网络设计和配置
网络文档
网络文档准确描述网络的当前状态非常重要。这通常包括网络设备,如防火墙、数据二极管、入侵检测和防御系统、路由器、交换机以及关键服务器和服务。此外,由于该文档可能被对手用来协助破坏网络,因此必须对其进行适当的保护。
网络文档包括一个高级网络图,显示进入网络的所有连接;显示所有网络设备、关键服务器和服务的逻辑网络图;和所有网络设备的配置。
网络文档在进行网络配置更改时会更新,并包括"截至 [日期] 的当前状态"或等效语句。
提供给第三方或在公开招标文件中发布的网络文件仅包含其他方进行合同服务所需的详细信息。
网络分段和隔离
网络分段和隔离是最有效的安全控制措施之一,可防止攻击者在获得初始访问权限后通过网络传播并访问目标数据。强制实施网络分段和隔离的技术还包含日志记录功能,这些功能对于检测入侵以及在发生危害时将受感染的设备与网络的其余部分隔离起来非常有价值。
网络分段和隔离涉及将网络分隔为多个功能网络区域,以保护重要数据和关键服务。例如,一个网络区域可能包含用户工作站,而另一个网络区域包含身份验证服务器。网络分段和隔离还有助于创建和维护网络访问控制列表。
网络根据数据或服务的敏感性或关键性分为多个功能网络区域。
使用虚拟局域网
虚拟局域网 (VLAN) 可用于实现网络分段和隔离,只要这些网络属于同一安全域即可。在这种情况下,如果发生数据泄漏,其影响将小于在两个不同分类的网络之间或组织的网络和公共网络基础设施之间发生数据泄漏的影响。如果组织选择在属于不同安全域的网络之间(例如在同一分类下)进行风险管理,则将应用与不使用 VLAN 中继和在网络设备的单独物理网络接口上终止 VLAN 相关的其他安全控制。
出于本节的目的,多协议标签切换被视为等效于 VLAN,并受相同控件的约束。
VLAN 不用于分隔组织网络和公共网络基础结构之间的网络流量。
VLAN 不用于分隔属于不同安全域的网络之间的网络流量。
管理 VLAN 的网络设备会在单独的物理网络接口上终止属于不同安全域的 VLAN。
管理属于不同安全域的 VLAN 的网络设备不共享 VLAN 中继。
管理 VLAN 的网络设备是从最受信任的安全域进行管理的。
使用互联网协议版本 6
互联网协议版本 6 (IPv6) 功能可能会给网络带来额外的安全风险。因此,使用基于 Internet 协议版本 4 (IPv4) 的网络的组织应禁用 IPv6 功能,直到该功能旨在用于帮助最大限度地减少网络的攻击面,并确保任何不打算使用的 IPv6 功能都不会被利用。
为了帮助从IPv4过渡到IPv6,已经开发了许多隧道协议,旨在允许协议之间的互操作性。在未明确要求此类功能的网络设备和 ICT 设备上禁用 IPv6 隧道协议,将防止对手通过将 IPv6 数据封装在 IPv4 数据包中来绕过传统的网络防御。
无状态地址自动配置 (SLAAC) 是 IPv6 网络中无状态互联网协议 (IP) 地址配置的一种方法。SLAAC 降低了组织在网络上维护 IP 地址分配的有效日志的能力。因此,应避免无状态 IP 寻址。
除非正在使用 IPv6 功能,否则在双栈网络设备和 ICT 设备中禁用 IPv6 功能。
支持 IPv6 的网络安全设备用于 IPv6 和双栈网络。
除非明确要求,否则将在所有网络设备和 ICT 设备上禁用 IPv6 隧道。
IPv6 隧道被外部连接的网络边界处的网络安全设备阻止。
动态分配的 IPv6 地址以有状态方式使用动态主机配置协议版本 6 进行配置,租约数据存储在集中式日志记录工具中。
网络访问控制
如果攻击者连接到网络的机会有限,则他们破坏该网络的机会有限。网络访问控制不仅可以防止未经授权访问网络,还可以防止用户不小心将网络连接到另一个网络。
