網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備是傳輸數(shù)據(jù)���、應(yīng)用程序、服務(wù)和多媒體所需的通信的網(wǎng)絡(luò)組件���。這些設(shè)備包括路由器���、防火墻、交換機(jī)����、服務(wù)器、負(fù)載平衡器��、入侵檢測(cè)系統(tǒng)�、域名系統(tǒng)和存儲(chǔ)區(qū)域網(wǎng)絡(luò)。
為蓮湖等地區(qū)用戶提供了全套網(wǎng)頁(yè)設(shè)計(jì)制作服務(wù)����,及蓮湖網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為做網(wǎng)站����、網(wǎng)站設(shè)計(jì)、蓮湖網(wǎng)站設(shè)計(jì)�����,以傳統(tǒng)方式定制建設(shè)網(wǎng)站����,并提供域名空間備案等一條龍服務(wù)���,秉承以專業(yè)、用心的態(tài)度為用戶提供真誠(chéng)的服務(wù)��。我們深信只要達(dá)到每一位用戶的要求����,就會(huì)得到認(rèn)可,從而選擇與我們長(zhǎng)期合作��。這樣���,我們也可以走得更遠(yuǎn)����!
這些設(shè)備是惡意網(wǎng)絡(luò)攻擊者的理想目標(biāo)�,因?yàn)榇蠖鄶?shù)或所有組織和客戶流量都必須通過(guò)它們����。
- 存在于組織網(wǎng)關(guān)路由器上的攻擊者可以監(jiān)視、修改和拒絕進(jìn)出組織的流量���。
- 存在于組織內(nèi)部路由和交換基礎(chǔ)設(shè)施上的攻擊者可以監(jiān)控���、修改和拒絕進(jìn)出網(wǎng)絡(luò)內(nèi)關(guān)鍵主機(jī)的流量�����,并利用信任關(guān)系對(duì)其他主機(jī)進(jìn)行橫向移動(dòng)�。
使用舊的�、未加密的協(xié)議來(lái)管理主機(jī)和服務(wù)的組織和個(gè)人使惡意網(wǎng)絡(luò)攻擊者可以輕松地成功獲取憑據(jù)。誰(shuí)控制了網(wǎng)絡(luò)的路由基礎(chǔ)設(shè)施����,本質(zhì)上就是控制流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)。
哪些安全威脅與網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備相關(guān)?
網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備通常很容易成為攻擊者的目標(biāo)�。安裝后,許多網(wǎng)絡(luò)設(shè)備的安全級(jí)別不會(huì)與通用臺(tái)式機(jī)和服務(wù)器保持相同����。以下因素也可能導(dǎo)致網(wǎng)絡(luò)設(shè)備的脆弱性:
- 很少有網(wǎng)絡(luò)設(shè)備,尤其是小型辦公室/家庭辦公室和住宅級(jí)路由器等運(yùn)行防病毒����、完整性維護(hù)和其他有助于保護(hù)通用主機(jī)的安全工具。
- 制造商使用可利用的服務(wù)構(gòu)建和分發(fā)網(wǎng)絡(luò)設(shè)備��,服務(wù)易于安裝、操作和維護(hù)��。
- 網(wǎng)絡(luò)設(shè)備的所有者和運(yùn)營(yíng)商通常不會(huì)更改供應(yīng)商的默認(rèn)設(shè)置��、對(duì)其進(jìn)行加固以進(jìn)行操作或執(zhí)行定期修補(bǔ)�����。
- 一旦制造商或供應(yīng)商不再支持設(shè)備��,互聯(lián)網(wǎng)服務(wù)提供商不得更換客戶財(cái)產(chǎn)上的設(shè)備���。
- 業(yè)主和運(yùn)營(yíng)商在調(diào)查�、尋找入侵者��、恢復(fù)網(wǎng)絡(luò)入侵后的通用主機(jī)時(shí)����,往往會(huì)忽視網(wǎng)絡(luò)設(shè)備。
如何提高網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備的安全性?
