网络基础设备是传输数据、应用程序、服务和多媒体所需的通信网络组件。这些设备包括路由器、防火墙、交换机、服务器、负载平衡器、入侵检测系统、域名系统和存储区域网络。这些设备是恶意网络攻击者的理想目标,因为大多数或所有组织和客户流量都必须通过它们。出现在组织网关路由器上的攻击者可以监视、修改和拒绝进出组织的流量。出现在组织内部路由和交换基础设施上的攻击者可以监视、修改和拒绝进出网络中关键主机的流量,并利用信任关系横向移动其他主机。使用旧的、未加密的协议来管理主机和服务的组织和个人使恶意网络攻击者很容易成功获得凭据。谁控制了网络的路由基础设施,谁就实质上控制了流经网络的数据。哪些安全威胁与网络基础设施设备相关?网络基础设施设备通常很容易成为攻击者的目标。一旦安装,许多网络设备将不会保持与通用台式机和服务器相同的安全级别。以下因素也可能导致网络设备易受攻击:很少有网络设备(尤其是小型办公室/家庭办公室和住宅级路由器)运行防病毒、完整性维护和其他有助于保护通用主机的安全工具。制造商使用易于安装、操作和维护的可用服务来构建和分发网络设备。网络设备的所有者和运营商通常不会更改供应商默认设置、强化它们以进行操作或执行定期修补。一旦制造商或供应商不再支持设备,ISP不得更换客户财产上的设备。在调查、发现入侵者以及在网络入侵后恢复通用主机时,网络设备经常被所有者和运营商忽视。如何提高网络基础设施设备的安全性?鼓励用户和网络管理员实施以下建议以更好地保护网络基础设施:分段和隔离网络和功能。限制不必要的横向交流。加固网络设备。安全访问基础设施设备。执行带外(OoB)网络管理。验证硬件和软件的完整性。分段和隔离网络和功能安全架构师必须考虑整体基础设施布局,包括分段和隔离。适当的网络分段是一种有效的安全机制,可以防止入侵者传播漏洞或在内部网络内横向移动。在分段不佳的网络上,入侵者能够扩大他们的影响力以控制关键设备或访问敏感数据和知识产权。隔离根据角色和功能将网段分开。安全隔离的网络隔离包含恶意意图的事件,减少入侵者在网络内某处立足的影响。敏感信息的物理隔离传统的网络设备,例如路由器,可以隔离局域网(LAN)网段。组织可以在网络之间放置路由器以创建边界,增加广播域的数量,并有效地过滤用户的广播流量。组织可以使用边界通过将流量限制到不同的网段来遏制安全漏洞,甚至可以在入侵期间关闭部分网络,从而限制对手的访问。建议:在设计网段时实施最小权限和需要知道的原则。将敏感信息和安全要求划分为网段。将安全公告和安全配置应用于所有网段和网络层。敏感信息的虚拟分离随着技术的变化,开发了新的策略来提高IT效率和网络安全控制。虚拟隔离是同一物理网络上网络的逻辑隔离。虚拟分段使用与物理分段相同的设计原则,但不需要额外的硬件。现有技术可用于防止入侵者破坏其他内部网段。建议:使用专用虚拟局域网(VLAN)将用户与广播域的其余部分隔离开来。使用虚拟路由和转发(VRF)技术在单个路由器上同时通过多个路由表对网络流量进行分段。使用虚拟专用网络通过公共或专用网络的隧道安全地扩展主机/网络。限制不必要的横向通信允许未经过滤的点对点通信(包括工作站到工作站)会造成严重的漏洞,并可能使网络入侵者的访问权限轻松传播到多个系统。一旦入侵者在网络中建立了有效的滩头阵地,未经过滤的横向通信允许入侵者在整个网络中创建后门。后门帮助入侵者在网络中持续存在并阻碍防御者遏制和根除入侵者的努力。建议:使用基于主机的防火墙规则来限制流量以拒绝来自网络中其他主机的数据包流。可以创建防火墙规则来过滤主机设备、用户、程序或Internet协议(IP)地址,以限制来自服务和系统的访问。实施VLAN访问控制列表(VACL),这是一个过滤器,用于控制进出VLAN的访问。应创建VACL过滤器以拒绝数据包流向其他VLAN的能力。使用物理或虚拟隔离在逻辑上隔离网络,允许网络管理员将关键设备隔离到网段上。加固网络设备增强网络基础设施安全性的基本方法是通过安全配置来保护网络设备。政府机构、组织和供应商为管理员提供了广泛的指导,包括关于如何强化网络设备的基准和最佳实践。管理员应结合法律、法规、站点安全策略、标准和行业最佳实践实施以下建议。建议:禁用用于管理网络基础结构的未加密远程管理协议(例如Telnet、文件传输协议[FTP])。禁用不必要的服务(例如,发现协议、源路由、超文本传输??协议[HTTP]、简单网络管理协议[SNMP]、引导协议)。使用SNMPv3(或更高版本),但不要使用SNMP社区字符串。