网络设备安全加固技术.ppt

课程内容 BFD FRR NSF GR等原理及部署BFD原理及部署 双向转发检测 FRR原理及部署 快速重定向路由 NSF原理及部署GR原理及部署入侵检测及防御原理及部署流量监控及清洗原理及部署网络设备安全加固技术 以业务为中心的网络安全防护策略 网络设备的安全防护策略 三平面安全 设备级安全配置 关闭所有默认开启但是不必需的服务 如TCP UDP小包服务 finger等服务 关闭source route ARP代理 定向广播服务避免引发地址欺骗和DDoS攻击 关闭ICMP网络不可达 IP重定向 路由器掩码回应服务 避免引发ARP欺骗 地址欺骗和DDoS攻击 设备级安全配置 加强网络设备的安全 增加网络设备 路由器 交换机 接入服务器等 的口令强度 所有网络设备的口令需要满足一定的复杂性要求 对设备口令在本地的存储 应采用系统支持的强加密方式 在口令的配置策略上 所有网络设备口令不得相同 口令必须定时更新等 在口令的安全管理上 必须实施相应的用户授权及集中认证单点登录等机制 不得存在测试账户 口令现象 可以采用TACACS 服务器实行集中式口令管理和操作记录管理 设备级安全配置 针对设备操作系统的安全漏洞 及时升级设备操作系统 在网络设备的网络服务配置方面 必须遵循最小化服务原则 关闭网络设备不需要的所有服务 避免网络服务或网络协议自身存在的安全漏洞增加网络的安全风险 对于必须开启的网络服务 必须通过访问控制列表等手段限制远程主机地址 在边缘路由器应当关闭对于某些会引起网络安全风险的协议或服务 如ARP代理等 加强本地控制台的物理安全性 限制远程VTY终端的IP地址 控制banner信息 不得泄露任何相关信息 远程登录必须通过加密方式 禁止反向telnet等 管理平面安全方案 安全威胁分析管理平面的安全威胁主要是恶意用户对路由器的非法登录 控制路由器的管理平面 管理平面安全方案 安全防护措施实施网络管理员的分权和分级制严格控制对网络控制访问的权限 从内部管理上避免误操作的安全隐患 高级网管员可以修改配置 删除账号 低级管理员只能查看网管界面 不能做任何改动 管理平面安全方案 网络口令管理对设备的访问控制实施AAA集中管理 避免采用设备本身的认证 启动SSH用户管理安全 禁止从客户网络直接登入到网络设备 采用Radius TACACS 可选 等加密的认证方式 保证用户名和密码在网上的的传递是经过加密的 同时对网络口令需要有审计的功能 防止被盗用密码的现象发生 管理平面安全方案 安全防护措施关闭网络不必用的功能和端口 关闭所有默认开启但是不必需的服务 如TCP UDP小包服务 finger等服务 SNMP采用V2 V3版本 实施MD5认证加密 通过MIBView限制对包含大数据量的表类型变量的访问 路由表和CEF表 控制平面安全方案 安全威胁分析控制平面主要包括指路由协议 路由信息和其它协议报文 还包括承载网设备本身的主机软件 控制平面对于IP承载网是非常重要的 关系到整个网络的正常运转 控制平面的安全威胁主要包括以下三个方面 非法路由攻击 如非法邻居 发布非法路由 路由振荡等 主要来自大客户VPN网络 大客户VPN内部恶意用户对控制资源的侵占 如PE的路由表容量 ARP表容量等 恶意用户或者病毒到路由器管理平面的DDOS攻击 占用CPU和内存资源 ISIS协议保护 安全目标 保护ISIS协议免受非法用户的攻击攻击手段 非法用户通过和承载网路由器建立ISIS邻居 向承载网网络产生虚假路由 可同时导致IGP路由表剧增和全网流量的乱序保护手段 向外端口禁止ISIS协议运行 BGP协议保护 安全目标 保护BGP协议免受非法用户的攻击 