现在企业面临着不法黑客的觊觎和破坏,各种网络安全漏洞频出,在人力和物力上都耗费相当的巨大。那么如何阻挡非法用户,保障企业网络安全应用?如何过滤用户的通讯信息,保障安全有效的数据转发呢?
除了购买强劲的网络安全设备外,其实交换机的安全配置也相当重要,那么一些简单常用却又十分有效的交换机安全设置就很应该引起大家的注意并加以使用了,下面就一起来看看容易被我们忽略掉的“秘籍”吧。
秘籍一:基于端口访问控制的802.1X
IEEE802.1X协议技术是一种在有线LAN或WLAN中都得到了广泛应用的,可有效阻止非法用户对局域网接入的技术。IEEE 802.1X协议在用户接入网络(可以是以太网/802.3或者WLAN网)之前运行,运行于网络中的数据链路层的EAP协议和RADIUS协议。
802.1X配置界面
IEEE802.1X是一种基于端口的网络接入控制技术,在LAN设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是局域网交换机设备的端口。连接在该类端口上的用户设备如果能通过认证,就可以访问LAN内的资源;如果不能通过认证,则无法访问LAN内的资源,相当于物理上断开连接。
802.1X认证涉及三方面
802.1X认证涉及三方面:请求者、认证者和认证服务器。请求者是一个希望接入LAN或WLAN的客户端设备(如笔记本)。认证者是网络设备,如以太网交换机或无线接入点。而认证服务器通常是一台主机上运行的软件支持RADIUS和EAP协议。
802.1X有如下的技术优势:
802.1X安全可靠,在二层网络上实现用户认证,结合MAC、端口、账户、VLAN和密码等;绑定技术具有很高的安全性,在无线局域网网络环境中802.1X结合EAP-TLS,EAP-TTLS,可以实现对WEP证书密钥的动态分配,克服无线局域网接入中的安全漏洞。
802.1X容易实现,它可在普通L3、L2、IPDSLAM上实现,网络综合造价成本低,保留了传统AAA认证的网络架构,可以利用现有的RADIUS设备。
802.1X简洁高效,纯以太网技术内核,保持了IP网络无连接特性,不需要进行协议间的多层封装,去除了不必要的开销和冗余;消除网络认证计费瓶颈和单点故障,易于支持多业务和新兴流媒体业务。
802.1X应用灵活,它可以灵活控制认证的颗粒度,用于对单个用户连接、用户ID或者是对接入设备进行认证,认证的层次可以进行灵活的组合,满足特定的接入技术或者是业务的需要。
在行业标准方面,802.1X的IEEE标准和以太网标准同源,可以实现和以太网技术的无缝融合,几乎所有的主流数据设备厂商在其设备,包括路由器、交换机和无线AP上都提供对该协议的支持。在客户端方面微软WindowsXP操作系统内置支持,Linux也提供了对该协议的支持。
但是需要注意的是,虽然IEEE802.1X定义了基于端口的网络接入控制协议,该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。典型的应用方式有:局域网交换机的一个物理端口仅连接一个终端基站,这是基于物理端口的; IEEE 802.11定义的无线LAN接入方式是基于逻辑端口的。
秘籍二:进行L2-L4层的安全过滤
现在,大多数的新型交换机都可以通过建立规则的方式来实现各种过滤需求,这也是企业网管对交换机进行数据传输前的必要设置过程。
规则设置有两种模式,一种是MAC模式,即常用的MAC地址过滤,可根据用户需要依据源MAC或目的MAC有效实现数据的隔离。
可使用MAC地址过滤或IP地址过滤进行端口绑定
MAC地址是底层网络来识别和寻找目标终端的标示,每个接入网络的设备都有一个唯一的MAC地址。这样就可保证所有接入无线网络的终端都有唯一的不同的MAC地址,而MAC地址过滤技术就有了理论上的可行性。
通过设置MAC访问控制,来启用对接入设备的MAC访问控制,这样其他未经允许的设备就无法连入企业网络了。
但MAC地址过滤,也并非完美。虽然MAC地址过滤可以阻止非信任的终端设备访问,但在终端设备试图连接交换机之前,MAC地址过滤是不会识别出谁是可信任的或谁是非信任的,访问终端设备仍都可以连接到交换机,只是在做进一步的访问时,才会被禁止。而且它不能断开客户端与交换机的连接,这样入侵者就可以探到通信,并从帧中公开的位置获取合法的使用MAC地址。然后通过对无线信号进行监控,一旦授权信任的用户没有出现,入侵者就使用授权用户的MAC地址来进行访问。