网络访问控制在为需要知道或限制网段之间的数据流的特定用户隔离数据时也很有用。例如,可以允许工作站和用于管理目的的系统之间的计算机管理流量,但不允许在标准用户工作站之间传输计算机管理流量。
在网络上实施网络访问控制,以防止连接未经授权的网络设备。
实施网络访问控制是为了将网段内和网段之间的流量限制为仅业务目的所需的流量。
网络设备寄存器
维护并定期审核授权网络设备的登记册有助于确定网络上或直接连接到工作站的设备(如交换机、路由器、无线接入点和互联网加密狗)是否为恶意设备。使用自动发现和映射工具可以帮助完成此过程。
网络设备的默认账户
网络设备可以使用默认凭据预先配置。例如,具有名为"admin"的管理员帐户和"admin"或"密码"密码的无线访问点。确保禁用、重命名或更改其密码短语有助于降低攻击者利用默认帐户的可能性。
禁用网络设备上未使用的物理端口
禁用网络设备(如交换机、路由器和无线接入点)上未使用的物理端口可减少攻击者连接到网络的机会(如果他们可以获得对网络设备的物理访问权限)。
服务器之间的功能分离
在服务器之间实现功能分离可以降低被对手破坏的服务器对其他服务器构成安全风险的安全风险。
服务器与其他服务器保持有效的功能分离,允许它们独立运行。
服务器在网络和文件系统级别最大限度地减少与其他服务器的通信。
管理流量
实施专门针对管理流量的安全措施可在攻击者找到连接到该网络的机会时在网络上提供另一层防御。这也使得攻击者更难枚举网络。
使用简单的网络管理协议
简单网络管理协议 (SNMP) 可用于监视交换机、路由器和无线接入点等网络设备的状态。SNMP 的前两次迭代本质上是不安全的,因为它们使用了简单的身份验证方法。此外,强烈建议更改网络设备上的所有默认 SNMP 社区字符串,并将访问限制为只读访问。
网络设备上的所有默认 SNMP 团体字符串都将更改并禁用写入访问权限。
使用基于网络的入侵检测和防御系统
基于网络的入侵检测系统 (NIDS) 或基于网络的入侵防御系统 (NIPS) 如果配置正确并得到适当进程和资源的支持,则可以成为识别和响应已知入侵配置文件的有效方法。
此外,为违反防火墙规则集中任何规则的数据流生成警报可以帮助安全人员响应由于防火墙故障或配置更改而进入网络的可疑或恶意流量。
NIDS 或 NIPS 部署在组织网络与其不管理的其他网络之间的所有网关中。
网关中的 NIDS 或NIPS位于最外层的防火墙内,并配置为为违反防火墙规则集中任何规则的任何数据流生成日志条目和警报。
在非互联网网关中部署NIDS或NIPS时,它们被配置为监控异常的行为模式或流量,而不是基于互联网的通信协议签名。
阻止匿名网络流量
从匿名网络(如Tor,Tor2web和I2P)到组织面向互联网的服务的入站网络连接可以被对手用于侦察和恶意软件交付目的,同时将检测和归因风险降至最低。因此,应阻止此流量,前提是它不会对合法用户的可访问性产生重大影响。例如,某些组织可能会选择支持与其网站的匿名连接,以满足出于隐私原因希望保持匿名的个人的需求。在这种情况下,建议记录和监控来自匿名网络的流量。此外,恶意软件可能会将与匿名网络的出站网络连接用于命令和控制或数据泄露,并且应该阻止它们,因为它们很少具有合法的业务用途。
从匿名网络到面向 Internet 的服务的入站网络连接将被阻止。
无线网络
选择无线设备
已通过 Wi-Fi 联盟认证计划认证的无线设备可为组织提供符合无线标准的保证。部署保证可与其他无线设备互操作的无线设备将防止无线网络出现问题。
用于公共访问的无线网络
当组织为公众提供无线网络时,将此类无线网络连接到任何其他网络或与之共享基础设施,为攻击者创建一个额外的入口点,以针对连接的网络来窃取数据或中断服务。
无线接入点的管理界面
