分类: 网络与安全
2008-03-22 19:30:43
SAFE准则
路由器目标
路由器控制网络间接入。它们向网络广播信息并过滤可以使用它们的人,它们是黑客潜在的最好朋友。路由器安全性是安全部署中的关键元素。可参考其他有关路由器安全性的文件。这些文件提供了有关下列方面的更多细节:
远程通信网到路由器的接入; 简单网络管理协议(SNMP)到路由器的接入; 通过使用终端接入控制器接入控制系统+(TACACS+)来控制到路由器的接入; 关闭不需要的服务; 以适当级别登录;路由更新的验证。
交换机目标
和路由器一样,交换机(第2层和第3层)有自己的一套安全考虑。而与路由器不同的是,有关交换机安全风险及为减轻这些风险而应采取的措施的公开信息并不十分丰富。上一部分“路由器目标”中描述的大多数安全技术均适用于交换机。此外,您应采取以下预防措施:
2 确保中继端口使用的虚拟LAN (VLAN)号不会在交换机中的其他地方使用。
3 将交换机上所有未用端口设置为第3层连接的VLAN。
4 避免将VLAN用作保护两个子网间接入的唯一方式。
主机目标
主机在攻击中最有可能成为目标,从安全角度来讲,也是最难保护的。它们有众多的硬件平台、操作系统和应用,均在不同的时间段要升级、补丁和修复。因为主机向提出请求的其他主机提供应用服务,它们在网络中是高度可视的。
为保护主机,就必须密切注意系统中的每个组件。使系统保持与最新补丁、修复等的同步。此外,要注意这些补丁对其他系统组件的运行有所影响,在对生产环境实施升级前,在测试系统上对其进行评估。如不这样做,补丁本身就可能导致拒绝服务(DoS)。
网络目标
最糟的攻击是您无法中止的攻击。分布式拒绝服务(DDoS)正是这样一种攻击。通过与其ISP合作,用户才有希望挫败这类攻击。ISP可配置对该公司网站输出接口的速率限制。
限制这类攻击的方法之一是遵循RFC1918和RFC2827中列出的指导。RFC1918定义了保留专用且永远不应在公共互联网上看到的网络。对于与互联网相连的路由器上的输入信息流,您可采用RFC1918和2827过滤来防止未授权信息流进入公司网络。在ISP实施后,该过滤能防止DDoS攻击使用这些地址作为流经WAN链路的源地址的信息包,从而在攻击期间潜在地节约了带宽。总之,如果全球的ISP均采取了RFC2827中的指导措施,源地址电子欺骗就会大大减少。此策略并未直接防止DDoS攻击,而是防止这类攻击破坏其源地址,这就会使跟踪所攻击网络更方便。
应用目标
应用(大多数时)是由人编写的,因此易于发生更多错误。这些错误可以是轻微的——如导致您文件错误打印的一个错误,也可以是恶意的——如使您信用卡号码经由异步FTP在数据库服务器上公布。入侵检测系统(IDS)旨在发现恶意问题,以及其他更常见的安全漏洞。思科建议将NIDS与HIDS系统组合起来——关键主机上设置HIDS、整个网络采用NIDS——来实现全面的入侵检测系统。
安全管理和报告
从体系结构的角度来说,提供网络系统的带外管理是适用于所有管理和报告策略的最好的第一步。设备应尽可能地与这样一个网络建立直接本地连接,在无法实现的情况下(由于地理原因或系统相关问题),设备应经由生产网络上的一条专用加密隧道与其连接。确保带外网络自身不会带来安全问题。
大多数联网设备可以发送系统日志数据,这些数据在对网络问题或安全威胁进行纠错时极为重要。管理还指除记录和报告外,管理员对某一设备所执行的功能,可进行安全配置。鉴于底层协议有自身的安全漏洞,应最为小心地处理SNMP。配置变更管理是另一个与安全管理相关的问题。当一个网络处于攻击下,重要的是了解主要网络设备的状态以及所知道的最后一次修改发生的时间。
