提高企業交換機安全級別的方法

  如在11.2以前版本的交換機軟體中,會預設實現多個TCP或者UDP伺服器。這麼設計主要是為了方便管理以及跟現有的環境進行整合。但是需要注意的是,在實際工作中,大多數的TCP和UDP服務基本上用不著。此時如果網路管理員仍然將這些服務開啟著,無疑是給攻擊者留了一個口子。接下來是小編為大家收集的,希望能幫到大家。

  

  禁止一:禁用整合的HTTP後臺程式

  在大部分廠家的交換機中都會提供HTTP後臺程式。這主要是為了方便使用者管理的需要。畢竟對於初學者來說,可能不習慣命令列的管理模式。而喜歡採用WEB介面對交換機等網路裝置進行管理。但是在大部分情況下,這個HTTP後臺程式是不安全的。

  如果開啟了這個服務,則一些攻擊者可以向交換機等網路裝置傳送大量的HTTP請求,從而導致交換機的CPU使用率節節攀升,從而可能導致系統發生拒絕服務攻擊。從而給網路的正常執行產生不利的影響。雖然包括思科在內的大部分廠家的交換機為簡化管理都提供了一個整合的HTTP伺服器,但是筆者還是建議在生產網路中最好禁用這個特性。預設情況下,思科的交換機中是禁用這個服務的。這也可以說明思科已經意識到其可能帶來的安全隱患。之所以還留著這個服務,可能是出於一些教學等方面的需要。

  HTTP後臺程式不僅不安全,而且在多層交換網路環境中基本上用不著。如果網路管理員由於某些特殊的原因,確實要開啟這個後臺程式,那麼也需要做好一定的安全措施。如需要通過訪問控制列表來限制可以使用這個程式的IP地址或者MAC地址。也就是說限制只有網路管理員等特定的人員才通過特定的終端才能夠訪問這個HTTP後臺程式。另外在有必要的情況下,還需要改變HTTP後臺程式的預設埠。如此的話,一些掃描工具就比較難以發現交換機是否開啟了HTTP服務,從而減少被攻擊的可能性。雖然通過這些安全措施可以在一定程度上提高整個後臺程式的安全級別。但是筆者最後還是要說,沒有特別充分的理由,最好還是禁用整合的HTTP後臺程式為好。

  禁止二:限制鏈路聚集連線

  通常情況下,在某些交換機上如思科的Catalyst系列的交換機會有自動協商鏈路聚集的功能。這個自動協商功能是允許未經授權的鏈路聚集埠引進網路。這個特性可能會在一定程度上提高網路的靈活性。但是也會帶來網路新的安全隱患。如這個未經授權的鏈路聚集埠很有可能被攻擊者用來監聽網路上的通訊流量,或者說被攻擊者用來發起Dos攻擊。這裡需要特別提醒的是,在大部分情況下如果發起Dos等攻擊的話,鏈路聚集埠比普通的接入埠後果要嚴重的多。特別是企業中如果存在VLAN的話。如果在接入埠發起這個攻擊,那麼受影響的最多就是一個VLAN。而如果在聚集埠上發起Dos攻擊的話,則會同時影響到多個VLAN。

  所以從安全形度出發,網路管理員應該在主機和接入埠上禁用鏈路聚集自動協商功能。

  禁止三:禁用不需要的服務

  從某種角度上來說,多啟動一項服務,就好像是在交換機上多開了一扇門,多了一重風險。為了提高交換機的安全性,網路管理員需要習慣於只在交換機上啟動必需的服務,禁用那些不需要的服務。

  故筆者對網路管理員有一個建議。在新的裝置投入到企業網路中之前,網路管理員應該仔細檢查每一臺裝置的配置。一般來說包括裝置啟動的服務與埠。對於服務來說,只要這個服務不需要用到無論是短期還是長期的,那麼就禁用他。對於埠也是類似,只要埠沒什麼用處,就禁用。這裡需要注意的是,在出廠的時候廠家可能出於滿足大部分客戶的要求出發,會啟用比較多的服務。而對於某個特定的使用者或者應用場景來說,這些服務就可能是不需要的。在大部分情況下,對於初始投入的網路裝置往往需要進行比較大的調整。如在多層交換網路環境中,需要禁止如下這些服務:TCP SAMLL SERVERS、Finger、Boot伺服器、不進行身份驗證的NTP、ICMP重定向與不可達、定向廣播轉發等服務。在多層網路環境中,這些服務基本上用不著。如果留著反而會成為威脅企業網路安全的定時炸彈,還不如關閉好禁止四:儘可能少的使用CDP

  CDPCisco裝置直線發現協議主要用來發現直連的CISCO裝置的相關資訊。簡單的說,CDP就是利用直連的兩個裝置間定時傳送CDP資料包來維持彼此的鄰居關係。由於CDP協議會在網路中傳播相關裝置的詳細資訊。而這些資訊如果給攻擊者收集到的話,則會給他們發動攻擊提供幫助。雖然有些專家認為,只需要正確的規劃與配置,這個CDP協議還是一個比較安全的協議。但是要做到正確的規劃與配置,有一定的難度。企業的網越來越複雜,而且還在不斷的調整。故很少有管理員可以拍拍胸脯保證自己的網路規劃與配置都是完美的。所以在實際工作中,還是需要儘可能的少用CDP。具體的來說,需要做到以下幾點。

  一是在不必要的介面上禁用CDP。通常情況下,需要CDP協議的只有一個地方。即在多層網路中,輔助VLAN可能需要這個協議。所以可以只為管理目的的介面上執行CDP協議。根據筆者的經驗,一般情況下會在交換機間連線直連線口上或者IP電話連線的介面上啟用CDP協議。

  二是隻在受控範圍內的裝置上啟用CDP協議。這主要是因為CDP協議是一種鏈路級別的協議。在實際工作中,除非使用了第二層隧道機制,否則的話CDP協議不會通過MAN或者WAN進行端到端的傳播。所以對於MAN或者WAN連線,CDP表中可能包含伺服器提供商的下一級路由器或者交換機。

  三是不要在不安全的連線上執行CDP協議。一般來說,internet連線被認為是不安全的連線。最好不要在這些不安全的連線上執行CDP協議。否則的話,萬一網路被偵聽,這些機密資訊都會洩露。此時CDP協議就會成為網路攻擊者的道具。

  在網路管理中,安全性一直是不容忽視的一個問題。而要保障網路的安全,往往需要從交換機的安全開始做起。其實通過以下四個禁止就可以明顯提高交換機的安全級別。