设备安全策略的检查

日期: 2008-02-01 来源:TechTarget中国

    客户有台3600路由忽然速度奇慢,检查线路、重启动之后发现IOS没了…不得已用Xmodem把IOS重新传上去,启动正常,并没有发现硬件有问题。仔细检查该路由器的配置,发现有这样两个配置指令:
 
    snmp-server community public RO
    snmp-server community private RW

    询问网管人员,原来他们最近想用一台网络测试仪记录设备工作状态,结果就给配上了这样的snmp参数。对于一台直接连接到Internet的路由器来说,这样的配置…等于敞开大门,欢迎骇客。

    Cisco 的配置文档建议通过以下手段建立一个有效的安全策略:

    1.确定要重点保护的网络资源

     象上面例子中的网络出口,一旦工作不正常,影响很大,需要重点保护;网络中重要的文件、数据库、应用系统等,更是保护的重点。

    2.找出危险点

     一般来说Internet出口、Internet服务器、拔号访问入口等等是容易发生安全问题的地方,应该重点防护。了解新发现的安全漏洞,及时采取相应的措施,比如打上补丁、升级IOS或暂时关闭有问题的服务。根据CCO “安全顾问”网页, Cisco产品今年以来发现的影响较广泛的严重安全漏洞为:

     CSCdw33027   SSH扫描导致当机 2002.6.27
     CSCdt93866   NTP缓冲区溢出漏洞 2002.5.8
     CSCdw67458   SNMP拒绝服务漏洞 2002.2.12

    这些漏洞您了解并采取了相应的措施吗? 如果不,那么很可能您最近的一次当机事件就跟它们有关,一些客户的经历证明了这一点。除了安全问题,还有一些其它的功能设计方面的缺陷等等,值得紧跟IOS主要更新版本进行升级。

    3.限制访问范围

     典型的手段是访问控制列表。在上面那个例子中,把community字配成众所周知道的public/private当然万万不行,由于SNMP是一个相当不安全的协议(尤其是低版本),还应该通过访问控制列表限定能访问设备SNMP的主机: 在snmp-server community xxxx RO/RW 后,可以加上一个标准或扩展的访问控制列表。console口可以配上密码,不要设置no exec-timeout。telnet访问的限制通过在line vty指定access-class实现;CatOS的交换机用ip permit-list; 高端设备可以用SSH取代telnet。不必要的服务,如tcp/udp-small-servers、ip finger、ip http server等应予以关闭。ip http server(Web管理界面)去年就曾爆出了一个严重的安全漏洞,可以用ip http access-class作限制。tftp-server服务用完就应关闭,也可以指定ACL,或用较为安全的FTP代替。路由协议可以加上认证,常用的RIP v2、EIGRP、OSPF以及BGP等都支持明文或md5认证。在端口上应用ACL,过滤不必要的通讯,还可以利用IOS的安全功能,防止IP欺骗和一些常见的攻击。

    4.检查安全假定

     通常我们都会对网络安全状态做出一些假定,比如我们会认为公司内部不会有人熟悉网络设备/特定应用系统的人,所以攻击来自于内部的机会很少等等。这样的假定需要定期检查,因为环境是会改变的。比如可能会出现一些攻击网络的病毒,或者有一些骇客工具会被好奇的人的拿来乱用,等等。所以,经过一段时间,网络内部设备的软件也要进行必要的升级。

    5.确定安全措施的代价

     包括实施安全措施对网络系统效率的影响、给用户带来不方便以及管理需求和设备费用等。关于网络安全设备建议尽量采用国内厂家的产品,原因有三个:首先国外的产品可能会留有后门; 其次国外对于安全产品有出口限制,能够买到的产品设计性能低于国内的产品;最后国内厂家能提供便宜但更高质的支持。

    6.考虑人为因素

     要通过培训等方法让用户理解安全措施,提高安全意识,没有用户的支持安全措施很可能会失效。用户还应保存好密码,不能在电话、mail中向别人透露,输入密码的时候不能让别人看到,不能未注销系统就离开控制台等。

    7.保存有限数量的机密

     可以采用较少的密码字,但要够复杂,如采用大写字母和%#^*&等符号,telnet密码由于容易被看到,应该与enable secret全不相同,可以使用service password-encryption。密码要保存得当,别记在键盘底下。

    8.实施全面而易于扩展的安全措施

     采取系统化的方法,将安全措施应用于整个流程中。系统化的方法还便于在流程变更时相应地作出适当的调整。

    9.了解网络的正常工作状态

     清楚网络的正常状态才能观察到异常情况,有助于及时发现安全问题。在这点上一个配置正确的网管软件或IDS会很有用,它们能够即时地发现和记录网络中的异常情况,并进行告警。

    10.别忘了物理安全

     设备如果能被入侵者物理接触,则其安全就完全没了保障,所以这是最基本的一点,不能忘记。

     除了应当该经常关注产品厂家网站的安全网页之外,推荐两个值得常去的网络安全站点:CERT、绿盟,如果不方便经常上网,可以订阅相应的邮件列表。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