网络设备安全

第一章网络设备安全

网络设备安全主要包括以下几个方面：

网络设备的系统服务安全

网络设备端口服务安全

网络设备的登录告警

网络设备的访问控制

与安全相关的系统服务和优化

与设备安全相关的其他安全配置

1.1网络设备的系统服务安全

1.1.1全局下关闭不必要的服务

在思科的网络设备中，默认启用了很多服务用来帮助用户简化配置，但是这些服务在帮助用户同时也为攻击留下了可能，因此对于农行是那些农行不需要的服务，我们建议将此关闭，以下是应该关闭的非必要服务：

1.1.2关闭CDP

CDP是一个介质和协议相独立的二层协议，运行在所有的Cisco设备上。如果打开此协议，那么CDP将会以组播的方式周期地发送接口更新信息，以便告诉邻居设备自己的相关信息。由于它是2层协议，这些包(帧)不能被路由，因此只能发现直联网段的设备，从而得到相关信息如模块编号和运行的软件版本。从CDP得到的相关信息并不能对安全构成威胁，但是黑客可以利用此协议，将

其作为一个智能工具对网络进行攻击。所以，我们建议在核心关闭此协议，也就是在全局模式下运行no cdp run命令。如果由于某些原因，要求网络运行CDP，那么可以打开此协议，但是应当在接口模式下关闭此协议，也就是说，在接口模式下运行no cdp enable命令。

1.1.3TCP Keepalives

已经通过VTY登录的空闲用户会话可能会被非授权用户盗用，从而导致拦截攻击。默认的情况下，Cisco网络设备并不检测已经建立好的TCP对端是否依旧可以到达。如果一个TCP连接的一端处于空闲超时或者非正常终止(如机器瘫痪或重新启动)，连接的另一端仍然认为会话是可用的。攻击者能利用这个弱点对Cisco网络设备发动攻击。

为了克服这个问题，Cisco网络设备能被配置成周期性地发送keepalive信息，确保会话的另一端式处于正常的工作状态。如果远端对此keepalive信息没有响应，那么发送端网络设备就会拆除此连接。这样就可以释放网络设备资源以便留给别的更重要的任务所使用。

相关配置为：

1.1.4其他建议打开的服务

对于网络设备，其他有一些服务可以提高网络设备性能，从而增强对dos攻击

1.2网络设备的端口服务安全

同样，在端口上，存在一些不必要的可以简化用户配置但是牺牲安全性的默认服务，对此，我们也建议将以下这些容易被DOS攻击利用的IP端口特征关闭，命令如下：

1.3登录系统声明和警告

系统的登录提示在用户连接到网络设备的时候，网络设备显示的文本信息，通过这个文本信息，可以给予用户对应的系统声明和警告，从而可以防止用户的无意攻击或者误操作。

对此，我们推荐使用命令banner login配置相应的系统提示，从而降低系统被误操作攻击的影响，相关配置为：(具体的提示文本由农行考虑决定)

1.4网络设备访问控制

1.4.1Password Encryption

我们推荐使用enable secret 命令用以代替enable password命令。类型7加密算法用在enable password，service password-encryption 命令是可逆的。然而enable secret命令通过使用不可逆的密码函数来存储enable secret密码，从而提供了更好的安全性。它增加了安全加密层，对于密码需要穿越网络或密码保存在TFTP服务器上的情况而言，它是非常重要的。下面的例子说明了怎样激活加密的密码：

尽管enable secret命令用来激活密码，不要忘记使用service password-encryption命令，这样就可以使得保存在配置文件中的其他密码都显示类型7的密文而不是明文。

1.4.2用户认证

认证、授权和审记(AAA)服务对路由器和访问服务器上的访问控制提供了主要的结构。访问控制是一种方法，其核心是控制什么人可以访问路由器，并且一旦访问被允许，设定他们能操作的范围。AAA 的目的是为了使三个独立的安全功能协调一致地工作，AAA提供了能够履行以下服务的模块化的方法： 认证提供了标识用户的方法，包括登陆和密码审查，向用户提问并且作出相应。所有这些取决于多选用的安全协议和加密机制。

授权提供了远程访问控制的方法，包括一次性授权或对每种服务的授权，每一用户的记帐列表和用户数据文件，所支持的用户组，对IP,

IPX, ARA和Telnet的支持。

审计提供了收集和发送安全服务信息的方法，所有的信息有记帐，审计，报告，如用户身份，开始和结束时间，所执行的命令(如PPP), 数

据包的数目, 字节数。

推荐的首选保证路由器安全的方法是使用AAA协议如TACACS+, Radius, 或Kerberos。使用任何一种协议，对于需要访问路由器的用户而言，其用户名和密码并不在路由器上，而是保存在另一个认证服务器上。这样做有下列好处： 加密算法7具有可逆性。因此能够访问路由器的用户可以看到密码从而可以获得对系统的访问。使用AAA 可以解决此类问题。

如果一个新用户或一个用户离开公司，如果在很多的路由器上更改密码，那将是一项很艰巨的任务。AAA可以很容易地更改以前的密码数

据库。

在中心AAA 服务器上的密码是以UNIX加密的格式存在的，对UNIX 密码加密的算法是不可逆的，提供了更高的安全性。

所有的访问都在 AAA 服务器上有日志记录。

为了防止在网络故障或者AAA服务器故障时候，或者由于网络条件限制无法启动外部AAA服务器的情况下，我们推荐启用本地的数据库进行AAA认证进行对设备的认证控制，这样做有如下好处：

在AAA服务器不可达的情况下，保证能够有手段进入设备进行维护。

对于没有AAA服务器的情况，启用本地认证增加了网络密码猜测攻击的难度，从而增强了网络安全性

推荐配置如下：

1.4.3VTY 和 Console 端口超时

默认情况下，所有连接到网络设备上的VTY口, 控制口和Auxiliary口的非活动超时都是10分钟。Timeout可以使用exec-timeout命令进行更改，如下所示：

在上面的例子中，控制口和VTY的连接空闲5分钟时间后，网络设备将关闭此连接。Auxiliary口的timeout 被设置成10分钟。需要注意的是，设置空闲timeout到0意味着会话的连接始终保留。这通常被看作是一个不好的习惯，因为它使用网络设备上非常有限的访问端口，这些端口被占用后，新的连接就无法建立。在某些情况下，这些被保持的连接可能会被黑客所利用。