安小圈
第702期
安全是一个过程,而非产品。
---布鲁斯·施奈尔 《应用密码学》作者 知名网络安全专家
一、网络设备安全概况
MAC 地址泛洪攻击:通过伪造大量虚假 MAC 地址填满交换机地址表,导致交换机泛洪转发。
ARP 欺骗:攻击者发送虚假 ARP 包更新主机 ARP 缓存,干扰交换机正常运行。
口令威胁:弱口令、明文传输或存储,导致非授权访问。
漏洞利用:利用交换机漏洞引发拒绝服务、非授权访问等。
(二)路由器安全威胁
漏洞利用:路由器厂商漏洞被利用,导致多种安全问题。
口令安全威胁:口令认证隐患使攻击者可猜测、监听或破解口令。
路由协议安全威胁:如 BGP 前缀劫持和 AS 路径欺骗攻击。
DoS/DDoS 威胁:发送恶意数据包或制造大流量导致路由器瘫痪。
依赖性威胁:破坏路由器依赖的服务或环境。
二、网络设备安全机制与实现技术
(一)认证机制
本地口令认证:Console、AUX、VTY 等多种口令形式。
TACACS + 认证:提供完整的认证、授权和审计流程。
RADIUS 认证:过程较简单,适用于远程拨号用户。
(二)访问控制
带外与带内访问:带外不依赖其他网络,带内需要网络支持。
各类访问控制配置:CON 端口、VTY、HTTP、SNMP 等访问的 ACL 限制及时长约束。
特权分级:如 Cisco 设备将权限分为 0-15 级。
(三)信息加密
通过 service password-encryption 命令加密配置文件中的口令信息,防止明文泄露。
(四)安全通信
SSH:替代 Telnet,配置包括生成 RSA 密钥、设置超时等。
IPSec VPN:保证管理工作站与网络设备通信加密,配置涉及 ISAKMP、ACL 等。
(五)日志审计
通过 Syslog 等多种方式记录网络设备活动,通常建立专用日志服务器存储审计信息。
(六)安全增强
关闭非安全服务:如 CDP、HTTP、SNMP 等。
信息过滤:过滤恶意路由信息和垃圾流量。
协议认证:OSPF、RIP 等协议启用认证防止恶意路由信息。
(七)物理安全
严格控制物理访问,指定授权人进行设备操作和维护。
三、网络设备安全增强技术方法
(一)交换机安全增强
访问控制与口令配置:设置 ACL 和多级口令认证。
镜像技术:监测网络流量用于分析和故障排除。
MAC 地址控制:限制端口学习的 MAC 地址数量和老化时间。
安全功能优化:关闭不必要服务、启用 SSH、限制 SNMP 访问等。
(二)路由器安全增强
系统升级与补丁:及时更新 IOS 修补漏洞。
服务关闭:禁止 CDP、Finger、HTTP 等危险服务。
端口与协议控制:关闭未使用端口,禁止 IP 直接广播和源路由。
VTY 安全配置:限制访问区域,要求口令认证。
恶意数据包阻断:通过 ACL 阻断来自内部网声称的源地址等恶意数据包。
口令与传输安全:使用 Enable secret 保存密文口令,启用 IPSec 加密传输。
四、网络设备常见漏洞与解决方法
(一)常见漏洞类型
拒绝服务、CSRF、格式化字符串、XSS、旁路、代码执行、溢出、内存破坏等。
(二)解决方法
漏洞信息获取:通过厂商官网和 CVE 库确认设备漏洞。
漏洞扫描:使用 Nmap、OpenVAS、Cisco Torch 等工具扫描。
漏洞修补:修改配置、限制漏洞利用条件、替换非安全服务、升级软件包。
五、典型安全配置示例
(一)交换机安全配置
1. MAC 地址泛洪防护
# 设置端口最大学习MAC地址数为100
Switch(config-if)# switchport port-security maximum 100
# 设置MAC地址老化时间为120秒
Switch(config-if)# switchport port-security aging time 120
# 启用端口安全违规处理(关闭端口)
Switch(config-if)# switchport port-security violation shutdown
2. ACL 限制 VTY 访问
# 创建ACL允许特定IP访问
Switch(config)# access-list 10 permit X.Y.Z.10
# 应用ACL到VTY接口
Switch(config)# line vty 0 4
Switch(config-line)# access-class 10 in
# 设置会话超时5分钟
Switch(config-line)# exec-timeout 5 0
