■ 大慶 吉海強(qiáng)

編者按：網(wǎng)絡(luò)交換機(jī)是企業(yè)網(wǎng)絡(luò)中非常重要的硬件設(shè)備，網(wǎng)絡(luò)交換機(jī)的安全與整體網(wǎng)絡(luò)安全有著非常直接的關(guān)系。然而網(wǎng)絡(luò)交換機(jī)本身的安全防護(hù)，卻很容易在網(wǎng)絡(luò)安全設(shè)計中被忽視。本文總結(jié)了在企業(yè)網(wǎng)絡(luò)交換機(jī)日常運維中常用的幾種針對交換機(jī)的安全防護(hù)措施，單獨或混合使用，均可有效提升網(wǎng)絡(luò)交換機(jī)的安全性。

當(dāng)前網(wǎng)絡(luò)安全已經(jīng)被上升到國家安全高度，在網(wǎng)絡(luò)安全形勢日趨嚴(yán)峻的今天，如何保障網(wǎng)絡(luò)安全是一個世界級難題。

提到網(wǎng)絡(luò)安全，大多數(shù)企業(yè)更多的是關(guān)注防火墻、防病毒、入侵檢測以及上網(wǎng)行為等方面，卻經(jīng)常忽略了在網(wǎng)絡(luò)中扮演重要角色的網(wǎng)絡(luò)交換機(jī)的安全。網(wǎng)絡(luò)交換機(jī)是企業(yè)網(wǎng)絡(luò)中最基礎(chǔ)的網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)交換機(jī)一旦出現(xiàn)安全問題，那么整個企業(yè)網(wǎng)絡(luò)將會出現(xiàn)重大安全隱患。本文以華為交換機(jī)配置為例，簡單介紹交換機(jī)幾種常用的網(wǎng)絡(luò)安全防護(hù)措施。

關(guān)閉默認(rèn)VLAN

所有交換機(jī)，無論是可網(wǎng)管還是不可網(wǎng)管的，初始的默認(rèn)VLAN 都是VLAN1。在不做配置的情況下，交換機(jī)所有端口都屬于默認(rèn)VLAN。正常企業(yè)網(wǎng)絡(luò)交換機(jī)配置時，端口會劃分對應(yīng)的業(yè)務(wù)VLAN，但是交換機(jī)互連端口會使用Trunk 模式。缺省情況下，VLAN1 的數(shù)據(jù)可以通過Trunk 端口。如果默認(rèn)VLAN不關(guān)閉，那么攻擊者隨便增加一臺交換機(jī)連接在企業(yè)網(wǎng)絡(luò)交換機(jī)上，就可以利用默認(rèn)VLAN 將數(shù)據(jù)包發(fā)送到企業(yè)網(wǎng)絡(luò)內(nèi)的所有交換機(jī)，甚至是網(wǎng)絡(luò)核心交換機(jī)，存在巨大安全隱患。

在企業(yè)網(wǎng)絡(luò)中，網(wǎng)絡(luò)管理員可以關(guān)閉默認(rèn)VLAN，選擇其他VLAN 做為管理VLAN 使用，這樣就可以避免攻擊隨便通過默認(rèn)VLAN 發(fā)起網(wǎng)絡(luò)攻擊行為。

選擇加密的遠(yuǎn)程登錄方式

一般在企業(yè)中，相對于HTTP 方式，網(wǎng)絡(luò)管理員更喜歡命令行方式對交換機(jī)進(jìn)行管理。但往往網(wǎng)絡(luò)交換機(jī)安裝在各個業(yè)務(wù)部門的網(wǎng)絡(luò)間，網(wǎng)絡(luò)管理員經(jīng)常不在交換機(jī)現(xiàn)場對交換機(jī)進(jìn)行管理，而通常會采用網(wǎng)絡(luò)遠(yuǎn)程登錄的方式對交換機(jī)進(jìn)行管理。

交換機(jī)遠(yuǎn)程管理最常用的登錄方式有兩種，一種是Telnet，另一種是SSH。Telnet 是一種遠(yuǎn)程登錄協(xié)議和方式，其通過TCP/IP 協(xié)議來遠(yuǎn)程訪問設(shè)備，傳輸?shù)臄?shù)據(jù)和口令是明文形式的。這樣攻擊者就很容易得到口令和數(shù)據(jù)，其獲得方式也很簡單，攻擊者可以在網(wǎng)絡(luò)上利用抓包工具進(jìn)行數(shù)據(jù)截取。因為傳輸?shù)氖敲魑?，攻擊者可以很容易得到交換機(jī)的登錄用戶名和密碼，然后就可以登錄交換機(jī)進(jìn)行非法操作。

