網(wǎng)絡(luò)交換機(jī)安全加固策略探討

◆祝彥峰

(國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心廣東分中心 廣東 510630)

1 概述

使用IP技術(shù)的因特網(wǎng)由于網(wǎng)絡(luò)的開(kāi)放性和擴(kuò)展性在全球范圍流行，深入社會(huì)的各個(gè)領(lǐng)域，同時(shí)IP網(wǎng)絡(luò)也因開(kāi)放和擴(kuò)展的原因在設(shè)計(jì)之初就存在固有的脆弱性，使得攻擊者很容易利用網(wǎng)絡(luò)的弱點(diǎn)發(fā)起各種各樣的攻擊。特別是隨著下一代網(wǎng)絡(luò)的興起，Everything over IP正在成為各種網(wǎng)絡(luò)技術(shù)發(fā)展的基礎(chǔ)。全球各個(gè)標(biāo)準(zhǔn)化研究組織和機(jī)構(gòu)都開(kāi)展了網(wǎng)絡(luò)安全體系架構(gòu)、安全機(jī)制的研究。提出了一系列的安全標(biāo)準(zhǔn)。其中由ITU-T在2003年10月制定ITU-T X.805（10/2003）《提供端到端通信的系統(tǒng)的安全架構(gòu)》比較全面地規(guī)定了信息網(wǎng)絡(luò)端到端安全服務(wù)體系的架構(gòu)模型。包括三層三面八維，即應(yīng)用層、業(yè)務(wù)層和傳送層，管理平面、控制平面和用戶平面，認(rèn)證、可用性、接入控制、不可抵賴、機(jī)密性、數(shù)據(jù)完整性、私密性和通信安全。因此我們采用這個(gè)模型，從安全威脅角度和對(duì)應(yīng)安全策略等方面進(jìn)行探討，從管理平面、控制平面和轉(zhuǎn)發(fā)平面出發(fā)進(jìn)行加固策略的研究。

2 管理平面

管理平面的安全加固，主要是對(duì)設(shè)備本身的操作通道和用戶權(quán)限等方面的加固管理，包括設(shè)備登錄方式、用戶管理、管理協(xié)議、鏈路層安全管理、業(yè)務(wù)平面隔離管理、設(shè)備資源防護(hù)管理、日志服務(wù)管理等。

管理通道分為協(xié)議管理通道和用戶管理通道，需要使用用戶名密碼對(duì)登錄的交換機(jī)串口（console口）和遠(yuǎn)程虛接口連接均為用戶管理通道，采用的協(xié)議有rs232、telnet、ssh、http、https；協(xié)議管理通道通過(guò)網(wǎng)管協(xié)議進(jìn)行設(shè)備監(jiān)控和管理，一般采用服務(wù)器/客戶端的架構(gòu)，當(dāng)前主要協(xié)議有SNMP和telemetry。

按照最簡(jiǎn)及安全的要求，僅開(kāi)啟必要的登錄方式。不適用的服務(wù)應(yīng)全部予以禁用。協(xié)議管理，也是同樣，在沒(méi)有網(wǎng)管系統(tǒng)的前提下，關(guān)閉所有管理協(xié)議。在有管理系統(tǒng)的情況下，配置必要的驗(yàn)證手段，確保傳輸信息加密及獲取信息驗(yàn)證等手段。用戶管理包括減少用戶數(shù)、合理設(shè)置用戶權(quán)限、制定用戶登錄策略等。

