华为交换机安全加固指南(二)
华为交换机安全加固指南(一)http://www.jiushuku.net/post-20.html
6、交换机安全风险评估
综合网络安全威胁、交换机的脆弱性,可以评估出交换机面临的安全风险,并给出安全风险抑制建议,如下表所示:
安全威胁 |
交换机脆弱点 |
风险评估 |
风险抑制措施 |
|
拒绝服务 |
1. 控制和管理平面处理能力不足 2. IP网络开放性导致源地址无法认证,导致流量泛洪和地址欺骗 |
控制管理平面能力不足,流量泛洪触发条件简单,导致攻击极易发生,且对交换机造成的损害巨大 风险评价:高 |
1. 加强网络访问控制策略 2. 在转发平面限制上送控制管理平面的流量 |
|
信息泄漏 |
1. 存在大量不安全的访问通道 2. IP网络开放性导致访问控制能力不足 |
安全性不足的访问通道极易被攻击者利用成为攻击武器,交换机账号权限控制措施不足,IP网络开放性,都容易产生攻击 风险评价:高 |
1. 关闭安全性不足的访问通道 2. 加强账号权限管理 3. 合理规划访问控制策略 |
|
破坏信息完整性 |
IP报文传输过程中,缺乏完整性检查的必要措施。 |
大量的通信协议没有完整性检查机制,而IP网络开放性也无法避免信息篡改 风险评价:中 |
1. 使用SHA-1等摘要算法对消息进行完整性检查 2. 使用安全的通道传输重要信息 |
|
非授权访问 |
交换机本身系统的复杂性,导致命令行、MIB等无法基于单个用户授权 诊断调试系统需要查看系统内部信息,也会带来安全隐患 IP网络开放性带来访问路径的不可控,可能遭受来自不可信网络的非授权访问 |
某个用户获得某个等级的权限后,由于没有更细粒度的信息隔离措施,导致可能访问到超出角色需求的信息 IP网络开放可能会受到来自不可信网络的非授权访问 风险评价:中 |
1. 采用TACACS命令行授权机制,避免命令行滥用 2. 选择SNMP v3并配置MIB VIEW,限制MIB访问范围 3. 加强网络访问控制策略 |
|
身份欺骗 |
IP网络开放性,导致交换机对源地址认证能力不足 |
易受到地址欺骗攻击,引发转发中断或者系统过载 风险评估:中 |
使能URPF、DHCP Snooping等特性,避免成为攻击目标 |
|
重放攻击 |
TCP/IP协议中,L3层及L3层以下无法处理序列号,导致重放攻击易实施,交换机会话请求处理能力不足,引发系统过载 |
对会话请求处理能力不足,引发系统过载 风险评估:高 |
利用线卡CPU或线卡芯片处理器分布式响应请求消息,减轻主控负载 |
|
计算机病毒 |
交换机对网络病毒引发的流量泛洪处理能力不足,引发系统过载 |
计算机等感染网络病毒,发出流量泛洪,耗尽带宽资源,冲击系统CPU过载 风险评估:高 |
1. 加强IT管理 2. 配置速率限制,避免冲击过载 |
|
人员不慎 |
交换机系统极其复杂,易配置出错 交换机对网络拓扑震荡和环路引发的流量泛洪处理能力不足 |
错误的配置会导致业务受损 拓扑震荡和环路可能导致交换机处理过载 风险评估:中 |
加强人员培训,提升技能,提升运营商IT管理水平,避免人为出错 配置环路检测抑制等机制,智能防御人为差错 |
|
物理入侵 |
交换机对直连串口、面板接口等方式物理接入的用户,权限等级天然较高,一旦被攻击者利用,容易引发误操作或者恶意配置 |
对于串口、面板接口等物理接入方式登录的用户,如果进行恶意配置,引发严重问题。但是电信网络通常对物理访问控制严格。 风险评估:低 |
加强物理与环境安全控制,避免由于物理接入、环境事故等,引发安全事故 |
|
7、交换机安全体系架构概述
在交换机中,安全防御体系主要包括如下几种类型:
7.1、转发引擎安全防御机制
交换机的转发引擎,由于处理性能高,如果能够在转发面实现安全检测,把非法的报文识别出来并合理的处理,对网络安全来说是最好的方案。
但是转发引擎一般都是硬件实现,基于ASIC或者ENP,灵活性不如纯软件。因此,转发引擎只能检测具有固定特征、无需复杂的计算和处理的非法报文,安全处理机制要求较为简单且流程相对固定。
例如:
畸形报文检测,把明显违反协议规则的报文检测出来并丢弃;广播风暴抑制,直接在转发面把风暴来源丢弃或者限速广播报文;MAC地址防漂移,保证在正确的接口学习到MAC地址,防止非法用户的入侵。URPF直接在转发面查找端口和源地址匹配信息,不匹配直接丢弃;
采用转发引擎来实施安全策略,由于性能高,因此对流量泛洪攻击类的安全事件,能够非常好的应对,避免转发面把报文发给CPU处理,由于CPU的处理能力局限导致CPU过载,影响交换机的可靠性。
7.2、转发面与控制面上送管道安全防御机制
转发面相对于控制面来说,其处理能力可以认为是无限的。因此,转发面能够轻易的上送海量的报文,把控制面直接冲击过载。
为了防止转发面上送过多的报文给控制面,需要对上送管道进行限速;同时为了不影响正常的业务运行,也需要对高优先级的和通过安全检测的正常业务放行。综合了安全性和可用性,交换机使用了如下几种机制,来综合保障在交换机可靠运行的前提下,尽可能提供高性能的业务处理能力:
7.2.1、CPCAR功能:
