浅谈网络设备安全隐患及其防范措施.docVIP

浅谈网络设备安全隐患及其防范措施 　　摘 要：随着企业信息化的发展，网络对企业越来越重要，而作为基础设施的网络设备（路由器、交换机等）假如遭受攻击，将有可能导致企业的生产数据、业务中断，甚至信息失窃。这些都会给企业带来一定的损失，因此网络设备的安全性不容忽视。本文对网络设备的安全隐患及其防范措施进行讨论，使管理人员能更好地保证网络设备的安全性，减少因网络攻击而遭受的损失。 　　关键词：网络设备；安全隐患；安全措施 　　中图分类号：TP393.08 　　现今，人们在关注个人电脑等的终端设备安全时，往往忽略了作为基础设施的网络设备的安全性。如何加强企业网络设备的安全性，防止非法攻击，保证企业生产数据不中断、正确、安全传输，成为企业及网络界一个关注点。 　　1 网络设备的安全隐患 　　1.1 物理安全性 　　网络设备由于其特殊性，有的会放置在楼道间，有的会放置在专用的管理间，如果这些设备是普通人能随便接触到的，那么这些设备也是极易攻击的。对于可管理型的设备，它都会带有一个本地网管口，如果攻击者能接触到它，那么只需要一台笔记本和一条控制线即可完全操纵该台设备，就算设置了口令认证，也可通过厂商设定的恢复程序绕过口令，进而对其进行修改、攻击。对于非管理型的设备，那么攻击者可通过添加、扰乱原来的布线来导致局部网络的瘫痪，进而拖垮整个网络。例如：对于交换机，攻击者可以通过添加网线使其产生交换环路，使数据包在该环路下永无止境的传输，随着数据包的增多，交换机的CPU使用率不断增高，最后宕机导致网络中断。 　　1.2 管理人员的综合素质 　　网络管理人员是操控网络设备的关键，但有可能因其思想素质水平、保密性不高，遭受攻击者的社会工程学攻击等，导致网络设备的信息泄露。 　　1.3 操作系统安全性 　　网络设备的操作系统一般都是非开源的，本身存在一些漏洞，如果攻击者发现了这些漏洞，即可加以利用并攻击这些设备。如著名网络厂商思科之前公布的IOS XR软件处理分片数据包的漏洞，攻击者可以利用这个漏洞来对思科CRS路由器发起拒绝服务攻击。这些系统本身的漏洞，也是设备潜在的安全隐患。 　　1.4 软件协议、服务的配置安全性 　　网络设备的一些软件协议、服务本身是为了更好的转发数据、管理而开发的，但也有可能因为配置不当，而被攻击者所利用。例如以下的协议、服务： 　　（1）思科的邻居发现协议（CDP），是思科用来在相邻设备建立邻居关系并互相交换设备地址、硬件及软件版本等信息的，该协议能使管理员能更方便的掌握整个网络拓扑。该协议在思科的设备上是默认开启的，而且没有任何能用于认证对端的信息，也就是说任意两台互联的设备只要开启了该协议，就会互相建立邻居，交换信息，在自身数据库中添加邻居信息。攻击者只需要在任意一台终端伪造CDP数据包即可与该设备建立邻居关系，获取其信息。当然也可通过泛洪伪造的数据包来对设备发起拒绝服务攻击，因为网络设备每收到一个CDP数据包就会在数据库中为其建立表项，而大量的CDP数据包导致设备不断在处理CDP邻居建立、超时等，最终由于内部存储空间不足或CPU利用率过高而导致正常的数据流无法得到转发。 　　（2）路由协议（如RIP、EIGRP、OSPF等），路由协议是用于网络设备在网络层交换路由信息，建立数据转发路径的，通过组播或广播发送数据包来与相邻设备交换信息，并根据路径度量值来做最终选路，协议可选配置认证或不认证对端。如果在不恰当的接口启用了路由协议且配置为不认证，攻击者可以伪造路由数据包，将路径信息通告给网络设备，影响数据包转发的最终选路，使正常的业务数据流最终走向“黑洞”或被攻击者实现“中间人”攻击并获取其中的信息。 　　（3）生成树协议（STP），该协议用于在交换网络中避免数据包转发环路，最终生成一个树形结构的无环网络拓扑，而这个树形拓扑也决定了交换网络的转发路径。STP协议不包含认证信息，根据网络设备的桥ID来选举根桥的，如果在不恰当的接口接收STP数据包，攻击者通过伪造STP数据包发送给网络设备即可影响生成树的构建，这会导致最终拓扑存在次优路径，影响整个网络的性能。 　　1.5 远程管理安全性 　　为了方便对网络设备进行配置、监控、维护，网络设备都会有远程管理功能。想要远程配置设备可以通过远程登录功能，而远程登录一般只需要登录者有设备的管理IP地址及密码，这意味着如果攻击者知道设备的管理IP地址（可通过软件扫描开放的端口获得），就可以通过暴力破解软件及彩虹表来对密码做猜解，而猜解的难度、时间取决于密码的复杂程度。对网络设备的监控、维护，管理员可通过简单网络管理协议（SNMP）远程查询设备的状态并进行一些修改，而SNMP一般也是仅要求IP与密码来认证的。很显然，远程管理也是存在安全隐患的。 　　2 网