【实操】信息安全工程师系列-第21关 网络设备安全

（一）交换机安全威胁

• MAC 地址泛洪攻击：通过伪造大量虚假 MAC 地址填满交换机地址表，导致交换机泛洪转发。

• ARP 欺骗：攻击者发送虚假 ARP 包更新主机 ARP 缓存，干扰交换机正常运行。

• 口令威胁：弱口令、明文传输或存储，导致非授权访问。

• 漏洞利用：利用交换机漏洞引发拒绝服务、非授权访问等。

（二）路由器安全威胁

• 漏洞利用：路由器厂商漏洞被利用，导致多种安全问题。

• 口令安全威胁：口令认证隐患使攻击者可猜测、监听或破解口令。

• 路由协议安全威胁：如 BGP 前缀劫持和 AS 路径欺骗攻击。

• DoS/DDoS 威胁：发送恶意数据包或制造大流量导致路由器瘫痪。

• 依赖性威胁：破坏路由器依赖的服务或环境。

（一）认证机制

本地口令认证：Console、AUX、VTY 等多种口令形式。

TACACS + 认证：提供完整的认证、授权和审计流程。

RADIUS 认证：过程较简单，适用于远程拨号用户。

（二）访问控制

带外与带内访问：带外不依赖其他网络，带内需要网络支持。

各类访问控制配置：CON 端口、VTY、HTTP、SNMP 等访问的 ACL 限制及时长约束。

特权分级：如 Cisco 设备将权限分为 0-15 级。

（三）信息加密

通过 service password-encryption 命令加密配置文件中的口令信息，防止明文泄露。

（四）安全通信

SSH：替代 Telnet，配置包括生成 RSA 密钥、设置超时等。

IPSec VPN：保证管理工作站与网络设备通信加密，配置涉及 ISAKMP、ACL 等。

（五）日志审计

通过 Syslog 等多种方式记录网络设备活动，通常建立专用日志服务器存储审计信息。

（六）安全增强

关闭非安全服务：如 CDP、HTTP、SNMP 等。

信息过滤：过滤恶意路由信息和垃圾流量。

协议认证：OSPF、RIP 等协议启用认证防止恶意路由信息。

（七）物理安全

严格控制物理访问，指定授权人进行设备操作和维护。

（一）交换机安全增强

访问控制与口令配置：设置 ACL 和多级口令认证。

镜像技术：监测网络流量用于分析和故障排除。

MAC 地址控制：限制端口学习的 MAC 地址数量和老化时间。

安全功能优化：关闭不必要服务、启用 SSH、限制 SNMP 访问等。

（二）路由器安全增强

系统升级与补丁：及时更新 IOS 修补漏洞。

服务关闭：禁止 CDP、Finger、HTTP 等危险服务。

端口与协议控制：关闭未使用端口，禁止 IP 直接广播和源路由。

VTY 安全配置：限制访问区域，要求口令认证。

恶意数据包阻断：通过 ACL 阻断来自内部网声称的源地址等恶意数据包。

口令与传输安全：使用 Enable secret 保存密文口令，启用 IPSec 加密传输。

（一）常见漏洞类型

拒绝服务、CSRF、格式化字符串、XSS、旁路、代码执行、溢出、内存破坏等。

（二）解决方法

漏洞信息获取：通过厂商官网和 CVE 库确认设备漏洞。

漏洞扫描：使用 Nmap、OpenVAS、Cisco Torch 等工具扫描。

漏洞修补：修改配置、限制漏洞利用条件、替换非安全服务、升级软件包。

（一）交换机安全配置

1. MAC 地址泛洪防护

# 设置端口最大学习MAC地址数为100

Switch(config-if)# switchport port-security maximum 100

# 设置MAC地址老化时间为120秒

Switch(config-if)# switchport port-security aging time 120

# 启用端口安全违规处理（关闭端口）

Switch(config-if)# switchport port-security violation shutdown

2. ACL 限制 VTY 访问

# 创建ACL允许特定IP访问

Switch(config)# access-list 10 permit X.Y.Z.10

# 应用ACL到VTY接口

Switch(config)# line vty 0 4

Switch(config-line)# access-class 10 in

# 设置会话超时5分钟

Switch(config-line)# exec-timeout 5 0

（二）路由器安全配置

1. 关闭危险服务

# 禁止CDP协议

Router(config)# no cdp run

# 禁止TCP Small服务

Router(config)# no service tcp-small-servers

# 禁止HTTP服务

Router(config)# no ip http server

2. OSPF 协议认证

# 启用MD5认证

Router(config)# router ospf 100

Router(config-router)# area 0 authentication message-digest

# 配置接口认证密钥

Router(config)# interface eth0/1

Router(config-if)# ip ospf message-digest-key 1 md5 routerospfkey

（一）交换机与路由器安全机制对比

（二）等保 2.0 合规要点

三级系统要求：

交换机需启用端口安全与 MAC 地址绑定。

路由器需对路由协议进行认证（如 OSPF MD5）。

四级系统要求：

关键设备需部署 IPSec VPN 加密管理流量。

日志留存时间不少于 6 个月，且同步至专用日志服务器。

（一）2023年选择题

题目：下列哪项攻击可导致交换机 MAC 地址表被填满并引发泛洪转发？（ ）

A. ARP 欺骗攻击

B. MAC 地址泛洪攻击

C. 口令暴力破解

D. SQL 注入攻击

答案：B

解析：MAC 地址泛洪攻击通过伪造大量虚假 MAC 地址发送至交换机，耗尽其 MAC 地址表资源，导致交换机无法学习新地址，进而进入泛洪转发模式。其他选项中，ARP 欺骗（A）通过虚假 ARP 包干扰通信，口令攻击（C）和 SQL 注入（D）与交换机 MAC 表无关。

（二）2023 年案例分析题

背景：某企业交换机频繁出现 MAC 地址泛洪导致网络瘫痪，需设计防护方案。          问题：

列出两种技术防护措施；

说明配置步骤及参数含义。

参考答案：

措施：

端口安全（Port Security）：限制单端口学习 MAC 地址数量。

动态 ARP 检测（DAI）：验证 ARP 包合法性，防止欺骗。

配置示例：

# 端口安全配置

Switch(config-if)# switchport port-security maximum 50

# 超过50个MAC时关闭端口

Switch(config-if)# switchport port-security violation shutdown

maximum 50：单端口最多学习 50 个 MAC 地址；

violation shutdown：违规时端口进入 err-disable 状态。

工具实操：

用 Packet Tracer 模拟交换机端口安全配置，观察 MAC 泛洪时的端口状态变化。

通过 GNS3 搭建路由器环境，配置 OSPF MD5 认证并抓包验证。

标准重点：

熟记 GB/T 22239-2019 中对网络设备的等保要求，如三级系统需启用日志审计。

掌握常见CVE

漏洞编号对应的设备类型与影响，如 CVE-2017-3216（华为路由器认证绕过），CVE-2020-12812（Fortinet双因素认证绕过）等。