因此仅仅依靠MAC地址过滤是不够的,企业必须启用尽可能多方面的安全防护手段来保护自身的网络。
另一种是IP模式,即IP地址过滤模式,企业用户可以通过源IP、目的IP、协议、源应用端口及目的应用端口过滤数据封包。
IP地址过滤界面
使用IP地址过滤可以拒绝或允许局域网中计算机与互联网之间的通信,并且可以拒绝或允许特定IP地址的特定的端口号或所有端口号,简单直接。
最后,建立好的规则必须附加到相应的接收或传送端口上,当交换机在此端口接收或转发数据时,根据过滤规则来过滤封包,决定是转发还是丢弃。另外,交换机通过硬件“逻辑与非门”对过滤规则进行逻辑运算,实现过滤规则确定,完全不影响数据转发速率。
秘籍三:强化安全SNMPv3及SSH协议
更为完善的SNMPv3协议
SNMPv1和v2版本对用户权力的惟一限制是访问口令,而没有用户和权限分级的概念,只要提供相应的口令,就可以对设备进行read或read/write操作,安全性相对来的薄弱。而SNMPv3则采用了新的SNMP扩展框架,它将各版本的SNMP标准集中到一起,在此架构下,安全性和管理上有很大的提高。
SNMPv3工作原理
SNMPv3是在SNMPv2基础之上增加、完善了安全和管理机制。RFC 2271定义的SNMPv3体系结构体现了模块化的设计思想,使管理者可以简单地实现功能的增加和修改。其主要特点在于适应性强,可适用于多种操作环境,不仅可以管理最简单的网络,实现基本的管理功能,还能够提供强大的网络管理功能,满足复杂网络的管理需求。
SNMPv3安全参数界面
SNMPv3建议的安全模型是基于用户的安全模型,即USM。USM对网管消息进行加密和认证是基于用户进行的,具体地说就是用什么协议和密钥进行加密和认证均由用户名称userName)权威引擎标识符(EngineID)来决定(推荐加密协议CBCDES,认证协议HMAC-MD5-96和HMAC-SHA-96),通过认证、加密和时限提供数据完整性、数据源认证、数据保密和消息时限服务,从而有效防止非授权用户对管理信息的修改、伪装和窃听。
但SNMP也存在着一定的问题,它使用嵌入到网络设施中的代理软件来收集网络通信信息和有关网络设备的统计数据,代理不断地收集统计数据并记录到MIB中,网络管理人员通过向代理的MIB发出查询信号(轮询)可以得到这些信息。虽然MIB计数器将统计数据的总和记录下来了,但它无法对日常通信量进行历史分析。而为了能全面地查看通信流量和变化率,管理人员必须不断地轮询SNMP代理,这就带来了巨大的工作量。
这时SNMP建立在轮询管理上的两个明显弱点便显现出来,如在大型的网络中,轮询会产生巨大的网络管理通信量,因而导致通信拥挤情况的发生;它将收集数据的负担加在网络管理控制台上,管理站也许能轻松地收集8个网段的信息,但当它们监控48个网段时恐怕就难以应付了。
更为可靠的SSH安全协议
至于通过FTP、POP和Telnet等网络服务应用的,由于它们都有一个致命的弱点——在网络上以明文的方式传送数据、用户帐号及用户口令,很容易受到中间人(man-in-the-middle)攻击方式的攻击,遭遇口令窃取。但采用SSH进行通讯时,用户名及口令均进行了加密,可有效防止非法用户对口令的窃听,便于网管人员进行远程的安全网络管理。
SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。透过SSH可以对所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗。
SSH之另一项优点为其传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、POP、甚至为PPP提供一个安全的“通道”。
秘籍四:掌握syslog和watchdog
系统日志syslog
对于交换机的安全设置,不可缺少的是关于syslog日志功能的利用。该功能可以将系统错误、系统配置、状态变化、状态定期报告、系统退出等用户设定的期望信息传送给日志服务器,网管人员依据这些信息掌握设备的运行状况,及早发现问题,及时进行配置设定和排障,保障网络安全稳定地运行。
系统日志syslog界面
syslog常被称为系统日志或系统记录,是一种用来在网际网路协议(TCP/IP)的网路中传递记录档讯息的标准。syslog协议属于一种主从式协议,syslog发送端会传送出一个小的文字讯息(小于1024位元组)到syslog接收端。接收端通常名为“syslogd”、“syslog daemon”或syslog服务器。