鼓勵(lì)用戶和網(wǎng)絡(luò)管理員實(shí)施以下建議����,以更好地保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施:
- 細(xì)分和隔離網(wǎng)絡(luò)和功能���。
- 限制不必要的橫向溝通�。
- 強(qiáng)化網(wǎng)絡(luò)設(shè)備。
- 安全訪問(wèn)基礎(chǔ)設(shè)施設(shè)備��。
- 執(zhí)行帶外 (OoB) 網(wǎng)絡(luò)管理��。
- 驗(yàn)證硬件和軟件的完整性�����。
分段和隔離網(wǎng)絡(luò)和功能
安全架構(gòu)師必須考慮整體基礎(chǔ)架構(gòu)布局���,包括分段和隔離�。適當(dāng)?shù)木W(wǎng)絡(luò)分段是一種有效的安全機(jī)制�����,可防止入侵者傳播漏洞或在內(nèi)部網(wǎng)絡(luò)中橫向移動(dòng)��。在分段不佳的網(wǎng)絡(luò)上��,入侵者能夠擴(kuò)大其影響以控制關(guān)鍵設(shè)備或訪問(wèn)敏感數(shù)據(jù)和知識(shí)產(chǎn)權(quán)�����。隔離基于角色和功能來(lái)分隔網(wǎng)段。安全隔離的網(wǎng)絡(luò)可以隔離包含惡意事件���,從而減少入侵者在網(wǎng)絡(luò)內(nèi)部某處獲得立足點(diǎn)時(shí)的影響���。
敏感信息的物理隔離
傳統(tǒng)的網(wǎng)絡(luò)設(shè)備,例如路由器���,可以分隔局域網(wǎng) (LAN) 網(wǎng)段��。組織可以在網(wǎng)絡(luò)之間放置路由器以創(chuàng)建邊界��、增加廣播域的數(shù)量并有效過(guò)濾用戶的廣播流量��。組織可以通過(guò)將流量限制在不同的網(wǎng)段來(lái)使用邊界來(lái)遏制安全漏洞�,甚至可以在入侵期間關(guān)閉部分網(wǎng)絡(luò)����,限制對(duì)手的訪問(wèn)。
建議:
- 在設(shè)計(jì)網(wǎng)段時(shí)實(shí)施最小權(quán)限和需要知道的原則��。
- 將敏感信息和安全要求劃分為網(wǎng)段��。
- 將安全建議和安全配置應(yīng)用于所有網(wǎng)段和網(wǎng)絡(luò)層����。
敏感信息的虛擬分離
隨著技術(shù)的變化,新的戰(zhàn)略被開(kāi)發(fā)出來(lái)以提高信息技術(shù)效率和網(wǎng)絡(luò)安全控制�����。虛擬隔離是同一物理網(wǎng)絡(luò)上的網(wǎng)絡(luò)的邏輯隔離��。虛擬分段使用與物理分段相同的設(shè)計(jì)原則���,但不需要額外的硬件?����,F(xiàn)有技術(shù)可用于防止入侵者破壞其他內(nèi)部網(wǎng)段����。
建議:
- 使用私有虛擬局域網(wǎng) (VLAN)將用戶與其余廣播域隔離����。
- 使用虛擬路由和轉(zhuǎn)發(fā) (VRF) 技術(shù)在單個(gè)路由器上同時(shí)通過(guò)多個(gè)路由表對(duì)網(wǎng)絡(luò)流量進(jìn)行分段。
- 使用虛擬專用網(wǎng)絡(luò)通過(guò)公共或?qū)S镁W(wǎng)絡(luò)建立隧道來(lái)安全地?cái)U(kuò)展主機(jī)/網(wǎng)絡(luò)���。
限制不必要的橫向通信
允許未經(jīng)過(guò)濾的點(diǎn)對(duì)點(diǎn)通信(包括工作站到工作站)會(huì)產(chǎn)生嚴(yán)重的漏洞�����,并且可以使網(wǎng)絡(luò)入侵者的訪問(wèn)權(quán)限輕松傳播到多個(gè)系統(tǒng)��。一旦入侵者在網(wǎng)絡(luò)中建立了一個(gè)有效的灘頭陣地�,未經(jīng)過(guò)濾的橫向通信允許入侵者在整個(gè)網(wǎng)絡(luò)中創(chuàng)建后門。后門幫助入侵者在網(wǎng)絡(luò)中保持持久性��,并阻礙防御者遏制和根除入侵者的努力����。
