【正文】 ..........................21 防 DOS 攻擊 ............................................................................................................22 Smurf 進(jìn)攻的防范。 .......................................................................................25 其他特定的安全配置 ..............................................................................................26第四部分 附表 ................................................................275 / 32第一部分 概述和介紹1 概述本文檔對(duì)于中國(guó)移動(dòng)網(wǎng)絡(luò)設(shè)備安全配置的標(biāo)準(zhǔn)進(jìn)行描述，規(guī)范涉及適用范圍、對(duì)應(yīng)網(wǎng)絡(luò)設(shè)備本身安全機(jī)制的介紹和設(shè)備安全配置標(biāo)準(zhǔn)三個(gè)部分，在規(guī)范中針對(duì)不同設(shè)備的六大安全規(guī)范主題進(jìn)行描述，除了提供詳細(xì)的安全配置標(biāo)準(zhǔn)外，同時(shí)考慮設(shè)備型號(hào)和適用網(wǎng)絡(luò)層次的不同，對(duì)實(shí)際配置過(guò)程中應(yīng)注意的問(wèn)題進(jìn)行詳細(xì)描述。標(biāo)準(zhǔn)以路由器、交換機(jī)、 NAS 設(shè)備為主，防火墻的配置要求為輔。網(wǎng)絡(luò)設(shè)備的安全機(jī)制要考慮以下幾個(gè)部分：1 訪問(wèn)控制大多數(shù)網(wǎng)絡(luò)設(shè)備具有訪問(wèn)控制能力，或通過(guò)訪問(wèn)控制列表，或流量過(guò)濾功能實(shí)現(xiàn)。目前思科低端設(shè)備在實(shí)施訪問(wèn)控制上有一定局限性，主要原因是設(shè)備設(shè)計(jì)特性所決定的；而 juniper 路由器采用 ASIC 芯片來(lái)執(zhí)行 ACL,并且路由引擎和轉(zhuǎn)發(fā)引擎是分開(kāi)的，故 ACL 的實(shí)施對(duì)設(shè)備不會(huì)有很大的影響。對(duì) SYSLOG 的支持等?？?慮到 設(shè)備本省具備的防攻擊能力是設(shè)備特有的，在各分冊(cè)中對(duì)設(shè)備具有的特定防攻擊能力進(jìn)行詳細(xì)描述。本部分針對(duì)設(shè)備的訪問(wèn)控制列表功能進(jìn)行總體的描述，并描述訪問(wèn) 控制列表具體實(shí)施和配置等問(wèn)題。實(shí)施 ACL 的原則是：? 只允許合法的網(wǎng)管網(wǎng)段或網(wǎng)管和維護(hù)主機(jī)地址作為源地址發(fā)起對(duì)設(shè)備的遠(yuǎn)程連接，如 Tel、SSH、Http、SNMP、Syslog 等；? 只允許需要的協(xié)議端口能進(jìn)入（如 OSPF、BGP、RSVP 等）；10 / 32? 指定設(shè)備自身發(fā)包的源地址，如 loopback IP。 存在問(wèn)題注意 ACL 的設(shè)置會(huì)可能對(duì)路由器設(shè)備性能造成影響，如 CISCO 的 ACL 設(shè)置過(guò)多， 設(shè)備性能會(huì)嚴(yán)重下降，但 Juniper 路由器和 Extreme 交換機(jī)都是采用ASIC 芯片來(lái) 執(zhí)行 ACL 的，而且 ACL 檢查都先于轉(zhuǎn)發(fā)處 理，不會(huì)影響 設(shè)備的轉(zhuǎn)發(fā)效能和路由處理。在此對(duì)流量進(jìn)行區(qū)分和過(guò)濾具有較大難度，也容易引發(fā)意外。11 / 32 要求配置部分根據(jù)已有經(jīng)驗(yàn)，要求添加的 ACL 包括以下幾部分：? 對(duì) ICMP 數(shù)據(jù)包的過(guò)濾目前網(wǎng)絡(luò)上泛濫著大量的使用 ICMP 數(shù)據(jù)包的 DoS 攻擊，如 W32/Welchia Worm。)；全網(wǎng)絡(luò)地址() 。實(shí)現(xiàn)源地址檢查功能的ACL。路由協(xié)議運(yùn)作過(guò)程中的安全防護(hù)是保證全網(wǎng)安全的重要一環(huán)。