網絡安全知識之保護網絡基礎設施設備
網絡基礎設施設備是傳輸數據、應用程序、服務和多媒體所需的通信的網絡組件。這些設備包括路由器、防火墻、交換機、服務器、負載平衡器、入侵檢測系統、域名系統和存儲區域網絡。
這些設備是惡意網絡攻擊者的理想目標,因為大多數或所有組織和客戶流量都必須通過它們。
- 存在于組織網關路由器上的攻擊者可以監視、修改和拒絕進出組織的流量。
- 存在于組織內部路由和交換基礎設施上的攻擊者可以監控、修改和拒絕進出網絡內關鍵主機的流量,并利用信任關系對其他主機進行橫向移動。
使用舊的、未加密的協議來管理主機和服務的組織和個人使惡意網絡攻擊者可以輕松地成功獲取憑據。誰控制了網絡的路由基礎設施,本質上就是控制流經網絡的數據。
哪些安全威脅與網絡基礎設施設備相關?
網絡基礎設施設備通常很容易成為攻擊者的目標。安裝后,許多網絡設備的安全級別不會與通用臺式機和服務器保持相同。以下因素也可能導致網絡設備的脆弱性:
- 很少有網絡設備,尤其是小型辦公室/家庭辦公室和住宅級路由器等運行防病毒、完整性維護和其他有助于保護通用主機的安全工具。
- 制造商使用可利用的服務構建和分發網絡設備,服務易于安裝、操作和維護。
- 網絡設備的所有者和運營商通常不會更改供應商的默認設置、對其進行加固以進行操作或執行定期修補。
- 一旦制造商或供應商不再支持設備,互聯網服務提供商不得更換客戶財產上的設備。
- 業主和運營商在調查、尋找入侵者、恢復網絡入侵后的通用主機時,往往會忽視網絡設備。
如何提高網絡基礎設施設備的安全性?
鼓勵用戶和網絡管理員實施以下建議,以更好地保護網絡基礎設施:
- 細分和隔離網絡和功能。
- 限制不必要的橫向溝通。
- 強化網絡設備。
- 安全訪問基礎設施設備。
- 執行帶外 (OoB) 網絡管理。
- 驗證硬件和軟件的完整性。
分段和隔離網絡和功能
安全架構師必須考慮整體基礎架構布局,包括分段和隔離。適當的網絡分段是一種有效的安全機制,可防止入侵者傳播漏洞或在內部網絡中橫向移動。在分段不佳的網絡上,入侵者能夠擴大其影響以控制關鍵設備或訪問敏感數據和知識產權。隔離基于角色和功能來分隔網段。安全隔離的網絡可以隔離包含惡意事件,從而減少入侵者在網絡內部某處獲得立足點時的影響。
敏感信息的物理隔離
傳統的網絡設備,例如路由器,可以分隔局域網 (LAN) 網段。組織可以在網絡之間放置路由器以創建邊界、增加廣播域的數量并有效過濾用戶的廣播流量。組織可以通過將流量限制在不同的網段來使用邊界來遏制安全漏洞,甚至可以在入侵期間關閉部分網絡,限制對手的訪問。
建議:
- 在設計網段時實施最小權限和需要知道的原則。
- 將敏感信息和安全要求劃分為網段。
- 將安全建議和安全配置應用于所有網段和網絡層。
敏感信息的虛擬分離
隨著技術的變化,新的戰略被開發出來以提高信息技術效率和網絡安全控制。虛擬隔離是同一物理網絡上的網絡的邏輯隔離。虛擬分段使用與物理分段相同的設計原則,但不需要額外的硬件。現有技術可用于防止入侵者破壞其他內部網段。
建議:
- 使用私有虛擬局域網 (VLAN)將用戶與其余廣播域隔離。
- 使用虛擬路由和轉發 (VRF) 技術在單個路由器上同時通過多個路由表對網絡流量進行分段。
- 使用虛擬專用網絡通過公共或專用網絡建立隧道來安全地擴展主機/網絡。
限制不必要的橫向通信
允許未經過濾的點對點通信(包括工作站到工作站)會產生嚴重的漏洞,并且可以使網絡入侵者的訪問權限輕松傳播到多個系統。一旦入侵者在網絡中建立了一個有效的灘頭陣地,未經過濾的橫向通信允許入侵者在整個網絡中創建后門。后門幫助入侵者在網絡中保持持久性,并阻礙防御者遏制和根除入侵者的努力。
建議:
- 使用基于主機的防火墻規則來限制通信,以拒絕來自網絡中其他主機的數據包流。可以創建防火墻規則來過濾主機設備、用戶、程序或互聯網協議 (IP) 地址,以限制來自服務和系統的訪問。
- 實施 VLAN 訪問控制列表 (VACL),這是一種控制進出 VLAN 的過濾器。應創建 VACL 過濾器以拒絕數據包流向其他 VLAN 的能力。
- 使用物理或虛擬隔離在邏輯上隔離網絡,允許網絡管理員將關鍵設備隔離到網段上。
強化網絡設備
增強網絡基礎設施安全性的一個基本方法是通過安全配置保護網絡設備。政府機構、組織和供應商為管理員提供了廣泛的指導,包括基準和最佳實踐,關于如何強化網絡設備。管理員應結合法律、法規、站點安全策略、標準和行業最佳實踐來實施以下建議。
建議:
- 禁用用于管理網絡基礎設施的未加密遠程管理協議(例如 Telnet、文件傳輸協議 [FTP])。
- 禁用不必要的服務(例如,發現協議、源路由、超文本傳輸協議 [HTTP]、簡單網絡管理協議 [SNMP]、引導協議)。
- 使用 SNMPv3(或后續版本),但不要使用SNMP 社區字符串。
