我的编程空间,编程开发者的网络收藏夹
学习永远不晚

网络安全知识之保护网络基础设施设备

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

网络安全知识之保护网络基础设施设备

[[442435]]

这些设备是恶意网络攻击者的理想目标,因为大多数或所有组织和客户流量都必须通过它们。

  • 存在于组织网关路由器上的攻击者可以监视、修改和拒绝进出组织的流量。
  • 存在于组织内部路由和交换基础设施上的攻击者可以监控、修改和拒绝进出网络内关键主机的流量,并利用信任关系对其他主机进行横向移动。

使用旧的、未加密的协议来管理主机和服务的组织和个人使恶意网络攻击者可以轻松地成功获取凭据。谁控制了网络的路由基础设施,本质上就是控制流经网络的数据。

哪些安全威胁与网络基础设施设备相关?

网络基础设施设备通常很容易成为攻击者的目标。安装后,许多网络设备的安全级别不会与通用台式机和服务器保持相同。以下因素也可能导致网络设备的脆弱性:

  • 很少有网络设备,尤其是小型办公室/家庭办公室和住宅级路由器等运行防病毒、完整性维护和其他有助于保护通用主机的安全工具。
  • 制造商使用可利用的服务构建和分发网络设备,服务易于安装、操作和维护。
  • 网络设备的所有者和运营商通常不会更改供应商的默认设置、对其进行加固以进行操作或执行定期修补。
  • 一旦制造商或供应商不再支持设备,互联网服务提供商不得更换客户财产上的设备。
  • 业主和运营商在调查、寻找入侵者、恢复网络入侵后的通用主机时,往往会忽视网络设备。

如何提高网络基础设施设备的安全性?

鼓励用户和网络管理员实施以下建议,以更好地保护网络基础设施:

  • 细分和隔离网络和功能。
  • 限制不必要的横向沟通。
  • 强化网络设备。
  • 安全访问基础设施设备。
  • 执行带外 (OoB) 网络管理。
  • 验证硬件和软件的完整性。

分段和隔离网络和功能

安全架构师必须考虑整体基础架构布局,包括分段和隔离。适当的网络分段是一种有效的安全机制,可防止入侵者传播漏洞或在内部网络中横向移动。在分段不佳的网络上,入侵者能够扩大其影响以控制关键设备或访问敏感数据和知识产权。隔离基于角色和功能来分隔网段。安全隔离的网络可以隔离包含恶意事件,从而减少入侵者在网络内部某处获得立足点时的影响。

敏感信息的物理隔离

传统的网络设备,例如路由器,可以分隔局域网 (LAN) 网段。组织可以在网络之间放置路由器以创建边界、增加广播域的数量并有效过滤用户的广播流量。组织可以通过将流量限制在不同的网段来使用边界来遏制安全漏洞,甚至可以在入侵期间关闭部分网络,限制对手的访问。

建议:

  • 在设计网段时实施最小权限和需要知道的原则。
  • 将敏感信息和安全要求划分为网段。
  • 将安全建议和安全配置应用于所有网段和网络层。

敏感信息的虚拟分离

随着技术的变化,新的战略被开发出来以提高信息技术效率和网络安全控制。虚拟隔离是同一物理网络上的网络的逻辑隔离。虚拟分段使用与物理分段相同的设计原则,但不需要额外的硬件。现有技术可用于防止入侵者破坏其他内部网段。

建议:

  • 使用私有虚拟局域网 (VLAN)将用户与其余广播域隔离。
  • 使用虚拟路由和转发 (VRF) 技术在单个路由器上同时通过多个路由表对网络流量进行分段。
  • 使用虚拟专用网络通过公共或专用网络建立隧道来安全地扩展主机/网络。

限制不必要的横向通信

允许未经过滤的点对点通信(包括工作站到工作站)会产生严重的漏洞,并且可以使网络入侵者的访问权限轻松传播到多个系统。一旦入侵者在网络中建立了一个有效的滩头阵地,未经过滤的横向通信允许入侵者在整个网络中创建后门。后门帮助入侵者在网络中保持持久性,并阻碍防御者遏制和根除入侵者的努力。

建议:

  • 使用基于主机的防火墙规则来限制通信,以拒绝来自网络中其他主机的数据包流。可以创建防火墙规则来过滤主机设备、用户、程序或互联网协议 (IP) 地址,以限制来自服务和系统的访问。
  • 实施 VLAN 访问控制列表 (VACL),这是一种控制进出 VLAN 的过滤器。应创建 VACL 过滤器以拒绝数据包流向其他 VLAN 的能力。
  • 使用物理或虚拟隔离在逻辑上隔离网络,允许网络管理员将关键设备隔离到网段上。

