企業(yè)網(wǎng)絡(luò)交換機(jī)常用安全防護(hù)措施

■ 大慶 吉海強(qiáng)

編者按：網(wǎng)絡(luò)交換機(jī)是企業(yè)網(wǎng)絡(luò)中非常重要的硬件設(shè)備，網(wǎng)絡(luò)交換機(jī)的安全與整體網(wǎng)絡(luò)安全有著非常直接的關(guān)系。然而網(wǎng)絡(luò)交換機(jī)本身的安全防護(hù)，卻很容易在網(wǎng)絡(luò)安全設(shè)計(jì)中被忽視。本文總結(jié)了在企業(yè)網(wǎng)絡(luò)交換機(jī)日常運(yùn)維中常用的幾種針對(duì)交換機(jī)的安全防護(hù)措施，單獨(dú)或混合使用，均可有效提升網(wǎng)絡(luò)交換機(jī)的安全性。

當(dāng)前網(wǎng)絡(luò)安全已經(jīng)被上升到國(guó)家安全高度，在網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻的今天，如何保障網(wǎng)絡(luò)安全是一個(gè)世界級(jí)難題。

提到網(wǎng)絡(luò)安全，大多數(shù)企業(yè)更多的是關(guān)注防火墻、防病毒、入侵檢測(cè)以及上網(wǎng)行為等方面，卻經(jīng)常忽略了在網(wǎng)絡(luò)中扮演重要角色的網(wǎng)絡(luò)交換機(jī)的安全。網(wǎng)絡(luò)交換機(jī)是企業(yè)網(wǎng)絡(luò)中最基礎(chǔ)的網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)交換機(jī)一旦出現(xiàn)安全問(wèn)題，那么整個(gè)企業(yè)網(wǎng)絡(luò)將會(huì)出現(xiàn)重大安全隱患。本文以華為交換機(jī)配置為例，簡(jiǎn)單介紹交換機(jī)幾種常用的網(wǎng)絡(luò)安全防護(hù)措施。

關(guān)閉默認(rèn)VLAN

所有交換機(jī)，無(wú)論是可網(wǎng)管還是不可網(wǎng)管的，初始的默認(rèn)VLAN 都是VLAN1。在不做配置的情況下，交換機(jī)所有端口都屬于默認(rèn)VLAN。正常企業(yè)網(wǎng)絡(luò)交換機(jī)配置時(shí)，端口會(huì)劃分對(duì)應(yīng)的業(yè)務(wù)VLAN，但是交換機(jī)互連端口會(huì)使用Trunk 模式。缺省情況下，VLAN1 的數(shù)據(jù)可以通過(guò)Trunk 端口。如果默認(rèn)VLAN不關(guān)閉，那么攻擊者隨便增加一臺(tái)交換機(jī)連接在企業(yè)網(wǎng)絡(luò)交換機(jī)上，就可以利用默認(rèn)VLAN 將數(shù)據(jù)包發(fā)送到企業(yè)網(wǎng)絡(luò)內(nèi)的所有交換機(jī)，甚至是網(wǎng)絡(luò)核心交換機(jī)，存在巨大安全隱患。

在企業(yè)網(wǎng)絡(luò)中，網(wǎng)絡(luò)管理員可以關(guān)閉默認(rèn)VLAN，選擇其他VLAN 做為管理VLAN 使用，這樣就可以避免攻擊隨便通過(guò)默認(rèn)VLAN 發(fā)起網(wǎng)絡(luò)攻擊行為。

選擇加密的遠(yuǎn)程登錄方式

一般在企業(yè)中，相對(duì)于HTTP 方式，網(wǎng)絡(luò)管理員更喜歡命令行方式對(duì)交換機(jī)進(jìn)行管理。但往往網(wǎng)絡(luò)交換機(jī)安裝在各個(gè)業(yè)務(wù)部門(mén)的網(wǎng)絡(luò)間，網(wǎng)絡(luò)管理員經(jīng)常不在交換機(jī)現(xiàn)場(chǎng)對(duì)交換機(jī)進(jìn)行管理，而通常會(huì)采用網(wǎng)絡(luò)遠(yuǎn)程登錄的方式對(duì)交換機(jī)進(jìn)行管理。

交換機(jī)遠(yuǎn)程管理最常用的登錄方式有兩種，一種是Telnet，另一種是SSH。Telnet 是一種遠(yuǎn)程登錄協(xié)議和方式，其通過(guò)TCP/IP 協(xié)議來(lái)遠(yuǎn)程訪(fǎng)問(wèn)設(shè)備，傳輸?shù)臄?shù)據(jù)和口令是明文形式的。這樣攻擊者就很容易得到口令和數(shù)據(jù)，其獲得方式也很簡(jiǎn)單，攻擊者可以在網(wǎng)絡(luò)上利用抓包工具進(jìn)行數(shù)據(jù)截取。因?yàn)閭鬏數(shù)氖敲魑模粽呖梢院苋菀椎玫浇粨Q機(jī)的登錄用戶(hù)名和密碼，然后就可以登錄交換機(jī)進(jìn)行非法操作。

