淺談網(wǎng)絡(luò)設(shè)備的安全隱患及其防范措施

摘 要：隨著企業(yè)信息化的發(fā)展，網(wǎng)絡(luò)對(duì)企業(yè)越來(lái)越重要，而作為基礎(chǔ)設(shè)施的網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)等）假如遭受攻擊，將有可能導(dǎo)致企業(yè)的生產(chǎn)數(shù)據(jù)、業(yè)務(wù)中斷，甚至信息失竊。這些都會(huì)給企業(yè)帶來(lái)一定的損失，因此網(wǎng)絡(luò)設(shè)備的安全性不容忽視。本文對(duì)網(wǎng)絡(luò)設(shè)備的安全隱患及其防范措施進(jìn)行討論，使管理人員能更好地保證網(wǎng)絡(luò)設(shè)備的安全性，減少因網(wǎng)絡(luò)攻擊而遭受的損失。

關(guān)鍵詞：網(wǎng)絡(luò)設(shè)備；安全隱患；安全措施

中圖分類(lèi)號(hào)：TP393.08

現(xiàn)今，人們?cè)陉P(guān)注個(gè)人電腦等的終端設(shè)備安全時(shí)，往往忽略了作為基礎(chǔ)設(shè)施的網(wǎng)絡(luò)設(shè)備的安全性。如何加強(qiáng)企業(yè)網(wǎng)絡(luò)設(shè)備的安全性，防止非法攻擊，保證企業(yè)生產(chǎn)數(shù)據(jù)不中斷、正確、安全傳輸，成為企業(yè)及網(wǎng)絡(luò)界一個(gè)關(guān)注點(diǎn)。

1 網(wǎng)絡(luò)設(shè)備的安全隱患

1.1 物理安全性

網(wǎng)絡(luò)設(shè)備由于其特殊性，有的會(huì)放置在樓道間，有的會(huì)放置在專(zhuān)用的管理間，如果這些設(shè)備是普通人能隨便接觸到的，那么這些設(shè)備也是極易攻擊的。對(duì)于可管理型的設(shè)備，它都會(huì)帶有一個(gè)本地網(wǎng)管口，如果攻擊者能接觸到它，那么只需要一臺(tái)筆記本和一條控制線(xiàn)即可完全操縱該臺(tái)設(shè)備，就算設(shè)置了口令認(rèn)證，也可通過(guò)廠商設(shè)定的恢復(fù)程序繞過(guò)口令，進(jìn)而對(duì)其進(jìn)行修改、攻擊。對(duì)于非管理型的設(shè)備，那么攻擊者可通過(guò)添加、擾亂原來(lái)的布線(xiàn)來(lái)導(dǎo)致局部網(wǎng)絡(luò)的癱瘓，進(jìn)而拖垮整個(gè)網(wǎng)絡(luò)。例如：對(duì)于交換機(jī)，攻擊者可以通過(guò)添加網(wǎng)線(xiàn)使其產(chǎn)生交換環(huán)路，使數(shù)據(jù)包在該環(huán)路下永無(wú)止境的傳輸，隨著數(shù)據(jù)包的增多，交換機(jī)的CPU使用率不斷增高，最后宕機(jī)導(dǎo)致網(wǎng)絡(luò)中斷。

1.2 管理人員的綜合素質(zhì)

網(wǎng)絡(luò)管理人員是操控網(wǎng)絡(luò)設(shè)備的關(guān)鍵，但有可能因其思想素質(zhì)水平、保密性不高，遭受攻擊者的社會(huì)工程學(xué)攻擊等，導(dǎo)致網(wǎng)絡(luò)設(shè)備的信息泄露。

1.3 操作系統(tǒng)安全性

網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)一般都是非開(kāi)源的，本身存在一些漏洞，如果攻擊者發(fā)現(xiàn)了這些漏洞，即可加以利用并攻擊這些設(shè)備。如著名網(wǎng)絡(luò)廠商思科之前公布的IOS XR軟件處理分片數(shù)據(jù)包的漏洞，攻擊者可以利用這個(gè)漏洞來(lái)對(duì)思科CRS路由器發(fā)起拒絕服務(wù)攻擊。這些系統(tǒng)本身的漏洞，也是設(shè)備潛在的安全隱患。

1.4 軟件協(xié)議、服務(wù)的配置安全性

網(wǎng)絡(luò)設(shè)備的一些軟件協(xié)議、服務(wù)本身是為了更好的轉(zhuǎn)發(fā)數(shù)據(jù)、管理而開(kāi)發(fā)的，但也有可能因?yàn)榕渲貌划?dāng)，而被攻擊者所利用。例如以下的協(xié)議、服務(wù)：