一般情況下，路由設(shè)備加入某個(gè) IGP 或 EGP 協(xié)議域以后，會(huì)與鄰接設(shè)備完整地交換路由信息。通過(guò)路由協(xié)議的認(rèn)證，并結(jié)合設(shè)備提供的強(qiáng)大路由策略配置和 ACL 的過(guò)濾功能，能實(shí)現(xiàn)對(duì)路由更新的 發(fā)送和接受起到精確控制。 源地址路由檢查為了防止利用 IP Spoofing 手段假冒源地址進(jìn)行的 DoS 攻擊對(duì)整個(gè)網(wǎng)絡(luò)造成的沖擊，建議在所有的邊緣 路由設(shè)備（即直接與終端用戶網(wǎng)絡(luò)互連的路由設(shè)備）上，根據(jù)用戶網(wǎng)段規(guī)劃添加源地址路由檢查。匯聚層和核心層設(shè)備承載的流量也比較大，增加大規(guī)模的源地址檢查會(huì)增加系統(tǒng)負(fù)擔(dān)，而且如果這一檢查已經(jīng)在所有接入層設(shè)備上萬(wàn)成，就更顯得毫無(wú)必要。14 / 32 黑洞路由黑洞路由是：當(dāng)上級(jí)設(shè)備與下級(jí)設(shè)備互連時(shí)，若下級(jí)設(shè)備使用缺省路由引導(dǎo)流出流量，而上級(jí)設(shè)備使用靜態(tài)路由或只接收下級(jí)設(shè)備宣告的匯聚路由來(lái)引導(dǎo)返回流量，常常會(huì)在互連鏈 路上形成路由環(huán)路。要求根據(jù) IP 規(guī)劃和實(shí)際配置情況，在有此類故障隱患的下級(jí)設(shè)備上加添靜態(tài)路由，把可能存在的黑洞路由信息丟棄，以此屏蔽暫時(shí)不用的網(wǎng)段，并根據(jù) 業(yè)務(wù)開(kāi)展情況對(duì)黑洞路由實(shí)時(shí)作出調(diào)整。15 / 32要求采用 SSH 協(xié)議來(lái)取代 Tel 進(jìn)行設(shè)備的遠(yuǎn)程登錄，SSH 與 Tel 一樣，提供遠(yuǎn)程連接登錄的手段。對(duì)訪問(wèn)管理除了 tel 外，還包括對(duì) SSH 協(xié)議、 ftp、snmp 等協(xié)議的訪問(wèn)管理，相關(guān)具體配置見(jiàn)規(guī)范中的相關(guān)內(nèi)容。要求設(shè)定登錄連接空閑時(shí)間限制，讓系統(tǒng)自動(dòng)檢查當(dāng)前連接是否長(zhǎng)時(shí)間處于空閑狀態(tài)，若是則自動(dòng)將其拆除。當(dāng)系統(tǒng)收到一個(gè)連16 / 32接請(qǐng)求，若提供的帳號(hào)或密碼連續(xù)不能通過(guò)驗(yàn)證的的次數(shù)超過(guò)設(shè)定值，就自動(dòng)中斷該連接。訪問(wèn)地址限制是通過(guò) ACL 訪問(wèn)控制列表實(shí)現(xiàn)的。 帳號(hào)和密碼管理要求應(yīng)在日常維護(hù)過(guò)程中周期性地（至少按季度）更改登錄密碼，甚至登錄帳17 / 32號(hào)。為了提高安全性，在方便記憶的前提下， 帳號(hào)名字應(yīng)盡量混用字符的大小寫、數(shù)字和符號(hào)，提高猜度的難度。要考慮有些設(shè)備密碼以明文形式存放問(wèn)題，建議必須啟用相關(guān)特性，保證密碼以加密方式存放在配置文件中。 本機(jī)認(rèn)證和授權(quán)初始模式下，設(shè)備內(nèi)一般建有沒(méi)有密碼的管理員帳號(hào)，該帳號(hào)只能用于Console 連接，不能用于遠(yuǎn) 程登錄。同時(shí)， 為了 AAA 服務(wù)器出現(xiàn)問(wèn)題時(shí)，對(duì)設(shè)18 / 32備的維護(hù)工作仍可正常進(jìn)行，建議保留必要的維護(hù)用戶，但必須設(shè)置健壯的密碼。 snmp 協(xié)議Snmp 協(xié)議是目前數(shù)據(jù)網(wǎng)管理中普遍使用的協(xié)議，但 snmp 協(xié)議本身也存在安全問(wèn)題。部分 MIB Object 還可以讓網(wǎng)管系統(tǒng)通過(guò)SNMP SET 指令來(lái)賦值。如 Community，Community 相當(dāng)于網(wǎng)管系19 / 32統(tǒng)與設(shè)備之間建立 SNMP 連接合法性的識(shí)別字串，它們兩者之間的 SNMP 交互都需要先做 Community 檢查后，再 執(zhí)行。這些安全屬性的提供，提高了該協(xié)議本身的安全性。SNMP version 3 已經(jīng)商用。對(duì)非要使用 HTTP 服務(wù)的設(shè)備，要求通過(guò)下列措施保證其安全性：? 更改 HTTP 服務(wù)的端口，不采用標(biāo)準(zhǔn)的 80 端口，而采用非標(biāo)準(zhǔn)端口；? 