强化网络设备

增强网络基础设施安全性的一个基本方法是通过安全配置保护网络设备。政府机构、组织和供应商为管理员提供了广泛的指导,包括基准和最佳实践,关于如何强化网络设备。管理员应结合法律、法规、站点安全策略、标准和行业最佳实践来实施以下建议。

建议:

  • 禁用用于管理网络基础设施的未加密远程管理协议(例如 Telnet、文件传输协议 [FTP])。
  • 禁用不必要的服务(例如,发现协议、源路由、超文本传输协议 [HTTP]、简单网络管理协议 [SNMP]、引导协议)。
  • 使用 SNMPv3(或后续版本),但不要使用SNMP 社区字符串。
  • 安全访问控制台、辅助和虚拟终端线路。
  • 实施强大的密码策略,并使用可用的最强密码加密。
  • 通过控制远程管理的访问列表来保护路由器和交换机。
  • 限制对路由器和交换机的物理访问。
  • 备份配置并将它们离线存储。使用最新版本的网络设备操作系统并保持更新所有补丁。
  • 根据安全要求定期测试安全配置。
  • 在发送、存储和备份文件时通过加密或访问控制保护配置文件。

安全访问基础设施设备

可以授予管理权限以允许用户访问不广泛可用的资源。限制基础设施设备的管理权限对于安全性至关重要,因为入侵者可以利用未正确授权、广泛授予或未经严格审核的管理权限。攻击者可以使用受损的权限来遍历网络、扩展访问权限并完全控制基础设施主干。组织可以通过实施安全访问策略和程序来减少未经授权的基础设施访问。

建议:

(1) 实施多因素身份验证(MFA)。身份验证是用于验证用户身份的过程。攻击者通常利用弱身份验证过程。MFA 至少使用两个身份组件来验证用户的身份。身份组件包括

  • 用户知道的东西(例如密码),
  • 用户拥有的对象(例如令牌),以及
  • 用户独有的特征(例如,指纹)。

(2) 管理特权访问。使用提供身份验证、授权和计费 (AAA) 服务的服务器来存储网络设备管理的访问信息。AAA 服务器将使网络管理员能够根据最小权限原则为用户分配不同的权限级别。当用户试图执行未经授权的命令时,它将被拒绝。如果可能,除了使用 AAA 服务器之外,还可以实施硬令牌认证服务器。使用 MFA 使入侵者更难窃取和重用凭据以访问网络设备。

(3) 管理管理凭据。如果您的系统无法满足 MFA 最佳实践,请采取以下措施:

  • 更改默认密码。
  • 根据NIST SP 800-63C数字身份指南和加拿大的信息技术系统ITSP户身份验证指南,确保密码长度至少为 8 个字符,并允许密码长度为 64 个字符(或更长)。
  • 根据不可接受的值的拒绝列表检查密码,例如常用的、预期的或已泄露的密码。
  • 确保所有存储的密码都经过加盐和散列。
  • 将密码存储在受保护的离线位置,例如保险箱,以便紧急访问。

执行带外管理

OoB 管理使用备用通信路径来远程管理网络基础设施设备。这些专用通信路径的配置可以有所不同,包括从虚拟隧道到物理分离的任何内容。使用 OoB 访问来管理网络基础设施将通过限制访问和将用户流量与网络管理流量分开来增强安全性。OoB 管理提供安全监控,并且可以在不让对手(即使是已经破坏了一部分网络的人)观察到这些变化的情况下执行纠正措施。

OoB 管理可以物理地、虚拟地或通过两者的混合来实施。尽管构建额外的物理网络基础设施的实施和维护成本可能很高,但对于网络管理员来说,这是最安全的选择。虚拟实施成本较低,但仍需要大量的配置更改和管理。在某些情况下,例如访问远程位置,虚拟加密隧道可能是唯一可行的选择。

建议:

  • 将标准网络流量与管理流量分开。
  • 确保设备上的管理流量仅来自OoB。
  • 将加密应用于所有管理渠道。
  • 加密对基础设施设备(如终端或拨入服务器)的所有远程访问。
  • 通过安全通道(最好在 OoB 上)从专用的、完全修补的主机管理所有管理功能。
  • 通过测试补丁、关闭路由器和交换机上不必要的服务以及实施强密码策略来强化网络管理设备。监控网络并查看日志。实施仅允许所需管理或管理服务的访问控制(例如,SNMP、网络时间协议、安全外壳、FTP、普通 FTP、远程桌面协议 [RDP]、服务器消息块 [SMB])。

