网络基础设施设备安全提示_
欢迎光临深圳市无忧时代科技有限公司网站
联系我们

联系电话:400-600-3836

官方邮箱:leo.li@shared-it.com

公司地址:深圳市罗湖区晒布路26号7F

新闻中心

    网络基础设施设备安全提示

      网络基础结构设备是传输数据,应用程序,服务和多媒体所需的通信的网络组件。这些设备包括路由器,防火墙,交换机,服务器,负载平衡器,入侵检测系统,域名系统和存储区域网络。
      这些设备是恶意网络参与者的理想目标,因为大多数或所有组织和客户流量都必须通过它们。
      在组织的网关路由器上存在的攻击者可以监视,修改和拒绝与组织之间的通信。
      拥有组织内部路由和交换基础结构的攻击者可以监视,修改和拒绝与网络内部关键主机之间的通信,并利用信任关系来进行向其他主机的横向移动。
      使用旧的,未加密的协议来管理主机和服务的组织和个人,对于恶意网络参与者而言,成功获得证书很容易。谁控制网络的路由基础结构,实质上就是控制流经网络的数据。
      网络基础设施设备与哪些安全威胁相关联?
      网络基础设施设备通常是攻击者的轻松目标。一旦安装,许多网络设备将无法保持与通用台式机和服务器相同的安全级别。以下因素也可能导致网络设备的漏洞:
      很少有网络设备(尤其是小型办公室/家庭办公室和住宅级路由器)运行防病毒,完整性维护和其他有助于保护通用主机的安全工具。
      制造商使用可利用的服务来构建和分发这些网络设备,并启用这些服务以简化安装,操作和维护。
      网络设备的所有者和运营商通常不更改供应商默认设置,对其进行加固以进行操作或进行常规修补。
      一旦制造商或销售商不再支持设备,Internet服务提供商就不能替换客户财产上的设备。
      所有者和运营商在调查,寻找入侵者并在网络入侵后恢复通用主机时,常常会忽略网络设备。
      如何提高网络基础设施设备的安全性?
      网络安全和基础结构安全局(CISA)鼓励用户和网络管理员实施以下建议,以更好地保护其网络基础结构:
      细分和隔离网络和功能。
      限制不必要的横向交流。
      加固网络设备。
      安全访问基础结构设备。
      执行带外(OoB)网络管理。
      验证硬件和软件的完整性。
      分段和隔离的网络和功能
      安全设计师必须考虑整个基础架构布局,包括分段和隔离。正确的网络分段是一种有效的安全机制,可防止入侵者传播漏洞利用程序或在内部网络周围横向移动。在分段效果不佳的网络上,入侵者能够扩大影响范围,以控制关键设备或获取敏感数据和知识产权。隔离根据角色和功能将网段分开。安全隔离的网络可以包含恶意事件,从而减少入侵者在网络内部某个地方立足时所造成的影响。
      物理分离敏感信息
      诸如路由器之类的传统网络设备可以分隔局域网(LAN)网段。组织可以在网络之间放置路由器,以创建边界,增加广播域的数量并有效过滤用户的广播流量。组织可以通过将流量限制到单独的网段来使用这些边界来遏制安全漏洞,甚至可以在入侵期间关闭网络的网段,从而限制对手的访问。
      推荐建议
      在设计网段时,请执行最低特权和需要了解的原则。
      将敏感信息和安全要求分为网段。
      将安全建议和安全配置应用于所有网段和网络层。
      虚拟分离敏感信息
      随着技术的变化,人们开发了新的策略来提高信息技术的效率和网络安全控制。虚拟分离是同一物理网络上网络的逻辑隔离。虚拟分段使用与物理分段相同的设计原理,但不需要其他硬件。现有技术可以用来防止入侵者破坏其他内部网络段。
      推荐建议
      使用专用虚拟局域网(VLAN)将用户与其余广播域隔离。
      使用虚拟路由和转发(VRF)技术在单个路由器上同时在多个路由表上划分网络流量。
      使用虚拟专用网络(VPN)通过通过公用或专用网络建立隧道来安全地扩展主机/网络。
      限制不必要的横向通讯
      允许未经过滤的点对点通信,包括工作站到工作站,会造成严重的漏洞,并可能使网络入侵者的访问轻松传播到多个系统。一旦入侵者在网络中建立了有效的滩头堡,未经过滤的横向通信将允许入侵者在整个网络中创建后门。后门程序可帮助入侵者保持网络内的持久性,并阻止防御者遏制和根除入侵者的努力。
      推荐建议
      使用基于主机的防火墙规则限制通信,以拒绝来自网络中其他主机的数据包流。可以创建防火墙规则以在主机设备,用户,程序或Internet协议(IP)地址上进行过滤,以限制来自服务和系统的访问。
      实现VLAN访问控制列表(VACL),这是一个过滤器,用于控制对VLAN的访问和对VLAN的访问。应该创建VACL过滤器以拒绝数据包流向其他VLAN的能力。
      使用物理或虚拟隔离在逻辑上隔离网络,使网络管理员可以将关键设备隔离到网段中。
      加固网络设备
      增强网络基础结构安全性的基本方法是使用安全配置保护网络设备。政府机构,组织和供应商向管理员提供了有关如何加固网络设备的广泛指导,包括基准和最佳实践。管理员应结合法律,法规,站点安全策略,标准和行业最佳实践来实施以下建议。
      推荐建议
      禁用用于管理网络基础结构的未加密远程管理协议(例如Telnet,文件传输协议[FTP])。