建議:
- 使用基于主機(jī)的防火墻規(guī)則來(lái)限制通信,以拒絕來(lái)自網(wǎng)絡(luò)中其他主機(jī)的數(shù)據(jù)包流����。可以創(chuàng)建防火墻規(guī)則來(lái)過(guò)濾主機(jī)設(shè)備���、用戶���、程序或互聯(lián)網(wǎng)協(xié)議 (IP) 地址,以限制來(lái)自服務(wù)和系統(tǒng)的訪問(wèn)����。
- 實(shí)施 VLAN 訪問(wèn)控制列表 (VACL)���,這是一種控制進(jìn)出 VLAN 的過(guò)濾器。應(yīng)創(chuàng)建 VACL 過(guò)濾器以拒絕數(shù)據(jù)包流向其他 VLAN 的能力�。
- 使用物理或虛擬隔離在邏輯上隔離網(wǎng)絡(luò)�����,允許網(wǎng)絡(luò)管理員將關(guān)鍵設(shè)備隔離到網(wǎng)段上�。
強(qiáng)化網(wǎng)絡(luò)設(shè)備
增強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性的一個(gè)基本方法是通過(guò)安全配置保護(hù)網(wǎng)絡(luò)設(shè)備。政府機(jī)構(gòu)����、組織和供應(yīng)商為管理員提供了廣泛的指導(dǎo),包括基準(zhǔn)和最佳實(shí)踐���,關(guān)于如何強(qiáng)化網(wǎng)絡(luò)設(shè)備���。管理員應(yīng)結(jié)合法律、法規(guī)���、站點(diǎn)安全策略��、標(biāo)準(zhǔn)和行業(yè)最佳實(shí)踐來(lái)實(shí)施以下建議����。
建議:
- 禁用用于管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施的未加密遠(yuǎn)程管理協(xié)議(例如 Telnet、文件傳輸協(xié)議 [FTP])��。
- 禁用不必要的服務(wù)(例如���,發(fā)現(xiàn)協(xié)議�、源路由�、超文本傳輸協(xié)議 [HTTP]、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 [SNMP]���、引導(dǎo)協(xié)議)��。
- 使用 SNMPv3(或后續(xù)版本)�,但不要使用SNMP 社區(qū)字符串��。
- 安全訪問(wèn)控制臺(tái)�、輔助和虛擬終端線路。
- 實(shí)施強(qiáng)大的密碼策略���,并使用可用的最強(qiáng)密碼加密�。
- 通過(guò)控制遠(yuǎn)程管理的訪問(wèn)列表來(lái)保護(hù)路由器和交換機(jī)。
- 限制對(duì)路由器和交換機(jī)的物理訪問(wèn)����。
- 備份配置并將它們離線存儲(chǔ)。使用最新版本的網(wǎng)絡(luò)設(shè)備操作系統(tǒng)并保持更新所有補(bǔ)丁�。
- 根據(jù)安全要求定期測(cè)試安全配置。
- 在發(fā)送�����、存儲(chǔ)和備份文件時(shí)通過(guò)加密或訪問(wèn)控制保護(hù)配置文件�����。
安全訪問(wèn)基礎(chǔ)設(shè)施設(shè)備
可以授予管理權(quán)限以允許用戶訪問(wèn)不廣泛可用的資源����。限制基礎(chǔ)設(shè)施設(shè)備的管理權(quán)限對(duì)于安全性至關(guān)重要���,因?yàn)槿肭终呖梢岳梦凑_授權(quán)��、廣泛授予或未經(jīng)嚴(yán)格審核的管理權(quán)限����。攻擊者可以使用受損的權(quán)限來(lái)遍歷網(wǎng)絡(luò)、擴(kuò)展訪問(wèn)權(quán)限并完全控制基礎(chǔ)設(shè)施主干����。組織可以通過(guò)實(shí)施安全訪問(wèn)策略和程序來(lái)減少未經(jīng)授權(quán)的基礎(chǔ)設(shè)施訪問(wèn)。
