(大丰市供电公司 江苏大丰 224100)
摘要:6月27日晚11时许,省信通分公司通过舆情监测发现,英国、乌克兰、俄罗斯、印度等多国正在遭遇Petya勒索病毒变种Petwarp的袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。国网江苏电力高度重视,紧急响应,第一时间成立了专项工作小组,研究制定应急预案,保障公司系统信息内外网计算机和服务器等设备的安全运行。接入层交换机作为连接终端设备的最末端的网络设备,如何做好接入层交换机自身不受攻击,正常运行;同时通过访问控制列表的包过滤方式在网络的最底层阻止病毒对网络终端或服务器的攻击,也阻止中了病毒的终端或服务器对网络中其他设备的攻击。接入层交换机的是员工办公电脑最直接相关的网络设备,接入层交换机稳定可靠的运行,是办公电脑的访问网络的基础,直接关系到用户对网络的使用和体验。作为网络运维管理人员,接入层交换机是不可忽视的一环,也是最直接与用户终端打交道的一环;通过对接入层交换机的体系架构的研究及对报文的处理方式探索,以及熟练运用访问控制列表实现包过滤等多种方式,加固交换机自身的同时,封堵病毒传播的端口,多种手段并驾齐驱,为用户网络运维保驾护航。
关键词:报文处理;交换机加固;安全防护;访问控制列表;包过滤
随着国家电网信息化的投入,网络的规模不断的扩大,网络中交换机的数量、服务器的数量呈现指数级的增长。传统的交换机分为硬件架构和软件架构,其中硬件架构由CPU、内存、以及非易失性的FLASH卡组成。软件架构是基于Unix/Linux内核开发的网络操作系统,例如Cisco的软件称为网际操作系统(IOS:Internetwork Operating System);华为的软件称为VRP (Versatile Routing Platform)即通用路由平台,是华为所有基于IP/ATM构架的数据通信产品操作系统平台。随着交换机不断膨胀的数量以及在网络中不断攀升的地位,使它成为黑客入侵和病毒肆虐的重点对象,国家对信息安全重视程度的不断增加,如何实现信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。出于交换机自身安全的保障以及通过访问控制列表实现包过滤的方式,进一步预防服务器及客户端电脑免受病毒的侵害。本文将通过从网络常见的安全问题及交换机的体系架构等方面进行深入的探讨,以便得出交换机的一些常用加固策略,通过一些简单的TCP/UDP端口与访问控制列表的联动实现从接入层面对病毒传播的控制。不仅控制外网对局域网服务器的攻击,同时也可以遏制已经中毒的服务器对网络中其他主机的攻击。
1.常见的网络安全问题
1.1 拒绝服务
攻击者通过向交换机发送海量的请求消息,该消息送到控制平面去处理,由于控制平面硬件处理能力有限,当CPU资源被耗尽时,CPU无法处理正常的业务报文,从而达到交换机拒绝正常服务的目的。
思科交换机就有收到过拒绝服务供给的案例,Cisco 11000 CSS是内容服务交换机。该交换机默认用于管理的5002 TCPapp-udp端口,交换机不能正确的处理发送到app-udp端口的畸形的UDP报文,攻击者就发送UDP包到此端口,从而利用这个漏洞对交换机进行拒绝服务攻击,成功的实现了交换机的重新启动,达到了拒绝服务的目的。
1.2 计算机病毒
中了病毒的计算机在短时间内向交换机发送大量的广播报文,由于交换机对广播报文的处理机制是:除了接受广播报文的端口外,会向其他N-1个端口复制N-1份广播报文发送出去。如果在局域网中只有个别端口的主机中了病毒,影响不是很大。但是交换机的几个端口的主机同时中了病毒,不断的发送广播报文,并且频率很高,这样就极大的占用了交换机的CPU和内存甚至是带宽资源,造成交换机在高负荷的情况下运转,导致交换机硬件温度过高等硬件异常情况。
2.交换机安全脆弱性分析
2.1 控制平面与管理平面