攻击手段 建立非法BGPPEER 向承载网网络产生虚假路由 可同时导致全网路由表增和全网流量的乱序非法用户无法建立BGPPEER 但通过伪造BGP合法Neighbor的IP地址并利用TCP包头的控制字段攻击已有的TCP连接 导致合法BGP连接的异常直接对BGPTCP端口进行DoS攻击保护手段 在所有承载网路由器上限定合法PEER路由器IP地址和所在AS号采用分组过滤策略拒绝非法的EBGP协议数据包为进一步保证EBGPPEER的安全 对外EBGPPEER上进行MD5认证 控制平面安全方案 安全防护措施安全路由协议为了防止非法的路由邻居 关闭没有路由协议功能需求端口 对于非信任的网络启动安全路由协议 主要措施包括 BGPDamping功能 防止其它网络路由波动对IP承载网的冲击 MD5认证等 避免建立非法的路由邻居关系 特别是ASBR的EBGPPEER启动MD5认证 对于非信任的小客户网络 采用静态路由方式 CE与PE之间可以通过配置静态路由增加安全性 能有效避免非法连接和路由攻击 BGP保护 限定合法PEER路由器IP地址和所在AS号 避免建立非法的BGP邻居 控制平面安全方案 安全防护措施协议包过滤和路由限制在与大客户VPN建立的路由上实施路由过滤 在PE与CE的接口上应用访问控制列表 ACL 来限制 只允许来自CE的路由协议进入PE 同时在所有Access端口上采用分组过滤策略拒绝非法的EBGP协议数据包 针对大客户VPN网络 PE路由器启动路由限制 限制VRF路由条目 避免可能来自用户网络的海量路由攻击对该PE所接其他VPN的不良影响 实施NTP过滤 同时在NTP会话上进行MD5认证 控制平面安全方案 路由振荡抑制在启动了动态路由协议的P PE路由器启动路由振荡抑制功能 主要包括三个方面 IP承载网路由器之间启动链路振荡抑制功能 防止链路波动对路由的冲击 PE路由器与外部网络的路由协议启动振荡抑制 防止客户网络路由波动对IP承载网的影响 静态路由方式 不响应客户网络路由的波动 防控制引擎攻击目前高端设备控制引擎具备动态状态防火墙功能 能够动态访问SynFlood TCP伪装攻击 保护设备控制引擎CPU资源 数据平面安全方案 业务平面主要是指承载网承载的各种业务软交换信令业务 媒体业务 分组数据和增值业务等可分为2类第一类电信类业务第二类业务是部分可信任的运营商业务 数据平面安全方案 业务平面的安全威胁不同安全域的流量互通冲击 主要是业务VPN网络或者其它网络对内部系统的攻击外部系统流量过载或者内部系统流量过载 超过SLA承诺带宽 影响其它业务的正常使用 非法流量泛滥消耗带宽 主要来自业务VPN网络 这些流量会抢占IP承载网的带宽 影响其它业务 如软交换业务的使用 安全防护措施 MPLSVPN安全隔离业务平面安全基础是采用MPLSVPN逻辑网络实现不同业务的安全隔离 MPLSVPN安全等级能够等同于ATM FR 并且在IP承载网得到成熟应用 从实际使用情况来看 目前没有由于VPN客户对运营商网络的攻击导致网络瘫痪的报告 也没有MPLSVPN内用户被其他VPN用户攻击的报告 VPN之间的互访提供三种方案全通方案公共VPN方案业务网关方案 安全防护措施 PE分设MPLSVPN是安全的 但是仍然存在安全风险 MPLSVPN的安全风险主要存在PEPE分设防范安全隐患PE CE间部署严格的安全策略 安全防护措施 防止异常流量攻击基本的ACL过滤uRPF反向地址检测CAR进行流量限制 业务接入的详细安全策略 采取相关的安全措施控制流量的冲击带来的安全风险 保证PE的安全在PE与CE的接口通过路由过滤或ACL的方式来限制 只允许来自CE的路由协议进入PE 