网络交换机安全措施的研究和实现
2017-09-06刘祖军
刘祖军
摘 要 交换机是通过人工或者是自动的方式,将需要传输的信息传递给符合要求路由上的技术。这一技术可以满足通信两端传输信息的需求,而且也是在MAC基础上的地址识别,能够实现数据包封装转发的网络设备。随着近年来电网企业的不断发展,在防护策略的指引下,信息安全水平有了明显的提高。
关键词 网络交换机;安全措施;实现
中图分类号 TP3 文献标识码 A 文章编号 1674-6708(2017)193-0045-02
由于交换机处于网络核心,在上线正常运行的情况下会忽略管理以及更新,会存在一些安全漏洞,尤其会直接影响信息网络的运行。因此為了保证网络信息的安全,需要从交换机入手,在保证其数据安全的前提下,注意防止病毒的侵扰。随着信息技术的不断发展,保证网络系统安全具有重要的意义。
1 交换机的安全威胁体现
在交换机的使用过程中,如果受到了不法分子的破坏和利用,就会导致网络不可控的情况,一般交换机的安全风险主要体现在几个方面。
1.1 ARP攻击
这是一种针对以太网地址解析协议的攻击技术,攻击者可以在网络上篡改数据封包装,然后计算机就无法正常的连接和使用。攻击的具体方式主要有两种,一种是ARP洪泛攻击,还有一种是ARP欺骗。假如在局域网内出现了ARP攻击的情况,会直接影响主机和服务端的映射关系,上网流量会集中流向ARP攻击者控制的主机,通过网关上网的用户,发生这种情况会被控主机转发上网,导致转发之后的上网速度很慢,甚至会出现断网的情况。而且如果出现了ARP欺骗的问题,不仅需要不断的发送ARP应打包,还会导致网络节点无法联通,或者是直接造成一些数据丢失[1]。
1.2 DoS攻击
DoS攻击主要指的是攻击者会采用一些方法导致主机无法正常提供服务,而且会造成资源访问受到限制。尤其是对宽带、内存等产生重大影响,一些用户由于受到了阻碍,就会无法正常工作。出现DoS攻击的时候,一般都是分布式攻击,而且在攻击的过程中,会利用一些工具将网络宽带集结起来,同时对一个目标发起攻击,这种攻击方式对网络有极大的破坏作用,尤其是会导致用户无法接收外界请求。
1.3 MAC地址泛洪攻击
网络传输数据会采用帧的形式进行,因此当帧进入交换机的时候就会记录下源MAC地址,在这一过程中就会产生一条端口和MAC地址关联的记录。在之后的操作中,凡是通往这一MAC地址的信息流都会只通过这一端口进行有限的转发。记录会直接储存在CAM中,因此可以快速的进行查询,尤其是方便转发数据。不过CAM存储容量比较小,加入一些攻击者选择向CAM传送较多的伪造多源MAC地址的数据包,就会导致存储器被填满,交换机也只能选择使用广播的形式进行传送数据,因此宽带被占用,会发生交换机拒绝服务的问题。曾经出现的SQL蠕虫病毒便是采用组播目标地址,然后制造假目标MAC占满CAM表的形式,造成了严重的后果。
2 加强信息网络交换机硬件安全
国家电网属于关系国计民生的基础行业,保障电力信息系统的安全尤为重要。目前,信息系统安全风险频发,一些信息技术产品的漏洞经常会引发核心系统被控和失密等风险。提高电网信息设备的安全水平,需要从以下几个方面入手。
2.1 集采国产网络交换机
美国斯诺登事件、监听门事件等暴漏出美国等西方科技公司生产的核心交换机可能存在“后门”。为降低电网信息系统风险,近年来,国网系统已逐步推进国产网络交换机的集采。
2.2 增加冗余设备及备品
为了保证信息网络系统的物理安全,也就是冗余能力能够保证网络的安全运行。在生产的过程中,可以增加一些冗余设备,主要就是为了规避风险[2]。比如一些后备管理模块、电源或者是端口等,这些设备可以在故障出现的时候确保设备能够正常使用,能够提高网络系统的安全性和可靠性。
2.3 固件常升级
交换机的使用经常会存在安全漏洞,因此需要定期的升级官方提供的补丁,尤其是固件升级的过程中,能够将漏洞问题进行有效的解决,还可以提高交换机的稳定性。
3 信息网络交换机安全加固措施
3.1 口令设置
1)Console口登录安全。配置交换机以及路由的Console口登录安全策略,如果在使用的过程中,配置Console口登录超市就可以对口令采取加密储存的操作。
2)Telnet或者是SSH登录安全。在启用Telnet远程管理的过程中,需要将交换机或者是路由器的vty口登录安全策略,设置口令加密储存。SSH采用的是加密的形式来传输数据,因此可以提高安全性。
3)Super权限口令加密。配置交换机或者是路由器的super权限口令的时候,需要注意分配super权限等级,然后做好加密储存。
3.2 启用日志审计
采用日志审计的功能,可以结合日志审计器的使用,尤其是可以对日志进行定期的保存和备案。使用日志审计服务器可以将日常发生的事情进行记录,假如出现了网络故障,就可以对其进行监控设备故障信息,如果下次还出现类似的故障或者是受到了攻击,就可以看到痕迹。
3.3 SNMP协议酌情开发
根据安全的要求进行分析,SNMP协议还是存在比较大的安全隐患,但是网络监控系统却不应该离开这一协议。因此可以使用SNMPV3版本,这一版本的优势在于改进了传输方式,传统的传输方式是明文传输,还有一些使用简单文本字符验证身份信息等,目前使用的MD5加密认证方式具有很大的优势。此外,还可以配合交换机SNMP信息采集配置严格的访问控制列表,主要是防止一些用户进行非授权访问的操作,能够将通信流量的安全性逐渐提高[3]。
3.4 设置网络准入控制
在网络应用不断发展的今天,网络准入控制的重要性逐渐凸显出来。尤其是可以防止ARP攻击、恶意用户入侵、地址冲突等问题。目前使用比较广泛的是802.1x网络准入控制,还有在IP_MAC绑定的网络准入技术。
3.4.1 802.1x网络准入控制
802.1x协议认证系统主要包含认证服务器、认证系统和客户端3个部分。使用这一系统可以对接入终端进行身份的认证,可以控制非法终端的接入,保证网络系统的安全。其优势主要是安全、方便、高效等,受到了很大的欢迎。
3.4.2 IP_MAC绑定的网络准入
使用IP_MAC绑定的网络准入技术,主要是在计算机的终端接入网络的设备上设置访问控制列表,登记用户的物理地址,不过这个操作有一定的限制。这一技术的缺点是由于需要逐条命令配置,易出现错误,因此可以搭配第三方厂商提供IP_MAC绑定系统的图形化界面操作,这样可以保证更加直观的查看和便捷的操作,尤其是在遇到问题时能够尽快的解决。
4 结论
交换机的安全需要引起重视,尤其是要从多个方面进行考虑,注意细节的分析,对交换机进行整体的安全加固,配合一些安全设备的使用,不断提供更加安全的信息网络。
参考文献
[1]郭琳.企业网中交换机与路由器安全防范与实现[J].广东技术师范学院学报,2016,37(11):57-61.
[2]刘辉舟.电力交换机状态巡检监测体系建设实践研究[J].低碳世界,2015(33):36-37.
[3]康双勇.网络交换机的威胁攻击及安全防范[J].保密科学技术,2017(1).