企業多層網絡交換機安全
很多網絡管理員在安全設計時,喜歡採用高端的設備與技術,但是卻忽視了一些細節與基礎性的內容。下面是小編整理的從細節抓起,保障企業多層網絡交換機安全,希望對你有幫助!
一、通過訪問控制列表來限制用户的訪問
通過使用訪問控制列表來限制管理訪問和遠程接入,就可以有效防止對管理接口的非授權訪問和Dos拒絕服務攻擊。其實這個配置是很基礎的內容。如可以在企業邊緣路由器上(連接到互聯網的路由器),進行訪問控制列表配置,拒絕從互聯網接口接受Ping命令。
另外如果企業有虛擬局域網設置,那麼這個訪問控制列表還可以跟其結合使用,進一步提高虛擬局域網的安全性。如可以設置只有網絡管理員才可以訪問某個特定的虛擬局域網等等。再如可以限制用户在上班時間訪問娛樂網站、網上炒股、網絡遊戲等等可能會危害企業網絡安全的行為。筆者認為,訪問控制列表是一個很好的安全工具。可惜的是,不少網絡管理員可能認為其太簡單了,而忽視了這個技術的存在。卻不知道,簡單的往往是比較實用的。故筆者建議各位讀者,還是需要好好研究一下訪問控制列表。在購買安全設備之前,想想能否通過訪問控制列表來實現安全方面的需求。儘量不要購買第三方的安全產品,以降低網絡的複雜性。
二、配置系統警告標語,以起到警示的作用
我們到超市或者書店的時候,往往會看到“市場已安裝涉嫌頭、請各位自重”的標語。這種標語會在無形中給小偷一種心理的警示。其實在企業網絡交換機安全規劃中,也可以設計一個警告標語,讓攻擊者知難而退。
筆者認為,無論是出於安全或者管理的目的,配置一條在用户登錄前線時的系統警告標語是一種方便、有效的實施安全和通用策略的方式。即在用户連接到交換機、在輸入用户名與密碼之前,向用户提供一個警告標語。標語可以是這台設備的用途,也可以是警告用户不要進行非授權訪問的警示語。就好像超市中“安裝攝像頭”的警示語一樣,對非法訪問的.用户起到一個警示的作用。在用户正式登陸之前,網絡管理員可以讓交換機明確的指出交換機的歸屬、使用方法、安全措施(可以適當的誇大)、訪問權限以及所採取的保護策略(這也可適當誇大)。如可以説明將對用户所採用的IP地址進行合法性驗證等等。以起到應有的警示作用。
三、為交換機配置一把安全的鑰匙
現在市場上的交換機,通常對口令採用的都是MD5加密方法。如以思科的多層交換機為例,通過使用enable secret命令,可以進入系統的特權模式,設置相關的口令。不過需要注意的是,此時雖然對口令進行了加密處理,但是這個加密機制並不是很複雜。通常情況下,可以採用字典攻擊來破解用户設置的口令。那這是否説明不需要為交換機設置口令呢?其實這是一個誤解。
我們在設置交換機口令的時候,可以增加口令的複雜性,來提高破解的難度。這就好像銀行卡密碼一樣。其理論上也可以通過採用字典攻擊的方式來破解密碼。但是隻要將密碼設置的複雜一些(如不要採用相同的數字、生日、電話號碼作為密碼),同時設置密碼策略(如密碼連續錯誤三次將鎖住),如此就可以提高這個密碼的安全性。
對於交換機來説,也是這個道理。雖然其只是採用了MD5加密機制,可以通過字典攻擊來破解。但是我們仍然可以通過加強密碼的複雜性,讓字典攻擊知難而退。這個道理,可能大家都懂得。在學校的網絡安全課程上,這也是一個基礎性的內容。可是真的到了實際工作中,很多人都忽視了其的存在。筆者認為,可以在交換機的密碼中加入一些特殊的字符,如標點符號,或者大小寫、字母與數字混用等等,來為交換機配置比較堅固的口令。
四、CDP協議要儘量少用
CDP思科發現協議是思科網絡設備中一個比較重要的協議。其可以傳播網絡設備的詳細信息。如在多層交換網絡中,輔助Vlan和其他的專用解決方案需要CDP協議的支持。所以默認情況下,這個協議是開啟的。但是我們做安全的人員需要注意,這個協議會帶來比較大的安全隱患。我們需要在安全與實用性之間取得一個均衡。通常情況下,我們並不需要在所有的交換機等網絡設備上都啟用這個協議。或者説,這個協議要儘量的少用,要用在刀口上。