随着交换机数据平面或者叫转发平面的不断发展,从软件转发到硬件转发的升级,各种ASIC(Application Specific Integrated Circuits,专用集成电路)转发芯片的不断出现、升级。接口的带宽从10M到100M,从100M在到1G,现在交换机上的10G接口也变得越来越普及,万兆接口的成本也在不断的降低。
用于控制和管理所有网络协议的运行的控制平面,是为数据平面数据处理转发提供了所必须的各种网络信息和转发查询表项。
交换机的管理平面是提供给网络管理人员使用TELNET、WEB、SSH、SNMP、RMON等方式来管理设备。
交换机控制和管理平面运行在CPU上,迄今为止没有开发出像ASIC专用转发芯片那样通过专用硬件方式处理,软件处理能力的增长有限。
2.2 安全性不足的服务
交换机由于业界标准、管理便利性、历史继承性等原因,存在大量安全性不足的访问通道,例如:SNMPv1/v2,Telnet、FTP、HTTP等,这些协议早期对安全性考虑不足,而新的协议(SNMPv3,SSH、SFTP、HTTPS)并没有强制性替换老的协议。
TELNET协议报文在网络中传播的,密码等重要参数很容易被他人截取,安全性、保密性不能够得到保障。
SNMP(简单网络管理协议)由于历史原因,存在V1、V2、V3版本,这3个版本中只有V3版本实现了对接入的认证、报文的加密功能,V1和V2版本无法实现认证和加密功能,无法保证网管业务的安全性。
Web管理功能是通过http协议来实现的,http协议在传播的过程中无法对详细的内容进行加密,最终将被https所取代。
因此,如果网络管理员及用户不恰当的使用了这些安全不足的访问通道,容易造成信息泄密,被恶意用户利用时,容易产生非授权的访问行为。
同时,由于这些安全性不足的协议,没有进行任何完整性校验,容易引起中间人攻击,恶意攻击者可以通过篡改协议消息,达成攻击的目的。
2.3 IP网络的开放性
在IP网络架构的开放性的便利下,也存在着巨大的隐患。
任何的主机可以通过网线接入交换机的电口。如果网络环境是DHCP服务器分配IP的方式,该未授权的主机可以轻而易举的获取IP地址,并能够正常的访问网络。
如果未经授权的主机使用者大致猜测到接口所在的VLAN号及网段,在未经许可或管理员知晓的情况下,擅自给未授权主机配置IP地址相关参数。轻则可以未经授权取得网络的访问权限,重则可以进行一些破坏的活动。可能引起IP地址的冲突,如果配置的IP地址是领导正在使用的IP地址,将引起领导计算机IP地址冲突,两台主机同时都不能上网,造成不良的后果。
需要在接入层交换机端口上进行MAC地址绑定+未使用的IP地址与无效的MAC地址绑定来实现未授权的主机接入。
IP网络在TCP/IP的第四层及以下,没有安全防御能力,所有消息的完整性、认证鉴权、协议一致性,都由应用层自行保障。因此,当攻击发生在第四层及以下时,交换机往往成为攻击的对象。
2.4 IP网络的复杂性
由于IP网络规模庞大,系统构造复杂,导致网络节点数量众多、访问通道灵活复杂、通信协议层出不穷。
网络管理员一般追求网络的连通性配置,容易忽略网络协议相关的安全性配置,很可能为他人攻击提供机会。
Cisco的交换机在出厂的时候默认运行VTP协议,现上架一台Cisco接入层交换机,如果该接入层交换机的VTP域名正好与核心交换机相同,接入交换机的VTP配置版本号很高的话,接入层交换机将通过VTP协议对核心交换机的VLAN配置进行冲击,甚至删除掉核心交换机上所有有用的VLAN配置信息。
网络中运行的接入层交换机与汇聚成交换机之间运行捆绑链路,接入层交换机的捆绑链路端口成员为光口1和光口2,而管理员在接线的时候错误的将光纤链路插入到光口1和光口3;捆绑链路将无法正常运行,同时还引起了二层环路,引起网络震荡。
2.5 交换机本身的复杂性
交换机本身在操作系统运行过程中所产生的漏洞,出厂的时候程序设计漏洞,也有能是在程序运行的过程中所产生的漏洞,又或者是操作员在配置过程中,敲入的某条命令、某种配置方法导致的程序运转崩溃,系统重启等。
