摘要:本文简要介绍了交换机在军工网络中发挥的重要作用,重点阐述了几种常用的交换机安全防护技术。
关键词:访问控制;涉密信息系统;网络安全;
引言
随着计算机网络的日益普及, 网络的安全性越来越受到人们的关注。特别是政府、军工等涉密单位网络的安全管理已成为首要问题来解决。交换机作为网络中的核心设备, 其自身的安全性与网络的整体安全性有着直接密切的联系。为了尽可能抑制攻击带来的影响,使军工网络稳定运行,通过应用一些交换机的安全技术和策略,可以增强军工网络的安全性和稳定性。以下将重点分析归纳几种军工网络交换机安全防护技术。
1 交换机的访问安全
在任何网络安全部署中,交换机的安全都是一个关键要素,但交换机极容易受到来自各方面的安全威胁。为了防止交换机被攻击或控制,必须在交换机配置基本的安全,具体有:
1.1 配置密码安全策略
(1)对交换机最直接的攻击方式就是获取交换机的密码,根据相关保密要求,交换机应当配置10位以上复杂的登录密码,配置堡垒机登陆访问交换机等。
(2)对配置文件中的密码进行加密,使用“service password-encryption”命令对所有密码进行加密。
(3)对enable密码使用enable secret,而不要使用enable password。
(4)加强密码的存放安全,不要写在纸上或者随意告诉他人。
1.2 配置交换机账户锁定策略。
通过配置交换机账户锁定策略可以控制用户在指定时间内输入错误密码的次数达到了相应的次数,账户锁定策略就会将该用户禁用,防止非法用户猜测密码,配置方法如下:
local-aaa-user wrong-password retry-interval 60 retry-time 3 block-time 60
###60秒之内3次登录失败,禁止登陆1800秒(30分钟)
1.3 配置交换机超时重鉴别策略
通过配置交换机超时重鉴别策略可以控制管理员较长时间离开办公室后交换机会自动退出当前登录,防止非法用户“趁虚而入”操作交换机,配置方法如下:
Line vty 0 4
Exec-timeout 10 1 //交换机超时10分钟没有促发相关事件,将自动退出
1.4 配置acl限制远程访问
攻击者可以尝试通过暴力破解法来获取交换机远程登录的密码,可以通过配置acl策略可以限制访问交换机的管理端地址,配置方法如下:
Acl 2001 //创建acl2001
Rule 5 permit source 192.168.X.X //配置acl列表
User-interface vty 0 4 //进入vty接口
Acl 2001 inbound //调用acl2001
1.5 禁用不需要的服务
交换机支持大量的服务,如cdp、tcp small servers、udp small servers、finger、http server、bootp server、proxy arp等。而大量服务一般是不需要的,开着这些服务将给交换机带来资源浪费,并可能引起攻击,给交换机带来隐患,关闭这些服务是非常有必要的。比如使用no ip http server命令可以关闭http服务。
很多管理员并不知道路由器上有哪些默认打开的服务需要被关闭,且使用命令行的方式关闭所有不使用的服务非常繁琐。思科autosecure使用一个单一的命令庭院不必要的系统进程和服务,消除潜在的安全威胁。可以在特权exec的模式下使用autosecure,有两种模式:
(1)交互模式,这种模式会提示选择启用或禁用服务和其他的安全功能。这是默认模式。
(2)非交互模式,这种模式自动执行思科推荐的安全设置。
1.6 关闭cdp协议
交换机为了安全原因不想让邻近设备发现自己设备的信息,可以通过关闭cdp(思科发现协议)。
配置方法如下:
Inter fa0/1
No cdp enable
1.7 启用交换机日志系统
交换机可以根据网络事件所导致的结果生成日志消息,可以通过启用交换机的日志功能追查关于交换机访问安全的相关审计记录。配置如下:
Logging on //打开交换机日志功能
Logging console debugging
Logging monitor debugging
Logging buffer debugging
Logging host 192.168.x.x //配置交换机日志服务器
Logging trap debugging
Logging origin-id ip
Logging facility local7
Logging source-interface vlan 1 //指明交换机以vlan1接口的ip作为源ip向服务器发送日志。
Service timestamps log
Service timestamps log datetime
Service sequence-numbers
1.8 使用SSH代替telnet
telnet使用明文密码,在网络上传输是非常不安全的。对军工网络的远程访问根据保密规定必须使用SSH技术。通过使用SSH,可以对所有传输的数据进行加密,这样“中间人”攻击方式就不可能实现了,即使捕获的数据包也是经过RSA加密后的数据包。
2 交换机的设备接入安全
2.1 空闲端口采取物理隔离+逻辑关闭措施
根据相关保密要求,军工网络应当将空闲网线从交换机端口中拔出,实行物理隔离。
2.2 使用vlan进行逻辑隔离
Vlan又称虚拟局域网,是将一个物理的局域网在逻辑上划分为多个广播域的通信技术。它最大的特点是可以隔离冲突域和广播域。在一个网络内,当主机数量较多时会导致
划分vlan后可以使得广播包被限制在一个vlan里面,而不会跨vlan进行传播。而且不同的vlan用户之间在没有三层路由的前提下是不能互访的。
即使通过三层路由进行互访,也可以通过vlan或vlan接口配合二层acl或三层acl的方式限制不同vlan之间的互访,这也是非常重要的安全策略。
2.3 使用端口安全技术拒绝非法设备接入
上文2.2中提到交换机可以“通过vlan或vlan接口配合二层acl或三层acl的方式限制不同vlan之间的互访”,但是vlan内的主机之间的通信是不能被有效阻止。
在一般的网络部署结构中,客户端只需要和服务器进行通信,而不需要客户端之间进行通信,在军工网络中更是不被允许的。可以通过在交换机中开启端口隔离技术可以解决这一问题。配置如下:
Sys
Prot-isolate mode all //开启2层3层端口隔离功能
Port-group portgroup1 //创建隔离组1
Group-member gi1/0/1 to gi1/0/10
Port-isolate enable group 1 //开启端口隔离
3 交换机防ip欺骗安全------IPSG
Ipsg是一种基于IP/MAC的端口流量过滤技术,他可以防止局域网内的ip地址欺骗攻击。能够确保二层网络中终端设备的ip地址不被劫持,还不能确保非授权设备不能通过自己指定的ip地址的方式来访问网络或攻击网络。
4 交换机配置文件备份安全
作为一名合格的网络管理员应当定期对重要的交换机设备的配置文件进行备份,笔者认为至少要定期备份核心层交换机和汇聚层交换机的配置文件,以防止发生突发事件后能够快速的恢复网络运转,将损失降到最低。
5 结束语
以上主要介绍了通过交换机来加强军工信息网络安全,那么,给交换机配置了相关安全防护技术措施是否就万无一失了呢?非也,军工网络信息安全是一项系统工程,还应该全面考虑综合运用防火墙、加密技术、防病毒系统、对网络进行入侵检测、漏洞扫描等技术手段,互相配合,加强日常保密管理及制度建设,尽最大能力降低涉密信息泄密的可能,从而保证军工网络信息的安全。
参考文献
【1】张焕国 信息安全工程师教程 清华大学出版社
【2】梁广民 王隆杰 思科网络实验室CCNP【交换技术】电子工业出版社