系统日志讯息可以被以UDP协议或TCP协议来传送,并且是以明码型态被传送的。不过由于SSL加密外套(例如Stunnel、sslio或sslwrap等)并非syslog协议本身的一部分,因此可以被用来透过SSL/TLS方式提供一层加密。
syslog通常被用于资讯系统管理及资料审核,虽然它有不少缺陷,但仍获得相当多装置及各种平台终端的支持。因此syslog能被用来将来自许多不同类型系统的日志记录整合到集中的储存库中。
设定watchdog
watchdog通过设定一个计时器,如果设定的时间间隔内计时器没有重启,则生成一个内在CPU重启指令,使设备重新启动,这一功能可使交换机在紧急故障或意外情况下时可智能自动重启,保障网络的安全运行。
硬件watchdog比软件watchdog有更好的可靠性。软件watchdog基于内核的定时器实现,当内核或中断出现异常时,软件watchdog将会失效。而硬件watchdog由自身的硬件电路控制, 独立于内核。无论当前系统状态如何,硬件watchdog在设定的时间间隔内没有被执行写操作,仍会重新启动系统。
秘籍五:查看是否可通过双镜像文件恢复
现在一些新型的交换机已经具备了双映像文件,这一功能可保护设备在异常情况下(固件升级失败等)仍然可正常启动运行。
交换机文件系统分majoy和mirror两部分进行保存,如果一个文件系统损害或中断,另外一个文件系统会将其重写,如果两个文件系统都损害,则设备会清除两个文件系统并重写为出厂时默认设置,确保系统安全启动运行。
秘籍六:限制流量控制
通过交换机的流量控制功能,可以把流经端口的异常流量限制在一定的范围内。
例如,思科交换机具有基于端口的流量控制功能,能够实现风暴控制、端口保护和端口安全。
风暴控制能够缓解单播、广播或组播包导致的网络变慢,通过对不同种类流量设定一个阈值,交换机在端口流量达到设定值时启动流量控制功能甚至将端口宕掉。
端口保护类似于端口隔离,设置了端口保护功能的端口之间不交换任何流量。
端口安全是对未经许可的地址进行端口级的访问限制。现在华为交换机也提供流量控制和广播风暴抑制比等端口控制功能。
流量控制功能用于交换机与交换机之间在发生拥塞时通知对方暂时停止发送数据包,以避免报文丢失。广播风暴抑制可以限制广播流量的大小,对超过设定值的广播流量进行丢弃处理。
不过,交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制,将广播、组播的异常流量限制在一定的范围内,而无法区分哪些是正常流量,哪些是异常流量。同时,如何设定一个合适的阈值也比较困难。如果需要对报文做更进一步的控制用户可以采用ACL(访问控制列表 )。
ACL利用IP地址、TCP/UDP端口等对进出交换机的报文进行过滤,根据预设条件,对报文做出允许转发或阻塞的决定。思科和华为的交换机均支持IP ACL和MAC ACL,每种ACL分别支持标准格式和扩展格式。标准格式的ACL根据源地址和上层协议类型进行过滤,扩展格式的ACL根据源地址、目的地址以及上层协议类型进行过滤。
通过细分不同的网络流量,企业用户可以针对性地对异常流量分别进行控制。如通过IP报文的协议字段控制单播类异常流量,通过以太帧的协议字段控制广播类异常报文,通过IP目的地址段控制组播类报文。除了这些控制手段之外,网络管理员还需要经常注意网络异常流量,及时定位异常流量的源主机,并且排除故障。
交换机的流量控制可以预防因为广播数据包、组播数据包及因目的地址错误的单播数据包数据流量过大造成交换机带宽的异常负荷,并可提高系统的整体效能,保持网络安全稳定的运行。
总结:掌握配置秘籍 轻松防护
交换机产品是企业数据传输的中转枢纽,它的安全设置直接关系到企业网络传输的稳定安全。现在为了应对更加复杂的网络环境,在安全设计上交换机产品也都配置有相当丰富的安全功能,因此我们只需充分利用这些网络安全设置功能,进行合理的组合搭配,就可为企业网络搭建一层安全的防护屏障。
虽然对于多数企网的高安全需求,企业仍需添加更为专业的网络安全设备,但对于交换机的防护设置,既可轻松增加企业网络的安全性,又可为一些中小企业或网吧业主在网络设备投入上节约成本,何乐而不为呢,因此一起来了解掌握交换机配置秘籍,进行轻松地防护吧。