文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

网络安全知识之保护网络基础设施设备

2024-12-02 11:33

关注

[[442435]]

这些设备是恶意网络攻击者的理想目标,因为大多数或所有组织和客户流量都必须通过它们。

使用旧的、未加密的协议来管理主机和服务的组织和个人使恶意网络攻击者可以轻松地成功获取凭据。谁控制了网络的路由基础设施,本质上就是控制流经网络的数据。

哪些安全威胁与网络基础设施设备相关?

网络基础设施设备通常很容易成为攻击者的目标。安装后,许多网络设备的安全级别不会与通用台式机和服务器保持相同。以下因素也可能导致网络设备的脆弱性:

如何提高网络基础设施设备的安全性?

鼓励用户和网络管理员实施以下建议,以更好地保护网络基础设施:

分段和隔离网络和功能

安全架构师必须考虑整体基础架构布局,包括分段和隔离。适当的网络分段是一种有效的安全机制,可防止入侵者传播漏洞或在内部网络中横向移动。在分段不佳的网络上,入侵者能够扩大其影响以控制关键设备或访问敏感数据和知识产权。隔离基于角色和功能来分隔网段。安全隔离的网络可以隔离包含恶意事件,从而减少入侵者在网络内部某处获得立足点时的影响。

敏感信息的物理隔离

传统的网络设备,例如路由器,可以分隔局域网 (LAN) 网段。组织可以在网络之间放置路由器以创建边界、增加广播域的数量并有效过滤用户的广播流量。组织可以通过将流量限制在不同的网段来使用边界来遏制安全漏洞,甚至可以在入侵期间关闭部分网络,限制对手的访问。

建议:

敏感信息的虚拟分离

随着技术的变化,新的战略被开发出来以提高信息技术效率和网络安全控制。虚拟隔离是同一物理网络上的网络的逻辑隔离。虚拟分段使用与物理分段相同的设计原则,但不需要额外的硬件。现有技术可用于防止入侵者破坏其他内部网段。

建议:

限制不必要的横向通信

允许未经过滤的点对点通信(包括工作站到工作站)会产生严重的漏洞,并且可以使网络入侵者的访问权限轻松传播到多个系统。一旦入侵者在网络中建立了一个有效的滩头阵地,未经过滤的横向通信允许入侵者在整个网络中创建后门。后门帮助入侵者在网络中保持持久性,并阻碍防御者遏制和根除入侵者的努力。

建议:

强化网络设备

增强网络基础设施安全性的一个基本方法是通过安全配置保护网络设备。政府机构、组织和供应商为管理员提供了广泛的指导,包括基准和最佳实践,关于如何强化网络设备。管理员应结合法律、法规、站点安全策略、标准和行业最佳实践来实施以下建议。

建议:

安全访问基础设施设备

可以授予管理权限以允许用户访问不广泛可用的资源。限制基础设施设备的管理权限对于安全性至关重要,因为入侵者可以利用未正确授权、广泛授予或未经严格审核的管理权限。攻击者可以使用受损的权限来遍历网络、扩展访问权限并完全控制基础设施主干。组织可以通过实施安全访问策略和程序来减少未经授权的基础设施访问。

建议:

(1) 实施多因素身份验证(MFA)。身份验证是用于验证用户身份的过程。攻击者通常利用弱身份验证过程。MFA 至少使用两个身份组件来验证用户的身份。身份组件包括

(2) 管理特权访问。使用提供身份验证、授权和计费 (AAA) 服务的服务器来存储网络设备管理的访问信息。AAA 服务器将使网络管理员能够根据最小权限原则为用户分配不同的权限级别。当用户试图执行未经授权的命令时,它将被拒绝。如果可能,除了使用 AAA 服务器之外,还可以实施硬令牌认证服务器。使用 MFA 使入侵者更难窃取和重用凭据以访问网络设备。

(3) 管理管理凭据。如果您的系统无法满足 MFA 最佳实践,请采取以下措施:

执行带外管理

OoB 管理使用备用通信路径来远程管理网络基础设施设备。这些专用通信路径的配置可以有所不同,包括从虚拟隧道到物理分离的任何内容。使用 OoB 访问来管理网络基础设施将通过限制访问和将用户流量与网络管理流量分开来增强安全性。OoB 管理提供安全监控,并且可以在不让对手(即使是已经破坏了一部分网络的人)观察到这些变化的情况下执行纠正措施。

OoB 管理可以物理地、虚拟地或通过两者的混合来实施。尽管构建额外的物理网络基础设施的实施和维护成本可能很高,但对于网络管理员来说,这是最安全的选择。虚拟实施成本较低,但仍需要大量的配置更改和管理。在某些情况下,例如访问远程位置,虚拟加密隧道可能是唯一可行的选择。

建议:

验证硬件和软件的完整性

通过未经授权的渠道购买的产品通常被称为假冒、二级或灰色市场设备。许多媒体报道都描述了灰色市场硬件和软件进入市场的情况。非法的硬件和软件会给用户信息和网络环境的整体完整性带来严重风险。灰色市场产品可能会给网络带来风险,因为它们尚未经过全面测试以满足质量标准。由于供应链中断,从二级市场购买产品存在购买假冒、被盗或二手设备的风险。此外,供应链中的漏洞为在设备上安装恶意软件和硬件提供了机会。受损的硬件或软件会影响网络性能并危及网络资产的机密性、完整性或可用性。最后,未经授权或恶意软件可能会在设备投入使用后加载到设备上,因此组织应定期检查软件的完整性。

建议:

本文转载自微信公众号「祺印说信安」,作者何威风。转载本文请联系祺印说信安公众号。

 

来源:祺印说信安内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