加強(qiáng)登錄用戶密碼的管理，如采用 AAA 認(rèn)證等；? 對(duì)登錄設(shè)備的 IP 地址進(jìn)行嚴(yán)格限制，或通過(guò) VPN 等安全手段控制對(duì)設(shè)備的訪問(wèn)；? 設(shè)置登錄并發(fā)數(shù)、空閑事件、 嘗試次數(shù)等相關(guān)限制措施。最好能記錄該用戶執(zhí)行過(guò)的所有 CLI 指令。通過(guò)對(duì)異常事件的監(jiān)控，可以及時(shí)對(duì)異常問(wèn)題采取措施。日志服務(wù)器要實(shí)現(xiàn)日志的存儲(chǔ)和管理功能，并可以通過(guò)日志分析程序或網(wǎng)管系統(tǒng)，實(shí)現(xiàn)對(duì)日志的分析和報(bào)表統(tǒng)計(jì)。5 設(shè)備 IOS 升級(jí)方法設(shè)備軟件版本升級(jí)和補(bǔ)丁安裝是實(shí)施設(shè)備安全加固一個(gè)不可缺少的環(huán)節(jié)。 軟件的獲取目前，各大公司基本都會(huì)在官方網(wǎng)站上提供最新的軟件版本和對(duì)應(yīng)的升級(jí)包，但必須有對(duì)應(yīng)的登陸帳戶,如 Juniper 設(shè)備需要具備 有效地 Customer Support Center 登錄帳號(hào)、CISCO 設(shè)備必需要有 CCO 帳號(hào)。若設(shè)備配有雙路由引擎，可以遠(yuǎn)程執(zhí)行，但也應(yīng)安排一般的現(xiàn)場(chǎng)人 員提供必要的配合。 數(shù)據(jù)備份為確保升級(jí)過(guò)程的可恢復(fù)性，對(duì)原 IOS 和配置數(shù)據(jù)有必要進(jìn)行完全備份。FTP 服務(wù)器的設(shè)置，并將獲取的 IOS 軟件放在服務(wù)器上現(xiàn)場(chǎng)工作人員準(zhǔn)備一臺(tái)筆記本電腦、相關(guān) 線纜和其他相關(guān)備件。 升級(jí) IOS 或裝載補(bǔ)丁描述 IOS 或補(bǔ)丁轉(zhuǎn)載的步驟和相關(guān)命令，注意雙路由引擎的裝載問(wèn)題。6 特定的安全配置下面涉及特定的安全配置不是所有設(shè)備都具有的，同時(shí)考慮到部分特定的安全設(shè)置是通過(guò) ACL 實(shí)現(xiàn)的， 為了確保設(shè)備性能，在具體實(shí)施時(shí)，最好 獲取廠商的建議實(shí)施。25 / 32強(qiáng)烈建議，如要使用 HTTP、Tel、SNMP 服務(wù)進(jìn)行管理時(shí)，更改其標(biāo)準(zhǔn)端口號(hào)（如果支持的話），并對(duì) 其進(jìn)行強(qiáng)口令認(rèn)證和訪問(wèn)地址限制。 對(duì)該類服務(wù)的建 議是，如果不需要服 務(wù)，強(qiáng)烈關(guān)閉這些服務(wù)，尤其是 HTTP 服務(wù)。一般服 務(wù)拒絕攻擊有如下的一些常用的手法有：死亡之 ping （ping of death）、淚滴（ teardrop）、UDP 洪水（UDP flood）、TCP SYN（SYN flood）、 攻擊等。但對(duì)上述技術(shù)的實(shí)施有可能會(huì)對(duì)設(shè)備的性能造成影響，在實(shí)施時(shí)建議獲取設(shè)備提供商的意見(jiàn)。 Smurf 進(jìn)攻的防范。s Workstation：攻擊者的工作站Your Server：你的服 務(wù)器Smurf 攻擊分成兩種類型：對(duì)路由器的攻擊和對(duì)網(wǎng)絡(luò)上主機(jī)的攻擊。在設(shè)備分冊(cè)中，對(duì)各類設(shè)備 smurf 攻擊的發(fā)現(xiàn)和防范方法作了詳細(xì)介紹。而正確的信息交換過(guò)程應(yīng)該是：客戶機(jī) 服務(wù)器SYN SYN_ACKACK一般來(lái)說(shuō)，半個(gè)會(huì)話不會(huì)導(dǎo)致重大損害，因 為服務(wù)器會(huì)認(rèn)為會(huì)話超時(shí)， 繼續(xù)進(jìn)行正常的處理工作。在設(shè)備分冊(cè)中，對(duì)各類設(shè)備 TCP SYN 攻擊的發(fā)現(xiàn)和防范方法作了詳細(xì)介紹。 ICMP 協(xié)議的安全配置。 其他特定的安全配置由于特定的安全設(shè)置在不同設(shè)備上的表現(xiàn)不同，在這只能提出一些思路，具體見(jiàn)各設(shè)備分冊(cè)，還有下列安全配置可以考慮：? 對(duì) COM/AUX 等端口的管理要求? 禁止從網(wǎng)絡(luò)啟動(dòng)和自動(dòng)從網(wǎng)絡(luò)下載初始配置