扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在网络管理中,安全性一直是不容忽视的一个问题。而要保障网络的安全,往往需要从交换机的安全开始做起。其实通过以下四个禁止就可以明显提高交换机的安全级别。
禁止一:禁用集成的HTTP后台程序
在大部分厂家的交换机中都会提供HTTP后台程序。这主要是为了方便用户管理的需要。毕竟对于初学者来说,可能不习惯命令行的管理模式。而喜欢采用WEB界面对交换机等网络设备进行管理。但是在大部分情况下,这个HTTP后台程序是不安全的。
如果开启了这个服务,则一些攻击者可以向交换机等网络设备发送大量的HTTP请求,从而导致交换机的CPU使用率节节攀升,从而可能导致系统发生拒绝服务攻击。从而给网络的正常运行产生不利的影响。虽然包括思科在内的大部分厂家的交换机为简化管理都提供了一个集成的HTTP服务器,但是笔者还是建议在生产网络中最好禁用这个特性。默认情况下,思科的交换机中是禁用这个服务的。这也可以说明思科已经意识到其可能带来的安全隐患。之所以还留着这个服务,可能是出于一些教学等方面的需要。
HTTP后台程序不仅不安全,而且在多层交换网络环境中基本上用不着。如果网络管理员由于某些特殊的原因,确实要开启这个后台程序,那么也需要做好一定的安全措施。如需要通过访问控制列表来限制可以使用这个程序的IP地址或者MAC地址。也就是说限制只有网络管理员等特定的人员才通过特定的终端才能够访问这个HTTP后台程序。另外在有必要的情况下,还需要改变HTTP后台程序的默认端口。如此的话,一些扫描工具就比较难以发现交换机是否开启了HTTP服务,从而减少被攻击的可能性。虽然通过这些安全措施可以在一定程度上提高整个后台程序的安全级别。但是笔者最后还是要说,没有特别充分的理由,最好还是禁用集成的HTTP后台程序为好。
禁止二:限制链路聚集连接
通常情况下,在某些交换机上(如思科的Catalyst系列的交换机)会有自动协商链路聚集的功能。这个自动协商功能是允许未经授权的链路聚集端口引进网络。这个特性可能会在一定程度上提高网络的灵活性。但是也会带来网络新的安全隐患。如这个未经授权的链路聚集端口很有可能被攻击者用来监听网络上的通信流量,或者说被攻击者用来发起Dos攻击。这里需要特别提醒的是,在大部分情况下如果发起Dos等攻击的话,链路聚集端口比普通的接入端口后果要严重的多。特别是企业中如果存在VLAN的话。如果在接入端口发起这个攻击,那么受影响的最多就是一个VLAN。而如果在聚集端口上发起Dos攻击的话,则会同时影响到多个VLAN。
所以从安全角度出发,网络管理员应该在主机和接入端口上禁用链路聚集自动协商功能。
禁止三:禁用不需要的服务
从某种角度上来说,多启动一项服务,就好像是在交换机上多开了一扇门,多了一重风险。为了提高交换机的安全性,网络管理员需要习惯于只在交换机上启动必需的服务,禁用那些不需要的服务。
如在11.2以前版本的交换机软件中,会默认实现多个TCP或者UDP服务器。这么设计主要是为了方便管理以及跟现有的环境进行集成。但是需要注意的是,在实际工作中,大多数的TCP和UDP服务基本上用不着。此时如果网络管理员仍然将这些服务开启着,无疑是给攻击者留了一个口子。在这种情况下,聪明的管理员应该学会禁用这些服务。禁用他们可以减少安全隐患。
故笔者对网络管理员有一个建议。在新的设备投入到企业网络中之前,网络管理员应该仔细检查每一台设备的配置。一般来说包括设备启动的服务与端口。对于服务来说,只要这个服务不需要用到(无论是短期还是长期的),那么就禁用他。对于端口也是类似,只要端口没什么用处,就禁用。这里需要注意的是,在出厂的时候厂家可能出于满足大部分客户的要求出发,会启用比较多的服务。而对于某个特定的用户或者应用场景来说,这些服务就可能是不需要的。在大部分情况下,对于初始投入的网络设备往往需要进行比较大的调整。如在多层交换网络环境中,需要禁止如下这些服务:TCP SAMLL SERVERS、Finger、Boot服务器、不进行身份验证的NTP、ICMP重定向与不可达、定向广播转发等服务。在多层网络环境中,这些服务基本上用不着。如果留着反而会成为威胁企业网络安全的定时炸弹,还不如关闭好。
禁止四:尽可能少的使用CDP
CDP(Cisco设备直线发现协议)主要用来发现直连的CISCO设备的相关信息。简单的说,CDP就是利用直连的两个设备间定时发送CDP数据包来维持彼此的邻居关系。由于CDP协议会在网络中传播相关设备的详细信息。而这些信息如果给攻击者收集到的话,则会给他们发动攻击提供帮助。虽然有些专家认为,只需要正确的规划与配置,这个CDP协议还是一个比较安全的协议。但是要做到正确的规划与配置,有一定的难度。企业的网越来越复杂,而且还在不断的调整。故很少有管理员可以拍拍胸脯保证自己的网络规划与配置都是完美的。所以在实际工作中,还是需要尽可能的少用CDP。具体的来说,需要做到以下几点。
一是在不必要的接口上禁用CDP。通常情况下,需要CDP协议的只有一个地方。即在多层网络中,辅助VLAN可能需要这个协议。所以可以只为管理目的的接口上运行CDP协议。根据笔者的经验,一般情况下会在交换机间连接(直连)接口上或者IP电话连接的接口上启用CDP协议。
二是只在受控范围内的设备上启用CDP协议。这主要是因为CDP协议是一种链路级别的协议。在实际工作中,除非使用了第二层隧道机制,否则的话CDP协议不会通过MAN或者WAN进行端到端的传播。所以对于MAN或者WAN连接,CDP表中可能包含服务器提供商的下一级路由器或者交换机。
三是不要在不安全的连接上运行CDP协议。一般来说,internet连接被认为是不安全的连接。最好不要在这些不安全的连接上运行CDP协议。否则的话,万一网络被侦听,这些机密信息都会泄露。此时CDP协议就会成为网络攻击者的道具。
总之一句话,CDP协议能少用就少用。如果不用网络也可以正常运行的话,就不用。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。