华为交换机安全加固指南(三)
华为交换机安全加固指南(二)http://www.jiushuku.net/post-22.html
10、交换机转发面安全防御能力
在交换机的转发平面,为了保障交换机的CPU系统能够正常运行,提供了如下的安全防御能力:
10.1、ACL访问控制列表
访问控制列表是一系列有顺序的规则组的集合,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过规则对数据包进行分类,这些规则应用到路由设备上,路由设备根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。
例如可以用访问列表描述:拒绝任何用户终端使用Telnet登录本机。允许每个用户终端经由SMTP向本机发送电子邮件。
每个ACL中可以定义多个规则,根据规则的功能分为基本ACL规则、高级ACL规则、二层ACL规则和用户自定义ACL规则。ACL规则是一个匹配选项的集合,由用户根据不同业务进行选择配置。
ACL(Access Control List)的类型划分方式有两种,如下表所示:
表1 ACL类型划分方式 |
|
ACL类型划分依据 |
ACL类型 |
按照对IPv4和IPv6的支持情况 |
· ACL4 · ACL6 |
按照ACL规则的功能 |
· 基本ACL:限制数据包的源地址。数字范围是2000~2999,即支持1000个基本ACL。 · 高级ACL:限制数据包的源地址、目的地址、协议号(TCP、UDP)、源端口和目的端口号的五元组。 包括数字型高级ACL和命名型ACL: § 数字型高级ACL的编号范围是3000~3999,即支持1000个数字型高级ACL。 § 命名型ACL的编号范围是42768~75535,即支持32768个命名型ACL。 · 二层ACL:二层ACL根据数据包的源MAC地址、目的MAC地址、二层协议类型等内容定义规则。可以应用ACL规则的时间段,灵活地配置ACL规则的生效时间。 · 用户自定义ACL:用户自定义ACL的规则主要通过用户定义报文的偏移位置和偏移量的方式定义规则。用户自定义ACL主要应用于流分类的匹配规则。 可以定义应用ACL规则的时间段,灵活地配置ACL规则的生效时间。 |
根据ACL功能划分的四种类型ACL,分别支持的过滤选项如下表:
表2 不同类型ACL所支持的过滤选项 |
|
ACL规则类型 |
支持的过滤选项 |
基本ACL |
源IP地址:指定ACL规则的源地址信息。如果不配置,表示任何源地址的报文都匹配。 生效时间段:指定规则生效的时间范围。如果不配置,表示规则配置后马上生效。 |
高级ACL |
协议类型:用名字或数字表示的协议类型。如果用整数形式,取值范围是1~255;如果用字符串形式,可以选取:gre、icmp、igmp、ip、ipinip、ospf、tcp、udp。对不同的协议类型,有不同的参数组合,TCP和UDP有源端口和目的端口可选项,其它协议类型没有。 源IP地址:指定ACL规则的源地址信息。如果不配置,表示报文的任何源地址都匹配。 目的IP地址:指定ACL规则的目的地址信息。如果不配置,表示报文的任何目的地址都匹配。 源端口和目的端口:指定UDP或者TCP报文的目的端口信息,仅仅在规则指定的协议号是TCP或者UDP时有效。如果不指定,表示TCP/UDP报文的任何目的端口信息都匹配。 DSCP:指定区分服务代码点(Differentiated Services Code Point,IP头TOS字段的高6位)的取值,取值范围是0~63。 分片报文类型:指定该规则是否仅对非首片分片报文有效。当包含此参数时表示该规则仅对非首片分片报文有效。 优先级:数据包可以依据优先级字段(IP包TOS字段的高3位)进行过滤。用关键字或数字表示,数字的取值范围是0~7的整数。 TCP flag:指定TCP-FLAG的值,取值范围是0~63。 TOS:数据包可以依据服务类型字段进行过滤。 ICMP:ICMP包可以依据ICMP的消息名称、消息类型或消息码进行过滤,仅仅在报文协议是ICMP的情况下有效。如果不配置,表示任何ICMP类型的报文都匹配。 生效时间段:指定规则生效的时间范围。如果不配置,表示规则配置后马上生效。 |
10.2、IP Source Guard
IP Source Guard是一种基于IP/MAC的端口流量过滤技术,它可以防止局域网内的IP地址欺骗攻击。交换机内部有一个IP source binding table作为每个端口接收到的数据包的检测标准,只有在两种情况下,交换机会转发数据——或者所接收到的IP包满足IP source binding table中port/IP/MAC的对应关系,或者是接收到的是DHCP数据包,其余数据包将被交换机做丢弃处理。IP source binding table可以由用户在交换机上静态的配置,也可以由交换机从DHCP Snooping自动学习获得。
10.3、广播/组播/未知单播报文速率限制
