■ 大庆 吉海强
编者按:网络交换机是企业网络中非常重要的硬件设备,网络交换机的安全与整体网络安全有着非常直接的关系。然而网络交换机本身的安全防护,却很容易在网络安全设计中被忽视。本文总结了在企业网络交换机日常运维中常用的几种针对交换机的安全防护措施,单独或混合使用,均可有效提升网络交换机的安全性。
当前网络安全已经被上升到国家安全高度,在网络安全形势日趋严峻的今天,如何保障网络安全是一个世界级难题。
提到网络安全,大多数企业更多的是关注防火墙、防病毒、入侵检测以及上网行为等方面,却经常忽略了在网络中扮演重要角色的网络交换机的安全。网络交换机是企业网络中最基础的网络设备,网络交换机一旦出现安全问题,那么整个企业网络将会出现重大安全隐患。本文以华为交换机配置为例,简单介绍交换机几种常用的网络安全防护措施。
所有交换机,无论是可网管还是不可网管的,初始的默认VLAN 都是VLAN1。在不做配置的情况下,交换机所有端口都属于默认VLAN。正常企业网络交换机配置时,端口会划分对应的业务VLAN,但是交换机互连端口会使用Trunk 模式。缺省情况下,VLAN1 的数据可以通过Trunk 端口。如果默认VLAN不关闭,那么攻击者随便增加一台交换机连接在企业网络交换机上,就可以利用默认VLAN 将数据包发送到企业网络内的所有交换机,甚至是网络核心交换机,存在巨大安全隐患。
在企业网络中,网络管理员可以关闭默认VLAN,选择其他VLAN 做为管理VLAN 使用,这样就可以避免攻击随便通过默认VLAN 发起网络攻击行为。
一般在企业中,相对于HTTP 方式,网络管理员更喜欢命令行方式对交换机进行管理。但往往网络交换机安装在各个业务部门的网络间,网络管理员经常不在交换机现场对交换机进行管理,而通常会采用网络远程登录的方式对交换机进行管理。
交换机远程管理最常用的登录方式有两种,一种是Telnet,另一种是SSH。Telnet 是一种远程登录协议和方式,其通过TCP/IP 协议来远程访问设备,传输的数据和口令是明文形式的。这样攻击者就很容易得到口令和数据,其获得方式也很简单,攻击者可以在网络上利用抓包工具进行数据截取。因为传输的是明文,攻击者可以很容易得到交换机的登录用户名和密码,然后就可以登录交换机进行非法操作。
SSH 分为SSH1 和SSH2。两者是不兼容的版本,使用不同的协议。SSH1又分为1.3和1.5 两个版本。SSH1 采用DES、3DES、Blowfish 和RC4等对称加密算法保护数据安全传输。而对称加密算法的密钥是通过非对称加密算法(RSA)来完成交换的。SSH1使用循环冗余校验码(CRC)来保证数据的完整性,但是后来发现这种方法有缺陷。
SSH2 避免了RSA 的专利问题,并修补了CRC 的缺陷。SSH2 用数字签名算法(DSA)和Diffie-Hellman(DH)算法代替RSA 来完成对称密钥的交换,用消息证实代码(HMAC)来代替CRC。同时SSH2 增加了AES 和Twofish等对称加密算法。所以企业网络管理员在配置交换机的时候,不要使用Telnet 登录方式,而使用SSH 登录方式。攻击者即使可以在中间对数据包进行截获,也无法得到交换机的管理员帐号和密码。这样就可以有效增加交换机远程管理的安全性。
目前,企业网交换机提供了多种用户登录,访问设备的方式,主要有Console、SNMP、Telnet、SSH 以及HTTP等方式,方便网络管理员对交换机进行管理的同时,也给交换机自身安全带来隐患。
交换机可以设置为只输入密码登录,这样攻击者只要知道交换机的管理IP 地址,再破解掉密码就可以对交换机进行非法管理。密码复杂度的问题这里不再赘述,登录用户名在交换机配置命令允许的情况下,同样可以使用大小写字母、数字加特殊字符的组合来设定。这样将交换机设置为用户名字加密码的登录方式,那么攻击者不光要破解密码,还需要破解交换机的登录用户名。这在很大程度上增加了交换机非法登录的难度,保证交换机的远程管理安全。华为交换机配置登录用户名和密码均支持!、@、#、&、+、-、=等特殊符号,在设置用户名和密码时可以使用。
访问控制列表(ACL)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址及端口号等。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL 的业务模块的处理策略来允许或阻止该报文通过。
应用访问控制列表技术可以限定某些特定IP 地址如网络管理员的IP 地址访问交换机,可以限定网管服务器通过SNMP 协议管理交换机,还可以限定某些特定IP 地址可以通过HTTP 方式访问交换机。
这样,除特定IP 地址可以访问交换机的特定功能之外,其他对交换机的访问全部拒绝。
应用访问控制列表可以极大提升交换机的安全防护能力。访问控制列表可以在两个地方设置,一是接入交换机,二是在核心或汇聚交换机。接入交换机可以设置在远程用户接口,用来设定哪些IP 地址可以通过远程方式对交换机进行管理。核心或汇聚交换机是配置交换机管理VLAN 三层虚拟接口的地方,在这里也可以编写ACL,然后应用在交换机的全局入方向即可。
要注意的是,核心或汇聚交换机上配置的ACL,需要在允许网络管理员IP 地址之后,增加一条拒绝其他所有地址对交换机管理地址段的访问。
交换机会自动学习并记录MAC 地址,而攻击者会利用交换机的MAC 地址学习机制,不断地进行MAC 地址刷新,迅速填满交换机的MAC地址表。这样其他主机所发送的数据帧交换机会做泛洪处理,攻击者自己的主机就可以接收到受害者的数据帧。攻击者只需要使用抓包软件就可以获取相应的信息。
另 外,Trunk 接口上的流量也会发给所有接口和与该交换机相连的其他交换机,造成交换机负载过大,网络缓慢甚至瘫痪。
为了有效限制MAC 攻击,可以限制交换机端口可以学习的最大MAC 地址数量,交换机默认情况下对端口可以学习的MAC 数量是没有限制的。当该端口学习到的MAC地址数量达到限定的数量值,将不再对MAC 地址进行学习,这样就可以有效控制交换机学习的MAC 地址数量。
交换机的Web 管理方式是图形化界面的管理方式,比较直观,容易理解和掌握。网络管理人员无需记住各种管理命令并输入繁琐的命令行,只需要使用每台电脑的标配IE,即可对网络设备进行本地和远程的管理。
但是,HTTP 协议安全性并不高。如果交换机允许网络管理员通过HTTP 进行访问,那么攻击者很容易可以通过网络设备的浏览器接口对交换机设备进行监视,甚至可以对交换机配置进行更改,达到其入侵的目的。
所以对于一个熟悉命令行配置的网络管理员来说,关闭交换机的Web 管理功能,也不失为一种强化交换机自身安全的方式。
随着大数据、人工智能、云计算、移动互联网以及物联网的深度发展与融合,网络攻击也呈现出复杂化、规模化趋势。在企业信息安全建设过程中,除了堆砌防火墙、入侵检测甚至是态势感知系统等一些常见的网络安全产品,也不要忽略交换机自身安全在企业信息安全建设中的重要性。
在企业网络交换机自身安全防护的过程中,可以根据各个企业的实际情况,采取以上安全防护措施中的一个或多个对网络交换机进行安全加固,以确保网络交换机的自身安全。