系統(tǒng)。一旦入侵者在網(wǎng)絡(luò)中建立了一個(gè)有效的灘頭陣地，未經(jīng)過(guò)濾的橫向通信允許入侵者在整個(gè)網(wǎng)絡(luò)中創(chuàng)建后門(mén)。后門(mén)幫助入侵者在網(wǎng)絡(luò)中保持持久性，并阻礙防御者遏制和根除入侵者的努力。

建議：

• 使用基于主機(jī)的防火墻規(guī)則來(lái)限制通信，以拒絕來(lái)自網(wǎng)絡(luò)中其他主機(jī)的數(shù)據(jù)包流?？梢詣?chuàng)建防火墻規(guī)則來(lái)過(guò)濾主機(jī)設(shè)備、用戶(hù)、程序或互聯(lián)網(wǎng)協(xié)議 (IP) 地址，以限制來(lái)自服務(wù)和系統(tǒng)的訪(fǎng)問(wèn)。
• 實(shí)施 VLAN 訪(fǎng)問(wèn)控制列表 (VACL)，這是一種控制進(jìn)出 VLAN 的過(guò)濾器。應(yīng)創(chuàng)建 VACL 過(guò)濾器以拒絕數(shù)據(jù)包流向其他 VLAN 的能力。
• 使用物理或虛擬隔離在邏輯上隔離網(wǎng)絡(luò)，允許網(wǎng)絡(luò)管理員將關(guān)鍵設(shè)備隔離到網(wǎng)段上。

強(qiáng)化網(wǎng)絡(luò)設(shè)備

增強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性的一個(gè)基本方法是通過(guò)安全配置保護(hù)網(wǎng)絡(luò)設(shè)備。政府機(jī)構(gòu)、組織和供應(yīng)商為管理員提供了廣泛的指導(dǎo)，包括基準(zhǔn)和最佳實(shí)踐，關(guān)于如何強(qiáng)化網(wǎng)絡(luò)設(shè)備。管理員應(yīng)結(jié)合法律、法規(guī)、站點(diǎn)安全策略、標(biāo)準(zhǔn)和行業(yè)最佳實(shí)踐來(lái)實(shí)施以下建議。

建議：

• 禁用用于管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施的未加密遠(yuǎn)程管理協(xié)議(例如 Telnet、文件傳輸協(xié)議 [FTP])。
• 禁用不必要的服務(wù)(例如，發(fā)現(xiàn)協(xié)議、源路由、超文本傳輸協(xié)議 [HTTP]、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 [SNMP]、引導(dǎo)協(xié)議)。
• 使用 SNMPv3(或后續(xù)版本)，但不要使用SNMP 社區(qū)字符串。
• 安全訪(fǎng)問(wèn)控制臺(tái)、輔助和虛擬終端線(xiàn)路。
• 實(shí)施強(qiáng)大的密碼策略，并使用可用的最強(qiáng)密碼加密。
• 通過(guò)控制遠(yuǎn)程管理的訪(fǎng)問(wèn)列表來(lái)保護(hù)路由器和交換機(jī)。
• 限制對(duì)路由器和交換機(jī)的物理訪(fǎng)問(wèn)。
• 備份配置并將它們離線(xiàn)存儲(chǔ)。使用最新版本的網(wǎng)絡(luò)設(shè)備操作系統(tǒng)并保持更新所有補(bǔ)丁。
• 根據(jù)安全要求定期測(cè)試安全配置。
• 在發(fā)送、存儲(chǔ)和備份文件時(shí)通過(guò)加密或訪(fǎng)問(wèn)控制保護(hù)配置文件。

安全訪(fǎng)問(wèn)基礎(chǔ)設(shè)施設(shè)備

可以授予管理權(quán)限以允許用戶(hù)訪(fǎng)問(wèn)不廣泛可用的資源。限制基礎(chǔ)設(shè)施設(shè)備的管理權(quán)限對(duì)于安全性至關(guān)重要，因?yàn)槿肭终呖梢岳梦凑_授權(quán)、廣泛授予或未經(jīng)嚴(yán)格審核的管理權(quán)限。攻擊者可以使用受損的權(quán)限來(lái)遍歷網(wǎng)絡(luò)、擴(kuò)展訪(fǎng)問(wèn)權(quán)限并完全控制基礎(chǔ)設(shè)施主干。組織可以通過(guò)實(shí)施安全訪(fǎng)問(wèn)策略和程序來(lái)減少未經(jīng)授權(quán)的基礎(chǔ)設(shè)施訪(fǎng)問(wèn)。