安全加固首要保障設(shè)備的物理安全、環(huán)境安全，攻擊者不能接觸到物理設(shè)備，制定用戶密碼安全策略，用戶管理通道的主要威脅有物理接觸、暴力破解密碼、拒絕服務(wù)攻擊等行為。配置相對(duì)應(yīng)的安全策略為此采取設(shè)置物理設(shè)備啟動(dòng)密碼、最小用戶數(shù)原則、啟用密碼符合復(fù)雜度和長(zhǎng)度等級(jí)要求、啟用用戶認(rèn)證失敗鎖定和設(shè)置重認(rèn)證次數(shù)和時(shí)長(zhǎng)、限制登錄用戶數(shù)、更換服務(wù)端口號(hào)、設(shè)置ACL限制訪問(wèn)IP、服務(wù)綁定接口地址、啟用SSL加密協(xié)議等手段。在網(wǎng)管協(xié)議通道管理上，啟用安全等級(jí)高的SNMPv2c/v3協(xié)議，設(shè)置ACL限制訪問(wèn)IP，采用加密通信防止信息偽裝、篡改、泄密等安全問(wèn)題出現(xiàn)。在鏈路安全上，針對(duì)有需要二層鏈路，啟用MACsec技術(shù)加密保護(hù)以太網(wǎng)數(shù)據(jù)幀，防止二層網(wǎng)絡(luò)攻擊。

由于交換機(jī)的默認(rèn)業(yè)務(wù)接口均支持管理協(xié)議，因此要在業(yè)務(wù)平面、管理平面采用ACL來(lái)限制登錄設(shè)備的IP的策略進(jìn)行隔離。對(duì)于具備管理平面防護(hù)功能的交換機(jī)，可以限制上送CPU處理的報(bào)文協(xié)議和類型，降低惡意攻擊的風(fēng)險(xiǎn)、降低CPU占用率。

3 控制平面

網(wǎng)絡(luò)交換機(jī)需要運(yùn)行各種各樣的協(xié)議來(lái)達(dá)成業(yè)務(wù)，這些協(xié)議自身需要考慮安全性，避免出現(xiàn)利用協(xié)議報(bào)文的變型、協(xié)議漏洞進(jìn)行攻擊的行為。交換機(jī)控制平面主要包括業(yè)務(wù)平面協(xié)議安全管理、管理平面隔離管理、攻擊防范。具體按照業(yè)務(wù)協(xié)議有針對(duì)性的啟用協(xié)議安全機(jī)制，涉及協(xié)議有ARP、DHCP、路由、MPLS、組播、NTP、STP、VRRP、二層聚合鏈路協(xié)議等，攻擊行為有IP地址欺騙、數(shù)據(jù)傳輸?shù)劝踩雷o(hù)內(nèi)容，配置相對(duì)應(yīng)的安全策略。需要具體結(jié)合實(shí)際工程項(xiàng)目中的交換機(jī)選型配置和選擇加固項(xiàng)目。對(duì)于泛洪攻擊類可以采用安全的接入認(rèn)證協(xié)議、黑白名單等形式進(jìn)行防護(hù)，加強(qiáng)控制平面的安全性。

4 轉(zhuǎn)發(fā)平面

交換機(jī)業(yè)務(wù)轉(zhuǎn)發(fā)平面是交換機(jī)完成業(yè)務(wù)的執(zhí)行平面，安全加固更為重要，加固方法主要采用ACL訪問(wèn)控制列表的方式、流量抑制、風(fēng)暴控制、轉(zhuǎn)發(fā)路徑管理等方法實(shí)現(xiàn)?？梢赃x用端口保護(hù)、端口隔離、端口安全控制等技術(shù)進(jìn)行進(jìn)一步的安全防護(hù)。

4.1 訪問(wèn)控制列表

交換機(jī)中信息流的轉(zhuǎn)發(fā)主要通過(guò)報(bào)文的目的MAC地址、目的IP地址來(lái)查找路徑轉(zhuǎn)發(fā)；相關(guān)安全性主要針對(duì)轉(zhuǎn)發(fā)路徑上如何避免對(duì)交換機(jī)自身的惡意攻擊行為，以及預(yù)防某些攻擊流量在IP網(wǎng)絡(luò)中的擴(kuò)散。

結(jié)合實(shí)際業(yè)務(wù)，通過(guò)使用二層ACL、基本ACL、高級(jí)ACL和自定義ACL的精準(zhǔn)控制規(guī)則實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中報(bào)文流的精確識(shí)別和控制，達(dá)到控制網(wǎng)絡(luò)訪問(wèn)行為、防止網(wǎng)絡(luò)攻擊和提高網(wǎng)絡(luò)帶寬利用率的目的，從而切實(shí)保障網(wǎng)絡(luò)環(huán)境的安全性和網(wǎng)絡(luò)服務(wù)質(zhì)量的可靠性。