建議:
(1) 實(shí)施多因素身份驗(yàn)證(MFA)�。身份驗(yàn)證是用于驗(yàn)證用戶身份的過(guò)程。攻擊者通常利用弱身份驗(yàn)證過(guò)程�。MFA 至少使用兩個(gè)身份組件來(lái)驗(yàn)證用戶的身份。身份組件包括
- 用戶知道的東西(例如密碼)��,
- 用戶擁有的對(duì)象(例如令牌)���,以及
- 用戶獨(dú)有的特征(例如��,指紋)���。
(2) 管理特權(quán)訪問(wèn)。使用提供身份驗(yàn)證�、授權(quán)和計(jì)費(fèi) (AAA) 服務(wù)的服務(wù)器來(lái)存儲(chǔ)網(wǎng)絡(luò)設(shè)備管理的訪問(wèn)信息。AAA 服務(wù)器將使網(wǎng)絡(luò)管理員能夠根據(jù)最小權(quán)限原則為用戶分配不同的權(quán)限級(jí)別���。當(dāng)用戶試圖執(zhí)行未經(jīng)授權(quán)的命令時(shí)����,它將被拒絕。如果可能�����,除了使用 AAA 服務(wù)器之外��,還可以實(shí)施硬令牌認(rèn)證服務(wù)器�����。使用 MFA 使入侵者更難竊取和重用憑據(jù)以訪問(wèn)網(wǎng)絡(luò)設(shè)備�����。
(3) 管理管理憑據(jù)����。如果您的系統(tǒng)無(wú)法滿足 MFA 最佳實(shí)踐�����,請(qǐng)采取以下措施:
- 更改默認(rèn)密碼�����。
- 根據(jù)NIST SP 800-63C數(shù)字身份指南和加拿大的信息技術(shù)系統(tǒng)ITSP戶身份驗(yàn)證指南,確保密碼長(zhǎng)度至少為 8 個(gè)字符��,并允許密碼長(zhǎng)度為 64 個(gè)字符(或更長(zhǎng))��。
- 根據(jù)不可接受的值的拒絕列表檢查密碼����,例如常用的、預(yù)期的或已泄露的密碼��。
- 確保所有存儲(chǔ)的密碼都經(jīng)過(guò)加鹽和散列�。
- 將密碼存儲(chǔ)在受保護(hù)的離線位置,例如保險(xiǎn)箱���,以便緊急訪問(wèn)���。
執(zhí)行帶外管理
OoB 管理使用備用通信路徑來(lái)遠(yuǎn)程管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備。這些專用通信路徑的配置可以有所不同��,包括從虛擬隧道到物理分離的任何內(nèi)容����。使用 OoB 訪問(wèn)來(lái)管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施將通過(guò)限制訪問(wèn)和將用戶流量與網(wǎng)絡(luò)管理流量分開(kāi)來(lái)增強(qiáng)安全性。OoB 管理提供安全監(jiān)控,并且可以在不讓對(duì)手(即使是已經(jīng)破壞了一部分網(wǎng)絡(luò)的人)觀察到這些變化的情況下執(zhí)行糾正措施�����。
OoB 管理可以物理地����、虛擬地或通過(guò)兩者的混合來(lái)實(shí)施。盡管構(gòu)建額外的物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施的實(shí)施和維護(hù)成本可能很高�����,但對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)���,這是最安全的選擇�����。虛擬實(shí)施成本較低,但仍需要大量的配置更改和管理����。在某些情況下,例如訪問(wèn)遠(yuǎn)程位置���,虛擬加密隧道可能是唯一可行的選擇�。
建議:
- 將標(biāo)準(zhǔn)網(wǎng)絡(luò)流量與管理流量分開(kāi)。
- 確保設(shè)備上的管理流量?jī)H來(lái)自O(shè)oB�����。
- 將加密應(yīng)用于所有管理渠道����。