如CDP協議通常情況下只有管理員才用的着。所以安全人員可以在交換機的每個接口上都禁用CDP協議,而只為管理目的運行CDP協議。如通常情況下,需要在交換機的廉潔上和IP電話連接的接口上啟用CDP協議。
再如可以考慮只在受控制範圍內定設備之間運行CDP協議。這主要是因為CDP協議時一種鏈路級別的協議。通常情況下除非使用了第二層隧道機制,否則的話它是不會通過Wan進行端到端的傳播。這也就是説,對於Wan連接,CDP表中可能包含服務器提供的下一跳路由器或者交換機的信息,而不是企業控制之下的遠端路由器。總之就是不要再不安起的連接(一般Internet連接被認為是不安全的)上運行CDP協議。
總之,CDP協議在某些方面確實很有用。但是從安全的角度講,不能夠對CDP協議進行濫用。而應該將其用在刀刃上,在必需的接口上啟用CDP協議。
五、注意SNMP是一把雙刃劍
SNMP協議通CDP協議一樣,其安全性也一直備受爭議。筆者認為,SNMP協議是一把雙刃劍。從管理角度講,很多網絡管理員離不開SNMP協議。但是從安全角度講,其確實存在着比較大的安全隱患。這主要是因為SNMP協議在網絡中通常是通過明文來傳輸的。即使是採用了SNMPV2C,其雖然採用了身份驗證技術。但是其身份驗證信息也是由簡單的文本字符組成。而這些字符則是通過明文來進行傳輸。這就給企業的網絡安全造成了隱患。
遇到這種情況時,安全管理人員應該採取適當的措施來確保SNMP協議的安全。筆者常用的手段是升級SNMP協議,採用SNMPV3版本。在這個版本中,可以設置對於傳輸的數據都採用加密處理,從而確保通信流量的安全性。
其次,可以結合上面談到的訪問控制列表來加強SNMP協議的安全性。如在訪問控制列表中設置,交換機只轉發那些來自受信子網或者工作站(其實就訪問控制列表中定義允許的子網或者工作站的IP地址)的SNMP通信流量通過交換機。一般來説,只要做到這兩點,SNMP協議的安全是有所保障的。
除此之外,限制鏈路聚集連接、關閉不需要的服務、少用HTTP協議等等,都是企業網絡安全管理中的細節方面的內容。根據筆者的經驗,大部分企業只要把握住這些細節,並不需要購買額外的安全設別,就可以滿足企業在安全方面的需求。當然,像銀行等金融機構,對安全性級別要求特高,那在做好這些細節時,還需要購買專業的安全設備。
-
如何查看電腦無線網絡密碼
有時候時間久了很容易忘記電腦的無線網絡密碼,也就是Wifi密碼,當朋友或者家人無線設備需要無線上網的時候,就要告知其密碼,那麼如何查看電腦無線網絡密碼?下面是小編為大家帶來的'如何查看電腦無線網絡密碼的知識,歡迎閲讀。方法一:直接查看電腦無線密碼1、點擊桌面...
-
網絡完全基礎知識詳細介紹
網絡安全網絡安全是指網絡系統的硬件、軟件及系統中的數據受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統可以連續可靠正常地運行,網絡服務不被中斷。從目前網絡安全來看,主要包括兩個大的方面,即自然因素引起的網絡安全問題和人為因素引起的網絡安...
-
貓和無線路由器不用的時候要不要關掉
在移動互聯網的時代,很多家庭都用上了寬帶,無線路由器當然不可缺少。我們在家的時候,要用電腦或手機上網,自然要把路由器和貓打開,但是不在家的時候,要不要把家裏的貓和無線路由器關掉呢?跟着小編一下來了解一下。我見過很多人,每天在離開家之前,都會隨手把家裏的所有...
-
詳解核心交換機的TRUNK功能
在調試、維護Cisco交換機的過程中,瞭解醫一些方法對於提高調試交換機的效率非常有幫助,在此,小編將積累的幾點小經驗介紹一下,供大家參考。一、如何讓自己輸入命令時不受到系統信息的干擾相信很多網管員朋友都遇到過這樣的麻煩:即通過串口線連接到交換機的CONSOLE口...