美國國家安全局《網絡基礎設施安全指南》應對網絡攻擊的技術報告
1.網絡架構設計
安全的網絡設計要實現多層防護以應對威脅和保護網絡中的資源。在安全網絡設計中,網絡邊界和內部設備都需要遵循安全最佳實踐和零信任原則。
1.1 安裝邊界和內部防護設備
NSA建議根據安全最佳實踐在網絡邊界配置和安裝安全設備:
- 安裝邊界路由器來建立與外部網絡的連接,比如網絡服務提供商(ISP)
- 實現多層下一代防火墻來限制入流量、出流量,并檢查所有異構網絡區域的內部活動。每層應該使用不同廠商的產品來保護內部網絡
- 將公開可訪問的系統和外部代理放置在一個或多個DMZ(非軍事區)子網中的防火墻層,在DMZ子網中,訪問可以由外部設備、DMZ設備和內部系統控制
- 實現網絡監控解決方案來記錄來追蹤入和出流量,比如網絡入侵檢測系統、流量檢查器或全包抓取設備
- 部署多個遠程日志服務器來記錄與設備相關的活動
- 在核心區域內實現冗余設備來確保可用性,可以通過負載均衡來增加網絡吞吐量和減少延遲
圖 部署了防火墻和DMZ的網絡邊界
1.2 對網絡系統進行聚類
網絡中類似的系統應該進行邏輯聚類以更好地保護系統。
NSA建議將網絡中相似的系統隔離為不同的子網或VLAN(虛擬本地區域網絡)或通過防火墻或路由器物理隔離為不同的子網。工作站、服務器、打印機、通信系統等應該彼此隔離。
1.3 移除后門連接
后門網絡連接是位于不同網絡區域的2個或多個設備的連接,一般擁有不同類型的數據和安全要求。
NSA建議移除所有后門網絡連接,尤其是在用多個網絡接口連接設備時間要非常注意。對設備的所有網絡接口進行驗證,確保具有相同的安全等級,中繼設備要能夠提供不同網絡區域的邏輯和物理隔離。
1.4 使用嚴格的邊界訪問控制
NSA建議認真考慮允許哪些連接,并創建帶有白名單的規則集。使用該方法只需要一條規則就可以拒絕多種類型的連接,而不需要對每個攔截的連接創建一條規則。如果需要動態應用額外的邊界規則來預防漏洞利用,NSA建議使用入侵防御系統(IPS)。
NSA還建議對這些規則集進行記錄日志,至少應該包含所有拒絕或丟棄的網絡流量,以及對關鍵設備成功或失敗的管理員訪問。
1.5 實現網絡訪問控制方案
NSA建議實現網絡訪問控制解決方案來識別和認證連接到網絡中的唯一的設備。可以在交換機上實現端口安全機制來檢測非授權的設備對網絡的連接。
1.6 限制和加密VPN
NSA建議限制VPN網關對UDP 500、4500端口、EP和其他端口的訪問。如果可以的話,限制接收到已知的VPN節點IP地址的流量。
2.安全維護
升級硬件和軟件來確保效率和安全
2.1 驗證軟件和配置完整性
NSA建議驗證安裝和設備上運行的操作系統文件的完整性,并將文件的哈希結果與廠商發布的哈希結果進行比較。在升級操作系統文件時,也需要進行完整性驗證,以確保文件沒有被修改。
2.2 維護適當的文件系統和啟動管理
許多網絡設備都有至少2種不同的配置,一個保存在硬盤上,一個運行在內存中。NSA鑒于檢查設備上未使用的或非必要的文件并移除,比如老版的操作系統文件或過時的備份配置文件。
2.3 維持最新的軟件和操作系統
維持最新版本的操作系統和穩定的軟件版本可以應對已經識別和修復的關鍵漏洞。NSA建議在所有的設備上升級操作系統和軟件到最新的穩定版本。許多網絡基礎設施設備并不支持自動更新,因此需要手動從廠商處獲得最新的軟件并安裝。
2.4 使用廠商支持的硬件