管理界面允许用户修改无线接入点的配置和安全设置。默认情况下,无线接入点通常允许用户通过固定网络连接、无线网络连接和串行连接等方法访问管理界面。禁用无线接入点上无线网络连接的管理界面将有助于防止未经授权的连接。
无线接入点上的管理界面对于无线网络连接处于禁用状态。
默认设置
某些无线访问点和无线设备附带默认的服务集标识符 (SSID) 和/或弱默认配置设置。由于无线访问点的默认 SSID 通常记录在 Internet 论坛中,以及默认帐户和密码短语中,因此更改无线访问点的默认 SSID 以及所有无线设备的默认密码和弱配置设置非常重要。
更改默认 SSID 时,重要的是新的 SSID 不会对组织的无线网络造成过度关注。在这样做时,无线网络的SSID不应轻易与组织,其场所的位置或无线网络的功能相关联。
通常建议降低无线网络配置文件的一种方法是禁用 SSID 广播。虽然这确保了无线网络的存在不会使用信标帧公开广播,但SSID仍然在探测请求,探测响应,关联请求和重新关联请求中广播。因此,通过捕获这些请求和响应,很容易确定无线网络的 SSID。通过禁用SSID广播,组织将使用户更难以连接到无线网络。此外,攻击者可以配置恶意无线访问点,以广播与合法无线网络使用的隐藏SSID相同的SSID,从而欺骗用户或设备自动连接到对手的恶意无线访问点。在此过程中,攻击者可以窃取身份验证凭据,以便访问合法的无线网络。出于这些原因,建议组织启用 SSID 广播。
非公共无线网络的 SSID 不容易与组织、其场所的位置或无线网络的功能相关联。
静态寻址
为访问无线网络的设备分配静态 IP 地址可以防止在连接到无线网络时为恶意设备分配可路由的 IP 地址。但是,某些对手将能够确定合法用户的 IP 地址,并使用此信息来猜测或欺骗无线网络的有效 IP 地址范围。将设备配置为使用静态 IP 地址会带来管理开销,而不会带来任何明显的安全优势。
媒体访问控制地址筛选
连接到无线网络的设备通常具有唯一的媒体访问控制 (MAC) 地址。因此,可以在无线访问点上使用 MAC 地址筛选来限制哪些设备可以连接到无线网络。虽然此方法会带来管理开销,但它可以防止恶意设备连接到无线网络。但是,某些对手将能够确定已在无线网络上的合法用户的有效 MAC 地址。然后,攻击者可以使用此信息来欺骗有效的 MAC 地址并访问无线网络。MAC 地址筛选会带来管理开销,但没有任何明显的安全优势。
MAC 地址筛选不用于限制哪些设备可以连接到无线网络。
无线网络流量的机密性和完整性
由于无线网络通常能够从安全空间外围访问,因此所有无线网络流量都需要适当的加密保护。为此,建议使用 Wi-Fi 保护访问 3 (WPA3),因为它提供与其前身 Wi-Fi 保护访问 2 (WPA2) 相当或更高的安全性。WPA3还禁止使用各种过时和不安全的密码套件。
WPA3-Enterprise 支持三种企业操作模式:仅企业模式、转换模式和 192 位模式。首选 WPA3-Enterprise 192 位模式,因为此模式包含满足商业国家安全算法套件要求的更改,并确保不使用具有已知弱点的算法。但是,如果使用任何其他 WPA3-企业模式,则应禁用身份验证和密钥管理套件 00-0F-AC:1(如果此选项可用)。
WPA3-Enterprise 192 位模式用于保护所有无线网络流量的机密性和完整性。
802.1X 身份验证
WPA3-Enterprise 使用 802.1X 身份验证,这需要使用可扩展身份验证协议 (EAP)。WPA2 和 WPA3 都支持许多 EAP 方法。
