第二章1网络设备安全技术.ppt.ppt

网络设备安全技术 网络设备面临的安全威胁 路由器的安全技术 交换机的安全技术 无线局域网接入器的安全技术 小结 习题与思考题 网络设备面临的安全威胁 .1 主要网络设备简介 从网络安全的角度考虑本章只对路由器、交换机、无线局域网接入器作简单介绍。 1. 路由器 路由器工作在网络层，是互联网的关键设备，用于连接不同的网络。主要功能包括IP数据包的转发、路由的计算和更新、ICMP消息的处理、网络管理四个方面。同时还具有数据包过虑、网络地址转换的功能，能够完成防火墙的部分功能，但这对路由器的性能提出了较高的要求。 有的路由器还支持虚拟私有专线连接，它适用于企业的总部与分部之间信息的连接，提供数据加密传输、数据可靠性验证、用户身份认证等一系列的安全防范措施，使用户能在现有设备的基础上通过Internet安全传输数据。 2. 交换机 交换机一般工作在数据链路层，是智能化的转发设备，能够为每个端口提供独立的高带宽。主要功能包括分隔冲突域、提供端口的冗余备份、端口的链路汇聚、虚拟局域网、组播技术。有的交换机还具有三层交换功能、结合管理软件的用户认证功能、网络服务质量 (Quality of Service，简称QoS) 功能、MAC地址和IP地址过滤功能。 3. 无线局域网接入器 无线网络作为有线网络的补充，扩大了有线网络的覆盖范围和接入的灵活度，使移动用户和布线困难的位置可以轻松接入网络，可以为用户提供无线漫游接入和移动办公。无线网桥是无线网络的接入设备，在安全方面一般支持64-bit或128-bit WEP(Wired Equivalent Protocol，有线等效保密)加密，提供MAC地址过滤和SSID(Service Set Identifier，服务识别码)隐藏功能。 .2 网络设备面临的安全威胁 目前的网络设备从管理方面可以分为以下三类。 ● 不需要也不允许用户进行配置和管理的设备，如集线器。 ● 网络设备支持通过特殊的端口与计算机串口、并口或USB口连接，通过计算机中超级终端或网络设备自带的管理软件进行配置和管理的设备，如通过串口管理的交换机。 ● 网络设备支持通过网络进行管理。即允许网络设备通过特殊的端口与计算机串口、并口或USB口连接，进行网络设备的配置和管理；还允许为网络设备设置IP地址，用户可以通过telnet命令、网管软件或Web等方式对网络设备进行配置和管理，如可网管交换机、路由器等。 前两类网络设备不能通过网络进行管理，一般设备本身不会遭到入侵攻击。第三类网络设备如果设置不当、网络设备中的软件有漏洞都可能引起网络设备被攻击。网络设备面临的安全威胁主要有以下六个方面。 1. 人为设置错误 在网络设备配置和管理中，人为设置错误会给网络设备甚至整个网络带来严重的安全问题。常见的人为设置错误主要有以下三种。 (1)网络设备管理的密码设置为缺省密码而不更改甚至不设密码 在可网管的网络设备中，都使用密码来验证登录到网络设备上的用户的合法性和权限。密码在网络设备上有两种保存方式，一种是明码的文本，可以通过查看配置文件直接看到密码，另一种是经过加密的，不能通过查看配置文件而直接识别出来。 网络设备有的有缺省密码，有的密码为空，用户在配置网络设备时首先将密码修改为复杂的密码，并使用加密存放或使用TACACS+或RADIUS认证服务器。一旦入侵者通过了网络设备的密码验证，该网络设备的控制权就被入侵者控制了，将威胁网络设备及网络的安全。 (2)不对远程管理等进行适当的控制 对于网络设备的管理，通常使用图形界面的网管软件、telnet命令、浏览器等方式，方便地对网络设备进行远程管理，用户要对这些远程管理进行适当的限制。 (3)网络设备的配置错误 如果网络设备的配置错误将无法达到预期的目的，会威胁网络的安全。如路由器中的访问控制配置错误、无线局域网接入器广播服务识别码等。 2. 网络设备上运行的软件存在漏洞 必须对在设备上运行的软件的缺陷给予充分的注意。当接到软件缺陷报告时需要迅速进行版本升级等措施，并对网络设备上的软件和配置文件作备份。 3. 泄漏路由设备位置和网络拓扑 攻击者利用tracert命令和SNMP(简单网络管理协议)很容易确定网络路由设备位置和网络拓扑结构。如用tracert命令可以查看经过的路由。 4. 拒绝服务攻击的目标 拒绝服务攻击服务器会使服务器无法提供服务，而攻击网络设备，特别是局域网出口的路由器，将影响整个网络的应用。在局域网出口的路由器上采取防止拒绝服务攻击的配置，可以有效的保护路由器及整个网络的安全。 5. 攻击者的攻击跳板 攻击者入侵网络设备