SSH 分為SSH1 和SSH2。兩者是不兼容的版本，使用不同的協(xié)議。SSH1又分為1.3和1.5 兩個版本。SSH1 采用DES、3DES、Blowfish 和RC4等對稱加密算法保護(hù)數(shù)據(jù)安全傳輸。而對稱加密算法的密鑰是通過非對稱加密算法（RSA）來完成交換的。SSH1使用循環(huán)冗余校驗碼（CRC）來保證數(shù)據(jù)的完整性，但是后來發(fā)現(xiàn)這種方法有缺陷。

SSH2 避免了RSA 的專利問題，并修補(bǔ)了CRC 的缺陷。SSH2 用數(shù)字簽名算法（DSA）和Diffie-Hellman（DH）算法代替RSA 來完成對稱密鑰的交換，用消息證實代碼（HMAC）來代替CRC。同時SSH2 增加了AES 和Twofish等對稱加密算法。所以企業(yè)網(wǎng)絡(luò)管理員在配置交換機(jī)的時候，不要使用Telnet 登錄方式，而使用SSH 登錄方式。攻擊者即使可以在中間對數(shù)據(jù)包進(jìn)行截獲，也無法得到交換機(jī)的管理員帳號和密碼。這樣就可以有效增加交換機(jī)遠(yuǎn)程管理的安全性。

設(shè)置復(fù)雜的登錄用戶名和密碼

目前，企業(yè)網(wǎng)交換機(jī)提供了多種用戶登錄，訪問設(shè)備的方式，主要有Console、SNMP、Telnet、SSH 以及HTTP等方式，方便網(wǎng)絡(luò)管理員對交換機(jī)進(jìn)行管理的同時，也給交換機(jī)自身安全帶來隱患。

交換機(jī)可以設(shè)置為只輸入密碼登錄，這樣攻擊者只要知道交換機(jī)的管理IP 地址，再破解掉密碼就可以對交換機(jī)進(jìn)行非法管理。密碼復(fù)雜度的問題這里不再贅述，登錄用戶名在交換機(jī)配置命令允許的情況下，同樣可以使用大小寫字母、數(shù)字加特殊字符的組合來設(shè)定。這樣將交換機(jī)設(shè)置為用戶名字加密碼的登錄方式，那么攻擊者不光要破解密碼，還需要破解交換機(jī)的登錄用戶名。這在很大程度上增加了交換機(jī)非法登錄的難度，保證交換機(jī)的遠(yuǎn)程管理安全。華為交換機(jī)配置登錄用戶名和密碼均支持！、@、#、&、+、-、=等特殊符號，在設(shè)置用戶名和密碼時可以使用。

應(yīng)用訪問控制列表技術(shù)對交換機(jī)管理網(wǎng)絡(luò)進(jìn)行訪問控制

訪問控制列表（ACL）是由一條或多條規(guī)則組成的集合。所謂規(guī)則，是指描述報文匹配條件的判斷語句，這些條件可以是報文的源地址、目的地址及端口號等。設(shè)備基于這些規(guī)則進(jìn)行報文匹配，可以過濾出特定的報文，并根據(jù)應(yīng)用ACL 的業(yè)務(wù)模塊的處理策略來允許或阻止該報文通過。

應(yīng)用訪問控制列表技術(shù)可以限定某些特定IP 地址如網(wǎng)絡(luò)管理員的IP 地址訪問交換機(jī)，可以限定網(wǎng)管服務(wù)器通過SNMP 協(xié)議管理交換機(jī)，還可以限定某些特定IP 地址可以通過HTTP 方式訪問交換機(jī)。