可扩展身份验证协议传输层安全性 (EAP-TLS) 被认为是最安全的 EAP 方法之一,并得到广泛支持。它使用公钥基础结构通过使用 X.509 证书来保护设备与远程访问拨入用户服务 (RADIUS) 服务器之间的通信。虽然 EAP-TLS 提供强大的相互身份验证,但它要求组织已建立公钥基础结构。这涉及为访问无线网络的每个设备部署自己的证书颁发机构和颁发证书,或从商业证书颁发机构购买证书。虽然这会带来额外的成本和管理开销,但安全优势非常显著。
使用 EAP-TLS 的 802.1X 身份验证,使用 X.509 证书,用于相互身份验证;在请求和身份验证服务器上禁用所有其他 EAP 方法。
如果可用于 EAP-TLS 实现,则使用用户标识机密性。
评估 802.1X 身份验证实现
802.1X 身份验证的安全性取决于四个主要元素以及它们之间的交互方式。这四个元素包括请求方、身份验证器、无线接入点和身份验证服务器。为确保这些要素已正确实施,它们应已完成评估。
在无线网络中使用已评估的请求方、身份验证器、无线访问点和身份验证服务器。
生成和颁发用于身份验证的证书
向设备颁发证书以访问无线网络时,组织应注意该证书可能被恶意代码窃取。一旦遭到入侵,该证书可以在其他设备上使用,以未经授权访问其颁发的无线网络。组织还应该意识到,在仅向设备颁发证书时,用户执行的任何操作将仅归因于设备,而不是特定用户。
向用户颁发证书以访问无线网络时,证书的形式可以是存储在设备上的证书或存储在智能卡中的证书。在智能卡上颁发证书可提高安全性,但成本更高。具体而言,用户更有可能注意到缺少智能卡并提醒其安全团队,然后安全团队能够吊销 RADIUS 服务器上的凭据,从而最大限度地减少对手访问无线网络的时间。此外,为了降低被盗智能卡被用于未经授权访问无线网络的可能性,可以通过在智能卡上使用个人识别码来实现多因素身份验证。当智能卡授予用户任何形式的管理访问权限时,这一点尤其重要。
证书是使用评估的证书颁发机构解决方案或硬件安全模块生成的。
访问无线网络的设备和用户都需要 Certificate。
Certificate受加密、用户身份验证以及逻辑和物理访问控制的保护。
缓存 802.1X 身份验证结果
使用 802.1X 身份验证时,在成功对设备进行身份验证后,将生成称为成对主密钥 (PMK) 的共享密钥。然后,可以缓存此 PMK,以帮助在无线接入点之间快速漫游。当设备从已通过身份验证的无线访问点漫游时,如果设备在缓存的 PMK 保持有效的情况下漫游回去,则无需执行完全重新身份验证。为了进一步协助漫游,可以将无线访问点配置为将设备预先验证到设备可能漫游到的其他相邻无线访问点。尽管每次设备在无线接入点之间漫游时都要求对其进行完全身份验证是理想的,但如果组织有快速漫游的业务需求,则可以选择使用 PMK 缓存和预身份验证。如果使用 PMK 缓存,则 PMK 缓存周期不应设置为大于 1440 分钟(24 小时)。
PMK缓存周期未设置为大于1440分钟(24 小时)。
快速基本服务集转换
WPA3 标准指定支持快速基本服务集转换 (FT) (802.11r)。FT 是一项功能,旨在提高用户移动性并消除因需要对每个无线接入点进行身份验证而引入的滞后。但是,FT 要求身份验证器请求密钥并将其发送到安全域中的其他身份验证器。如果截获了这些密钥中的任何一个,则所有安全属性都将丢失。因此,必须适当保护通信。因此,FT 应禁用,除非可以确认身份验证器与身份验证器之间的通信由适当的 ASD 批准的加密协议保护,该协议提供机密性、完整性和相互身份验证。
除非身份验证器与身份验证器之间的通信受 ASD 批准的加密协议保护,否则将禁用 FT (802.11r)的使用。
远程身份验证拨入用户服务身份验证
