当前位置:   article > 正文

常见网络设备安全特性详解

常见网络设备安全特性详解

常见设备安全加固策略:

1.关闭不使用的业务端口

2.废弃不安全的访问通道:在存在多种访问通道服务下,废弃不安全的访问通道,优选安全的访问通道

常用到的SSH协议(安全外壳协议):

在非安全网络上提供了安全的远程登录、安全文件传输以及TCP/IP安全隧道。不仅在登陆过程中对密码进行加密传送,而且对登陆后执行的命令的数据也进行加密。

合法用户通过客户端登录,完成用户名以及对应的密码验证后,客户端会尝试和服务端建立会话,每个会话是一个独立的逻辑通道,可以提供给不同的上层应用使用。

STelnet和SFTP各自利用了其中的一个逻辑通道,通过SSH对数据进行加密,从而实现数据的安全传输。

SSH协议框架中最主要的部分是三个协议:传输层协议、用户认证协议和连接协议。

传输层协议:提供版本协商,加密算法协商,密钥交换,服务端认证以及信息完整性支持。

用户认证协议:为服务器提供客户端的身份鉴别。

连接协议:将加密的信息隧道复用为多个逻辑通道,提供给高层的应用协议(STelnet、SFTP)使用;各种高层应用协议可以相对地独立于SSH基本体系之外,并依靠这个基本框架,通过连接协议使用SSH的安全机制。

基于可信路径的访问控制:

可以在设备上部署基于可信路径的访问控制策略,以提升网络的安全性。

部署URPF,可以判定某个报文的源地址是否合法,如果该报文的路径与URPF学习的路径不符,丢弃该报文,用URPF可以有效防范IP地址欺骗。

URPF(Unicast Reverse Path Forwarding,单播逆向路径转发)分为严格模式和松散模式以及允许匹配缺省路由的方式。其原理是当设备转发IP报文时,检查数据报文的源IP地址是否合法,检查的原理是根据数据包的源IP地址查路由表。

对于严格模式:如果报文能匹配明细路由,并且入接口跟匹配路由的出接口一致,则允许报文上送,否则丢弃报文。

对于松散模式:如果报文匹配上明细路由,则运行报文上送,否则丢弃报文,不检查接口是否匹配。默认情况下,会认为缺省路由不存在,不会去匹配缺省路由,只有进行了配置时候,才会去匹配缺省路由的。

对允许匹配缺省路由的模式,必须和严格模式一起配置,报文匹配明细路由或者缺省路由,并且报文入接口跟匹配路由的出接口一致才上送,否则丢弃。不支持缺省路由与松散模式一起配置,因为这样无法达到防攻击的效果。松散模式和严格模式互斥,只能配置一种模式。

本机防攻击:

在网络中,存在着大量针对CPU的恶意攻击报文以及需要正常上送CPU的各类报文。针对CPU的恶意攻击报文会导致CPU长时间繁忙的处理攻击报文,从而引发其他业务的断续甚至系统的中断;大量正常的报文也会导致CPU占用率过高,性能下降,从而影响正常的业务。

为了保护CPU,保证CPU对正常业务的处理和响应,设备提供了本机防攻击功能。本机防攻击针对的是上送CPU的报文,主要用于保护设备自身安全,保证已有业务在发生攻击时的正常运转,避免设备遭受攻击时各业务的相互影响。

本机防攻击包括CPU防攻击和攻击溯源两部分。

CPU防攻击针对上送CPU的报文进行限制和约束,使单位时间内上送CPU报文的数量限制在一定的范围之内,从而保护CPU的安全,保证CPU对业务的正常处理。

攻击溯源针对DoS(Denial of Service,拒绝服务)攻击进行防御。设备通过对上送CPU的报文进行分析统计,然后对统计的报文设置一定的阈值,将超过阈值的报文判定为攻击报文,再对这些攻击报文根据报文信息找出攻击源用户或者攻击源接口,最后通过日志、告警等方式提醒管理员以便管理员采用一定的措施来保护设备,或者直接丢弃攻击报文以对攻击源进行惩罚。

CPU防攻击:

多级安全机制,保证设备的安全,实现了对设备的分级保护。设备通过以下策略实现对设备的分级保护:

第一级:通过黑名单来过滤上送CPU的非法报文。

第二级:CPCAR(Control Plane Committed Access Rate)。对上送CPU的报文按照协议类型进行速率限制,保证每种协议上送CPU的报文不会过多。