建議：

(1) 實(shí)施多因素身份驗(yàn)證(MFA)。身份驗(yàn)證是用于驗(yàn)證用戶(hù)身份的過(guò)程。攻擊者通常利用弱身份驗(yàn)證過(guò)程。MFA 至少使用兩個(gè)身份組件來(lái)驗(yàn)證用戶(hù)的身份。身份組件包括

• 用戶(hù)知道的東西(例如密碼)，
• 用戶(hù)擁有的對(duì)象(例如令牌)，以及
• 用戶(hù)獨(dú)有的特征(例如，指紋)。

(2) 管理特權(quán)訪(fǎng)問(wèn)。使用提供身份驗(yàn)證、授權(quán)和計(jì)費(fèi) (AAA) 服務(wù)的服務(wù)器來(lái)存儲(chǔ)網(wǎng)絡(luò)設(shè)備管理的訪(fǎng)問(wèn)信息。AAA 服務(wù)器將使網(wǎng)絡(luò)管理員能夠根據(jù)最小權(quán)限原則為用戶(hù)分配不同的權(quán)限級(jí)別。當(dāng)用戶(hù)試圖執(zhí)行未經(jīng)授權(quán)的命令時(shí)，它將被拒絕。如果可能，除了使用 AAA 服務(wù)器之外，還可以實(shí)施硬令牌認(rèn)證服務(wù)器。使用 MFA 使入侵者更難竊取和重用憑據(jù)以訪(fǎng)問(wèn)網(wǎng)絡(luò)設(shè)備。

(3) 管理管理憑據(jù)。如果您的系統(tǒng)無(wú)法滿(mǎn)足 MFA 最佳實(shí)踐，請(qǐng)采取以下措施：

• 更改默認(rèn)密碼。
• 根據(jù)NIST SP 800-63C數(shù)字身份指南和加拿大的信息技術(shù)系統(tǒng)ITSP戶(hù)身份驗(yàn)證指南，確保密碼長(zhǎng)度至少為 8 個(gè)字符，并允許密碼長(zhǎng)度為 64 個(gè)字符(或更長(zhǎng))。
• 根據(jù)不可接受的值的拒絕列表檢查密碼，例如常用的、預(yù)期的或已泄露的密碼。
• 確保所有存儲(chǔ)的密碼都經(jīng)過(guò)加鹽和散列。
• 將密碼存儲(chǔ)在受保護(hù)的離線(xiàn)位置，例如保險(xiǎn)箱，以便緊急訪(fǎng)問(wèn)。

執(zhí)行帶外管理

OoB 管理使用備用通信路徑來(lái)遠(yuǎn)程管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備。這些專(zhuān)用通信路徑的配置可以有所不同，包括從虛擬隧道到物理分離的任何內(nèi)容。使用 OoB 訪(fǎng)問(wèn)來(lái)管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施將通過(guò)限制訪(fǎng)問(wèn)和將用戶(hù)流量與網(wǎng)絡(luò)管理流量分開(kāi)來(lái)增強(qiáng)安全性。OoB 管理提供安全監(jiān)控，并且可以在不讓對(duì)手(即使是已經(jīng)破壞了一部分網(wǎng)絡(luò)的人)觀(guān)察到這些變化的情況下執(zhí)行糾正措施。

OoB 管理可以物理地、虛擬地或通過(guò)兩者的混合來(lái)實(shí)施。盡管構(gòu)建額外的物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施的實(shí)施和維護(hù)成本可能很高，但對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)，這是最安全的選擇。虛擬實(shí)施成本較低，但仍需要大量的配置更改和管理。在某些情況下，例如訪(fǎng)問(wèn)遠(yuǎn)程位置，虛擬加密隧道可能是唯一可行的選擇。