与 802.1X 身份验证过程不同的是身份验证器和 RADIUS 服务器之间发生的 RADIUS 身份验证过程。RADIUS是所谓的身份验证,授权和记帐协议,旨在调解网络访问。但是,RADIUS 不够安全,无法在没有保护的情况下使用。为了保护身份验证器和 RADIUS 服务器之间通信的凭据,通信应使用附加加密层进行封装,例如 RADIUS over Internet Protocol Security 或 RADIUS over Transport Layer Security。
身份验证器和 RADIUS 服务器之间的通信使用 RADIUS over Internet Protocol Security或 RADIUS over Transport Layer Security 进行额外的加密层进行封装。
无线网络之间的干扰
如果多个无线网络部署在近距离,则可能会发生干扰,从而影响无线网络的可用性,尤其是在常用的 802.11b/g (2.4 GHz) 默认信道 1 和 11 上运行时。通过使用频率分离来充分分离无线网络有助于降低这种安全风险。这可以通过使用配置为在最小化重叠频率的信道上运行的无线网络,或者通过同时使用802.11b/g(2.4 GHz)信道和802.11n(5 GHz)信道来实现。但需要注意的是,如果混合使用 2.4 GHz 和 5 GHz 信道,并非所有设备都与 802.11n 兼容并能够连接到 5 GHz 信道。
保护无线网络上的管理框架
通过使用廉价的商业硬件利用不受保护的管理框架,可以执行有效的拒绝服务。802.11 标准不为管理框架提供任何保护,因此不能防止欺骗或拒绝服务活动。但是,802.11w修正案专门针对无线网络上管理帧的保护,应为WPA2启用,在WPA3中,此功能内置于标准中。
无线接入点允许使用 802.11w 修正案来保护管理框架。
无线网络占用空间
与其部署少量以高功率广播的无线接入点,不如部署更多使用较少广播功率的无线接入点,以实现所需的占用空间。这样做的好处是在无线接入点无法使用时提供服务连续性。在这种情况下,可以增加附近无线接入点的输出功率以覆盖占用空间间隙,直到可以更换无法使用的无线接入点。
除了最大限度地减少无线接入点的输出功率以减少无线网络的占地面积外,还可以将射频(RF)屏蔽用于组织的设施。虽然价格昂贵,但这会将无线通信限制在组织控制的区域。组织设施上的射频屏蔽具有防止无线网络从运行的设施外部干扰无线网络的额外好处。
不是部署少量以高功率广播的无线接入点,而是部署更多使用较少广播功率的无线接入点以实现所需的占用空间。
在组织控制区域之外的无线通信的有效范围受到在使用秘密或最高机密无线网络的设施上实施RF屏蔽的限制。
在线服务的服务连续性
基于云的在线服务托管
使用云服务提供商可以允许组织构建高度弹性的在线服务,因为云提供商增加了计算资源,带宽和多个单独的物理站点。组织可以使用自己的基础架构实现相同的结果;但是,这可能需要大量的前期成本,并且仍可能导致动态扩展以满足不断增长的需求的能力有限。在发生拒绝服务攻击的情况下,基于云的托管还可以提供与自托管或其他云托管服务的隔离,以确保其他系统(如电子邮件服务)不受影响。
在线服务的位置策略
使用云服务提供商时,组织需要考虑是否应将其数据锁定到特定区域或可用性区域。在这样做的过程中,指定锁定策略的组织将期望其数据不会被云服务提供商重新定位到不同的区域或可用性区域。
云服务提供商会通知组织有关在线服务的已配置区域或可用性区域的任何更改。
在线服务的可用性规划和监控
重要的是,组织与其云服务提供商之间的连接必须满足组织对带宽、延迟和可靠性的要求。为了支持这一点,组织和云服务提供商应讨论并记录任何特定的网络要求、性能特征或对可用性故障的计划响应,尤其是在存在高可用性要求的情况下。这包括组织和云服务提供商之间的网络连接是否将使用专用通信链路或通过 Internet 进行连接,以及如果主通信链路不可用,任何辅助通信链路是否将提供足够的容量来维持操作要求。