(二)路由器安全配置
1. 关闭危险服务
# 禁止CDP协议
Router(config)# no cdp run
# 禁止TCP Small服务
Router(config)# no service tcp-small-servers
# 禁止HTTP服务
Router(config)# no ip http server
2. OSPF 协议认证
# 启用MD5认证
Router(config)# router ospf 100
Router(config-router)# area 0 authentication message-digest
# 配置接口认证密钥
Router(config)# interface eth0/1
Router(config-if)# ip ospf message-digest-key 1 md5 routerospfkey
六、安全技术对比与实践要点
(一)交换机与路由器安全机制对比
技术类型 | 交换机应用场景 | 路由器应用场景 | 核心差异 |
MAC 地址控制 | 防止泛洪攻击(端口安全) | 不适用 | 交换机特有二层防护 |
路由协议认证 | 不适用 | OSPF/RIP/BGP 认证 | 路由器关注三层协议安全 |
ACL 应用 | 限制 VLAN 间流量 | 阻断恶意 IP 数据包 | 路由器 ACL 更侧重网络边界防护 |
(二)等保 2.0 合规要点
三级系统要求:
交换机需启用端口安全与 MAC 地址绑定。
路由器需对路由协议进行认证(如 OSPF MD5)。
四级系统要求:
关键设备需部署 IPSec VPN 加密管理流量。
日志留存时间不少于 6 个月,且同步至专用日志服务器。
七、历年真题与解析
(一)2023年选择题
题目:下列哪项攻击可导致交换机 MAC 地址表被填满并引发泛洪转发?( )
A. ARP 欺骗攻击
B. MAC 地址泛洪攻击
C. 口令暴力破解
D. SQL 注入攻击
答案:B
解析:MAC 地址泛洪攻击通过伪造大量虚假 MAC 地址发送至交换机,耗尽其 MAC 地址表资源,导致交换机无法学习新地址,进而进入泛洪转发模式。其他选项中,ARP 欺骗(A)通过虚假 ARP 包干扰通信,口令攻击(C)和 SQL 注入(D)与交换机 MAC 表无关。
(二)2023 年案例分析题
背景:某企业交换机频繁出现 MAC 地址泛洪导致网络瘫痪,需设计防护方案。 问题:
列出两种技术防护措施;
说明配置步骤及参数含义。
参考答案:
措施:
端口安全(Port Security):限制单端口学习 MAC 地址数量。
动态 ARP 检测(DAI):验证 ARP 包合法性,防止欺骗。
配置示例:
# 端口安全配置
Switch(config-if)# switchport port-security maximum 50
# 超过50个MAC时关闭端口
Switch(config-if)# switchport port-security violation shutdown
maximum 50:单端口最多学习 50 个 MAC 地址;
violation shutdown:违规时端口进入 err-disable 状态。
八、核心考点速记表
考点分类 | 关键知识点 |
交换机威胁 | MAC 泛洪、ARP 欺骗、弱口令 |
路由器威胁 | BGP 劫持、DoS 攻击、路由协议漏洞 |
认证机制 | TACACS + 与 RADIUS 配置差异,AAA 认证流程 |
访问控制 | VTY/HTTP/SNMP 的 ACL 配置,特权分级(0-15 级) |
漏洞修复 | 拒绝服务漏洞(CVE-2018-0255)、代码执行漏洞(CVE-2000-0945) |
九、复习建议
工具实操:
用 Packet Tracer 模拟交换机端口安全配置,观察 MAC 泛洪时的端口状态变化。
通过 GNS3 搭建路由器环境,配置 OSPF MD5 认证并抓包验证。
标准重点:
熟记 GB/T 22239-2019 中对网络设备的等保要求,如三级系统需启用日志审计。
掌握常见CVE
漏洞编号对应的设备类型与影响,如 CVE-2017-3216(华为路由器认证绕过),CVE-2020-12812(Fortinet双因素认证绕过)等。
END
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...