众志成城,打造企业驱逐舰――网络互联设备安全体系
如今,随着计算机网络的逐渐壮大,企业网络也面临着巨大的挑战。其中,挑战较大的就是企业互联设备。企业网络互联设备的安全构建与否,关乎到企业航母——服务器的存亡。因此,如何构建一套完整的企业网络互连设备的安全体系,显得格外重要。
本篇,系笔者倾力奉献,谢绝摘抄、转载、剽窃等侵权行为,请亲们谅解。(为了方便您搭建TFTP服务器,笔者在文章末尾特意给您免费共享一款tftp服务器软件。)
现阶段网络互联设备面临的问题
由于TCP/IP协议体系本身所存在的漏洞以及网络互联设备本身所存在的漏洞,企业网络互联设备面临着巨大的挑战。
一、TCP/IP协议问题。
TCP/IP协议在制定时,没有考虑安全因素。TCP/IP协议数据流采用明文传输,数据信息很容易被在线窃听,篡改和伪造:攻击者可以在一定范围内直接修改节点的IP地址,冒充可信节点进行攻击;攻击者同样可以利用RIP协议在网上发布错误路由信息,利用ICMP的重定向信息欺骗路由器或主机,实现对网络的攻击。
可以说由于TCP/IP协议体系本身所存在的问题,造成的问题不胜枚举,在此笔者只是简单讨论。
二、网络互联设备本身问题
由于各大设备厂商独立开发本身设备的OS,因此,难免存在各种各样的漏洞。对于企业来讲,一旦发现漏洞需要即使修复,如果不采取措施,很可能就会轻易被攻破。而企业设备往往很多,如何统一进行打补丁,如何在很短的时间内对所有的设备进行打补丁,就是一个值得考虑的问题了。
网络互联设备解决方案
一、OS方案
可能是由于才疏学浅,笔者只在互联网上找到一些cisco公布自己漏洞的相关新闻,而h3c和锐捷关于漏洞的新闻,笔者是没有看到。因此笔者仅针对与cisco产品提出解决方案。
1.定期备份
不论是否进行升级,是否进行打补丁,都需要为互联设备备份。主要备份操作系统、配置文件的等重要的信息。考虑到设备较多的问题,一定要搭建TFTP服务器。另外需要注意将TFTP服务器放置在绝对安全的区域。(可以不与任何网络相连,只有在需要时才进行连接)
2.定期打补丁
为了充分的保证企业设备的安全,可以定期关注cisco官方网站,定期打补丁。考虑到企业网络互联设备较多的问题,可以组建类似于WSUS的打补丁专用服务器。
3.定期升级
如果想要得到最新的功能,可以考虑升级互联设备的OS。但考虑到新os的不可预知性,不建议这样做。
二、密码方案
1.密码本身问题。
为了管理方便很多管理员在组网时,采用了较为简单的密码进行验证。比如在SNMP、缺省的管理密码等。因此,需要对密码本身进行重新设置,设置为较为复杂的密码。
2.验证方案
针对于telnet(尽量关闭telnet)、ssh等,不建议在设备本身建立帐号。应该采用专用的服务器进行验证。本篇以H3C设备采用ACS为例进行说明。
出于篇幅的考虑,笔者仍使用明文的telnet和不安全的密码。而且笔者只是针对于设备的配置进行简要说明,如果您感兴趣,想要更为详细的步骤的话,可以参考笔者的另一篇文章《千呼万唤ACS始出来》。(http://pheonix.blog.51cto.com/4449015/804187)
实验要求:某公司内部网络采用统一式管理,将所有设备的帐号和密码的认证任务统一交给Radius服务器(ACS),这样方便管理员通过telnet方式登录设备管理设备。由于设备有限,笔者仅使用一台设备进行模拟管理。
实验拓扑:
实验设备:Radius认证服务器一台(CISCO ACS运行环境Windows Server 2003)
H3c 二层交换机2600系列一台
PC机一台
实验步骤:
针对于二层设备上的配置如下:
(1)、首先建立radius方案
[sw3]radius scheme xxx
新的Radius服务器
[sw3-radius-xxx]primary au 192.168.100.138 指定远端服务器地址
[sw3-radius-xxx]key au 123456 验证密码与服务器一致
[sw3-radius-xxx]server-type huawei 此项尤为重要,一定要选择huawei,否则将无法获得管理员权限
[sw3-radius-xxx]user-name-format without-domain 去除域名
[sw3-radius-xxx]accounting optional 计费可选
(2)、建立域
[sw3]domain tec
添加了新域。
[sw3-isp-tec]radius-scheme xxx 使用刚刚创立的radius方案
[sw3-isp-tec]access-limit en 10 设置连接数限制
[sw3-isp-tec]accounting optional 计费可选
[sw3-isp-tec]state active 状态激活
(3)、配置验证模式
