华为交换机安全加固指南(一)
1、前言
目前华为交换机采用的加密算法包括3DES、AES、RSA、SHA1、SHA2和MD5。3DES、RSA和AES加密算法是可逆的,SHA1、SHA2和MD5加密算法是不可逆的。具体采用哪种加密算法请根据场景而定:对于管理员类型的密码,必须采用不可逆加密算法。
2、信息安全概述
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。总体交换机来说,信息安全包括:交换机存储、处理和传输的信息,不会被泄漏到非授权的实体。处理和传输的过程中,信息不会被篡改或者丢弃。业务持续可用,满足电信级服务质量要求。总体来讲,信息安全包括三个方面:保密性、完整性和可用性。
2.1、保密性
保密性(Confidentiality)是指网络信息不被泄露给非授权的用户、实体或过程。即信息只为授权用户使用。保密性是在可靠性和可用性基础之上,保障网络信息安全的重要手段。
交换机保密性主要体现在:各种配置数据不会被越权访问。处理的数据不会被恶意用户截获导致公民通信隐私泄露。系统仅限于授权用户可以登录操作。
2.2、完整性
完整性(Integration)是指信息未经授权不能进行改变的特性。即网络信息在交换机存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等行为破坏和丢失的特性。
2.3、可用性
可用性(Availability)是指在要求的外部资源得到保证的前提下,产品在规定的条件下和规定的时刻或时间区间内处于可执行规定功能状态的能力。它是产品可靠性、维修性和维修保障性的综合反映。交换机的可用性在信息安全领域,尤其是网络安全领域,专指业务系统不会因为外部的攻击流量引发系统过载、崩溃、异常,导致业务不可用。
3、网络安全的基本原则
在进行交换机安全加固的过程中,需要遵循以下的网络安全基本原则,以保证配置设计方案能够最大限度的满足安全的要求。
3.1、系统工程原则
网络是一个规模巨大的信息系统,保障网络的安全必然是一个系统工程。任何单点设备、节点、技术、配置,都不足以保证整个网络的安全。网络安全是一个由很多物理设备、安全技术、安全领域最佳实践等通过合理的安全加固配置方案,有机组成的一个整体。
3.2、业务优先原则
在安全与业务存在冲突时,首先必须保证业务的畅通运行。在进行安全加固配置过程中,安全人员必须与业务部门进行深入的沟通交流,确保理解业务的目标,安全加固的目标必须服从于业务的目标。
3.3、安全源于设计
任何安全的网络都是设计出来的,不是配置出来的。在进行安全加固之前,首先需要进行安全加固方案的设计,然后才是对设计方案的配置落地。
3.4、好的安全系统,行为是可预料的
在进行安全加固设计阶段,必须对系统面临的各种可能的威胁,系统自身的脆弱点,系统自身具备的各种安全防御能力,以及综合形成的安全风险,有一个非常清晰的了解。在安全加固设计阶段,系统在面临各种安全攻击时,产生的响应和可能的状态均是可以预料的。
3.5、避免通过信息隐藏等方法保证安全
交换机系统庞大复杂,错误的思想认为,通过隐藏内部实现细节、隐匿数据存储位置等措施,让“攻击者”无法找到系统的脆弱点,来达到保证系统安全的目的。网络安全实践证明,开放透明系统的内部细节,并不会比隐藏内部细节更不安全。经验表明,开放的体系更容易提前发现问题,从而针对性的采取应对措施。
3.6、木桶原则
交换机的安全防御水平,取决于安全防护能力最薄弱的单元。安全加固必须综合考虑交换机的保密性、完整性、可用性,才能真正保证系统的安全,单一的安全防御措施无法保证系统高水平的安全能力。
4、常见网络安全问题
4.1、拒绝服务
交换机转发处理能力强大,但是控制面和管理面处理能力有限。攻击者通过向交换机发起海量的消息请求,导致交换机 CPU无法实时处理消息,引发正常的业务交互流程、内部处理流程阻塞,达到拒绝服务的目的。拒绝服务是交换机面临的最大的威胁,在安全加固配置时,要求重点考虑拒绝服务类攻击的防御。
4.2、信息泄漏
交换机面临的信息泄漏威胁,最重要的风险就是非授权的访问,可以分成如下几种情况:
4.2.1、利用系统配置疏忽:
交换机为了某些特定场合的便利性,提供了免认证登录的模式,在现网部署是由于疏忽没有关闭此模式,导致恶意用户非授权访问。
4.2.2、利用管理流程疏忽:
交换机为了开局方便,通常使用一套配置文件作为模板开局,由于管理员疏忽,没有修改管理员账号密码,引发非授权访问。
4.2.3、利用IP网络开放性的缺陷:
恶意用户通过在网络上部署嗅探器,达到获取用户信息目的。
4.2.4、存储介质泄密:
交换机单板、存储介质,从一个地方转移到另一个地方时,由于缺乏存储介质加密机制,造成泄密。
4.3、破坏信息完整性
IP网络的开放性,导致报文在传输过程中,可能会被中间转发节点进行恶意篡改,导致信息传输失真,或者被中间人有意识的修改消息内容,达到攻击的目的。
4.4、非授权访问
通过非授权访问,获得交换机控制权限,或者获取更高权限的信息。