在实际的运维过程中,有某位工程师在Cisco的12410路由器上对某个接口做了shutdown操作,引起了路由器的重启,导致了客户业务的短时中断的实例。
3.控制平面的安全防御能力
华为交换机的控制平面,为了保障控制协议和业务的正常运行,提供了如下的安全防御能力:
应用层联动
畸形报文防攻击
路由协议认证核验
基于安全认证的安全防御
攻击溯源与告警
CPU报文速率限制(CPU-defend)
黑名单
用户自定义流(基于ACL)
二层环路检测与抑制
4.转发平面的安全防御能力
H3C交换机在转发平面安全能力:
地址扫描攻击的防护能力
DoS/DDoS攻击防护能力
MAC地址表容量攻击防护能力
静态MAC地址表项和ARP表项绑定能力
强大的ACL能力
单播反向路径查找检查能力
5.交换机自身的安全加固
5.1 访问控制
在aaa数据库中设置3个级别的用户,配置不同的密码,密码要符合安全性规范,给3个不同的用户赋予不同的权限,以H3C交换机为例,可以给3个用户分别赋予:network-admin、security-audit、network-operator3种角色。设置3个用户的本地用户的接入类型为terminal和SSH服务,即这3个用户可以通过console口本地登录方式和SSH远程登录的方式接入设备。
设置console口和远程登录VTY虚拟终端的超时时间,将限定时间内没有任何操作的连接自行断开,如需要继续操作则需要重新登录。
5.2 物理与环境安全
不管什么厂家的交换机都可以在管理员忘记登录密码的情况下,对交换机进行密码恢复,但是进行密码恢复的前提是能够物理上接触到该交换机;通过在交换机重启的过程中,console口方式接入交换机,打破交换机的正常启动程序。通常在Cisco交换机启动的过程中按住MODE键,让交换机启动时避开正常启动配置,在交换机启动后就不需要特权密码,此时再把启动配置调入RAM中并修改密码,这样就使用了新密码并使用了原来除密码之外的其他配置来运行。
加强管理规范,是无关人员没有机会接触到交换机设备,规范的机房进入授权与等级制度,楼层弱电间平常要上锁,钥匙有专人保管。
接入层交换机不使用的端口,应该默认配置为关闭,即使插上网线也不能进行通信,需要时有管理进行激活。
机柜门平常要锁好,没有经过授权,无法获取机柜的钥匙,更没有办法接触设备,防止关掉设备电源,阻止设备正常运行等破坏手段。
使用KVM进行远程登录到网管进行设备管理的情况,要求使用KVM是需要身份的鉴权。
5.3 攻击防护
交换机可以从控制平面、数据平面、管理平面进行加固来完成攻击防护工作,交换机的CPU是交换机软件运行的大脑,CPU的功能在交换机的发展过程中,处理能力不断的得到提升、价格成本在不断的下降;不管CPU现在的处理能力是500MHz,还是1GHz,CPU的处理能力还是有限的,有限的处理资源总有被耗死的时候。
在网络中,存在大量正常上送CPU的各类报文和针对CPU的恶意攻击报文。如果上送CPU的报文过多,会导致CPU占用率过高,性能下降。这种情况将影响CPU对正常业务的处理,甚至造成系统中断,此时可以创建防攻击策略,并在防攻击策略中配置CPU防攻击和攻击溯源,从而保证CPU对正常业务的处理,防止系统中断。
通过CPU防攻击策略的配置,对上送CPU的报文进行约束和限制,是单位时间内上送CPU处理的报文数量控制在一定的范围之内,从来保护CPU的安全,防止因CPU问题导致系统死机或崩溃重启。
CPU防攻击策略可以对上送CPU处理的报文,进行基于每个协议的限速、基于队列的调度和限速、所有报文统一限速。在华为的S3700交换机上配置cpu-defend policy,可以看到华为交换机支持对以下报文的限速或直接禁止上送CPU处理。
期刊文章分类查询,尽在期刊图书馆
[Hw-S3700]cpu-defend policy test //新建CPU防护策略test
[Hw-S3700-cpu-defend-policy-test]car packet-type ?
