《网络设备安全加固技术讲述》由会员分享,可在线阅读,更多相关《网络设备安全加固技术讲述(27页珍藏版)》请在金锄头文库上搜索。
1、课程内容 u BFD、FRR、NSF、GR等原理及部署 BFD原理及部署 (双向转发检测) FRR原理及部署(快速重定向路由) NSF原理及部署 GR原理及部署 u 入侵检测及防御原理及部署 u 流量监控及清洗原理及部署 u 网络设备安全加固技术 以业务为中心的网络安全防护策略 网络设备的安全防护策略-三平 面安全 设备级安全配置 关闭所有默认开启但是不必需的服务:如 TCP/UDP 小包服务、finger等服务; 关闭source-route、ARP代理、定向广播服务 避免引发地址欺骗和DDoS攻击; 关闭ICMP网络不可达、IP重定向、路由器掩 码回应服务,避免引发ARP欺骗、地址欺 骗和
2、DDoS攻击; 设备级安全配置 加强网络设备的安全,增加网络设备(路由器、 交换机、接入服务器等)的口令强度,所有网络 设备的口令需要满足一定的复杂性要求; 对设备口令在本地的存储,应采用系统支持的强 加密方式; 在口令的配置策略上,所有网络设备口令不得相 同,口令必须定时更新等; 在口令的安全管理上,必须实施相应的用户授权 及集中认证单点登录等机制,不得存在测试账户 、口令现象。可以采用TACACS服务器实行集 中式口令管理和操作记录管理。 设备级安全配置 针对设备操作系统的安全漏洞,及时升级设备操作系统。 在网络设备的网络服务配置方面,必须遵循最小化服务原 则,关闭网络设备不需要的所有服务
3、,避免网络服务或网 络协议自身存在的安全漏洞增加网络的安全风险。 对于必须开启的网络服务,必须通过访问控制列表等手段 限制远程主机地址。在边缘路由器应当关闭对于某些会引 起网络安全风险的协议或服务,如ARP 代理等。 加强本地控制台的物理安全性,限制远程VTY 终端的IP 地址; 控制banner 信息,不得泄露任何相关信息; 远程登录必须通过加密方式,禁止反向telnet 等。 管理平面安全方案 安全威胁分析 管理平面的安全威胁主要是恶意用户对路由器的 非法登录,控制路由器的管理平面; 管理平面安全方案 安全防护措施 实施网络管理员的分权和分级制 严格控制对网络控制访问的权限,从内部管 理上
4、避免误操作的安全隐患。 高级网管员可以修改配置,删除账号。低级 管理员只能查看网管界面,不能做任何改动 管理平面安全方案 网络口令管理 对设备的访问控制实施AAA集中管理,避免 采用设备本身的认证。 启动SSH用户管理安全,禁止从客户网络 直接登入到网络设备。 采用Radius、TACACS+(可选)等加密的 认证方式,保证用户名和密码在网上的的传 递是经过加密的,同时对网络口令需要有审 计的功能,防止被盗用密码的现象发生。 管理平面安全方案 安全防护措施 关闭网络不必用的功能和端口,关闭所有默认 开启但是不必需的服务:如TCP/UDP 小包服 务、finger等服务; SNMP采用V2/V3
5、版本,实施MD5认证加密, 通过MIB View限制对包含大数据量的表类型变 量的访问(路由表和CEF表)。 控制平面安全方案 安全威胁分析 控制平面主要包括指路由协议、路由信息和其它 协议报文,还包括承载网设备本身的主机软件, 控制平面对于IP承载网是非常重要的,关系到整 个网络的正常运转。控制平面的安全威胁主要包 括以下三个方面: 非法路由攻击,如非法邻居,发布非法路由, 路由振荡等,主要来自大客户VPN网络。 大客户VPN内部恶意用户对控制资源的侵占, 如PE的路由表容量、ARP表容量等。 恶意用户或者病毒到路由器管理平面的DDOS 攻击,占用CPU和内存资源。 ISIS 协议保护 安全