（1）思科的鄰居發(fā)現(xiàn)協(xié)議（CDP），是思科用來(lái)在相鄰設(shè)備建立鄰居關(guān)系并互相交換設(shè)備地址、硬件及軟件版本等信息的，該協(xié)議能使管理員能更方便的掌握整個(gè)網(wǎng)絡(luò)拓?fù)?。該協(xié)議在思科的設(shè)備上是默認(rèn)開(kāi)啟的，而且沒(méi)有任何能用于認(rèn)證對(duì)端的信息，也就是說(shuō)任意兩臺(tái)互聯(lián)的設(shè)備只要開(kāi)啟了該協(xié)議，就會(huì)互相建立鄰居，交換信息，在自身數(shù)據(jù)庫(kù)中添加鄰居信息。攻擊者只需要在任意一臺(tái)終端偽造CDP數(shù)據(jù)包即可與該設(shè)備建立鄰居關(guān)系，獲取其信息。當(dāng)然也可通過(guò)泛洪偽造的數(shù)據(jù)包來(lái)對(duì)設(shè)備發(fā)起拒絕服務(wù)攻擊，因?yàn)榫W(wǎng)絡(luò)設(shè)備每收到一個(gè)CDP數(shù)據(jù)包就會(huì)在數(shù)據(jù)庫(kù)中為其建立表項(xiàng)，而大量的CDP數(shù)據(jù)包導(dǎo)致設(shè)備不斷在處理CDP鄰居建立、超時(shí)等，最終由于內(nèi)部存儲(chǔ)空間不足或CPU利用率過(guò)高而導(dǎo)致正常的數(shù)據(jù)流無(wú)法得到轉(zhuǎn)發(fā)。

（2）路由協(xié)議（如RIP、EIGRP、OSPF等），路由協(xié)議是用于網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)層交換路由信息，建立數(shù)據(jù)轉(zhuǎn)發(fā)路徑的，通過(guò)組播或廣播發(fā)送數(shù)據(jù)包來(lái)與相鄰設(shè)備交換信息，并根據(jù)路徑度量值來(lái)做最終選路，協(xié)議可選配置認(rèn)證或不認(rèn)證對(duì)端。如果在不恰當(dāng)?shù)慕涌趩⒂昧寺酚蓞f(xié)議且配置為不認(rèn)證，攻擊者可以偽造路由數(shù)據(jù)包，將路徑信息通告給網(wǎng)絡(luò)設(shè)備，影響數(shù)據(jù)包轉(zhuǎn)發(fā)的最終選路，使正常的業(yè)務(wù)數(shù)據(jù)流最終走向“黑洞”或被攻擊者實(shí)現(xiàn)“中間人”攻擊并獲取其中的信息。

（3）生成樹(shù)協(xié)議（STP），該協(xié)議用于在交換網(wǎng)絡(luò)中避免數(shù)據(jù)包轉(zhuǎn)發(fā)環(huán)路，最終生成一個(gè)樹(shù)形結(jié)構(gòu)的無(wú)環(huán)網(wǎng)絡(luò)拓?fù)?，而這個(gè)樹(shù)形拓?fù)湟矝Q定了交換網(wǎng)絡(luò)的轉(zhuǎn)發(fā)路徑。STP協(xié)議不包含認(rèn)證信息，根據(jù)網(wǎng)絡(luò)設(shè)備的橋ID來(lái)選舉根橋的，如果在不恰當(dāng)?shù)慕涌诮邮誗TP數(shù)據(jù)包，攻擊者通過(guò)偽造STP數(shù)據(jù)包發(fā)送給網(wǎng)絡(luò)設(shè)備即可影響生成樹(shù)的構(gòu)建，這會(huì)導(dǎo)致最終拓?fù)浯嬖诖蝺?yōu)路徑，影響整個(gè)網(wǎng)絡(luò)的性能。

1.5 遠(yuǎn)程管理安全性

為了方便對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行配置、監(jiān)控、維護(hù)，網(wǎng)絡(luò)設(shè)備都會(huì)有遠(yuǎn)程管理功能。想要遠(yuǎn)程配置設(shè)備可以通過(guò)遠(yuǎn)程登錄功能，而遠(yuǎn)程登錄一般只需要登錄者有設(shè)備的管理IP地址及密碼，這意味著如果攻擊者知道設(shè)備的管理IP地址（可通過(guò)軟件掃描開(kāi)放的端口獲得），就可以通過(guò)暴力破解軟件及彩虹表來(lái)對(duì)密碼做猜解，而猜解的難度、時(shí)間取決于密碼的復(fù)雜程度。對(duì)網(wǎng)絡(luò)設(shè)備的監(jiān)控、維護(hù)，管理員可通過(guò)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）遠(yuǎn)程查詢(xún)?cè)O(shè)備的狀態(tài)并進(jìn)行一些修改，而SNMP一般也是僅要求IP與密碼來(lái)認(rèn)證的。很顯然，遠(yuǎn)程管理也是存在安全隱患的。

2 網(wǎng)絡(luò)設(shè)備安全防范措施

2.1 加強(qiáng)設(shè)備的防盜

對(duì)網(wǎng)絡(luò)設(shè)備上柜上鎖，定期巡查，對(duì)于不在管理間內(nèi)的設(shè)備，應(yīng)放置在壁柜內(nèi)，并且壁柜盡量掛靠墻頂，使一般人無(wú)法直接接觸到設(shè)備，從而避免對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行物理攻擊。