[sw3]user-interface vty 0 4
[sw3-ui-vty0-4]authentication-mode scheme 选择方案
三、接入方案
1.ARP绑定
实验要求:某公司为了实现对设备的安全管理,只允许特定的主机可以和某设备进行通讯,而不允许他人和该设备进行通讯,而其他人即使进行了伪造仍然不可以和该设备通讯。
实验拓扑:
实验设备:H3C二层交换机S2000系列一台
PC机1(使用H3C 防火墙F100-C模拟PC)一台
PC机2(Windows xp)一台
实验步骤:
(1)、PC1上配置
(2)、SW交换机上配置
(3)、PC2机上查看
2.mac绑定
实验要求:为了实现对设备接口的安全管理,只允许特定主机使用该接口,其他人不允许,即使其他人伪造该主机信息,仍然不可以使用此接口。
实验拓扑:
实验设备:H3C二层交换机S2000系列一台
PC机1(使用H3C 防火墙F100-C模拟PC)一台
PC机2(Windows xp)一台
PC机3(伪造信息主机)一台(未画出)
实验步骤:
(1)、防火墙上进行配置
(2)、交换机上进行配置
(3)、伪造主机上查看信息
3. 端口隔离
实验要求:出于保护特殊设备(或主机)的考虑,公司拟定将普通员工的主机与该特定目标设备(或主机)隔离,不允许普通员工与主机进行通讯。
实验拓扑:
实验设备:H3C二层交换机S2000系列一台
PC机(Windows xp)两台
实验步骤:
(一)、使用普通员工主机测试与特定设备(主机)通讯状况
(二)、在交换机上配置
(三)、再次使用普通员工主机测试与特定设备(主机)通讯状况
4.AM管理1(端口隔离)
实验要求:出于保护特殊设备(或主机)的考虑,公司拟定将普通员工的主机与该特定目标设备(或主机)隔离,(采用AM管理技术)不允许普通员工与主机进行通讯。
实验拓扑:
实验设备:H3C三层交换机S3526E系列一台
PC机(Windows xp)两台
实验步骤:
(1)、使用普通员工主机测试与特定设备(主机)通讯状况
(2)、在交换机上配置
(3)、再次使用普通员工主机测试与特定设备(主机)通讯状况
5.AM管理(限定地址范围)
实验要求:某公司为了实现对特殊设备的安全管理,限制特定的地址范围通过特殊端口进行连接并管理该设备。
实验拓扑:
实验设备:H3C三层交换机S3526E系列一台
PC机(Windows xp)一台
实验步骤:
(1)、使用主机连接设备,并进行管理
(2)、在交换机上进行配置
(3)、再次使用主机连接设备,查看结果。
6.标准ACL
实验要求:某公司为了实现对设备的安全管理,拟定限制主机在特殊时间,连接并管理设备。
实验拓扑:
实验设备:H3C三层交换机S3526E系列一台
PC机(Windows xp)一台
实验步骤:
(1)、使用主机连接设备,并进行管理
(2)、在三层交换机上进行配置
(3)、再次使用主机连接设备,查看结果。
7.专家ACL
实验要求:某公司为了实现对特定(设备)主机群进行保护,限制其它主机群对该主机进行ping测试,从而达到对该特定目标的保护。
实验拓扑:
实验设备:H3C三层交换机S3526E系列一台
PC机1(使用H3C 防火墙F100-C模拟PC)两台
实验步骤:
(1)、在防火墙1上进行配置
(2)、在防火墙2上进行配置
(3)、在三层交换机上进行配置
(4)、再次使用防火墙1进行测试
(5)、再次使用防火墙2进行测试
8.二层访问控制列表
实验要求:某公司为了针对特殊的设备进行保护,采取了严格的措施,绑定mac、端口等技术,严格保护特定设备,保证该设备不被探测到。
实验拓扑:
实验设备:H3C三层交换机S3526E系列一台
PC机1(使用H3C 防火墙F100-C模拟PC)两台
实验步骤:
(1)、在防火墙1上进行配置
(2)、在防火墙2上进行配置
(3)、在三层交换机上进行配置
(4)、再次使用防火墙1进行测试
(5)、再次使用防火墙2进行测试
四、救援方案
当然仅仅使用以上技术,仍然不能达到目的。为了防止设备遭受到更为严重的破坏,需要备份设备文件。
实验要求:某公司针对于设备的操作系统进行备份,防止设备遭受到更大的破坏。
实验拓扑:
实验设备:CISCO 路由器2600一台
TFTP SERVER(在XP系统上使用TFTP_SERVER 软件构建服务器)一台
实验步骤:
(1)、对路由器进行基本配置
(2)、备份路由器操作系统
(3)、模拟故障,删除路由器操作系统
(4)、进入故障的路由器,进行灾难恢复
(5)、查看正常路由器
总结:
综上,可以看到企业互联设备面临着种种挑战,需要运用多种技术,综合使用,才可以确保企业设备的安全。只有通过综合使用多种技术,才能构建全方位的安全体系,最终才可以保障企业驱逐舰的安全。
本文出自 “pheonix” 博客,谢绝转载!