李金勇
【摘要】當(dāng)前,計算機信息化發(fā)展迅猛,安全成為企業(yè)發(fā)展必須面對的問題。本文立足實際,對企業(yè)網(wǎng)絡(luò)安全策略的部署與實現(xiàn)方法進行了分析探討。
【關(guān)鍵詞】企業(yè)網(wǎng)絡(luò) 信息安全 策略設(shè)計
隨著社會經(jīng)濟的快速發(fā)展,計算機信息技術(shù)介入人們生活的方方面面。企業(yè)網(wǎng)絡(luò)的信息安全策略是涵蓋多方面的,既有管理安全,也有技術(shù)安全,既有物理安全策略,也有網(wǎng)絡(luò)安全策略。企業(yè)網(wǎng)絡(luò)應(yīng)實現(xiàn)科學(xué)的安全管理模式,結(jié)合網(wǎng)絡(luò)設(shè)備功能的不同對整體網(wǎng)絡(luò)進行有效分區(qū),可分為專網(wǎng)區(qū)、服務(wù)器區(qū)以及內(nèi)網(wǎng)公共區(qū),并部署入侵檢測系統(tǒng)與防火墻系統(tǒng),對內(nèi)部用戶威脅到網(wǎng)絡(luò)安全的行為進行阻斷。下面著重闡述企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)層安全策略:
一、企業(yè)網(wǎng)絡(luò)設(shè)備安全策略分析
隨著網(wǎng)絡(luò)安全形勢的日趨嚴峻,不斷有新的攻擊手段被發(fā)現(xiàn),而這些手段的攻擊目標(biāo)也已經(jīng)從用戶終端、服務(wù)器厭延展至交換機、路由器等硬件設(shè)施。而交換機與路由器屬于網(wǎng)絡(luò)核心層的重點設(shè)備,如果這些設(shè)備退出服務(wù),企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全便會面臨很大的威脅。由此本文給出以下的網(wǎng)絡(luò)設(shè)備安全策略。
最大化地關(guān)閉網(wǎng)絡(luò)交換機上的服務(wù)種類。尤其是不經(jīng)常使用的服務(wù)更應(yīng)關(guān)閉,舉例來講:交換機的鄰居發(fā)現(xiàn)服務(wù)CDP,其功能是辨認一個網(wǎng)絡(luò)端口連接到哪一個另外的網(wǎng)絡(luò)端口,鄰居發(fā)現(xiàn)服務(wù)鎖發(fā)出和接收的數(shù)據(jù)包很容易暴露用戶終端的屬性信息,包括交換機端口與用戶終端的IP信息,網(wǎng)絡(luò)交換機的型號與版本信息,本地虛擬局域網(wǎng)屬性等。因此,本文建議在不常使用此服務(wù)的情況下,應(yīng)該關(guān)閉鄰居發(fā)現(xiàn)服務(wù)。另外,一些同樣不常使用的服務(wù),包括交換機自舉服務(wù)、文件傳輸服務(wù)、簡單文件傳輸服務(wù)、網(wǎng)絡(luò)時間同步服務(wù)、查詢用戶情況服務(wù)、簡單網(wǎng)絡(luò)管理服務(wù)、源路徑路由服務(wù)、代理ARP服務(wù)等等。
企業(yè)信息系統(tǒng)的網(wǎng)管往往以Telnet協(xié)議實現(xiàn)對全網(wǎng)所有交換機、路由器的配置與管理。眾所周知,此協(xié)議使用的是明文傳輸模式,因此在信息安全方面不輸于非常可靠的協(xié)議。入侵者只要以抓包軟件便能夠輕易得知網(wǎng)管的登錄ID與密碼,以抓包軟件同樣能夠獲取網(wǎng)絡(luò)管理員發(fā)出、受到的全部數(shù)據(jù)。所以在網(wǎng)絡(luò)管理中,應(yīng)引入安全性能更高的協(xié)議,本文推薦SSH(Secure Shell Client)協(xié)議。這種協(xié)議借助RSA生成安全性能極高的簽名證書,通過該證書,全部以SSH協(xié)議進行傳輸?shù)臄?shù)據(jù)包都被良好加密。此外VTP 的安全使用也是一個應(yīng)該得到重視的問題,VTP應(yīng)配置強口令。
二、企業(yè)信息系統(tǒng)網(wǎng)絡(luò)端口安全策略
由于大部分企業(yè)網(wǎng)絡(luò)的終端均以網(wǎng)絡(luò)交換機在接入層連入網(wǎng)絡(luò),而網(wǎng)絡(luò)交換機屬于工作在ISO第二層的設(shè)備,當(dāng)前有不少以第二層為目標(biāo)的非法攻擊行為,為網(wǎng)絡(luò)帶來了不容忽視的安全威脅。