4.2 流量抑制、風(fēng)暴控制

交換機(jī)收到未知目的MAC地址的數(shù)據(jù)報(bào)文，將使用廣播的形式轉(zhuǎn)發(fā)報(bào)文至VLAN內(nèi)所有出接口，形成大量轉(zhuǎn)發(fā)流量，在存在環(huán)路的網(wǎng)絡(luò)中，就形成了廣播風(fēng)暴。應(yīng)對(duì)策略為在用戶接入側(cè)使用流量抑制、網(wǎng)絡(luò)互聯(lián)側(cè)啟用風(fēng)暴控制特性，通過(guò)在配置閾值來(lái)限制流量，關(guān)閉端口來(lái)阻斷流量的方式，限制和控制廣播、組播報(bào)文流量，防范廣播風(fēng)暴。

4.3 端口相關(guān)技術(shù)

網(wǎng)絡(luò)中，對(duì)上行網(wǎng)關(guān)出口線路/端口故障的情況，可以通過(guò)建立端口保護(hù)組的形式，形成一主一備的端口級(jí)鏈路保障，在主線路出現(xiàn)故障時(shí)，自動(dòng)切換至備用線路，保障業(yè)務(wù)無(wú)中斷。接入側(cè)網(wǎng)絡(luò)中，由于VLAN隔離方式形成的粒度較大，在業(yè)務(wù)主機(jī)之間沒(méi)有需要互訪的情況下，為了提供安全的業(yè)務(wù)環(huán)境，可以啟用端口隔離技術(shù)，將需要隔離的主機(jī)端口加入隔離組中，形成VLAN內(nèi)的主機(jī)報(bào)文隔離，提供了更安全、更靈活的組網(wǎng)結(jié)構(gòu)。

在對(duì)接入網(wǎng)絡(luò)的安全性要求較高的網(wǎng)絡(luò)中，可以進(jìn)一步啟用端口安全功能，限制端口學(xué)習(xí)MAC地址數(shù)量，并將接口學(xué)習(xí)到的MAC地址轉(zhuǎn)換為安全MAC或Sticky MAC（設(shè)備重啟后依然存在的MAC表項(xiàng)），阻止其他非信任的MAC主機(jī)通過(guò)本接口和交換機(jī)通信，提高交換機(jī)與網(wǎng)絡(luò)的安全性。在形成環(huán)路或存在攻擊的網(wǎng)絡(luò)中會(huì)出現(xiàn)MAC地址漂移的情況，導(dǎo)致MAC轉(zhuǎn)發(fā)表不穩(wěn)定。通過(guò)設(shè)置接口MAC地址學(xué)習(xí)優(yōu)先級(jí)、禁止相同優(yōu)先級(jí)接口MAC地址漂移等方式，可以限制MAC地址漂移。此時(shí)接口將不再學(xué)習(xí)相同的MAC地址，非法攻擊者將無(wú)法使用網(wǎng)絡(luò)設(shè)備MAC地址干擾網(wǎng)絡(luò)正常通信。

5 結(jié)束語(yǔ)

網(wǎng)絡(luò)交換機(jī)的安全加固是在對(duì)交換機(jī)應(yīng)用場(chǎng)景的完全認(rèn)知的情況下，適度的調(diào)整加固策略，防護(hù)安全威脅。因此需要對(duì)當(dāng)前網(wǎng)絡(luò)提供的服務(wù)業(yè)務(wù)的流程深入了解，分析業(yè)務(wù)面臨的安全威脅，評(píng)估安全加固后的代價(jià)，設(shè)計(jì)安全防護(hù)的合理方案，結(jié)合選用產(chǎn)品的功能性能指標(biāo)制定和實(shí)施精準(zhǔn)的安全策略。

安全是一個(gè)需要持續(xù)改進(jìn)的過(guò)程,安全策略也要因時(shí)因地不斷優(yōu)化、改進(jìn)、應(yīng)用、驗(yàn)證，才能更好地保障設(shè)備安全、網(wǎng)絡(luò)安全，這樣才會(huì)有信息的安全。