6、目标:保护ISIS协议免受非法用户的 攻击 攻击手段:非法用户通过和承载网路由器 建立ISIS邻居,向承载网网络产生虚假 路由,可同时导致IGP路由表剧增和全网 流量的乱序 保护手段:向外端口禁止ISIS协议运行 BGP 协议保护 安全目标:保护BGP协议免受非法用户的攻击。 攻击手段: 建立非法BGP PEER,向承载网网络产生虚假路由,可同时导致全网 路由表增和全网流量的乱序 非法用户无法建立BGP PEER,但通过伪造BGP合法Neighbor的IP地 址并利用TCP包头的控制字段攻击已有的TCP连接,导致合法BGP连 接的异常 直接对BGP TCP端口进行DoS攻击 保护手段: 在所有
7、承载网路由器上限定合法PEER路由器IP地址和所在AS号 采用分组过滤策略拒绝非法的EBGP协议数据包 为进一步保证EBGP PEER的安全,对外EBGP PEER上进行MD5认 证 控制平面安全方案 安全防护措施 安全路由协议 为了防止非法的路由邻居,关闭没有路由协议功能 需求端口。 对于非信任的网络启动安全路由协议,主要措施包 括:BGP Damping功能,防止其它网络路由波动 对IP承载网的冲击,MD5认证等,避免建立非法的 路由邻居关系,特别是ASBR的EBGP PEER启动 MD5认证。对于非信任的小客户网络,采用静态路 由方式,CE与PE之间可以通过配置静态路由增加 安全性,能有
8、效避免非法连接和路由攻击。BGP保 护,限定合法PEER路由器IP地址和所在AS号,避 免建立非法的BGP邻居。 控制平面安全方案 安全防护措施 协议包过滤和路由限制 在与大客户VPN建立的路由上实施路由过滤,在 PE与CE的接口上应用访问控制列表(ACL)来限 制,只允许来自CE的路由协议进入PE。同时在所 有Access端口上采用分组过滤策略拒绝非法的 EBGP协议数据包。 针对大客户VPN网络,PE路由器启动路由限制, 限制VRF路由条目,避免可能来自用户网络的海量 路由攻击对该PE所接其他VPN的不良影响。 实施NTP过滤,同时在NTP 会话上进行MD5认证 。 控制平面安全方案 路由
9、振荡抑制 在启动了动态路由协议的P/PE路由器启动路由振荡 抑制功能,主要包括三个方面: IP承载网路由器之间启动链路振荡抑制功能,防止 链路波动对路由的冲击。 PE路由器与外部网络的路由协议启动振荡抑制, 防止客户网络路由波动对IP承载网的影响; 静态路由方式,不响应客户网络路由的波动。 防控制引擎攻击 目前高端设备控制引擎具备动态状态防火墙功能,能 够动态访问Syn Flood、TCP伪装攻击,保护设备控制 引擎CPU资源。 数据平面安全方案 业务平面主要是指承载网承载的各种业务 软交换信令业务、媒体业务、分组数据和增值业 务等 可分为2类 第一类电信类业务 第二类业务是部分可信任的运营商
10、业务 数据平面安全方案 业务平面的安全威胁 不同安全域的流量互通冲击,主要是业务VPN网 络或者其它网络对内部系统的攻击 外部系统流量过载或者内部系统流量过载,超过 SLA承诺带宽,影响其它业务的正常使用; 非法流量泛滥消耗带宽,主要来自业务VPN网络 ,这些流量会抢占IP承载网的带宽,影响其它业 务,如软交换业务的使用。 安全防护措施 MPLS VPN安全隔离 业务平面安全基础是采用MPLS VPN逻辑网络实现不同业 务的安全隔离,MPLS VPN安全等级能够等同于ATM/FR ,并且在IP承载网得到成熟应用。 从实际使用情况来看,目前没有由于VPN客户对运营商网 络的攻击导致网络瘫痪的报告
11、,也没有MPLS VPN内用户 被其他VPN用户攻击的报告。 VPN之间的互访提供三种方案 全通方案 公共VPN方案 业务网关方案 安全防护措施 PE分设 MPLS VPN是安全的,但是仍然存在安全风险, MPLS VPN的安全风险主要存在PE PE分设防范安全隐患 PECE间部署严格的安全策略 安全防护措施 防止异常流量攻击 基本的ACL过滤 uRPF反向地址检测 CAR进行流量限制 业务接入的详细安全策略 采取相关的安全措施控制流量的冲击带来的安全风险,保证PE 的安全 在PE 与CE 的接口通过路由过滤或ACL的方式来限制,只允许来自CE 的路由 协议进入PE。 通过路由过滤或ACL的方