8021x 8021X packet
arp-mff MFF ARP packet
arp-miss ARP miss packet
arp-reply ARP reply packet
arp-request ARP request packet
bfd BFD packet
bgp BGP packet
bgp4plus BGP4PLUS packet
bpdu-tunnel BPDU packet
dhcp-client DHCP client packet
dhcp-server DHCP server packet
dhcpv6-reply DHCPv6 reply packet
dhcpv6-request DHCPv6 request packet
dns Domain Name Server packet
eoam-1ag Eth-OAM 1ag packet
eoam-1ag-lblt Eth-OAM 1ag lblt packet
fib-hit Host route hit packet
ftp FTP packet
hotlimit HOTLIMIT packet
http HTTP packet
hw-tacacs HW-TACACS packet
icmp ICMP packet
icmpv6 ICMPv6 packet
igmp IGMP packet
isis ISIS packet
mld MLD packet
mpls-ldp MPLS LDP packet
mpls-ping MPLS PING packet
mpls-ttl-expired MPLS TTL expired packet
mpls-vccv-ping MPLS VCCV PING packet
nd IPV6 ND packet
ntp NTP packet
ospf OSPF packet
ospfv3 OSPFv3 packet
pim PIM packet
pppoe PPPOE packet
radius RADIUS packet
rip RIP packet
ripng RIPNG packet
rrpp RRPP packet
smart-link Smart link packet
snmp SNMP packet
ssh SSH packet
tcp TCP packet
telnet Telnet packet
ttl-expired IPv4 TTL expired packet
vrrp VRRP packet
vrrp6 VRRP6 packet
y1731 Y1731 packet
car(Committed access rate)通过对上送控制平面的不同业务的协议报文分别进行限速,来保护控制平面的安全。可以看到S3700交换机可以通过CAR命令对如上显示的种种报文进行限速,来保障CPU的安全运行。
[Hw-S3700-cpu-defend-policy-test]deny packet-type icmp
通过dney命令可以直接阻止某种报文上送本机CPU来处理,报文的类型及种数可参考上面的显示信息。
接入层交换机的功能的不断发展不仅能实现CPU的防攻击功能,还能进一步的显示攻击溯源功能,通过提前规划和部署好攻击溯源可以大大提高现网运行安全性,在攻击发生时隔离攻击源,保证业务的正常运行。
6.通过包过滤的方式阻止病毒的传播
阻止病毒的传播方式有很多种,在网络的各个层面都有不同的实现方式,在企业的出口部署边界防火墙,接核心交换机上通过对网关VLAN部署相关的ACL进行包过滤,服务器或操作系统自带的软件防火墙、而在接入层交换机的二层接口上部署ACL进行包过滤,实现防火墙的功能,阻止病毒的传播最为经济高效。
近阶段比较流行的、被大家所熟知的勒索病毒,该病毒通过TCP 135 137 138 139 445端口在网络中大肆传播,对Windows操作系统进行攻击,造成电脑中的文件和程序无法打开,并弹出对话框要求支付比特币等赎金后才能恢复。
当病毒爆发时,除了系统工程师通过一台一台的方式对windows主机进行相关漏洞的加固以外,如何能快速有效的从网络层面对相关端口的封堵,即使网络中有主机通过U盘等媒介中毒后,不会再感染网络中其他的主机,网络不能成为病毒传播的载体。
以H3C接入层交换机为例,在二层接口上配置ACL包过滤的方式,有效的阻止勒索病毒的传播,既要阻止网络感染交换机直连的主机,也要防止该主机感染后向网络其他主机发起攻击,交换机的配置如下:
acl number 3000
rule 10 deny tcp destination-port eq 135
rule 20 deny tcp destination-port range 137 139
rule 30 deny tcp destination-port eq 445
rule 100 permit ip
interface GigabitEthernet1/0/1
packet-filter 3000 inbound
packet-filter 3000 outbound
7.结语
接入层交换机作为与客户终端计算机直接相连的设备,接入层交换机的运行状态,直接影响这客户网络性能体验,作为网络管理人员,接入层交换机是网络运维不可忽视的一个重要环节。
接入层交换机是承载终端计算机到核心交换机的桥梁,也是终端用户数据发送到核心交换机的必经之路。如果接入层交换机正在经受着高温的考验,网络中存在着大量的广播报文占用着交换机的背板带宽、无效的缺陷报文正在冲击着CPU,等待着CPU的处理……种种不合理的现象使得交换机自顾不暇,如何能稳定有序的处理网络中合法的报文?交换机如何不会成为报文处理发送的瓶颈?
网络管理员通过技术手段,根据运维经验,合理的预判局域网中可能出现的常见攻击方式和病毒,提前对交换机从控制平面、数据转发平面、设备管理平面对交换机进行多维度的安全加固,确保接入层交换机安全、稳定的运行。最后对于网络的安防,不能光从技术上解决,还要有相关的制度配合才能达到最好的效果。
参考文献
[1] 华为 S3700HI V200R001C00 产品文档(hdx) http://support.huawei.com/enterprise/zh/switch/s3700-pid-6691596?category=product-documentation
[2] H3C H3C S5560-EI系列高性能融合以太网交换机产品介绍
http://www.h3c.com/cn/Products___Technology/Products/Switches/Park_switch/S5500/S5560-EI/#
[3]国家电网 《国家电网公司管理信息系统安全基线要求》
作者简介:
肖红谊(1978.10-),男,江苏大丰人,高级技师,单位:盐城市大丰区供电公司。
论文作者:肖红谊
论文发表刊物:《电力设备》2017年第23期
论文发表时间:2017/12/8
标签:交换机论文; 报文论文; 网络论文; 平面论文; 病毒论文; 端口论文; 协议论文; 《电力设备》2017年第23期论文;