SSH 分為SSH1 和SSH2。兩者是不兼容的版本，使用不同的協(xié)議。SSH1又分為1.3和1.5 兩個(gè)版本。SSH1 采用DES、3DES、Blowfish 和RC4等對(duì)稱(chēng)加密算法保護(hù)數(shù)據(jù)安全傳輸。而對(duì)稱(chēng)加密算法的密鑰是通過(guò)非對(duì)稱(chēng)加密算法（RSA）來(lái)完成交換的。SSH1使用循環(huán)冗余校驗(yàn)碼（CRC）來(lái)保證數(shù)據(jù)的完整性，但是后來(lái)發(fā)現(xiàn)這種方法有缺陷。

SSH2 避免了RSA 的專(zhuān)利問(wèn)題，并修補(bǔ)了CRC 的缺陷。SSH2 用數(shù)字簽名算法（DSA）和Diffie-Hellman（DH）算法代替RSA 來(lái)完成對(duì)稱(chēng)密鑰的交換，用消息證實(shí)代碼（HMAC）來(lái)代替CRC。同時(shí)SSH2 增加了AES 和Twofish等對(duì)稱(chēng)加密算法。所以企業(yè)網(wǎng)絡(luò)管理員在配置交換機(jī)的時(shí)候，不要使用Telnet 登錄方式，而使用SSH 登錄方式。攻擊者即使可以在中間對(duì)數(shù)據(jù)包進(jìn)行截獲，也無(wú)法得到交換機(jī)的管理員帳號(hào)和密碼。這樣就可以有效增加交換機(jī)遠(yuǎn)程管理的安全性。

設(shè)置復(fù)雜的登錄用戶(hù)名和密碼

目前，企業(yè)網(wǎng)交換機(jī)提供了多種用戶(hù)登錄，訪(fǎng)問(wèn)設(shè)備的方式，主要有Console、SNMP、Telnet、SSH 以及HTTP等方式，方便網(wǎng)絡(luò)管理員對(duì)交換機(jī)進(jìn)行管理的同時(shí)，也給交換機(jī)自身安全帶來(lái)隱患。

交換機(jī)可以設(shè)置為只輸入密碼登錄，這樣攻擊者只要知道交換機(jī)的管理IP 地址，再破解掉密碼就可以對(duì)交換機(jī)進(jìn)行非法管理。密碼復(fù)雜度的問(wèn)題這里不再贅述，登錄用戶(hù)名在交換機(jī)配置命令允許的情況下，同樣可以使用大小寫(xiě)字母、數(shù)字加特殊字符的組合來(lái)設(shè)定。這樣將交換機(jī)設(shè)置為用戶(hù)名字加密碼的登錄方式，那么攻擊者不光要破解密碼，還需要破解交換機(jī)的登錄用戶(hù)名。這在很大程度上增加了交換機(jī)非法登錄的難度，保證交換機(jī)的遠(yuǎn)程管理安全。華為交換機(jī)配置登錄用戶(hù)名和密碼均支持！、@、#、&、+、-、=等特殊符號(hào)，在設(shè)置用戶(hù)名和密碼時(shí)可以使用。

應(yīng)用訪(fǎng)問(wèn)控制列表技術(shù)對(duì)交換機(jī)管理網(wǎng)絡(luò)進(jìn)行訪(fǎng)問(wèn)控制

訪(fǎng)問(wèn)控制列表（ACL）是由一條或多條規(guī)則組成的集合。所謂規(guī)則，是指描述報(bào)文匹配條件的判斷語(yǔ)句，這些條件可以是報(bào)文的源地址、目的地址及端口號(hào)等。設(shè)備基于這些規(guī)則進(jìn)行報(bào)文匹配，可以過(guò)濾出特定的報(bào)文，并根據(jù)應(yīng)用ACL 的業(yè)務(wù)模塊的處理策略來(lái)允許或阻止該報(bào)文通過(guò)。

應(yīng)用訪(fǎng)問(wèn)控制列表技術(shù)可以限定某些特定IP 地址如網(wǎng)絡(luò)管理員的IP 地址訪(fǎng)問(wèn)交換機(jī)，可以限定網(wǎng)管服務(wù)器通過(guò)SNMP 協(xié)議管理交換機(jī)，還可以限定某些特定IP 地址可以通過(guò)HTTP 方式訪(fǎng)問(wèn)交換機(jī)。