验证硬件和软件的完整性

通过未经授权的渠道购买的产品通常被称为假冒、二级或灰色市场设备。许多媒体报道都描述了灰色市场硬件和软件进入市场的情况。非法的硬件和软件会给用户信息和网络环境的整体完整性带来严重风险。灰色市场产品可能会给网络带来风险,因为它们尚未经过全面测试以满足质量标准。由于供应链中断,从二级市场购买产品存在购买假冒、被盗或二手设备的风险。此外,供应链中的漏洞为在设备上安装恶意软件和硬件提供了机会。受损的硬件或软件会影响网络性能并危及网络资产的机密性、完整性或可用性。最后,未经授权或恶意软件可能会在设备投入使用后加载到设备上,因此组织应定期检查软件的完整性。

建议:

  • 严格控制供应链,只从授权经销商处购买。
  • 要求经销商强制执行供应链完整性检查,以验证硬件和软件的真实性。
  • 安装后,检查所有设备是否有篡改迹象。
  • 验证来自多个来源的序列号。
  • 从经过验证的来源下载软件、更新、补丁和升级。
  • 执行哈希验证,并将值与供应商的数据库进行比较,以检测对固件的未经授权的修改。
  • 定期监控和记录设备——验证设备的网络配置。
  • 培训网络所有者、管理员和采购人员,以提高对灰色市场设备的认识。

本文转载自微信公众号「祺印说信安」,作者何威风。转载本文请联系祺印说信安公众号。

 

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

网络安全知识之保护网络基础设施设备

下载Word文档到电脑,方便收藏和打印~

下载Word文档

猜你喜欢

网络安全知识之保护网络基础设施设备

使用旧的、未加密的协议来管理主机和服务的组织和个人使恶意网络攻击者可以轻松地成功获取凭据。谁控制了网络的路由基础设施,本质上就是控制流经网络的数据。

网络安全知识之保护便携式设备物理安全

只有我们才能确定自己的设备实际存在风险的内容。如果小偷偷了笔记本电脑或移动设备,最期起码的损失就是机器本身,更可怕的是,如果窃贼能够访问计算机或移动设备上的信息,则存储在设备上的所有信息以及由于存储在设备上的数据而可能访问的任何其他信息都处

网络安全知识之保护家庭网络安全

家庭网络安全是指保护将设备(例如路由器、计算机、智能手机和支持 Wi-Fi 的婴儿监视器和相机)相互连接并连接到家中互联网的网络。

网络安全知识之电子设备的网络安全

大凡电子设备都需要系统作为支撑,而且都会影响到网络安全,所以网络安全已经超越了所谓的计算机。

保护智慧城市安全始于网络基础设施

虽然,利用人工智能和机器学习驱动的创新,每一个互联城市的全部价值仍在不断发展,但是,网络安全仍然是其最大的挑战之一。

网络安全知识之保护便携式设备上的数据安全

安装和维护防火墙- 虽然对于限制进出计算机的流量很重要,但如果我们正在旅行和使用不同的网络,防火墙就尤为重要。防火墙可以帮助防止外部人员获得不需要的访问权限。

网络安全知识之保护物联网

物联网是指通过互联网自动发送和接收数据的任何对象或设备。这组快速扩展的“事物”包括标签(也称为自动跟踪对象的标签或芯片)、传感器以及与人交互并在机器间共享信息的设备。

网络安全知识之保护企业无线网络

企业网络安全是对连接企业内系统、大型机和设备(如智能手机和平板电脑)的网络的保护。公司、大学、政府和其他实体使用企业网络将其用户与信息和人员联系起来。随着网络规模和复杂性的增长,安全问题也随之增加。

探索增强IT基础设施保护的十种网络安全措施

本文旨在深入研究网络安全可实现的主要等级,并全面概述了组织可以采取哪些措施来保护其IT基础设施。

保护关键信息基础设施安全是网络安全的关键

  近日,网络安全法的重要配套法规《关键信息基础设施安全保护条例》(以下简称《条例》),已由国务院公布,并将于2021年9月1日起正式施行。《条例》的公布实施为建立健全关键信息基础设施安全保护体系,提升网络安全防护能力,提供了更具有操作性的