- 加密對(duì)基礎(chǔ)設(shè)施設(shè)備(如終端或撥入服務(wù)器)的所有遠(yuǎn)程訪問(wèn)。
- 通過(guò)安全通道(最好在 OoB 上)從專用的�����、完全修補(bǔ)的主機(jī)管理所有管理功能�����。
- 通過(guò)測(cè)試補(bǔ)丁�、關(guān)閉路由器和交換機(jī)上不必要的服務(wù)以及實(shí)施強(qiáng)密碼策略來(lái)強(qiáng)化網(wǎng)絡(luò)管理設(shè)備。監(jiān)控網(wǎng)絡(luò)并查看日志��。實(shí)施僅允許所需管理或管理服務(wù)的訪問(wèn)控制(例如�,SNMP、網(wǎng)絡(luò)時(shí)間協(xié)議���、安全外殼���、FTP�、普通 FTP����、遠(yuǎn)程桌面協(xié)議 [RDP]、服務(wù)器消息塊 [SMB])�。
驗(yàn)證硬件和軟件的完整性
通過(guò)未經(jīng)授權(quán)的渠道購(gòu)買的產(chǎn)品通常被稱為假冒、二級(jí)或灰色市場(chǎng)設(shè)備�����。許多媒體報(bào)道都描述了灰色市場(chǎng)硬件和軟件進(jìn)入市場(chǎng)的情況�。非法的硬件和軟件會(huì)給用戶信息和網(wǎng)絡(luò)環(huán)境的整體完整性帶來(lái)嚴(yán)重風(fēng)險(xiǎn)?���;疑袌?chǎng)產(chǎn)品可能會(huì)給網(wǎng)絡(luò)帶來(lái)風(fēng)險(xiǎn),因?yàn)樗鼈兩形唇?jīng)過(guò)全面測(cè)試以滿足質(zhì)量標(biāo)準(zhǔn)����。由于供應(yīng)鏈中斷����,從二級(jí)市場(chǎng)購(gòu)買產(chǎn)品存在購(gòu)買假冒����、被盜或二手設(shè)備的風(fēng)險(xiǎn)���。此外��,供應(yīng)鏈中的漏洞為在設(shè)備上安裝惡意軟件和硬件提供了機(jī)會(huì)��。受損的硬件或軟件會(huì)影響網(wǎng)絡(luò)性能并危及網(wǎng)絡(luò)資產(chǎn)的機(jī)密性����、完整性或可用性���。最后�,未經(jīng)授權(quán)或惡意軟件可能會(huì)在設(shè)備投入使用后加載到設(shè)備上���,因此組織應(yīng)定期檢查軟件的完整性�����。
建議:
- 嚴(yán)格控制供應(yīng)鏈����,只從授權(quán)經(jīng)銷商處購(gòu)買。
- 要求經(jīng)銷商強(qiáng)制執(zhí)行供應(yīng)鏈完整性檢查�,以驗(yàn)證硬件和軟件的真實(shí)性。
- 安裝后�,檢查所有設(shè)備是否有篡改跡象。
- 驗(yàn)證來(lái)自多個(gè)來(lái)源的序列號(hào)�。
- 從經(jīng)過(guò)驗(yàn)證的來(lái)源下載軟件、更新����、補(bǔ)丁和升級(jí)。
- 執(zhí)行哈希驗(yàn)證�,并將值與供應(yīng)商的數(shù)據(jù)庫(kù)進(jìn)行比較,以檢測(cè)對(duì)固件的未經(jīng)授權(quán)的修改���。
- 定期監(jiān)控和記錄設(shè)備——驗(yàn)證設(shè)備的網(wǎng)絡(luò)配置��。
- 培訓(xùn)網(wǎng)絡(luò)所有者�����、管理員和采購(gòu)人員���,以提高對(duì)灰色市場(chǎng)設(shè)備的認(rèn)識(shí)�����。
本文轉(zhuǎn)載自微信公眾號(hào)「祺印說(shuō)信安」,作者何威風(fēng)���。轉(zhuǎn)載本文請(qǐng)聯(lián)系祺印說(shuō)信安公眾號(hào)��。
網(wǎng)站欄目:網(wǎng)絡(luò)安全知識(shí)之保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備
文章來(lái)源:
http://uogjgqi.cn/article/cooepjh.html