NSA建議在廠商發布不再更新或提供技術支持的產品清單后,建立使用新設備來替換或升級受影響設備的計劃。過期的或不再支持的設備應該立刻進行升級或替換來確保網絡服務和安全支持的可用性。
3.認證授權審計
中心化的認證、授權和審計(AAA)服務器可以提供一種對設備的管理權限訪問的管理。對這些服務器進行適當的配置可以提供一種管理和監控訪問的授權源,改善訪問控制的一致性,減少配置維護和管理成本。
3.1 實現中心化的服務器
NSA建議在網絡中至少部署2個AAA服務器來確保可用性,以及幫助檢測和預防惡意活動。如果一個服務器由于定期維護或其他原因不可用,其余服務器可以繼續提供中心化的AAA服務。
3.2 配置認證
認證是對個人或實體身份的驗證。所有的設備都應該配置為使用中心化的服務器來進行AAA服務,本地管理員賬戶作為一種備份方法只有所有的中心化服務器不可用時才使用。NSA建議對登錄和啟用訪問配置中心化的認證。
3.3 配置授權
授權會驗證個人或身體是否有權限訪問特定的資源或執行特定的操作。NSA建議限制合法管理員被授權執行的操作,以預防惡意用戶使用被入侵的賬戶來執行非授權的操作。
3.4 配置審計
審計記錄著訪問的所有相關的資源和執行的操作,以供管理員進行審計。NSA建議系統配置變化進行中心化記錄,定期檢查這些記錄以檢測可能的惡意活動。
3.5 應用最小權限原則
NSA建議所有的賬戶采用最小權限原則,并要求管理員在提升到更高權限來執行一些操作時需要額外輸入憑證信息。并且對權限等級進行定期檢查。
3.6 限制認證嘗試次數
NSA建議將錯誤遠程管理(認證)嘗試的次數限制為3次及以下。此外,NSA還建議延長登陸嘗試的間隔為至少1秒,以減緩暴力破解的次數。
4.管理員信息
管理員賬號和密碼
4.1 使用唯一的用戶名和賬號設置
大多數設備的默認管理員賬戶和憑證都是公開的,而管理員賬戶具有設備的管理權限。NSA建議移除設備的默認配置,并對每個設備重新配置一個唯一的、安全的管理員賬戶。
4.2 修改默認密碼
大多數設備在管理員進行初始化配置前都有默認密碼,甚至沒有密碼。而這些默認密碼一般都是公開的。NSA建議移除所有的默認密碼,并分配一個唯一的、復雜的、安全的密碼。此外,在新設備加入網絡時,修改默認用戶和特權等級密碼。
4.3 移除非必要的賬號
NSA建議將授權登錄設備的賬戶限制為必要的范圍,其他賬戶建議移除。管理員離開組織或角色發生變化后,相關的賬戶應當被禁用或移除。
4.4 使用個人賬戶
NSA建議禁用所有共享和組管理員賬戶,對每個管理員使用唯一的賬戶來提供對配置變化的訪問,以確保對每個設備的可審計性。如果組賬戶是必要的,NSA建議監控這些賬號來檢測可能的可疑活動。
4.5 使用安全算法保存密碼
NSA建議設備上保存的所有密碼都使用最安全的算法進行加密,不要明文保存。建議使用單向哈希算法,如果單向哈希算法不可用,應當使用強唯一密鑰來加密密碼。
4.6 創建強密碼
NSA建議對不同級別的訪問分配唯一的、復雜的密碼,包括用戶和特權級別訪問。在路由認證、時間同步、VPN通道、SNMP和其他配置中需要保存密碼的場景中也應該使用唯一的、復雜的密碼。
4.7 使用唯一的密碼
NSA建議對每個設備上的每個賬戶和特權級別分配唯一的、復雜的、安全的密碼。NSA還建議對不同賬戶、不同級別份額、不同設備之間的密碼重用進行檢查。
4.8 必要的時候修改密碼
NSA建議在密碼或密碼哈希被入侵后立刻修改密碼,并安全保存。
5.遠程日志
遠程日志和監控
5.1 啟用日志
