提高企業(yè)交換機(jī)安全級別的方法
如在11.2以前版本的交換機(jī)軟件中,會默認(rèn)實(shí)現(xiàn)多個TCP或者UDP服務(wù)器。這么設(shè)計主要是為了方便管理以及跟現(xiàn)有的環(huán)境進(jìn)行集成。但是需要注意的是,在實(shí)際工作中,大多數(shù)的TCP和UDP服務(wù)基本上用不著。此時如果網(wǎng)絡(luò)管理員仍然將這些服務(wù)開啟著,無疑是給攻擊者留了一個口子。接下來是小編為大家收集的提高企業(yè)交換機(jī)安全級別的方法,希望能幫到大家。
提高企業(yè)交換機(jī)安全級別的方法
禁止一:禁用集成的HTTP后臺程序
在大部分廠家的交換機(jī)中都會提供HTTP后臺程序。這主要是為了方便用戶管理的需要。畢竟對于初學(xué)者來說,可能不習(xí)慣命令行的管理模式。而喜歡采用WEB界面對交換機(jī)等網(wǎng)絡(luò)設(shè)備進(jìn)行管理。但是在大部分情況下,這個HTTP后臺程序是不安全的。
如果開啟了這個服務(wù),則一些攻擊者可以向交換機(jī)等網(wǎng)絡(luò)設(shè)備發(fā)送大量的HTTP請求,從而導(dǎo)致交換機(jī)的CPU使用率節(jié)節(jié)攀升,從而可能導(dǎo)致系統(tǒng)發(fā)生拒絕服務(wù)攻擊。從而給網(wǎng)絡(luò)的正常運(yùn)行產(chǎn)生不利的影響。雖然包括思科在內(nèi)的大部分廠家的交換機(jī)為簡化管理都提供了一個集成的HTTP服務(wù)器,但是筆者還是建議在生產(chǎn)網(wǎng)絡(luò)中最好禁用這個特性。默認(rèn)情況下,思科的交換機(jī)中是禁用這個服務(wù)的。這也可以說明思科已經(jīng)意識到其可能帶來的安全隱患。之所以還留著這個服務(wù),可能是出于一些教學(xué)等方面的需要。
HTTP后臺程序不僅不安全,而且在多層交換網(wǎng)絡(luò)環(huán)境中基本上用不著。如果網(wǎng)絡(luò)管理員由于某些特殊的原因,確實(shí)要開啟這個后臺程序,那么也需要做好一定的安全措施。如需要通過訪問控制列表來限制可以使用這個程序的IP地址或者M(jìn)AC地址。也就是說限制只有網(wǎng)絡(luò)管理員等特定的人員才通過特定的終端才能夠訪問這個HTTP后臺程序。另外在有必要的情況下,還需要改變HTTP后臺程序的默認(rèn)端口。如此的話,一些掃描工具就比較難以發(fā)現(xiàn)交換機(jī)是否開啟了HTTP服務(wù),從而減少被攻擊的可能性。雖然通過這些安全措施可以在一定程度上提高整個后臺程序的安全級別。但是筆者最后還是要說,沒有特別充分的理由,最好還是禁用集成的HTTP后臺程序為好。
禁止二:限制鏈路聚集連接
通常情況下,在某些交換機(jī)上(如思科的Catalyst系列的交換機(jī))會有自動協(xié)商鏈路聚集的功能。這個自動協(xié)商功能是允許未經(jīng)授權(quán)的鏈路聚集端口引進(jìn)網(wǎng)絡(luò)。這個特性可能會在一定程度上提高網(wǎng)絡(luò)的靈活性。但是也會帶來網(wǎng)絡(luò)新的安全隱患。如這個未經(jīng)授權(quán)的鏈路聚集端口很有可能被攻擊者用來監(jiān)聽網(wǎng)絡(luò)上的通信流量,或者說被攻擊者用來發(fā)起Dos攻擊。這里需要特別提醒的是,在大部分情況下如果發(fā)起Dos等攻擊的話,鏈路聚集端口比普通的接入端口后果要嚴(yán)重的多。特別是企業(yè)中如果存在VLAN的話。如果在接入端口發(fā)起這個攻擊,那么受影響的最多就是一個VLAN。而如果在聚集端口上發(fā)起Dos攻擊的話,則會同時影響到多個VLAN。
所以從安全角度出發(fā),網(wǎng)絡(luò)管理員應(yīng)該在主機(jī)和接入端口上禁用鏈路聚集自動協(xié)商功能。
禁止三:禁用不需要的服務(wù)