第三级:对上送CPU的报文,按照协议优先级进行调度,保证优先级高的协议先得到处理。

第四级:对上送CPU的报文统一限速,对超过统一限速值的报文随机丢弃,保证整体上送CPU的报文不会过多,保护CPU安全。

动态链路保护功能的CPU报文限速,是指当设备检测到SSH Session数据、Telnet Session数据、HTTP Session数据、FTP Session数据以及BGP Session数据建立时,会启动对此Session的动态链路保护功能,后续上送报文如匹配此Session特征信息,此类数据将会享受高速率上送的权利,由此保证了此Session相关业务的运行可靠性、稳定性。

攻击溯源原理:

攻击溯源包括报文解析、流量分析、攻击源识别和发送日志告警通知管理员以及实施惩罚四个过程。

通过图中所示的四个过程,找出攻击源,然后管理员通过ACL或配置黑名单的方式限制攻击源,以保护设备CPU。

配置步骤及命令(以华为模拟器ensp为例):

SSH:

配置Stelnet server

①创建server端的本地密钥

[系统视图] rsa local-key-pair create

②创建登录用户:

[系统视图]user-interface vty 0 4

[用户登录管理视图] authentication-mode aaa

[用户登录管理视图]protocol inbound ssh

[aaa]配置用户名,密码以及服务类型,用户等级等

③配置用户认证方式:

[系统视图] ssh user user-name authentication-type {password | rsa | password-rsa | all}

④使能stelnet server功能:

[系统视图]stelnet server enable

⑤更改SSH默认端口号:

[系统视图] ssh server port 1025

⑥在客户端生成本地密钥并复制:

[系统视图] rsa local-key-pair create

[系统视图] display rsa local-key-pair public

⑦配置基于客户端密钥生成公钥:

[系统视图] rsa peer-key key-name encoding-type {der | openssh | pem}

[公钥配置视图]public-key-code begin

[公钥配置视图]将客户端生成的密钥复制过来即可

[公钥配置视图]public-key-code end //退出公共密钥视图

[公钥配置视图]peer-public-key end //回到系统视图

配置stelnet client

使能stelnet client功能:

[系统视图] ssh client first-time enable

本地防攻击配置:

1.创建黑名单:

①创建ACL匹配黑名单所指定用户设备

②创建防攻击策略

[系统视图]cpu-defend policy policy-name

[策略视图]blacklist blacklist-id acl acl-number //配置黑名单

③配置上送CPU的限制数量

[策略视图]packet-type packet-type rate-limit rate-value

④配置上送CPU报文的指定报文的优先级

[策略视图]packet-type packet-type priority priority-level

⑤使能动态链路保护功能:

[策略视图]cpu-defend application-apperceive {ssh | telnet | bgp | ftp | http } enable

⑥使能攻击溯源功能:

[策略视图]auto-defend enable

⑦配置攻击溯源检测阈值:

[策略路由] auto-defend threshold threshold

⑧配置攻击溯源时间告警:

[策略视图]auto-defend alarm enable

⑨使能防攻击策略:

[系统视图]cpu-defend-policy policy-name { global | slot slot-id }

[AR1]stelnet server enable //启动stelnet服务功能

[AR1]user-interface vty 0 4 //进行虚拟终端配置界面

[AR1-ui-vty0-4]authentication-mode aaa //配置认证方式为密码认证

[AR1-ui-vty0-4]protocol inbound ssh //指定vty用户界面所支持的协议,有三个参数分别为ssh(只支持SSH协议),telnet(只支持telnet协议)和all(支持所有协议,包括SSH和Telnet)。

[AR1-ui-vty0-4]quit

[AR1]aaa //进入aaa认证配置界面

[AR1-aaa]local-user user 1 password cipher Huawei@123 //配置允许登录的用户名为user1,密码为密文形式的Huawei@123

[AR1-aaa]local-user user 1 privilege level 3 //配置用户user1的级别为3

[AR1-aaa]local-user user1 service-type ssh //配置用户user1的服务类型为ssh

[AR1-aaa]quit

[AR1] rsa local-key-pair create //生成本地RSA密钥对

ssh server配置

[R]stelnet server enable

[R] rsa local-key-pair create

[R]aaa

[aaa]local-user xxx password cipher xxxxx

[aaa]local-user xxx preference //用户等级

[aaa]local-user xxx ser //服务类型

[R] user-interface vty 0 4

[0-4] authentication-mode aaa

[0-4]protocol inbound ssh

[R] ssh user xxx authenticaiton-type all

SSH client 配置

[R] ssh client first-time enable

[R] stelnet server的IP地址

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/2023面试高手/article/detail/401303
推荐阅读
相关标签
  

闽ICP备14008679号