這樣，除特定IP 地址可以訪問交換機(jī)的特定功能之外，其他對交換機(jī)的訪問全部拒絕。

應(yīng)用訪問控制列表可以極大提升交換機(jī)的安全防護(hù)能力。訪問控制列表可以在兩個地方設(shè)置，一是接入交換機(jī)，二是在核心或匯聚交換機(jī)。接入交換機(jī)可以設(shè)置在遠(yuǎn)程用戶接口，用來設(shè)定哪些IP 地址可以通過遠(yuǎn)程方式對交換機(jī)進(jìn)行管理。核心或匯聚交換機(jī)是配置交換機(jī)管理VLAN 三層虛擬接口的地方，在這里也可以編寫ACL，然后應(yīng)用在交換機(jī)的全局入方向即可。

要注意的是，核心或匯聚交換機(jī)上配置的ACL，需要在允許網(wǎng)絡(luò)管理員IP 地址之后，增加一條拒絕其他所有地址對交換機(jī)管理地址段的訪問。

MAC 地址控制技術(shù)

交換機(jī)會自動學(xué)習(xí)并記錄MAC 地址，而攻擊者會利用交換機(jī)的MAC 地址學(xué)習(xí)機(jī)制，不斷地進(jìn)行MAC 地址刷新，迅速填滿交換機(jī)的MAC地址表。這樣其他主機(jī)所發(fā)送的數(shù)據(jù)幀交換機(jī)會做泛洪處理，攻擊者自己的主機(jī)就可以接收到受害者的數(shù)據(jù)幀。攻擊者只需要使用抓包軟件就可以獲取相應(yīng)的信息。

另 外，Trunk 接口上的流量也會發(fā)給所有接口和與該交換機(jī)相連的其他交換機(jī)，造成交換機(jī)負(fù)載過大，網(wǎng)絡(luò)緩慢甚至癱瘓。

為了有效限制MAC 攻擊，可以限制交換機(jī)端口可以學(xué)習(xí)的最大MAC 地址數(shù)量，交換機(jī)默認(rèn)情況下對端口可以學(xué)習(xí)的MAC 數(shù)量是沒有限制的。當(dāng)該端口學(xué)習(xí)到的MAC地址數(shù)量達(dá)到限定的數(shù)量值，將不再對MAC 地址進(jìn)行學(xué)習(xí)，這樣就可以有效控制交換機(jī)學(xué)習(xí)的MAC 地址數(shù)量。

關(guān)閉交換機(jī)Web 管理功能

交換機(jī)的Web 管理方式是圖形化界面的管理方式，比較直觀，容易理解和掌握。網(wǎng)絡(luò)管理人員無需記住各種管理命令并輸入繁瑣的命令行，只需要使用每臺電腦的標(biāo)配IE，即可對網(wǎng)絡(luò)設(shè)備進(jìn)行本地和遠(yuǎn)程的管理。

但是，HTTP 協(xié)議安全性并不高。如果交換機(jī)允許網(wǎng)絡(luò)管理員通過HTTP 進(jìn)行訪問，那么攻擊者很容易可以通過網(wǎng)絡(luò)設(shè)備的瀏覽器接口對交換機(jī)設(shè)備進(jìn)行監(jiān)視，甚至可以對交換機(jī)配置進(jìn)行更改，達(dá)到其入侵的目的。

所以對于一個熟悉命令行配置的網(wǎng)絡(luò)管理員來說，關(guān)閉交換機(jī)的Web 管理功能，也不失為一種強(qiáng)化交換機(jī)自身安全的方式。

結(jié)論

隨著大數(shù)據(jù)、人工智能、云計算、移動互聯(lián)網(wǎng)以及物聯(lián)網(wǎng)的深度發(fā)展與融合，網(wǎng)絡(luò)攻擊也呈現(xiàn)出復(fù)雜化、規(guī)?；厔荨Ｔ谄髽I(yè)信息安全建設(shè)過程中，除了堆砌防火墻、入侵檢測甚至是態(tài)勢感知系統(tǒng)等一些常見的網(wǎng)絡(luò)安全產(chǎn)品，也不要忽略交換機(jī)自身安全在企業(yè)信息安全建設(shè)中的重要性。

在企業(yè)網(wǎng)絡(luò)交換機(jī)自身安全防護(hù)的過程中，可以根據(jù)各個企業(yè)的實際情況，采取以上安全防護(hù)措施中的一個或多個對網(wǎng)絡(luò)交換機(jī)進(jìn)行安全加固，以確保網(wǎng)絡(luò)交換機(jī)的自身安全。