12、式隐藏承载网骨干路由设备及网管等系统的IP地址, 减少其它不可信网络的安全风险。 对用户VPNv4路由进行限制,避免可能来自用户网络的海量路由攻击对该PE 所接其他VPN 的不良影响。 CE 与PE 之间应当通过配置静态路由或者运行带有验证功能的路由协议来进 行路由交换,对路由协议交换进行MD5 和DES 加密认证控制,防止恶意路由 攻击。 根据SLA协议对用户流量进行限速,并进行流量监管。 采用uRPF 反向路径查询功能,有效地阻挡来自接入层的虚假地址的攻击。 安全策略部署对设备影响评估 管理平面:路由器性能不会造成任何影响。 控制平面:部署相应的安全策略如路由协议加密、 如网络路由策略不会
13、对网络设备的转发性能没有 影响。 数据平面:不建议在AR路由器采用ACL/uRPF技术 对业务流量限制。 数据平面公众业务:开启该功能开启该功能对性能不会 有影响,能达到线速转发。 在路由器系统满负荷转发时,启用uRPF后,路由器的报 文转发性能会略有下降; 在路由器系统轻载的情况下,启用uRPF对路由器报文转 发基本无影响。 电信级业务系统的安全防护设 计 -1 安全网络设计 日益严重的安全攻击对核心业务系统造成了极大的威胁,造成的损失也 与日俱增,为了满足核心业务系统对安全的需求,采用如下安全技术构 建核心业务系统的安全保护体系。 系统层安全 软交换的各系统的服务软件都是构建在通用操作系统
14、之上的。通用的操 作系统如UNIX,Linux,Windows NT等一般存在系统漏洞,可能被发现 并被利用来对系统发起对软交换系统攻击的。因此软交换系统服务器投 入使用前必须对操作系统进行及时加固。 应用层安全 应用层安全需要考虑软交换中常用的媒体控制信令的安全。在信令协议 中启动加密和鉴权机制,保证媒体网关控制器对媒体网关的控制权,防 止非法用户对业务的盗用或干扰。 业务安全 业务安全控制设置在网络设备上,主要实现网络业务的安全防护,如通 过设备相互认证进行设备间的访问控制,通过对用户的业务权限认证避 免业务被非法使用,通过协议信令的加密来防止网络监听等 电信级业务系统的安全防护设计-2
15、防火墙技术及部署方案 在核心业务系统的网络出口部署高性能的防火墙产品,保证所有 的流量通过防火墙,从而实现对网络边界的访问控制,采用冗余 方式部署防火墙,保证核心业务系统的高可用性。 入侵检测技术及部署方案 在业务系统的核心交换机开启SPAN功能,将关键业务流量发送 给入侵检测系统,入侵检测系统会对流量进行分析,及时发现可 疑的攻击行为。 漏洞扫描技术及部署方案 部署基于网络的漏洞扫描系统对核心业务系统进行定期的脆弱性 评估,并根据评估结果做进一步的处理。 异常流量监控、清洗技术及部署方案 在网络出口处部署异常流量监控、清洗系统系统,分析并防护大 规模的DDoS攻击。 电信级业务系统的安全防护设计-3 安全远程访问技术及部署方案 部署基于IPSEC 或SSL 技术VPN网关产品,确保远程访问的安 全性。 系统加固及部署方案 在业务系统的网络设备和主机系统进行必要的安全加固,提升操 作系统的安全等级。 安全风险评估技术的应用 定期对网络系统、主机系统、应用系统进行风险评估,通过对相 关IT资产的识别、脆弱性和威胁分析,确认系统各自面临的风险 ,根据风险等级的不同,有针对性的强化系统的安全策略。 终端安全技术及部署方案 在业务系统主机和终端部署专业的网络防病毒、防木马。NAC系 统,实现桌面级的细粒度安全保护。 电信级业务系统的安