网络安全与关键基础设施

Check Point Software欧洲、中东和非洲地区首席信息安全官 Deryck Mitchelson 表示,关键基础设施已成为网络犯罪的新兴目标……

揭秘数据网络:了解现代网络基础设施的基础知识

现代网络基础设施是与运行企业IT网络相关的基本组件的协作集成。它是整个IT基础架构不可或缺的一部分,有助于无缝运行运营。

聚焦关键信息基础设施,网络安全保护迎新政

近年来,伴随着互联网的快速普及,以及各种智能新技术的广泛应用,网络安全问题愈发受到关注

网络安全的基础知识:保护您的Linux服务器

保护您的Linux服务器是网络安全的基础知识之一。以下是一些常见的措施和建议,可以帮助您保护您的Linux服务器免受潜在的网络安全威胁。1. 及时更新和维护:确保您的Linux服务器上安装的操作系统、应用程序、库和驱动程序都是最新版本,并定
2023-10-18

网络安全的基础知识:保护您的Linux服务器

网络安全的基础知识:保护您的Linux服务器本文介绍网络安全的基础知识,重点关注确保Linux服务器安全的最佳实践。这些实践包括配置防火墙、应用安全更新、管理用户权限、实施入侵检测和预防系统、日志记录和监控、定期备份、网络分段、使用虚拟专用网络、多因素认证、遵循安全加固清单和持续监控。通过实施这些措施,系统管理员可以显著降低服务器的风险并增强其安全性。
网络安全的基础知识:保护您的Linux服务器
2024-04-11

关键基础设施的网络安全要点

网络安全和基础设施安全局(CISA)已确定了16个关键基础设施部门,这些部门的资产、系统和网络,无论是物理的还是虚拟的,都被认为对国家安全、公共卫生和公共安全至关重要。这些范围从核反应堆和应急服务到医疗保健、食品、运输、IT、金融系统等等。

网络靶场:划时代的新型网络安全基础设施

网络靶场是一个具有划时代意义的新型网络安全基础设施,是构筑数字世界安全底座不可或缺的科学装置。

网络安全等级保护:一定要做好网络安全设计与实施

设计与实施阶段,是网络运营、使用单位最关心的一个阶段,所以在各单位被监督检查过程中,存在的一个突出问题就是“重建设,轻管理”,可以说是一个通病。而网络安全服务机构,也更热衷这块工作。

美国网络安全基础设施安全局网站遭入侵

据外媒,美国当局表示,在黑客使用有效的访问凭据后,美国网络安全与基础设施安全局遭到了黑客的入侵。

ANSI/TIA568.2-D:网络设备基础设施的支柱

随着数字环境的不断发展,遵守ANSI/TIA568.2-D仍然是构建可应对当今和未来挑战的弹性和高性能网络基础设施的基石。
网络设备2024-11-30

编程热搜

  • Python 学习之路 - Python
    一、安装Python34Windows在Python官网(https://www.python.org/downloads/)下载安装包并安装。Python的默认安装路径是:C:\Python34配置环境变量:【右键计算机】--》【属性】-
    Python 学习之路 - Python
  • chatgpt的中文全称是什么
    chatgpt的中文全称是生成型预训练变换模型。ChatGPT是什么ChatGPT是美国人工智能研究实验室OpenAI开发的一种全新聊天机器人模型,它能够通过学习和理解人类的语言来进行对话,还能根据聊天的上下文进行互动,并协助人类完成一系列
    chatgpt的中文全称是什么
  • C/C++中extern函数使用详解
  • C/C++可变参数的使用
    可变参数的使用方法远远不止以下几种,不过在C,C++中使用可变参数时要小心,在使用printf()等函数时传入的参数个数一定不能比前面的格式化字符串中的’%’符号个数少,否则会产生访问越界,运气不好的话还会导致程序崩溃
    C/C++可变参数的使用
  • css样式文件该放在哪里
  • php中数组下标必须是连续的吗
  • Python 3 教程
    Python 3 教程 Python 的 3.0 版本,常被称为 Python 3000,或简称 Py3k。相对于 Python 的早期版本,这是一个较大的升级。为了不带入过多的累赘,Python 3.0 在设计的时候没有考虑向下兼容。 Python
    Python 3 教程
  • Python pip包管理
    一、前言    在Python中, 安装第三方模块是通过 setuptools 这个工具完成的。 Python有两个封装了 setuptools的包管理工具: easy_install  和  pip , 目前官方推荐使用 pip。    
    Python pip包管理
  • ubuntu如何重新编译内核
  • 改善Java代码之慎用java动态编译

目录