      禁用不必要的服务(例如,发现协议,源路由,超文本传输??协议[HTTP],简单网络管理协议[SNMP],引导协议)。
      使用SNMPv3(或更高版本),但不要使用SNMP社区字符串。
      安全访问控制台,辅助和虚拟终端线。
      实施可靠的密码策略,并使用最强大的密码加密。
      通过控制访问列表以进行远程管理来保护路由器和交换机。
      限制对路由器和交换机的物理访问。
      备份配置并离线存储它们。使用最新版本的网络设备操作系统,并使用所有修补程序对其进行更新。
      根据安全要求定期测试安全配置。
      发送,存储和备份文件时,使用加密或访问控制保护配置文件。
      安全访问基础设施设备
      可以授予管理特权,以允许用户访问未广泛使用的资源。限制基础结构设备的管理特权对于安全性至关重要,因为入侵者可以利用未经适当授权,广泛授予或未经仔细审核的管理特权。攻击者可以使用受损的特权来遍历网络,扩展访问权限并完全控制基础结构骨干网。组织可以通过实施安全的访问策略和过程来减轻未经授权的基础结构访问。
      推荐建议
      实现多因素身份验证(MFA)。身份验证是用于验证用户身份的过程。攻击者通常利用弱认证过程。MFA使用至少两个身份组件来验证用户的身份。身份组件包括
      用户知道的一些信息(例如密码),
      用户拥有的对象(例如令牌),以及
      用户独有的特征(例如指纹)。
      管理特权访问。使用提供身份验证,授权和计费(AAA)服务的服务器来存储用于网络设备管理的访问信息。AAA服务器将使网络管理员可以根据最小特权原则为用户分配不同的特权级别。当用户尝试执行未授权的命令时,它将被拒绝。如果可能,除了使用AAA服务器外,还应实现一个硬令牌身份验证服务器。使用MFA会使入侵者更难于窃取和重用凭据来访问网络设备。
      管理管理凭据。如果您的系统不符合MFA最佳做法,请执行以下操作:
      更改默认密码。
      根据美国国家标准技术研究院的SP 800-63C数字身份准则和加拿大的《信息技术系统ITSP用户身份验证指南》,确保密码长度至少为8个字符,并且密码长度不得超过 64个字符。 30.031 V3。
      检查密码是否与不可接受的值的拒绝列表(例如常用密码,预期密码或已泄露密码)相对应。
      确保所有存储的密码都经过加密和哈希处理。
      将用于紧急访问的密码存储在受保护的脱网位置,例如保险箱。
      执行带外管理
      OoB管理使用备用通信路径来远程管理网络基础结构设备。这些专用的通信路径可以在配置上变化,以包括从虚拟隧道传输到物理隔离的所有内容。使用OoB访问来管理网络基础结构将通过限制访问并将用户流量与网络管理流量分开来增强安全性。OoB管理提供安全监控,并且可以执行纠正措施,而无需让对手(甚至是已经破坏了网络一部分的对手)观察到这些更改。
      OoB管理可以物理地,虚拟地或通过两者的混合实现。尽管建立和维护额外的物理网络基础结构可能会很昂贵,但这是网络管理员采用的最安全的选择。虚拟实施的成本较低,但仍需要进行大量配置更改和管理。在某些情况下,例如访问远程位置,虚拟加密隧道可能是唯一可行的选择。
      推荐建议
      将标准网络流量与管理流量分开。
      确保设备上的管理流量仅来自OoB。
      将加密应用于所有管理通道。
      加密对基础设施设备(例如终端或拨入服务器)的所有远程访问。
      通过安全通道(最好在OoB上)从专用的,完全修补的主机管理所有管理功能。
      通过测试补丁,关闭路由器和交换机上不必要的服务以及实施强大的密码策略来加固网络管理设备。监视网络并查看日志。实施仅允许必需的管理或管理服务的访问控制(例如SNMP,网络时间协议,安全外壳,FTP,普通FTP,远程桌面协议[RDP],服务器消息块[SMB])。
      验证硬件和软件的完整性
      通过未经授权的渠道购买的产品通常称为伪造,二手或灰色市场设备。众多媒体报道都描述了将灰色市场的硬件和软件引入市场的情况。非法的硬件和软件会给用户的信息和网络环境的整体完整性带来严重的风险。灰色市场产品可能会给网络带来风险,因为它们尚未经过充分测试以符合质量标准。由于供应链违规,从二级市场购买产品会冒着获取假冒,被盗或二手设备的风险。此外,供应链中的漏洞为在设备上安装恶意软件和硬件提供了机会。受损的硬件或软件可能会影响网络性能,并损害网络资产的机密性,完整性或可用性。最后,未经授权或恶意的软件可以在设备上投入使用后再加载到设备上,因此组织应定期检查软件的完整性。
      推荐建议
      保持对供应链的严格控制,并且只能从授权经销商处购买。
      要求经销商强制执行供应链的完整性检查,以验证硬件和软件的真实性。
      安装后,检查所有设备是否有篡改迹象。
      验证来自多个来源的序列号。
      从经过验证的来源下载软件,更新,补丁和升级。
      执行哈希验证,然后将值与供应商的数据库进行比较,以检测对固件的未经授权的修改。
      定期监控和记录设备,以验证设备的网络配置。
      培训网络所有者,管理员和采购人员以提高对灰色市场设备的认识。
在线客服



客服电话

0755-82229856