网络设备防护

三、网络设备防护

网络设备的安全始终是信息网络安全的一个重要方面，攻击者往往通过控制网络中设备来破坏系统和信息，或扩大已有的破坏。只有网络中所有结点都安全了，才能说整个网络状况是安全的。网络设备主要包括路由器、交换机、无线AP、防火墙、负载均衡设备等。

1.网络设备防护标准

（1）应对登录网络设备的用户进行身份鉴别；身份鉴别信息应具有不易被冒用的特点，如口令长度、复杂性和定期的更新等；应具有登录失败处理功能。

（2）应对网络设备的管理员登录地址进行限制。

（3）网络设备用户应清晰明确且处于受控状态。

2.网络设备存在的安全问题

网络设备存在的安全问题主要有三类：设备的系统漏洞、默认配置时的安全隐患、配置和管理上的疏忽。

（1）网络设备作为专用的主机，也有自身的操作系统，系统存在漏洞是不可避免的。

（2）网络设备为方便管理和使用，默认开启了一些网络服务，如HTTP服务、FINGER服务、TCP/UPD small server服务等；还默认提供了一些网络设置，如默认SNMP通信字，默认管理IP地址，默认开启IP源路由，默认开启IP定向广播，甚至默认管理密码等。

（3）常见的管理疏忽有：为了初始配置简单能使用网络，配置了简单的口令、简单的SNMP通信字，开启了TELNET的安全隐患，未启用远程日志管理等。

3.应采取的措施

（1）定期检查操作系统漏洞发布信息并及时更新，目前一些厂商已经提供如微软自动升级系统类似的工具，如思科在管理软件（CiscoWorks 2000）的统一管理下，能自动访问思科网站，并自动为各类网络设备升级IOS。及时升级操作系统不但能防止已发现的漏洞被利用，同时能获得更高级别的安全性。

（2）弱口令的现象比较普遍，通过一些工具进行尝试后能比较轻易地得到密码，这样的问题往往被忽视。启用AAA（认证、授权、记账）后，可以通过远程认证库认证并分级实施对设备的管理，还能记录所有使用者的使用痕迹。

（3）网络设备的日志系统通常都只是将日志记录在本地，很容易被删除或由于存储空间的原因而只保留较少部分，通过存放到远程服务器（启用SYSLOG服务）上，管理员既能统一发现所有网络设备的各类故障，也能保存遭受攻击的相关痕迹而为追溯提供信息。

（4）在网络设备上启用Telnet能使管理员方便地远程管理各网络设备，但由于固有的明文传输密码等缺陷，这种方式非常容易遭到窃听而存在比较大的安全隐患，通过采用加密传输信息的SSH方式管理设备是非常必要的。

（5）默认开启的服务一般都能给用户带来方便，但HTTP服务，BOOTP服务，关闭TCP/UDP基本服务，IP源路由，Proxy ARP，IP定向广播，FINGER服务，IP不可达、重定向和掩码回应，名称解析以及不必要的端口都存在一些安全隐患，建议将这些服务手工关闭。

（6）无论是管理员还是攻击者对网络设备的访问一般通过Console、VTY和AUX端口，除了加强密码强度外，在这些端口上应用访问控制是非常必要的，而且最好设置空闲时间参数，以防管理员下线前或非正常下线后留下的漏洞被利用。

（7）简单网络管理协议对于网管软件是必需的配置，但目前的网络设备上默认的SNMP版本均为V1或V2，安全性不够，采用V3版本的SNMP时，认证通过MD5加密，安全性大大提高。