网络中存在大量的广播、组播或者未知单播报文时,会占用宝贵的网络带宽,从而严重影响网络设备的转发性能。而且当网络中某台设备存在环路时,广播、组播和未知单播报文会在网络中泛滥,导致整网的瘫痪。
10.4、URPF
URPF(Unicast Reverse Path Forwarding)是单播反向路径检查的缩写,分为严格模式和松散模式,其原理是数据报文从网络接口进入到NP(网络处理器(Network Processor),对于三层IP报文,查找路由表FIB,如果是本机路由则上送CPU处理,在上送之前需要做URPF检查,检查数据报文的源IP地址是否合法,检查的原理是根据数据包的源IP地址查路由表。
支持配置检查模式为严格模式和松散模式,以及允许匹配缺省路由的方式。
对于严格模式:如果报文能匹配明细路由,并且入接口跟匹配路由的出接口一致,则允许报文上送,否则丢弃报文。
对于松散模式:如果报文匹配上明细路由,则运行报文上送,否则丢弃报文,不检查接口是否匹配。默认情况下,会认为缺省路由不存在,不会去匹配缺省路由,只有进行了配置时候,才会去匹配缺省路由的。
对允许匹配缺省路由的模式,必须和严格模式一起配置,报文匹配明细路由或者缺省路由,并且报文入接口跟匹配路由的出接口一致才上送,否则丢弃。不支持缺省路由与松散模式一起配置,因为这样无法达到防攻击的效果。松散模式和严格模式互斥,只能配置一种模式。
10.5DHCP Snooping
DHCP Snooping是一种DHCP安全特性。通过MAC地址限制,DHCP Snooping安全绑定、IP+MAC绑定、Option82特性等功能过滤不信任的DHCP消息,解决了设备应用DHCP时遇到DHCP DoS攻击、DHCP Server仿冒攻击、ARP中间人攻击及IP/MAC Spoofing攻击的问题。DHCP Snooping的作用就如同在Client和DHCP Server之间建立的一道防火墙。
DHCP Snooping功能用于防止:DHCP饿死攻击、DHCP Server仿冒者攻击、中间人攻击与IP/MAC Spoofing攻击。根据不同的攻击类型,DHCP Snooping提供不同的工作模式,如下表所示:
攻击类型 |
DHCP Snooping工作模式 |
DHCP饿死攻击 |
通过限制某个接口上能够学习到的MAC地址,避免耗尽DHCP地址池 |
DHCP Server仿冒者攻击 |
通过划分信任(Trusted)/不信任(Untrusted)接口,把从不信任接口上收到的DHCP Server的消息丢弃,避免仿冒DHCP Server向客户端授予假冒的IP地址 |
中间人攻击/IP/MAC Spoofing攻击 |
DHCP Snooping绑定表,通过检查IP、MAC、接口等绑定关系,把伪造的地址丢弃,防止此类地址欺骗攻击 |
改变CHADDR值的DoS攻击 |
检查DHCP报文的CHADDR字段和报文的源MAC地址,如果地址不同,则认为是仿冒攻击,直接丢弃报文 |
11、交换机管理面安全防御能力
在交换机的管理平面,为了保障交换机的操作系统和管理应用能够正常运行,提供了如下的安全防御能力:
系统权限管理控制;账户权限管理控制;日志记录系统;安全管理通道,SNMPv3、SSH、SFTP等;高级加密算法;分级信息隔离;TACACS授权管理;AAA鉴权授权记账。
管理平面通过基于角色的用户权限控制,能够保证不同等级的用户具有不同的权限。基于AAA的鉴权授权记账能够满足在不同的应用场景下,对系统权限的控制。S7700&S9700&S12700有完备的日志记录系统,保证对系统的任何配置操作、系统运行过程中的各种异常状态,都能够记录,便于事后审计。
12、交换机安全加固策略
安全是一个持续改进的过程,从来没有一蹴而就的安全,也没有一劳永逸的安全。任何企图依靠某个策略就可以保证高枕无忧,或者任何企图依靠一次安全加固配置就万事大吉的想法,都是不合理的。在进行安全加固之前,需要执行如下步骤:
12.1、深入了解业务需求:
安全永远是为业务服务的,需要深入了解业务系统对安全防护的要求,才能合理的制定安全策略。
12.2、全面的风险评估:
需要综合分析业务系统面临的安全威胁,权衡业务系统的脆弱点,权衡业务系统的价值与安全加固的代价,全面实时安全风险评估,把不可接受的安全风险进行防护,把能够接受的风险作为残留风险接纳,并在业务系统生命周期中定期审视这些残留风险,评估其是否需要进行升级处理。
12.3、安全加固方案设计:
在全面的风险评估基础上,设计切实满足业务需求,并满足安全的代价和收益后,设计合理的方案。安全是设计出来的,不是配置出来的,希望每一个进行安全加固的工程师,深刻理解这一原则。
12.4、安全策略实施:
将安全加固策略实施之前,请务必评估因为安全策略对业务带来的影响,避免由于不合理的安全策略造成业务损伤。在完成安全加固之后,需要不断的监控和维护业务系统,以确保安全策略已经切实发挥作用并达到安全加固方案预期的效果,及时发现问题,并调整安全策略。
安全加固是一个持续的改进过程。
华为交换机安全加固指南(四) http://www.jiushuku.net/post-30.html