安全访问控制台、辅助和虚拟终端线路。实施强密码策略并使用可用的最强密码加密。通过控制远程管理的访问列表来保护路由器和交换机。限制对路由器和交换机的物理访问。备份配置并离线存储。使用最新版本的网络设备操作系统,并及时更新所有补丁。根据安全要求定期测试安全配置。在发送、存储和备份文件时,通过加密或访问控制来保护配置文件。安全访问基础设施设备可以授予管理权限,以允许用户访问未广泛使用的资源。限制基础设施设备的管理权限对安全至关重要,因为入侵者可以利用未经适当授权、广泛授予或未经严格审查的管理权限。攻击者可以使用受损的特权遍历网络、扩展访问权限并获得对基础设施骨干网的完全控制。组织可以通过实施安全访问策略和程序来减少未经授权的基础设施访问。建议:(1)实施多因素身份验证(MFA)。身份验证是用于验证用户身份的过程。攻击者经常利用薄弱的身份验证过程。MFA使用至少两个身份组件来验证用户。身份组件包括用户知道的东西(例如密码)、用户拥有的东西(例如令牌)和用户独有的特征(例如指纹)。(2)管理特权访问。使用提供身份验证、授权和计费(AAA)服务的服务器来存储用于网络设备管理的访问信息。AAA服务器将使网络管理员能够根据最小权限原则为用户分配不同的权限级别。当用户试图执行未经授权的命令时,它将被拒绝。如果可能,除了使用AAA服务器之外,还应实施硬令牌身份验证服务器。使用MFA使入侵者更难窃取和重复使用凭据来访问网络设备。(三)管理行政凭证。如果您的系统不符合MFA最佳实践,请执行以下操作:更改默认密码。根据NISTSP800-63C数字身份指南和加拿大信息技术系统ITSP帐户身份验证指南,确保密码长度至少为8个字符,并允许密码长度为64个字符(或更长)。根据不可接受值的拒绝列表检查密码,例如常用、预期或泄露的密码。确保所有存储的密码都经过加盐和哈希处理。将密码存储在受保护的离线位置,例如保险箱,以供紧急访问。执行带外管理OoB管理使用备用通信路径来远程管理网络基础设施设备。这些专用通信路径的配置可能会有所不同,包括从虚拟隧道到物理隔离的任何内容。使用OoB访问来管理网络基础设施将通过限制访问并将用户流量与网络管理流量分开来增强安全性。OoB管理提供安全监控,并且可以在不让对手(甚至是那些已经破坏部分网络的人)观察到变化的情况下执行纠正措施。OoB管理可以通过物理方式、虚拟方式或通过两者的混合来实现。虽然构建额外的物理网络基础设施的实施和维护成本可能很高,但这对网络管理员来说是最安全的选择。虚拟实施成本较低,但仍需要大量配置更改和管理。在某些情况下,例如访问远程位置,虚拟加密隧道可能是唯一可行的选择。建议:将标准网络流量与管理流量分开。确保设备上的管理流量仅来自OoB。对所有管理通道应用加密。加密对基础设施设备(如终端或拨入服务器)的所有远程访问。通过安全通道(最好通过OoB)从专用的、完全修补的主机管理所有管理功能。通过测试补丁、关闭路由器和交换机上不必要的服务以及实施强密码策略来强化网络管理设备。监控网络并查看日志。实施仅允许所需管理或管理服务的访问控制(例如,SNMP、网络时间协议、安全外壳、FTP、普通FTP、远程桌面协议[RDP]、服务器消息块[SMB])。验证硬件和软件完整性通过未经授权的渠道购买的产品通常被称为假冒、二手或灰色市场设备。众多媒体报道描述了进入市场的灰色市场硬件和软件。非法硬件和软件会对用户信息和网络环境的整体完整性构成严重风险。灰色市场产品可能会对网络构成风险,因为它们没有经过彻底测试以满足质量标准。由于供应链中断,从二级市场购买产品存在购买假冒、被盗或二手设备的风险。此外,供应链中的漏洞为在设备上安装恶意软件和硬件提供了机会。受损的硬件或软件会影响网络性能并损害网络资产的机密性、完整性或可用性。最后,未经授权或恶意软件可能会在设备投入使用后加载到设备上,因此组织应定期检查软件的完整性。建议:严格控制供应链,只从授权经销商处购买。要求经销商强制执行供应链完整性检查以验证硬件和软件的真实性。安装后,检查所有设备是否有损坏迹象。验证来自多个来源的序列号。从经过验证的来源下载软件、更新、补丁和升级。执行散列验证并将该值与供应商的数据库进行比较,以检测对固件的未授权修改。定期监控和记录设备-验证设备的网络配置。培训网络所有者、管理员和购买者以提高对灰色市场设备的认识。本文转载自微信公众号《齐吟说新安》,作者何伟峰。转载本文请联系齐银说新安公众号。
