网络设备的安全隐患与防护

摘要:当前人们对于网络安全的关注更多集中在服务器、终端和应用系统上,往往忽视网络设备自身的运行安全上,本文主要从目前网络设备存在的安全隐患、设备自身安全防护手段和几点建议三个部分进行阐述。

关键词:网络安全;安全防护

中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2010) 05-0000-01

Potential Safety Hazard and Protection of Network Equipment

Zhang Ping,Luo Cheng,Yang Suping

(Troop 61938 Beijing100089,China)

Abstract:Nowadays people lay great emphasis on the server,terminal and application system of network security and ignore the security of operation activity of network.This paper illustrates the potential safety hazard of network equipment,analyzes the protection means of equipment security and comes up with some suggestions.

Keywords:Network security;Security protection

网络设备是网络系统的主要组成部分,是网络运行的核心。网络运行状况根本上是由网络设备的运行性能和运行状态决定的,因此,网络设备稳定可靠运行对整个网络系统的正常工作起着关键性作用。

一、 网络设备存在的安全隐患

总体来看,网络设备从网络管理角度可分为三类:

第一类是无需进行配置和管理的网络设备,如集线器等;

第二类是可通过特殊端口:串口、并口、USB口进行配置管理的网络设备,如交换机等;

第三类是可通过远程连接TELNET、网管、WEB等方式进行配置管理的网络设备,如路由器等。

通常情况下,前两类网络设备一般设备自身不会遭到入侵攻击,存在较大安全隐患的主要集中在第三类网络设备中,主要表现在:

(一) 人为因素

在网络设备的配置管理过程中,由于参与实际操作技术人员的技术水平存在一定差异,很难避免人为操作中存在失误和欠考虑等问题的出现,即使技术水平较高也会出现配置失误等情况的发生。

一般人为因素的安全隐患主要表现在:在设备密码配置中,空密码、较简单密码或不设密码,或者将密码设置为明码而没有加密;对远程管理没有进行访问控制,即对远程管理终端地址没有进行适当控制;访问控制配置错误,没有发挥预期的目的。

(二)网络设备运行的操作系统存在漏洞。

网络操作系统是控制网络设备运行、数据转发、路由计算、访问控制等服务的主体,它全面掌控着网络设备。不同厂商的网络设备运行各自定制的系统,存在较大差异,不同程度存在系统漏洞。

一般网络操作系统的漏洞主要表现在:接收特定的非法、畸形数据包后导致系统的拒绝访问、内存泄露、完全瘫痪,甚至出现设备被完全控制。

(三)网络设备提供不必要的服务。

通常,一台网络设备在出厂默认情况下,会对外部提供特定的网络服务如HTTP、NTP、CDP等,这些服务都可能作为攻击者的利用条件,为其提供一定的攻击机会。

攻击者可通过这些不安全的服务对设备进行远程拒绝服务攻击,也可通过这些服务掌握设备基本信息或完全控制设备。

(四)网络设备没有安全存放,易受临近攻击。

临近攻击主要指在攻击者物理接近后对设备进行修改、收集设备信息的一种攻击行为。这种攻击主要针对放置位置属共用、公用场所的某些网络设备。

主要攻击方式有非法进行串口连接、非法实施密码恢复默认、非法关机等行为。

二、 网络设备自身的安全防护

(一)实施网络设备严格的访问控制

此项措施可通过具体的实施方法实现预期目的。主要实施方法有如下几点:

1.在设备访问和配置过程中设置安全的登录口令

登录口令包括控制台口令、远程登录口令、特权口令。建议口令密码使用高强度密码及密码显示加密方式,并定期进行更换;强烈建议使用SSH安全的远程登录方式;对会话次数、超时进行控制,并设置警示信息。

2.对远程登录的地址进行访问控制

主要通过访问控制列表对远程登录的源地址进行限制,一般只允许某一个IP地址或一个较小的局域网IP段进行访问。

3.关闭通过WEB方式进行访问

4.设置实时日志服务器和定期配置备份服务器

日志服务器的设置主要达到实时监测网络设备的操作情况、访问情况和运行情况,可全面掌握网络设备当前运行状况和历史日志,通过日志的审查和统计也可分析出系统潜在的安全隐患,为及时调整系统运行配置具有重要的指导意义。配置备份服务器主要定期对系统的配置文件、操作系统进行备份,为网络系统数据恢复提供手段。

5.关闭无关服务,提高系统运行服务的有效性

一般情况下,需对网络设备关闭的服务包括:CDP、HTTP、Smail、Finger、BOOTP、ARP-Proxy、IP Directed Broadcast、ICMP、WINS、DNS、udp-small-servers、NTP等无关的服务项目。

同时,关闭暂时不用的接口,并充分运用访问控制列表对现有接口进行有效控制,访问控制列表的合理利用可有效提高设备的安全性。

6.制定安全制度,规范维护人员的操作行为

建立健全规范合理的设备管理安全制度,可有效提高维护人员操作的规范性。在设备维护中,建议严格控制可以访问路由器的管理员;任何一次维护都需要记录备案;严格控制CON端口的访问。并且,通过健全的制度管理,确保网络设备的物理安全,免受非法用户的临近攻击;通过制度的规范,定期对系统进行升级,及时弥补设备系统的漏洞。

三、 几点建议

结合笔者在网络管理方面的经验和网络技术发展状况,补充建议有三条:

首先,应对管理人员及其职责、操作进行有效管理,这是安全的根本;

第二、应充分结合其它安全手段,来保证网络管理的安全,比如采用防地址欺骗技术和入侵监测技术等;

最后,对网络的配置应尽可能的采用具有安全验证的网络协议。