针对每一种协议或者协议的某种典型的消息(如ARP Request和ARP Reply),分开设置CPCAR值,设置一个上送控制面的带宽限制;基于单板和整机实现两级CPCAR,防止设备过载。
7.2.2、黑名单:
对于静态配置拒绝访问的策略,黑名单策略拒绝所有报文上送,防止被非法攻击。
7.2.3、攻击溯源(autodefend):
网络上可能会出现大量攻击报文攻击网络节点设备的CPU。攻击溯源可以通过分析上送CPU的报文是否会对CPU造成攻击,对可能造成攻击的报文进行写日志或告警提醒用户,同时可以基于MAC、IP、端口和VLAN的粒度对攻击用户进行惩罚,保护合法用户的正常业务
综合以上措施,能够保证转发面上送控制面的报文不会把CPU冲击过载,同时也保证CPU尽最大能力为业务服务不会造成资源浪费。
7.3、应用层业务内嵌的安全检测与防御机制
转发面由于无法感知每一种协议内部的机制,因此复杂的、深层次的安全攻击无法被转发面检测并控制。转发面与控制面间的管道控制机制只能保证CPU不会被攻击过载,并不感知上送的报文是否存在安全隐患。因此,需要在应用层模块内部,内嵌的安全检测引擎:每一个协议栈模块,都需要能够动态检查报文和会话的合法性,需要把非法的报文或者会话及时丢弃,以防造成协议栈的安全危害。
8、遵循X.805的三层三面安全隔离与防御机制
如下图所示,交换机遵循X.805的三层三面安全隔离机制,其体系架构如下:
图 华为交换机三层三面安全体系结构
通过将控制平面、管理平面和转发平面进行隔离,交换机能够保证任何一个平面在遭受攻击时,不会影响其他平面的正常运行。
9、交换机控制面安全防御能力
在华为交换机的控制平面,为了保障控制协议和业务的正常运行,提供了如下的安全防御能力:
9.1、应用层联动
应用层联动指的是将控制层面的协议开关状态和底层转发引擎的协议上送关联起来。通过在上层和底层建立联系,在协议开关状态上保持一致,对于设备没有开启业务的协议,底层硬件默认是以小带宽上送其协议报文,也可以配置为完全不上送,这样就将攻击者的攻击范围尽可能缩小,增加了攻击的成本,减少了设备的安全风险。
以BGP业务为例,如果交换机上没有配置BGP业务,那么BGP报文即使上送到主控CPU也是要丢弃,因此应用层联动根据上层的配置在转发面就将BGP报文丢弃,减少无用的处理。
9.2、畸形报文防攻击
交换机当前能够对如下的畸形报文进行攻击检测,并在检测到攻击后,丢弃攻击报文:IGMP空报文、LAND攻击、Smurf攻击、TCP标志位非法攻击。
9.3、基于安全认证的安全防御
一些路由协议支持安全认证,在设备间报文交互时,采用HASH算法计算报文摘要,接收时重新计算摘要进行比较,能够及时识别出被篡改的报文。
路由协议安全认证算法根据协议自身的机制,更新使用业界最安全的SHA2算法(协议明确不支持的除外),保证了协议报文不会被篡改,增强了路由协议的安全性。
协议认证的密钥在设备的存储采用了业界最安全的AES256算法。大大提升了被破解的难度,更不容易泄露。
9.4、基于访问控制的安全防御
交换机提供了较为完善的ACL CPU defend访问控制能力,基于ACL,能够实现CPCAR流量速率限制,黑白名单,用户自定义流。
CPCAR用来设置上送CPU的报文的分类限速上送规则,针对每类报文可设置均值速率、承诺突发尺寸等。通过对不同的报文设置不同的CAR规则,可以降低报文的相互影响,达到保护CPU的目的。CAR还可以设置上送CPU报文的整体速率,当整体上送速率超过阈值后,报文将被丢弃,避免CPU过载。
黑名单指非法用户的集合。通过设定ACL,可将确定为攻击的非法用户设置到黑名单中,后续匹配黑名单特征的报文会被丢弃或者低优先级上送。
用户自定义流指用户自定义防攻击ACL规则。主要应用于当后续网络中出现不明攻击时,用户可灵活指明攻击流数据特征,将符合此特征的数据流进行上送限制。
9.5、GTSM
GTSM(Generalized TTL Security Mechanism)是通用跳数检测机制的缩写,即通过检测上送报文的TTL值合法与否,来保护CPU免受CPU-utilization(CPU overload)类型的攻击。
根据交换机组网的特点,发给交换机控制面的报文,历经的网络节点条数是有限的,用户可以根据组网情况,限制发给控制面的报文历经的节点条数,避免网络上恶意的用户从远端发起攻击。
9.6、攻击溯源
攻击溯源可以针对DoS(Denial of Service)攻击进行防御。设备通过对上送CPU的报文进行分析统计,然后对统计的报文设置一定的阈值,将超过阈值的报文判定为攻击报文,再根据攻击报文信息找出攻击源用户或者攻击源接口,最后通过日志、告警等方式提醒管理员,以便管理员采用一定的措施来保护设备,或者直接丢弃攻击报文以对攻击源进行惩罚。
9.7、二层环路检测
网络二层环路经常引发交换机网上问题,一旦发生环路,交换机会遭受ARP、广播、组播等流量泛洪风暴攻击,将CPU冲击过载,引发业务中断或者网络中断。
为了防御二层环路攻击,华为交换机具备了迅速检测二层环路,并能够精确定位到环路产生的接口、VLAN等位置,并采取恰当的策略,将产生环路的接口临时隔离,并告警通知网络维护人员。
华为交换机安全加固指南(三)http://www.jiushuku.net/post-28.html