二層網(wǎng)絡(luò)交換機使用的數(shù)據(jù)轉(zhuǎn)發(fā)方式是以CAM表為基礎(chǔ)的。在網(wǎng)絡(luò)交換機加點之后,首選會清空CAM 表,并立即啟動數(shù)據(jù)幀源地址學(xué)習(xí),并將這些信息存入交換機CAM表中。這時候,加入非法入侵者通過偽造自身的MAC地址并不停地發(fā)出數(shù)據(jù)幀結(jié)構(gòu),便很容易導(dǎo)致網(wǎng)絡(luò)交換機CAM表溢出,服務(wù)失效。而此時便會導(dǎo)致該MAC的流量向交換機其他端口轉(zhuǎn)發(fā),為非法入侵者提供網(wǎng)絡(luò)竊聽的機會,很容易造成攻擊風(fēng)險。本文所推薦的策略是:網(wǎng)絡(luò)交換機的端口安全維護應(yīng)隨時打開;在交換機配置中設(shè)置其學(xué)習(xí)MAC地址的最大數(shù)目為1;設(shè)置網(wǎng)絡(luò)交換機能夠存儲其學(xué)習(xí)到的全部MAC地址;一旦網(wǎng)絡(luò)交換機的安全保護被觸發(fā),則丟棄全部MAC 地址的流量,發(fā)送告警信息。對網(wǎng)絡(luò)交換機進行以上的配置,一方面能夠防止基于交換機MAC地址的泛洪攻擊,另一方面也能對網(wǎng)絡(luò)內(nèi)部的合法地址做好記錄。
在成功阻止未知MAC地址接入的基礎(chǔ)上,還應(yīng)阻止來自已知地址的攻擊。本文推薦基于MAC限流的策略,這是由于網(wǎng)絡(luò)交換機不必向所有端口廣播未知幀,因此可以對未知幀進行阻止,增強網(wǎng)絡(luò)交換機安全性。
三、企業(yè)信息系統(tǒng)網(wǎng)絡(luò)BPDU防護策略
一般情況下,企業(yè)的內(nèi)部網(wǎng)絡(luò)往往以網(wǎng)絡(luò)交換機作為網(wǎng)絡(luò)拓撲的支撐,因為考慮到交換機通道的溝通,加之系統(tǒng)冷、熱備份的出發(fā)點,在企業(yè)網(wǎng)絡(luò)中是存在第二層環(huán)路的,這就容易引發(fā)多個幀副本的出現(xiàn),甚至引起基于第二層的數(shù)據(jù)包廣播風(fēng)暴,為了避免此種情況的發(fā)生,企業(yè)網(wǎng)絡(luò)往往引入了STP協(xié)議。而這種協(xié)議的效果則取決于交換機共享的BPDU信息。這就為一些攻擊者提供了機會,通過假冒優(yōu)先級低的BPDU數(shù)據(jù)包,攻擊者向二層網(wǎng)絡(luò)交換機發(fā)送。由于這種情況下入侵檢測系統(tǒng)與網(wǎng)絡(luò)防火墻均無法生效,就導(dǎo)致攻擊者能夠方便地獲取網(wǎng)絡(luò)信息??梢圆捎玫姆婪洞胧椋涸诙泳W(wǎng)絡(luò)交換機啟用BPDU過濾器模塊。該模塊能夠控制此端口,使其對BPDU數(shù)據(jù)包不進行任何處理,加入收到此種類型的數(shù)據(jù)包,該端口將會自動設(shè)置為“服務(wù)停止”。在此基礎(chǔ)上,在根交換機上引入鏈路監(jiān)控體系。一旦該交換機設(shè)備檢測到優(yōu)先級更高的 BPDU數(shù)據(jù)包,則發(fā)出“失效”的消息,及時阻塞端口。
四、企業(yè)信息系統(tǒng)網(wǎng)絡(luò)Spoof防護策略
在企業(yè)內(nèi)部網(wǎng)絡(luò)中,往往有著大量的終端機,出于安全性與可靠性的考慮,這些終端機均以動態(tài)主機設(shè)置協(xié)議獲得自身的IP地址。這就為Spoof 攻擊留下了機會。在這種攻擊中,非法入侵者會將自身假冒動態(tài)主機設(shè)置協(xié)議服務(wù)器,同時向用戶主機發(fā)出假冒的動態(tài)IP配置數(shù)據(jù)包,導(dǎo)致用戶無法獲取真實IP,不能聯(lián)網(wǎng)??梢圆捎玫姆婪洞胧椋阂雱討B(tài)主機設(shè)置協(xié)議Snooping 策略。在二層網(wǎng)絡(luò)交換機上安裝Snooping模塊并激活,系統(tǒng)便會把設(shè)備的全部可用端口設(shè)置為untrust 接口。這種接口能夠收到消息,并丟棄假冒的動態(tài)IP配置數(shù)據(jù)包,從而防止Spoof 攻擊帶來的風(fēng)險。
考慮到地址解析協(xié)議在安全方面的防范性不足,加入非法入侵者不斷地發(fā)出ARP數(shù)據(jù)包,便容易導(dǎo)致全部用戶終端的ARP表退出服務(wù),除去靜態(tài)綁定IP與MAC之外,本文推薦動態(tài)ARP監(jiān)測策略。此種策略會將交換機全部端口設(shè)置為untrust狀態(tài)。此種狀態(tài)之下,端口將無法發(fā)出ARP的響應(yīng),因此,黨用戶主機染毒時,其發(fā)出的假冒ARP數(shù)據(jù)包將由于與列表不匹配而被丟棄,系統(tǒng)安全得到了保障。
五、結(jié)束語
網(wǎng)絡(luò)安全是一項綜合的管理工程,意義重大。企業(yè)的網(wǎng)絡(luò)安全一旦出現(xiàn)問題,極有可能造成巨大損失,到那時即使再投入大量資金進行彌補也為時已晚。因此,企業(yè)應(yīng)未雨綢繆,認清事實、正視事實、立足長遠,重視網(wǎng)絡(luò)安全問題,這樣才能保證企業(yè)網(wǎng)絡(luò)的安全,從而實現(xiàn)企業(yè)長足發(fā)展。
參考文獻:
[1]楊湧.提高企業(yè)網(wǎng)絡(luò)安全策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016,(10).