從某種角度上來說,多啟動一項服務(wù),就好像是在交換機(jī)上多開了一扇門,多了一重風(fēng)險。為了提高交換機(jī)的安全性,網(wǎng)絡(luò)管理員需要習(xí)慣于只在交換機(jī)上啟動必需的服務(wù),禁用那些不需要的服務(wù)。
故筆者對網(wǎng)絡(luò)管理員有一個建議。在新的設(shè)備投入到企業(yè)網(wǎng)絡(luò)中之前,網(wǎng)絡(luò)管理員應(yīng)該仔細(xì)檢查每一臺設(shè)備的配置。一般來說包括設(shè)備啟動的服務(wù)與端口。對于服務(wù)來說,只要這個服務(wù)不需要用到(無論是短期還是長期的),那么就禁用他。對于端口也是類似,只要端口沒什么用處,就禁用。這里需要注意的是,在出廠的時候廠家可能出于滿足大部分客戶的要求出發(fā),會啟用比較多的服務(wù)。而對于某個特定的用戶或者應(yīng)用場景來說,這些服務(wù)就可能是不需要的。在大部分情況下,對于初始投入的網(wǎng)絡(luò)設(shè)備往往需要進(jìn)行比較大的調(diào)整。如在多層交換網(wǎng)絡(luò)環(huán)境中,需要禁止如下這些服務(wù):TCP SAMLL SERVERS、Finger、Boot服務(wù)器、不進(jìn)行身份驗證的NTP、ICMP重定向與不可達(dá)、定向廣播轉(zhuǎn)發(fā)等服務(wù)。在多層網(wǎng)絡(luò)環(huán)境中,這些服務(wù)基本上用不著。如果留著反而會成為威脅企業(yè)網(wǎng)絡(luò)安全的定時炸彈,還不如關(guān)閉好禁止四:盡可能少的使用CDP
CDP(Cisco設(shè)備直線發(fā)現(xiàn)協(xié)議)主要用來發(fā)現(xiàn)直連的CISCO設(shè)備的相關(guān)信息。簡單的說,CDP就是利用直連的兩個設(shè)備間定時發(fā)送CDP數(shù)據(jù)包來維持彼此的鄰居關(guān)系。由于CDP協(xié)議會在網(wǎng)絡(luò)中傳播相關(guān)設(shè)備的詳細(xì)信息。而這些信息如果給攻擊者收集到的話,則會給他們發(fā)動攻擊提供幫助。雖然有些專家認(rèn)為,只需要正確的規(guī)劃與配置,這個CDP協(xié)議還是一個比較安全的協(xié)議。但是要做到正確的規(guī)劃與配置,有一定的難度。企業(yè)的網(wǎng)越來越復(fù)雜,而且還在不斷的調(diào)整。故很少有管理員可以拍拍胸脯保證自己的網(wǎng)絡(luò)規(guī)劃與配置都是完美的。所以在實(shí)際工作中,還是需要盡可能的少用CDP。具體的來說,需要做到以下幾點(diǎn)。
一是在不必要的接口上禁用CDP。通常情況下,需要CDP協(xié)議的只有一個地方。即在多層網(wǎng)絡(luò)中,輔助VLAN可能需要這個協(xié)議。所以可以只為管理目的的接口上運(yùn)行CDP協(xié)議。根據(jù)筆者的經(jīng)驗,一般情況下會在交換機(jī)間連接(直連)接口上或者IP電話連接的接口上啟用CDP協(xié)議。
二是只在受控范圍內(nèi)的設(shè)備上啟用CDP協(xié)議。這主要是因為CDP協(xié)議是一種鏈路級別的協(xié)議。在實(shí)際工作中,除非使用了第二層隧道機(jī)制,否則的話CDP協(xié)議不會通過MAN或者WAN進(jìn)行端到端的傳播。所以對于MAN或者WAN連接,CDP表中可能包含服務(wù)器提供商的下一級路由器或者交換機(jī)。
三是不要在不安全的連接上運(yùn)行CDP協(xié)議。一般來說,internet連接被認(rèn)為是不安全的連接。最好不要在這些不安全的連接上運(yùn)行CDP協(xié)議。否則的話,萬一網(wǎng)絡(luò)被偵聽,這些機(jī)密信息都會泄露。此時CDP協(xié)議就會成為網(wǎng)絡(luò)攻擊者的道具。
在網(wǎng)絡(luò)管理中,安全性一直是不容忽視的一個問題。而要保障網(wǎng)絡(luò)的安全,往往需要從交換機(jī)的安全開始做起。其實(shí)通過以下四個禁止就可以明顯提高交換機(jī)的安全級別。
看了“提高企業(yè)交換機(jī)安全級別的方法”還想看: