网络基础设施设备是传输数据、应用程序、服务和多媒体所需的通信的网络组件。这些设备包括路由器、防火墙、交换机、服务器、负载平衡器、入侵检测系统、域名系统和存储区域网络。
这些设备是恶意网络攻击者的理想目标,因为大多数或所有组织和客户流量都必须通过它们。
- 存在于组织网关路由器上的攻击者可以监视、修改和拒绝进出组织的流量。
- 存在于组织内部路由和交换基础设施上的攻击者可以监控、修改和拒绝进出网络内关键主机的流量,并利用信任关系对其他主机进行横向移动。
使用旧的、未加密的协议来管理主机和服务的组织和个人使恶意网络攻击者可以轻松地成功获取凭据。谁控制了网络的路由基础设施,本质上就是控制流经网络的数据。
哪些安全威胁与网络基础设施设备相关?
网络基础设施设备通常很容易成为攻击者的目标。安装后,许多网络设备的安全级别不会与通用台式机和服务器保持相同。以下因素也可能导致网络设备的脆弱性:
- 很少有网络设备,尤其是小型办公室/家庭办公室和住宅级路由器等运行防病毒、完整性维护和其他有助于保护通用主机的安全工具。
- 制造商使用可利用的服务构建和分发网络设备,服务易于安装、操作和维护。
- 网络设备的所有者和运营商通常不会更改供应商的默认设置、对其进行加固以进行操作或执行定期修补。
- 一旦制造商或供应商不再支持设备,互联网服务提供商不得更换客户财产上的设备。
- 业主和运营商在调查、寻找入侵者、恢复网络入侵后的通用主机时,往往会忽视网络设备。
如何提高网络基础设施设备的安全性?
鼓励用户和网络管理员实施以下建议,以更好地保护网络基础设施:
- 细分和隔离网络和功能。
- 限制不必要的横向沟通。
- 强化网络设备。
- 安全访问基础设施设备。
- 执行带外 (OoB) 网络管理。
- 验证硬件和软件的完整性。
分段和隔离网络和功能
安全架构师必须考虑整体基础架构布局,包括分段和隔离。适当的网络分段是一种有效的安全机制,可防止入侵者传播漏洞或在内部网络中横向移动。在分段不佳的网络上,入侵者能够扩大其影响以控制关键设备或访问敏感数据和知识产权。隔离基于角色和功能来分隔网段。安全隔离的网络可以隔离包含恶意事件,从而减少入侵者在网络内部某处获得立足点时的影响。
敏感信息的物理隔离
传统的网络设备,例如路由器,可以分隔局域网 (LAN) 网段。组织可以在网络之间放置路由器以创建边界、增加广播域的数量并有效过滤用户的广播流量。组织可以通过将流量限制在不同的网段来使用边界来遏制安全漏洞,甚至可以在入侵期间关闭部分网络,限制对手的访问。
建议:
- 在设计网段时实施最小权限和需要知道的原则。
- 将敏感信息和安全要求划分为网段。
- 将安全建议和安全配置应用于所有网段和网络层。
敏感信息的虚拟分离
随着技术的变化,新的战略被开发出来以提高信息技术效率和网络安全控制。虚拟隔离是同一物理网络上的网络的逻辑隔离。虚拟分段使用与物理分段相同的设计原则,但不需要额外的硬件。现有技术可用于防止入侵者破坏其他内部网段。
建议:
- 使用私有虚拟局域网 (VLAN)将用户与其余广播域隔离。
- 使用虚拟路由和转发 (VRF) 技术在单个路由器上同时通过多个路由表对网络流量进行分段。
- 使用虚拟专用网络通过公共或专用网络建立隧道来安全地扩展主机/网络。
限制不必要的横向通信
允许未经过滤的点对点通信(包括工作站到工作站)会产生严重的漏洞,并且可以使网络入侵者的访问权限轻松传播到多个系统。一旦入侵者在网络中建立了一个有效的滩头阵地,未经过滤的横向通信允许入侵者在整个网络中创建后门。后门帮助入侵者在网络中保持持久性,并阻碍防御者遏制和根除入侵者的努力。
建议:
- 使用基于主机的防火墙规则来限制通信,以拒绝来自网络中其他主机的数据包流。可以创建防火墙规则来过滤主机设备、用户、程序或互联网协议 (IP) 地址,以限制来自服务和系统的访问。
- 实施 VLAN 访问控制列表 (VACL),这是一种控制进出 VLAN 的过滤器。应创建 VACL 过滤器以拒绝数据包流向其他 VLAN 的能力。
- 使用物理或虚拟隔离在逻辑上隔离网络,允许网络管理员将关键设备隔离到网段上。
强化网络设备
增强网络基础设施安全性的一个基本方法是通过安全配置保护网络设备。政府机构、组织和供应商为管理员提供了广泛的指导,包括基准和最佳实践,关于如何强化网络设备。管理员应结合法律、法规、站点安全策略、标准和行业最佳实践来实施以下建议。
建议:
- 禁用用于管理网络基础设施的未加密远程管理协议(例如 Telnet、文件传输协议 [FTP])。
- 禁用不必要的服务(例如,发现协议、源路由、超文本传输协议 [HTTP]、简单网络管理协议 [SNMP]、引导协议)。
- 使用 SNMPv3(或后续版本),但不要使用SNMP 社区字符串。
- 安全访问控制台、辅助和虚拟终端线路。
- 实施强大的密码策略,并使用可用的最强密码加密。
- 通过控制远程管理的访问列表来保护路由器和交换机。
- 限制对路由器和交换机的物理访问。
- 备份配置并将它们离线存储。使用最新版本的网络设备操作系统并保持更新所有补丁。
- 根据安全要求定期测试安全配置。
- 在发送、存储和备份文件时通过加密或访问控制保护配置文件。
安全访问基础设施设备
可以授予管理权限以允许用户访问不广泛可用的资源。限制基础设施设备的管理权限对于安全性至关重要,因为入侵者可以利用未正确授权、广泛授予或未经严格审核的管理权限。攻击者可以使用受损的权限来遍历网络、扩展访问权限并完全控制基础设施主干。组织可以通过实施安全访问策略和程序来减少未经授权的基础设施访问。
建议:
(1) 实施多因素身份验证(MFA)。身份验证是用于验证用户身份的过程。攻击者通常利用弱身份验证过程。MFA 至少使用两个身份组件来验证用户的身份。身份组件包括
- 用户知道的东西(例如密码),
- 用户拥有的对象(例如令牌),以及
- 用户独有的特征(例如,指纹)。
(2) 管理特权访问。使用提供身份验证、授权和计费 (AAA) 服务的服务器来存储网络设备管理的访问信息。AAA 服务器将使网络管理员能够根据最小权限原则为用户分配不同的权限级别。当用户试图执行未经授权的命令时,它将被拒绝。如果可能,除了使用 AAA 服务器之外,还可以实施硬令牌认证服务器。使用 MFA 使入侵者更难窃取和重用凭据以访问网络设备。
(3) 管理管理凭据。如果您的系统无法满足 MFA 最佳实践,请采取以下措施:
- 更改默认密码。
- 根据NIST SP 800-63C数字身份指南和加拿大的信息技术系统ITSP户身份验证指南,确保密码长度至少为 8 个字符,并允许密码长度为 64 个字符(或更长)。
- 根据不可接受的值的拒绝列表检查密码,例如常用的、预期的或已泄露的密码。
- 确保所有存储的密码都经过加盐和散列。
- 将密码存储在受保护的离线位置,例如保险箱,以便紧急访问。
执行带外管理
OoB 管理使用备用通信路径来远程管理网络基础设施设备。这些专用通信路径的配置可以有所不同,包括从虚拟隧道到物理分离的任何内容。使用 OoB 访问来管理网络基础设施将通过限制访问和将用户流量与网络管理流量分开来增强安全性。OoB 管理提供安全监控,并且可以在不让对手(即使是已经破坏了一部分网络的人)观察到这些变化的情况下执行纠正措施。
OoB 管理可以物理地、虚拟地或通过两者的混合来实施。尽管构建额外的物理网络基础设施的实施和维护成本可能很高,但对于网络管理员来说,这是最安全的选择。虚拟实施成本较低,但仍需要大量的配置更改和管理。在某些情况下,例如访问远程位置,虚拟加密隧道可能是唯一可行的选择。
建议:
- 将标准网络流量与管理流量分开。
- 确保设备上的管理流量仅来自OoB。
- 将加密应用于所有管理渠道。
- 加密对基础设施设备(如终端或拨入服务器)的所有远程访问。
- 通过安全通道(最好在 OoB 上)从专用的、完全修补的主机管理所有管理功能。
- 通过测试补丁、关闭路由器和交换机上不必要的服务以及实施强密码策略来强化网络管理设备。监控网络并查看日志。实施仅允许所需管理或管理服务的访问控制(例如,SNMP、网络时间协议、安全外壳、FTP、普通 FTP、远程桌面协议 [RDP]、服务器消息块 [SMB])。
验证硬件和软件的完整性
通过未经授权的渠道购买的产品通常被称为假冒、二级或灰色市场设备。许多媒体报道都描述了灰色市场硬件和软件进入市场的情况。非法的硬件和软件会给用户信息和网络环境的整体完整性带来严重风险。灰色市场产品可能会给网络带来风险,因为它们尚未经过全面测试以满足质量标准。由于供应链中断,从二级市场购买产品存在购买假冒、被盗或二手设备的风险。此外,供应链中的漏洞为在设备上安装恶意软件和硬件提供了机会。受损的硬件或软件会影响网络性能并危及网络资产的机密性、完整性或可用性。最后,未经授权或恶意软件可能会在设备投入使用后加载到设备上,因此组织应定期检查软件的完整性。
建议:
- 严格控制供应链,只从授权经销商处购买。
- 要求经销商强制执行供应链完整性检查,以验证硬件和软件的真实性。
- 安装后,检查所有设备是否有篡改迹象。
- 验证来自多个来源的序列号。
- 从经过验证的来源下载软件、更新、补丁和升级。
- 执行哈希验证,并将值与供应商的数据库进行比较,以检测对固件的未经授权的修改。
- 定期监控和记录设备——验证设备的网络配置。
- 培训网络所有者、管理员和采购人员,以提高对灰色市场设备的认识。
本文转载自微信公众号「祺印说信安」,作者何威风。转载本文请联系祺印说信安公众号。
