基于互連設備自身的企業計算機網絡安全性分析

[摘要] 信息安全風險評估是信息系統安全工程的重要組成部分，也是建立信息安全保障體系的基礎。本文依據信息安全風險評估的脆弱性分析要求，從企業計算機網絡互連設備自身的工作原理分析了設備自身的脆弱性，并結合各種外在因素對該脆弱性可能波及到企業計算機網絡的不安全性進行了探討、分析。

[關鍵詞] 信息安全風險評估 網絡互連設備 脆弱性分析

一、引言

隨著網絡的普及，網絡應用不斷向深度和廣度發展，大量企業網絡建成。由于人類對網絡的依賴日益增強，所以網絡是否安全性已成為企業計算機網絡所面臨的重大問題。網絡安全包括硬件安全和其上的軟件的安全。網絡硬件主要包括互連設備，比如：交換機、路由器、網關等?，F在針對硬件設備主要是進行一些安全方面的配置，例如交換機的VLAN，路由器的ACL配置等等，卻忽視了設備本身在工作中存在的脆弱性。本文依據信息安全風險評估步驟的脆弱性和威脅性，通過分析幾種比較常用網絡互連設備的工作原理發掘其脆弱性。

二、交換機脆弱性分析

交換機在OSL數據鏈路層MAC子層工作，它可以連接到單獨的結點或整個網段的單個網段的單個端口，在它們之間交換數據。并且為每個端口到端口之間提供全部的局域網介質帶寬。

1.從設備自身來看

交換機在系統安裝，啟動和災難恢復時，是處于不安全狀態，有一定的脆弱性。其次它同樣也存在物理威脅，一些外在因素的影響可能破壞交換機。

2.從其工作原理來看

交換機接收到一個幀以后，檢查MAC幀的目的地址，并和自身內部的交換表進行比較，首先要保證交換表的正確性，否則會導致數據傳輸錯誤。如果找到和目的網段相連的端口，然后將該幀發往端口。如果找不到所對應的端口，交換機會向所有的端口發送該幀，并且通過回應幀，建立和端口號相關的MAC地址表，在下次傳送數據時就可以查表，不再需要對所有端口進行廣播了。這種對不知道目的地址的數據幀采用向所有端口發送數據包的做法，容易出現“溢流”現象。

交換機允許廣播幀溢流到整個網絡，同樣會引起其他不法主機的“竊聽”，可以采用VLAN。采用不同的交換方式的交換機可能會存在一定的脆弱性，例如直通式交換機，就無法區分數據流量是善意的還是惡意的，它只是實現快速轉發。存儲轉發式交換機可以解決數據安全性問題，但又可能存在數據包丟失的問題。另外，交換機在轉發數據幀時，存在輸入端口和輸出端口在速度上能否匹配的問題，如果緩沖數量少而沖突數據量大的話，數據幀就會丟失。

3．從外在因素來看

入侵者利用交換機軟件或協議的脆弱性進行攻擊，比如IP欺騙，TCP連接能被欺騙、截取、操縱，UDP易受IP源路由和拒絕服務的攻擊等等，同時也可能存在訪問權濫用或者后門等問題。

三、路由器脆弱性分析

由器工作在OSL模型的網絡層，它可以用來連接具有相同網絡通信結構的網絡，也可以連接不同結構的網絡。它為數據包提供最佳路徑，并且實現子網隔離和抑制廣播風暴。

1.從設備自身來看

路由器相當于網絡層的中繼器。路由器不能真正實現即插即用，需要很多配置。配置文件中一般包括路由器接口地址，登錄密碼，還有路由表的接口狀態，ARP表，日志信息。這些信息如果被攻擊者獲得，后果不堪設想。比如可以將路由器作為對其他站點掃描或偵察攻擊平臺，或者修改路由配置等。

2.從其工作原理來看

路由器是在網層上實現多個互連的設備。一個路由器有幾個端口，分別可以連接一個網絡或一個路由器。其主要任務是接收來自一個網絡接口數據包，根據其中所含的目的地址，決定轉發到下一個目的地址的端口。由于路由器是一個多端口的設備，因此閑置的并且工作正常的服務器端口很可能被黑客利用，對于不用的端口，應該妥善管理。路由器接收到的數據包以后，首先在轉發路由表中查找數據包對應的目的地址，同交換機一樣，我們也要求路由表的正確性。虛假的路由信息會使數據發送到錯誤的地方。若找到了目的地址，就在數據包的幀格式前添加下一個MAC地址，同時IP數據包頭的TTL（Time To Live）域也開始減數，并重新計算校驗和。當數據包被送到傳輸端口時，需要按順序等，以便被傳送一輸出鏈路上。如果數據包不是發往直接與路由器相連的網絡，該路由器則把這個包轉發給另一個離最終目標更近的路由器。

現在，路由器還不具備安全和加密的功能，僅僅只有路由的功能，所以對待各種各樣的攻擊是脆弱的。

3.從外在因素來看

由于路由器是在網絡層實現多個網絡互連的設備。因此如果得到路由器的訪問控制權的話，任何人都可以通過路由器來對其他的服務器發起拒絕服務攻擊，而路由器不會自動生成警報通知用戶正受到攻擊。并且路由器的訪問密碼極不安全，可以通過SNIFFER探測到，或在專屬公司網頁上可以查到。

四、網關脆弱性分析

網關又叫做協議轉換器，它用來連接專用網絡和公共網絡的路由器。網關是將不同協議集的協議進行翻譯、轉換，網關是最復雜的網絡互連設備，它用于連接網絡層之上執行不同高層協議的網絡，構成異構的互連網，通常工作在OSL模型的第4層和更高層。

1.從設備自身來看

網關是軟件和硬件結合的網絡互連設備，是最復雜的網絡互連設備，不同的網關用于不同的場合，其軟件和硬件自身也存在脆弱性。

2．從其工作原理來看

網關除了具有路由器的全部功能之外，還能為互連網絡的雙方提供高層協議轉換服務，即能夠連接兩個高層協議完全不同的網絡環境。當數據包從一個網絡環境通過網關進入另一個不同的網絡環境時，網關讀取信息后，剝去數據中原來的協議棧，然后用目標網絡的完整協議對數據重新包裝并輸出，以適應目標環境的要求[3]。但是用戶的特定數據通過網關或位于網關時是脆弱的，并且網關對惡意人員發起的操縱或修改也是脆弱的。

網關是局域網和廣域網連接的首選設備，其最常見的用途是在高層協議不相同的網絡之間充當“翻譯”，即提供協議轉換。協議轉換是實現網關的關鍵技術，也是國際互連網的技術難點。

3.從外在因素來看

網關都是針對特定的網絡互連環境設計的，不存在通用的網關。有時制造商會留下了可以獲得敏感信息的后門。

五、結束語

信息技術在各個領域的深入應用和信息安全事件的不斷出現，網絡和信息安全問題越來越引起重視，信息安全問題存在的根本原因是信息系統和產品的脆弱性和管理方面的失誤。目前對信息產品的脆弱性分析都是基于CVE等漏洞庫。實際上，有些脆弱性是其本身的工作原理造成的。本文以網絡互連設備為例，從工作原理來分析其脆弱性，拓展了脆弱性分析的思路。在實際信息系統安全分析中，還要結合網絡組成結構與實際環境來分析網絡及其設備的脆弱性，以符合實際狀況。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。