建議：

• 將標(biāo)準(zhǔn)網(wǎng)絡(luò)流量與管理流量分開(kāi)。
• 確保設(shè)備上的管理流量?jī)H來(lái)自O(shè)oB。
• 將加密應(yīng)用于所有管理渠道。
• 加密對(duì)基礎(chǔ)設(shè)施設(shè)備(如終端或撥入服務(wù)器)的所有遠(yuǎn)程訪(fǎng)問(wèn)。
• 通過(guò)安全通道(最好在 OoB 上)從專(zhuān)用的、完全修補(bǔ)的主機(jī)管理所有管理功能。
• 通過(guò)測(cè)試補(bǔ)丁、關(guān)閉路由器和交換機(jī)上不必要的服務(wù)以及實(shí)施強(qiáng)密碼策略來(lái)強(qiáng)化網(wǎng)絡(luò)管理設(shè)備。監(jiān)控網(wǎng)絡(luò)并查看日志。實(shí)施僅允許所需管理或管理服務(wù)的訪(fǎng)問(wèn)控制(例如，SNMP、網(wǎng)絡(luò)時(shí)間協(xié)議、安全外殼、FTP、普通 FTP、遠(yuǎn)程桌面協(xié)議 [RDP]、服務(wù)器消息塊 [SMB])。

驗(yàn)證硬件和軟件的完整性

通過(guò)未經(jīng)授權(quán)的渠道購(gòu)買(mǎi)的產(chǎn)品通常被稱(chēng)為假冒、二級(jí)或灰色市場(chǎng)設(shè)備。許多媒體報(bào)道都描述了灰色市場(chǎng)硬件和軟件進(jìn)入市場(chǎng)的情況。非法的硬件和軟件會(huì)給用戶(hù)信息和網(wǎng)絡(luò)環(huán)境的整體完整性帶來(lái)嚴(yán)重風(fēng)險(xiǎn)。灰色市場(chǎng)產(chǎn)品可能會(huì)給網(wǎng)絡(luò)帶來(lái)風(fēng)險(xiǎn)，因?yàn)樗鼈兩形唇?jīng)過(guò)全面測(cè)試以滿(mǎn)足質(zhì)量標(biāo)準(zhǔn)。由于供應(yīng)鏈中斷，從二級(jí)市場(chǎng)購(gòu)買(mǎi)產(chǎn)品存在購(gòu)買(mǎi)假冒、被盜或二手設(shè)備的風(fēng)險(xiǎn)。此外，供應(yīng)鏈中的漏洞為在設(shè)備上安裝惡意軟件和硬件提供了機(jī)會(huì)。受損的硬件或軟件會(huì)影響網(wǎng)絡(luò)性能并危及網(wǎng)絡(luò)資產(chǎn)的機(jī)密性、完整性或可用性。最后，未經(jīng)授權(quán)或惡意軟件可能會(huì)在設(shè)備投入使用后加載到設(shè)備上，因此組織應(yīng)定期檢查軟件的完整性。

建議：

• 嚴(yán)格控制供應(yīng)鏈，只從授權(quán)經(jīng)銷(xiāo)商處購(gòu)買(mǎi)。
• 要求經(jīng)銷(xiāo)商強(qiáng)制執(zhí)行供應(yīng)鏈完整性檢查，以驗(yàn)證硬件和軟件的真實(shí)性。
• 安裝后，檢查所有設(shè)備是否有篡改跡象。
• 驗(yàn)證來(lái)自多個(gè)來(lái)源的序列號(hào)。
• 從經(jīng)過(guò)驗(yàn)證的來(lái)源下載軟件、更新、補(bǔ)丁和升級(jí)。
• 執(zhí)行哈希驗(yàn)證，并將值與供應(yīng)商的數(shù)據(jù)庫(kù)進(jìn)行比較，以檢測(cè)對(duì)固件的未經(jīng)授權(quán)的修改。
• 定期監(jiān)控和記錄設(shè)備——驗(yàn)證設(shè)備的網(wǎng)絡(luò)配置。
• 培訓(xùn)網(wǎng)絡(luò)所有者、管理員和采購(gòu)人員，以提高對(duì)灰色市場(chǎng)設(shè)備的認(rèn)識(shí)。

本文轉(zhuǎn)載自微信公眾號(hào)「祺印說(shuō)信安」，作者何威風(fēng)。轉(zhuǎn)載本文請(qǐng)聯(lián)系祺印說(shuō)信安公眾號(hào)。