啟用日志后,網絡設備上就會生成日志消息。可以將設備配置為立刻發送日志消息到本地日志緩存或中心化的日志服務器。NSA建議啟用系統日志、設置本地日志緩存為16MB,并定期對收到的日志消息進行驗證。
5.2 建立中心化的遠程登錄日志服務器
NSA建議使用至少2個遠程、中心化的日志服務器來確保設備日志消息的監控、冗余和可用性。盡可能地確保傳輸的日志消息是加密的,以預防敏感信息的非授權泄露。
5.3 獲取必要的日志信息
NSA建議設置將每個設備的緩存日志級別設置為informational級別以收集所有必要的信息。如果網絡跨域多個時區,NSA建議使用UTC時間,所有的日志消息都應含有精確到毫秒的時間戳,以及時區和日期信息。
5.4 同步時鐘
NSA建議每個設備和遠程日志服務器使用至少2個可信的、可靠的時間服務器來確保信息的準確性和可用性。內部時間服務器應當作為所有設備的主要源,隨后與授權的外部源進行同步。NSA建議在所有設備上啟用NTP認證來預防時鐘篡改,在設備和特定時間源之間配置強、唯一的NTP認證密鑰。
6.遠程管理
遠程管理和網絡服務
6.1 禁用明文管理服務
NSA建議使用加密的服務來保護網絡通信,禁用所有明文管理服務,如Telnet、HTTP、FTP、SNMP。確保所有的敏感信息無法被惡意敵手通過網絡流量抓包來獲取。
6.2 確保充足的加密強度
NSA建議非對稱密鑰生成使用3072位及以上密鑰,橢圓曲線加密密鑰使用384位,對稱加密密鑰使用256位。部分系統可能不支持3072位,可以使用4096位來替換。
6.3 使用安全協議
NSA建議確保管理服務使用最新的協議版本,并啟用了適當的安全設置。SSH v2是遠程訪問設備的優選方法。加密的HTTP服務器應當配置為只接受TLS v1.2及更高版本。
6.4 限制對服務的訪問
NSA建議配置訪問控制列表(ACL)使得只有管理員系統才能連接到設備來進行遠程管理。
6.5 設置可接受的超時周期
NSA建議對所有遠程設備的管理員連接設置會話超時時間為5分鐘或更少。不要將超時周期設置為0,因為大多數設備在將超時周期設置為0后會禁用超時功能。
6.6 啟用TCP Keep-alive
NSA建議對所有TCP連接的入和出流量啟用TCPKeep-alive設置。
6.7 禁用外部連接
NSA建議禁用出流量來限制攻擊者在網絡中的移動。
6.8 移除SNMP read-write community字符串
NSA建議移除所有的SNMP read-write community字符串,將加密和認證升級到SNMP v3。
6.9 禁用非必要的網絡服務
NSA建議禁用每個設備上非必要的服務。如果該服務是必須的,并且支持密碼和ACL,則創建一個強密碼,并應用ACL規則來只允許必要的系統連接到該服務。
6.10 禁用特定接口上的發現協議
NSA建議禁用能夠使用這些服務的所有設備上CDP和LLDP。
6.11 網絡服務配置
NSA建議對遠程網絡管理服務進行適當的配置,包括SSH、HTTP、SNMP。
7.路由
7.1 禁用IP源路由
NSA建議在所有設備上禁用IP源路由,因為該功能對正常的網絡操作來說是非必要的。
7.2 啟用uRPF
NSA建議在邊界路由器的外部接口啟用uRPF。
7.3 啟用路由認證
NSA建議在所有接收來自網絡中其他設備的路由更新的動態路由協議上啟用路由認證。
8.接口端口
適當配置的接口端口可以預防敵手執行針對網絡的漏洞利用。NSA建議:
- 禁用動態trunking
- 啟用端口安全
- 禁用默認VLAN
- 禁用未使用的端口
- 禁用端口監控
- 禁用代理ARP
