软考教材重点内容 信息安全工程师 第21章 网络设备安全

21 .1.1 交换机安全威胁

1.MAC 地址泛洪

地址泛洪(Flooding)攻击通过伪造大量的虚假 MAC 地址发往交换机，由于交换机的地址表容量的有限性，当交换机的 MAC 地址表被填满之后，交换机将不再学习其他 MAC 地址，从而导致交换机泛洪转发。

2. ARP 欺骗

攻击者可以随时发送虚假 ARP 包更新被攻击主机上的 ARP 缓存，进行地址欺骗，干扰交换机的正常运行。

3.口令威胁

攻击者利用口令认证机制的脆弱性，如弱口令、通信明文传输、口令明文存储等，通过口令猜测、网络监听、密码破解等技术手段获取交换机口令认证信息，从而非授权访问交换机设备。

4.漏洞利用

攻击者利用交换机的漏洞信息，导致拒绝服务、非授权访问、信息泄露、会话劫持。

21.1.2 路由器安全威胁

1.漏洞利用

网络设备厂商的路由器漏洞被攻击者利用，导致拒绝服务、非授权访问、信息泄露、会话劫持、安全旁路。

2.口令安全威胁

路由器的口令认证存在安全隐患，导致攻击者可以猜测口令，监听口令，破解口令文件。

3.路由协议安全威胁

路由器接收恶意路由协议包，导致路由服务混乱。

4. DoS/DDoS 威胁

攻击者利用 TCP/IP 协议漏洞或路由器的漏洞，对路由器发起拒绝服务攻击。

5.依赖性威胁

攻击者破坏路由器所依赖的服务或环境，导致路由器非正常运行。

21.2 网络设备安全机制与实现技术

网络设备是网络安全的重要保护对象，其安全性涉及整个网络系统。目前，交换机、路由器通常提供身份认证、访问控制、信息加密、安全通信以及审计等安全机制，以保护网络设备的安全性。

21.3 网络设备安全增强技术方法

21.3.1 交换机安全增强技术方法

1.配置交换机访问口令和 ACL，限制安全登录

2.利用镜像技术监测网络流量

以太网交换机提供基于端口和流量的镜像功能，即可将指定的 1 个或多个端口的报文或数据包复制到监控端口，用于报文的分析和监视、网络检测和故障排除。

3. MAC 地址控制技术

可以通过设置端口上最大可以通过的 MAC 地址数量、MAC 地址老化时间，来抑制 MAC 攻击。

4.安全增强

安全增强的作用在于减少交换机的网络攻击威胁面，提升抗攻击能力。方法主要包括关闭交换机不必要的网络服务、限制安全远程访问、限制控制台的访问、启动登录安全检查、安全审计等安全增强措施。

5.增强路由器 VTY 安全

路由器给用户提供虚拟终端(VTY)访问，用户可以使用 Telnet 从远程操作路由器。为了保护路由器的虚拟终端安全使用，要求用户必须提供口令认证，并且限制访问网络区域或者主机。

6.阻断恶意数据包

网络攻击者经常通过构造一些恶意数据包来攻击网络或路由器，为了阻断这些攻击，路由器利用访问控制来禁止这些恶意数据包通行。

21.4 网络设备常见漏洞与解决方法

21.4.1 网络设备常见漏洞

常见的安全漏洞主要如下:

(1）拒绝服务漏洞。拒绝服务漏洞将导致网络设备停止服务，危害网络服务可用性。

(2)跨站伪造请求 CSRF ( Cross-Site Request Forgery)。

(3)格式化字符串漏洞。

( 4 ) XSS ( Cross-Site Scripting )。

(5)旁路(Bypass something)。旁路漏洞绕过网络设备的安全机制，使得安全措施没有效果。

(6)代码执行(Code Execution )。该类漏洞使得攻击者可以控制网络设备，导致网络系统失去控制，危害性极大。

(7)溢出(Overflow)。该类漏洞利用后可以导致拒绝服务、特权或安全旁路。

(8)内存破坏(Memory Corruption )。内存破坏漏洞利用常会对路由器形成拒绝服务攻击