這樣，除特定IP 地址可以訪(fǎng)問(wèn)交換機(jī)的特定功能之外，其他對(duì)交換機(jī)的訪(fǎng)問(wèn)全部拒絕。

應(yīng)用訪(fǎng)問(wèn)控制列表可以極大提升交換機(jī)的安全防護(hù)能力。訪(fǎng)問(wèn)控制列表可以在兩個(gè)地方設(shè)置，一是接入交換機(jī)，二是在核心或匯聚交換機(jī)。接入交換機(jī)可以設(shè)置在遠(yuǎn)程用戶(hù)接口，用來(lái)設(shè)定哪些IP 地址可以通過(guò)遠(yuǎn)程方式對(duì)交換機(jī)進(jìn)行管理。核心或匯聚交換機(jī)是配置交換機(jī)管理VLAN 三層虛擬接口的地方，在這里也可以編寫(xiě)ACL，然后應(yīng)用在交換機(jī)的全局入方向即可。

要注意的是，核心或匯聚交換機(jī)上配置的ACL，需要在允許網(wǎng)絡(luò)管理員IP 地址之后，增加一條拒絕其他所有地址對(duì)交換機(jī)管理地址段的訪(fǎng)問(wèn)。

MAC 地址控制技術(shù)

交換機(jī)會(huì)自動(dòng)學(xué)習(xí)并記錄MAC 地址，而攻擊者會(huì)利用交換機(jī)的MAC 地址學(xué)習(xí)機(jī)制，不斷地進(jìn)行MAC 地址刷新，迅速填滿(mǎn)交換機(jī)的MAC地址表。這樣其他主機(jī)所發(fā)送的數(shù)據(jù)幀交換機(jī)會(huì)做泛洪處理，攻擊者自己的主機(jī)就可以接收到受害者的數(shù)據(jù)幀。攻擊者只需要使用抓包軟件就可以獲取相應(yīng)的信息。

另 外，Trunk 接口上的流量也會(huì)發(fā)給所有接口和與該交換機(jī)相連的其他交換機(jī)，造成交換機(jī)負(fù)載過(guò)大，網(wǎng)絡(luò)緩慢甚至癱瘓。

為了有效限制MAC 攻擊，可以限制交換機(jī)端口可以學(xué)習(xí)的最大MAC 地址數(shù)量，交換機(jī)默認(rèn)情況下對(duì)端口可以學(xué)習(xí)的MAC 數(shù)量是沒(méi)有限制的。當(dāng)該端口學(xué)習(xí)到的MAC地址數(shù)量達(dá)到限定的數(shù)量值，將不再對(duì)MAC 地址進(jìn)行學(xué)習(xí)，這樣就可以有效控制交換機(jī)學(xué)習(xí)的MAC 地址數(shù)量。

關(guān)閉交換機(jī)Web 管理功能

交換機(jī)的Web 管理方式是圖形化界面的管理方式，比較直觀(guān)，容易理解和掌握。網(wǎng)絡(luò)管理人員無(wú)需記住各種管理命令并輸入繁瑣的命令行，只需要使用每臺(tái)電腦的標(biāo)配IE，即可對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行本地和遠(yuǎn)程的管理。

但是，HTTP 協(xié)議安全性并不高。如果交換機(jī)允許網(wǎng)絡(luò)管理員通過(guò)HTTP 進(jìn)行訪(fǎng)問(wèn)，那么攻擊者很容易可以通過(guò)網(wǎng)絡(luò)設(shè)備的瀏覽器接口對(duì)交換機(jī)設(shè)備進(jìn)行監(jiān)視，甚至可以對(duì)交換機(jī)配置進(jìn)行更改，達(dá)到其入侵的目的。

所以對(duì)于一個(gè)熟悉命令行配置的網(wǎng)絡(luò)管理員來(lái)說(shuō)，關(guān)閉交換機(jī)的Web 管理功能，也不失為一種強(qiáng)化交換機(jī)自身安全的方式。

結(jié)論

隨著大數(shù)據(jù)、人工智能、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)以及物聯(lián)網(wǎng)的深度發(fā)展與融合，網(wǎng)絡(luò)攻擊也呈現(xiàn)出復(fù)雜化、規(guī)模化趨勢(shì)。在企業(yè)信息安全建設(shè)過(guò)程中，除了堆砌防火墻、入侵檢測(cè)甚至是態(tài)勢(shì)感知系統(tǒng)等一些常見(jiàn)的網(wǎng)絡(luò)安全產(chǎn)品，也不要忽略交換機(jī)自身安全在企業(yè)信息安全建設(shè)中的重要性。

在企業(yè)網(wǎng)絡(luò)交換機(jī)自身安全防護(hù)的過(guò)程中，可以根據(jù)各個(gè)企業(yè)的實(shí)際情況，采取以上安全防護(hù)措施中的一個(gè)或多個(gè)對(duì)網(wǎng)絡(luò)交換機(jī)進(jìn)行安全加固，以確保網(wǎng)絡(luò)交換機(jī)的自身安全。