- 安全訪問控制臺、輔助和虛擬終端線路。
- 實施強大的密碼策略,并使用可用的最強密碼加密。
- 通過控制遠程管理的訪問列表來保護路由器和交換機。
- 限制對路由器和交換機的物理訪問。
- 備份配置并將它們離線存儲。使用最新版本的網絡設備操作系統并保持更新所有補丁。
- 根據安全要求定期測試安全配置。
- 在發送、存儲和備份文件時通過加密或訪問控制保護配置文件。
安全訪問基礎設施設備
可以授予管理權限以允許用戶訪問不廣泛可用的資源。限制基礎設施設備的管理權限對于安全性至關重要,因為入侵者可以利用未正確授權、廣泛授予或未經嚴格審核的管理權限。攻擊者可以使用受損的權限來遍歷網絡、擴展訪問權限并完全控制基礎設施主干。組織可以通過實施安全訪問策略和程序來減少未經授權的基礎設施訪問。
建議:
(1) 實施多因素身份驗證(MFA)。身份驗證是用于驗證用戶身份的過程。攻擊者通常利用弱身份驗證過程。MFA 至少使用兩個身份組件來驗證用戶的身份。身份組件包括
- 用戶知道的東西(例如密碼),
- 用戶擁有的對象(例如令牌),以及
- 用戶獨有的特征(例如,指紋)。
(2) 管理特權訪問。使用提供身份驗證、授權和計費 (AAA) 服務的服務器來存儲網絡設備管理的訪問信息。AAA 服務器將使網絡管理員能夠根據最小權限原則為用戶分配不同的權限級別。當用戶試圖執行未經授權的命令時,它將被拒絕。如果可能,除了使用 AAA 服務器之外,還可以實施硬令牌認證服務器。使用 MFA 使入侵者更難竊取和重用憑據以訪問網絡設備。
(3) 管理管理憑據。如果您的系統無法滿足 MFA 最佳實踐,請采取以下措施:
- 更改默認密碼。
- 根據NIST SP 800-63C數字身份指南和加拿大的信息技術系統ITSP戶身份驗證指南,確保密碼長度至少為 8 個字符,并允許密碼長度為 64 個字符(或更長)。
- 根據不可接受的值的拒絕列表檢查密碼,例如常用的、預期的或已泄露的密碼。
- 確保所有存儲的密碼都經過加鹽和散列。
- 將密碼存儲在受保護的離線位置,例如保險箱,以便緊急訪問。
執行帶外管理
OoB 管理使用備用通信路徑來遠程管理網絡基礎設施設備。這些專用通信路徑的配置可以有所不同,包括從虛擬隧道到物理分離的任何內容。使用 OoB 訪問來管理網絡基礎設施將通過限制訪問和將用戶流量與網絡管理流量分開來增強安全性。OoB 管理提供安全監控,并且可以在不讓對手(即使是已經破壞了一部分網絡的人)觀察到這些變化的情況下執行糾正措施。
OoB 管理可以物理地、虛擬地或通過兩者的混合來實施。盡管構建額外的物理網絡基礎設施的實施和維護成本可能很高,但對于網絡管理員來說,這是最安全的選擇。虛擬實施成本較低,但仍需要大量的配置更改和管理。在某些情況下,例如訪問遠程位置,虛擬加密隧道可能是唯一可行的選擇。
建議:
- 將標準網絡流量與管理流量分開。
- 確保設備上的管理流量僅來自OoB。
- 將加密應用于所有管理渠道。
- 加密對基礎設施設備(如終端或撥入服務器)的所有遠程訪問。
- 通過安全通道(最好在 OoB 上)從專用的、完全修補的主機管理所有管理功能。
- 通過測試補丁、關閉路由器和交換機上不必要的服務以及實施強密碼策略來強化網絡管理設備。監控網絡并查看日志。實施僅允許所需管理或管理服務的訪問控制(例如,SNMP、網絡時間協議、安全外殼、FTP、普通 FTP、遠程桌面協議 [RDP]、服務器消息塊 [SMB])。
驗證硬件和軟件的完整性
通過未經授權的渠道購買的產品通常被稱為假冒、二級或灰色市場設備。許多媒體報道都描述了灰色市場硬件和軟件進入市場的情況。非法的硬件和軟件會給用戶信息和網絡環境的整體完整性帶來嚴重風險。灰色市場產品可能會給網絡帶來風險,因為它們尚未經過全面測試以滿足質量標準。由于供應鏈中斷,從二級市場購買產品存在購買假冒、被盜或二手設備的風險。此外,供應鏈中的漏洞為在設備上安裝惡意軟件和硬件提供了機會。受損的硬件或軟件會影響網絡性能并危及網絡資產的機密性、完整性或可用性。最后,未經授權或惡意軟件可能會在設備投入使用后加載到設備上,因此組織應定期檢查軟件的完整性。
建議:
- 嚴格控制供應鏈,只從授權經銷商處購買。
- 要求經銷商強制執行供應鏈完整性檢查,以驗證硬件和軟件的真實性。
- 安裝后,檢查所有設備是否有篡改跡象。
- 驗證來自多個來源的序列號。
- 從經過驗證的來源下載軟件、更新、補丁和升級。
- 執行哈希驗證,并將值與供應商的數據庫進行比較,以檢測對固件的未經授權的修改。
- 定期監控和記錄設備——驗證設備的網絡配置。
- 培訓網絡所有者、管理員和采購人員,以提高對灰色市場設備的認識。
本文轉載自微信公眾號「祺印說信安」,作者何威風。轉載本文請聯系祺印說信安公眾號。