2.2 健全管理制度，增強(qiáng)法律意識(shí)，配置AAA

健全的管理制度是網(wǎng)絡(luò)設(shè)備安全中的一個(gè)重點(diǎn)的部分，要做到權(quán)責(zé)分明。對(duì)網(wǎng)絡(luò)管理員做法律及職業(yè)道德培訓(xùn)，提高其法律意識(shí)、職業(yè)素養(yǎng)。在網(wǎng)絡(luò)設(shè)備上配置AAA（認(rèn)證、授權(quán)、審計(jì)），對(duì)網(wǎng)絡(luò)設(shè)備的本地或遠(yuǎn)程操作做認(rèn)證、授權(quán)、審計(jì)，并有相應(yīng)的服務(wù)器記錄。明確“誰(shuí)能登錄設(shè)備”、“登錄者對(duì)網(wǎng)絡(luò)設(shè)備有什么權(quán)限”、“登錄者做過(guò)了什么”，緩解或避免對(duì)管理員的社會(huì)工程學(xué)攻擊或其綜合素質(zhì)導(dǎo)致的問(wèn)題。

2.3 定期升級(jí)操作系統(tǒng)

定期到廠商官網(wǎng)下載并升級(jí)操作系統(tǒng)，避免遭受操作系統(tǒng)已知漏洞的攻擊。升級(jí)要做好操作記錄，同時(shí)也要做好回退方案，避免由于系統(tǒng)升級(jí)導(dǎo)致現(xiàn)有網(wǎng)絡(luò)無(wú)法正常運(yùn)作。

2.4 正確地配置協(xié)議、服務(wù)

配置網(wǎng)絡(luò)設(shè)備，只有在需要的地方才開(kāi)啟相關(guān)的協(xié)議、服務(wù)。在面向終端、用戶(hù)的接口關(guān)閉CDP、LLDP等協(xié)議。如果啟用了生成樹(shù)，交換機(jī)應(yīng)配置好生成樹(shù)BPDU過(guò)濾、根防護(hù)。配置路由協(xié)議時(shí)，要配置必要的認(rèn)證信息，并為宣告進(jìn)路由進(jìn)程的且面向用戶(hù)的接口啟用被動(dòng)接口功能，不接收來(lái)自用戶(hù)的路由信息，也不向用戶(hù)發(fā)送路由信息。

2.5 使用強(qiáng)用戶(hù)名/密碼對(duì)、對(duì)密碼本身加密

設(shè)備遠(yuǎn)程管理應(yīng)使用用戶(hù)名/密碼對(duì)認(rèn)證，并且密碼應(yīng)該是多種字符混合的強(qiáng)密碼，不使用默認(rèn)密碼。對(duì)遠(yuǎn)程登陸協(xié)議的選擇，應(yīng)該使用ssh協(xié)議，而不用telnet，因?yàn)閠elnet是明文傳輸密碼，假如攻擊者截獲了認(rèn)證數(shù)據(jù)包，將能直接看到密碼，而使用SSH，傳輸過(guò)程中整個(gè)數(shù)據(jù)包是加密的，就算被截獲了，也無(wú)法看到密碼。對(duì)SNMP協(xié)議的選擇，應(yīng)選用版本3，而不用版本1，2，因?yàn)榘姹?，2也是明文傳輸密碼且不支持用戶(hù)名/密碼對(duì)認(rèn)證。

2.6 使用訪(fǎng)問(wèn)控制列表（ACL）限制對(duì)設(shè)備的訪(fǎng)問(wèn)

在網(wǎng)絡(luò)設(shè)備上配置ACL，只允許特定的網(wǎng)段訪(fǎng)問(wèn)設(shè)備，一般只允許網(wǎng)管中心的網(wǎng)段或主機(jī)訪(fǎng)問(wèn)這些設(shè)備。

網(wǎng)絡(luò)是一門(mén)復(fù)雜的綜合性學(xué)科，企業(yè)在使用互聯(lián)網(wǎng)的時(shí)候，首要任務(wù)就是要加強(qiáng)網(wǎng)絡(luò)設(shè)備安全建設(shè)，采取一系列符合企業(yè)自身發(fā)展的安全技術(shù)，實(shí)行各種安全措施，才能使網(wǎng)絡(luò)管理人員更好地保證網(wǎng)絡(luò)設(shè)備的安全性，保護(hù)企業(yè)網(wǎng)絡(luò)設(shè)備免受非法入侵，降低企業(yè)風(fēng)險(xiǎn)，防范于未然。

參考文獻(xiàn)：

[1]張建衛(wèi).淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)設(shè)備維護(hù)與安全管理[J].科技資訊，2013（21）.

[2]程君.高職院院校校園網(wǎng)絡(luò)安全技術(shù)研究[J].信息通信，2013（09）.

作者單位：廣州康大職業(yè)技術(shù)學(xué)院，廣州 511363