NSA的网络安全报告之网络基础设施安全指南(二)

admin 2022年6月29日02:52:22评论26 views字数 3225阅读10分45秒阅读模式

关注公众号,回复“220619”获机翻版取“网络基础设施安全指南


3.   安全维护

过时的硬件和软件可能包含众所周知的漏洞,并为攻击者利用网络提供了一种简单的机制。通过定期将硬件和软件升级到供应商支持的较新版本,可以缓解这些漏洞。此外,在使用之前和使用过程中,应验证下载软件的完整性。应定期进行安全维护,以确保设备继续安全运行。

升级硬件和软件,确保效率和安全性。

3.1  验证软件和配置的完整性

攻击者可以通过修改操作系统文件、内存中运行的可执行代码或加载网络设备操作系统的固件或引导加载程序,将恶意软件引入网络设备。攻击者可以使用在网络设备上恶意修改的软件来破坏数据完整性、泄露敏感信息并导致拒绝服务(DoS)。

NSA建议通过将文件的加密哈希与供应商发布的已知良好的哈希进行比较,来验证设备上安装和运行的操作系统文件的完整性。升级操作系统文件时,请在安装之前和之后对文件执行相同的完整性验证,以确保未进行任何修改。可以使用以下exec命令在操作系统映像文件上计算基本的联机哈希:

verify /sha512 <PATH:filename>

较旧的设备可能仅支持消息摘要 5 (MD5) 哈希,可以使用以下 exec 命令计算该哈希:

verify /md5 <PATH:filename>

计算的哈希值可以与https://www.cisco.com/的支持页面上为文件发布的信息进行比较。有关网络设备验证的详细信息,请参阅“网络设备完整性(NDI)方法”、“https://www.iad.gov/iad/library/reports/network-device-integrity-ndi-cisco-ios-devices.cfmCiscoIOS设备上的网络设备完整性(NDI)”和“验证硬件和软件的完整性https://www.iad.gov/iad/library/ia-guidance/security-tips/validate-integrity-of-hardware-and-software.cfm”文档。

对手可以选择简单地更改配置,而不是执行这些更复杂的软件修改。配置更改可能表示设备已遭到入侵。

NSA还建议实施配置更改控制过程,该过程可以安全地创建设备配置备份,以检测未经授权的修改。当需要更改配置时,请记录更改并包括授权、目的和任务理由。通过将当前设备配置与最新备份进行比较,定期验证是否未应用修改。如果观察到可疑更改,请验证更改是否已获得授权。

3.2  维护正确的文件系统和引导管理

许多网络设备至少有两种不同的配置,一个或多个保存在持久性存储中,一个在内存中运行主动副本。应保存或提交对配置的永久更改,以防止在设备重新启动或断电时出现配置不一致。可以使用以下exec命令将配置更改保存在设备上:

copy running-config startup-config

如果更改是临时的,NSA建议在更新的配置行之前插入注释,以包括进行更改的原因以及何时可以删除,并在适当的时间删除注释和临时更改。如果设备不支持注释,请在配置的备份副本中插入注释,以便与设备上的版本进行比较。

远程复制配置时使用加密协议,例如安全文件传输协议(SFTP)或安全复制协议(SCP)。必须保护用于备份或归档配置的复制机制以及备份存储库免受未经授权的访问。

NSA还建议检查每个设备上是否存在未使用或不必要的文件,并使用以下 exec 命令将其删除:

dir /recursive all-filesystems delete<PATH:filename>

存储在设备上的较旧的操作系统文件或过时的备份配置文件很可能是不必要的,应将其删除。存储多个版本的软件为对手提供了重新加载过时软件的机会,并重新引入在较新版本的操作系统中修补的漏洞。

3.3  维护最新的软件和操作系统

维护最新的操作系统和稳定的软件可以防止在较新版本中发现并修复的关键漏洞和安全问题。运行过时操作系统或易受攻击的软件的设备容易受到各种已发布漏洞的影响,利用这些设备是攻击者用来破坏网络的常用技术。

NSA建议将所有设备上的操作系统和软件升级到供应商提供的最新稳定版本。升级操作系统可能需要额外的硬件或内存升级,并且获取新的软件版本可能需要与供应商签订维护或支持合同。某些网络基础结构设备可能不支持自动更新功能,因此可能需要实施申请和安装过程才能从供应商处获取最新软件。

请参阅表I:供应商支持页面中相应供应商的支持页面,以确定特定设备的最新操作系统。

I:供应商支持页面

供应商

URL

Arista  Networks

https://www.arista.com/en/support/

Aruba Networks

https://www.arubanetworks.com/support-services/


Vendor

URL

Broadcom

https://www.broadcom.com/support

Cisco  Systems

https://www.cisco.com/c/en/us/support/index.html 

Dell

https://www.dell.com/support/home/en-us/

Extreme Networks

https://www.extremenetworks.com/support/ 

F5

https://www.f5.com/services/support

Fortinet

https://www.fortinet.com/support 

Hewlett  Packard Enterprise (HPE)

https://www.hpe.com/us/en/services.html 

International  Business Machines (IBM)

https://www.ibm.com/mysupport/ 

Juniper  Networks

https://support.juniper.net/support/

Linksys

https://www.linksys.com/us/support/ 

NETGEAR

https://www.netgear.com/support/

Palo Alto  Networks

https://support.paloaltonetworks.com/support/

Riverbed  Technology

https://support.riverbed.com/

Ruckus  Networks

https://support.ruckuswireless.com/

SonicWall

https://www.sonicwall.com/support/ 

TRENDnet

https://www.trendnet.com/support/ 

Tripp Lite

https://www.tripplite.com/support/ 

Ubiquiti

https://help.ui.com/hc/en-us/ 

WatchGuard

https://www.watchguard.com/wgrd-support/overview 

3.4  与供应商支持的硬件保持同步

供应商最终停止支持特定的硬件平台,如果发生故障,则无法为这些报废设备提供服务。除了设备不稳定和内存要求问题外,由于缺乏软件更新来修复已知漏洞,攻击者利用设备的风险增加。较新的、供应商支持的硬件平台具有改进的安全功能,包括针对已知漏洞的保护。
一旦供应商发布生命周期终止通知或宣布设备将不再受支持,NSA建议制定计划,根据供应商的建议,用较新的设备升级或更换受影响的设备。应立即升级或更换过时或不受支持的设备,以确保网络服务和安全支持的可用性。
请参阅表I:供应商支持页面中相应供应商的支持页面,以确定该供应商是否支持特定设备。

原文始发于微信公众号(祺印说信安):NSA的网络安全报告之网络基础设施安全指南(二)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月29日02:52:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   NSA的网络安全报告之网络基础设施安全指南(二)http://cn-sec.com/archives/1139273.html

发表评论

匿名网友 填写信息