4.4.1、利用网络配置漏洞:
由于没有合理的配置防火墙访问控制策略,导致恶意用户从公网进行暴力破解等方式,强行进入系统。
4.4.2、非法利用系统提供的调试手段:
交换机为了进行故障定位,提供了一些获取交换机内部信息处理流程中的信息查看方法。恶意用户通过利用这些诊断调试接口,越权获取信息。
4.4.3、由于交换机本身的命令行控制机制是基于用户角色而非账号的管理控制,导致某些用户操作远超其个人身份所需的命令行,读取个人通信数据,或者窃取系统配置信息。
4.4.4、由于SNMP MIB数据库没有信息隔离机制,只要能够访问MIB,就可以遍历全部MIB节点。
4.5、身份欺骗
由于IP网络开放性,对MAC和IP地址缺乏有力的认证鉴权机制,极易产生基于ARP/IP的地址欺骗攻击,导致交换机需要不断刷新转发流程必须的地址表项,处理来自欺骗地址的请求,由于地址表项错误导致转发中断,由于表项学习能力不足引发拒绝服务。
4.6、重放攻击
IP网络的开放性导致通信终端在L4及以下层面无法对端进行认证。黑客利用这一特性,通过重复发送特定报文,引发拒绝服务攻击。
4.7、计算机病毒
交换机在网络系统中除了作为转发节点同时也是一个可以被管理的网络单元。当同一个网络区域的计算机感染病毒,发送大量垃圾流量,耗尽网络带宽。此时,交换机作为一个网元节点,将无法获得网络资源,导致业务不可用。
4.8、人员不慎
在网络建设阶段为了便利业务开通部署而设置的策略,在业务开通之后并没有及时清除,导致遗留的配置成为安全隐患,被攻击者利用。在网络整改过程中,由于操作人员的不慎或者技能不足,导致配置出错,引发事故。例如:网线插错导致环路,协议配错引发业务中断,访问控制策略配置错误引发异常阻断或者开启了不该开启的访问通道等等。管理员不慎将账户口令共享给他人。
4.9、物理入侵
交换机无法防止机房管理员物理接入设备,直接物理连接容易获取高优先级权限。恶意攻击者通过避开门禁、监控等防护措施,接入交换机。
5、交换机安全脆弱性分析
5.1、控制平面与管理平面处理能力局限
随着芯片等技术的发展,以及网络带宽需求的迅速增长,交换机转发处理能力得到了极大的提升。近10年来,网络带宽经历了10M到100G的万倍跨越,转发平面的处理能力急剧提升。交换机控制和管理平面运行在CPU上,软件处理能力的增长有限。超宽带时代终端与网元之间的通道得到极大增强,极易出现基于流量泛洪等方式的拒绝服务攻击。
5.2、存在大量安全性不足的访问通道
交换机由于业界标准、管理便利性、历史继承性等原因,存在大量安全性不足的访问通道,例如:SNMPv1/v2,Telnet、FTP、HTTP等,这些协议早期对安全性考虑不足,而新的协议(SNMPv3,SSH、SFTP、HTTPS)并没有强制性替换老的协议。因此,如果用户不恰当的使用了这些安全不足的访问通道,容易造成信息泄密,被恶意用户利用时,容易产生非授权的访问行为。同时,由于这些安全性不足的协议,没有进行任何完整性校验,容易引起中间人攻击,恶意攻击者可以通过篡改协议消息,达成攻击的目的。
5.3、IP网络开放性带来的安全隐患
IP网络的开放性带来网络架构便利性的同时,也带来了巨大的安全隐患。
首先,IP网络对接入终端无认证授权机制,导致任何终端均可以随意接入网络。恶意攻击者可以轻易的进入IP网络,只要探测到交换机的IP地址,即可发起攻击行为。而且容易采用地址欺骗的方法,模拟海量源IP地址对交换机进行攻击。
其次,IP网络在TCP/IP的第四层及以下,没有安全防御能力,所有消息的完整性、认证鉴权、协议一致性,都由应用层自行保障。因此,当攻击发生在第四层及以下时,交换机往往成为攻击的对象。
再次,以太网架构本身的身份认证能力缺乏,容易引发基于MAC地址欺骗的攻击。
最后,IP协议栈本身的安全能力薄弱,协议设计时没有完整的安全策略架构,导致基于协议本身的攻击也频繁发生。
以上这些安全隐患,容易引发诸如地址欺骗、重放攻击、畸形报文、网络病毒、消息篡改、流量泛洪等一系列的安全攻击,引发各种各样的安全问题。
5.4、IP网络复杂性带来的管理挑战
由于IP网络规模庞大,系统构造复杂,导致网络节点数量众多、访问通道灵活复杂、通信协议层出不穷。IP网络的管理也变得极其复杂,安全性和业务能力,安全性和业务灵活性,安全性和管理维护便利性,矛盾无处不在。不同技术能力、管理水平的管理人员,对这些矛盾的处理能力也参差不齐。因此,造成IP网络的安全策略难以保持高水平的一致性,往往会暴露出部分安全漏洞,引发诸如感染病毒、非授权访问、以某个网元为跳板进行渗透攻击等。
5.5、交换机本身的复杂性带来的挑战
交换机配置模型复杂,管理员往往追求业务可用性,而忽略了安全防御能力,导致必要的安全措施没有得到妥善的配置,交换机本身的安全能力无法发挥。交换机安全配置模型复杂,需要极高的技能才能完全掌握,对资深技术人员的依赖较大,容易造成在用户技能不足的情况下,以牺牲安全来达到业务可用。
华为交换机安全加固指南(二)http://www.jiushuku.net/post-22.html