通过路由过滤或ACL的方式隐藏承载网骨干路由设备及网管等系统的IP地址 减少其它不可信网络的安全风险 对用户VPNv4路由进行限制 避免可能来自用户网络的海量路由攻击对该PE所接其他VPN的不良影响 CE与PE之间应当通过配置静态路由或者运行带有验证功能的路由协议来进行路由交换 对路由协议交换进行MD5和DES加密认证控制 防止恶意路由攻击 根据SLA协议对用户流量进行限速 并进行流量监管 采用uRPF反向路径查询功能 有效地阻挡来自接入层的虚假地址的攻击 安全策略部署对设备影响评估 管理平面 路由器性能不会造成任何影响 控制平面 部署相应的安全策略如路由协议加密 如网络路由策略不会对网络设备的转发性能没有影响 数据平面 不建议在AR路由器采用ACL uRPF技术对业务流量限制 数据平面 公众业务 开启该功能开启该功能对性能不会有影响 能达到线速转发 在路由器系统满负荷转发时 启用uRPF后 路由器的报文转发性能会略有下降 在路由器系统轻载的情况下 启用uRPF对路由器报文转发基本无影响 电信级业务系统的安全防护设计 1 安全网络设计日益严重的安全攻击对核心业务系统造成了极大的威胁 造成的损失也与日俱增 为了满足核心业务系统对安全的需求 采用如下安全技术构建核心业务系统的安全保护体系 系统层安全软交换的各系统的服务软件都是构建在通用操作系统之上的 通用的操作系统如UNIX Linux WindowsNT等一般存在系统漏洞 可能被发现并被利用来对系统发起对软交换系统攻击的 因此软交换系统服务器投入使用前必须对操作系统进行及时加固 应用层安全应用层安全需要考虑软交换中常用的媒体控制信令的安全 在信令协议中启动加密和鉴权机制 保证媒体网关控制器对媒体网关的控制权 防止非法用户对业务的盗用或干扰 业务安全业务安全控制设置在网络设备上 主要实现网络业务的安全防护 如通过设备相互认证进行设备间的访问控制 通过对用户的业务权限认证避免业务被非法使用 通过协议信令的加密来防止网络监听等 电信级业务系统的安全防护设计 2 防火墙技术及部署方案在核心业务系统的网络出口部署高性能的防火墙产品 保证所有的流量通过防火墙 从而实现对网络边界的访问控制 采用冗余方式部署防火墙 保证核心业务系统的高可用性 入侵检测技术及部署方案在业务系统的核心交换机开启SPAN功能 将关键业务流量发送给入侵检测系统 入侵检测系统会对流量进行分析 及时发现可疑的攻击行为 漏洞扫描技术及部署方案部署基于网络的漏洞扫描系统对核心业务系统进行定期的脆弱性评估 并根据评估结果做进一步的处理 异常流量监控 清洗技术及部署方案在网络出口处部署异常流量监控 清洗系统系统 分析并防护大规模的DDoS攻击 电信级业务系统的安全防护设计 3 安全远程访问技术及部署方案部署基于IPSEC或SSL技术VPN网关产品 确保远程访问的安全性 系统加固及部署方案在业务系统的网络设备和主机系统进行必要的安全加固 提升操作系统的安全等级 安全风险评估技术的应用定期对网络系统 主机系统 应用系统进行风险评估 通过对相关IT资产的识别 脆弱性和威胁分析 确认系统各自面临的风险 根据风险等级的不同 有针对性的强化系统的安全策略 终端安全技术及部署方案在业务系统主机和终端部署专业的网络防病毒 防木马 NAC系统 实现桌面级的细粒度安全保护 电信级业务系统的安全防护设计 4 安全管理中心的建设网络安全问题日益向规模化 隐蔽性发展 传统的网络静态防护 事件的局部分析已完全不能满足网络安全的需要 IP承载网安全管理需要建立一个统一安全管理体系 将技术手段与管理手段进行充分整合 发挥网络安全管理的整体优势 充分体现网络安全管理集中化