此外,应执行容量监视,以便管理工作负荷并监视联机服务的运行状况。这可以通过连续和实时监控延迟、抖动、数据包丢失、吞吐量和可用性等指标来实现。此外,当性能不符合服务级别协议目标时,应向云服务提供商提供反馈。为此,可以通过集成到安全监视工具中的网络遥测来执行异常检测。
云服务提供商由于真正的需求高峰或拒绝服务攻击而动态扩展资源的能力作为在线服务容量规划过程的一部分进行测试。
如果存在联机服务的高可用性要求,则服务设计为在可用性区域之间自动转换。
如果联机服务存在高可用性要求,则使用拒绝服务缓解服务。
使用内容交付网络
与基于云的托管类似,使用内容交付网络 (CDN) 和拒绝服务缓解服务可以使组织通过利用 CDN 和拒绝服务缓解服务提供商提供的大带宽、地理位置分散的托管位置、流量清理和其他安全控制来创建高弹性的在线服务。
在提供静态、带宽密集型媒体(如图像、声音或视频文件)时,使用 CDN 特别有效。但是,CDN 提供的服务可以包含的基本内容托管,例如 Web 响应缓存、负载平衡、Web 应用程序安全控制或拒绝服务缓解措施。
在配置使用 CDN 或拒绝服务缓解服务时应小心谨慎,以确保对手无法识别组织的 Web 服务器的 IP 地址,因为这可能会绕过保护。此外,应应用适当的网络安全控制,以仅允许组织的服务器、CDN 或拒绝服务缓解服务提供商与授权管理环境之间的通信。
如果网站托管存在高可用性要求,则使用缓存网站的 CDN。
如果使用CDN,则避免泄露组织控制下的Web服务器(称为源服务器)的 IP 地址,并且对源服务器的访问仅限于CDN和授权管理网络。
拒绝服务策略
拒绝服务攻击旨在破坏或降低网站、电子邮件和域名系统服务等在线服务。为了实现这一目标,攻击者可能会使用多种方法来拒绝合法用户访问在线服务:
1.使用多台计算机将大量不需要的网络流量定向到联机服务,以尝试消耗所有可用的网络带宽
2.使用多台计算机将定制流量定向到在线服务,试图消耗在线服务的处理资源
3.劫持在线服务,试图将合法用户从这些服务重定向到对手控制的其他服务。
虽然组织无法避免成为拒绝服务攻击的目标,但他们可以实施许多措施来准备并可能减少目标的影响。这包括与其云服务提供商合作,以确定可能可供使用的拒绝服务检测技术。例如,实时容量报告仪表板根据组织定义的阈值提供带外和实时警报,可帮助快速识别拒绝服务攻击。此外,并非组织提供的所有在线服务或功能都可能是关键业务。了解哪些服务可以通过减少功能,取消优先级,禁用或没有服务来提供,可以帮助组织减少或消除对其他更重要服务的影响,或者释放资源以首先响应更关键的服务。
总体而言,在拒绝服务攻击发生之前为它们做好准备是迄今为止最好的策略,因为一旦它们开始就很难做出反应,并且现阶段的努力不太可能有效。
与云服务提供商讨论了拒绝服务攻击的预防和缓解策略,具体而言:
6.与上游服务提供商的拒绝服务攻击防御安排,以尽可能在上游阻止恶意流量。
确定并记录联机服务的功能和质量、如何维护此类功能以及在拒绝服务攻击期间可以不使用哪些功能。
域名注册商锁定
使用域名注册商锁定可以防止因未经授权删除或转让域名,或对域名注册详细信息进行其他未经授权的修改而导致的拒绝服务。
在线服务的域名通过注册商锁定进行保护,并确认域名注册详细信息是否正确。
通过实时警报监控在线服务
组织应通过实时警报对在线服务执行自动监控,以确保尽快检测到并响应拒绝服务攻击。
对在线服务实施具有实时警报的可用性监视,以检测拒绝服务攻击并衡量其影响。
关键在线服务的隔离
拒绝服务攻击通常集中在高度可见的在线服务上,例如组织的核心网站,以便产生公众明显的影响。通过隔离在线服务(例如,具有一个用于电子邮件和互联网访问的互联网连接以及用于Web托管服务的单独连接),拒绝服务攻击的影响可以仅限于目标服务。
关键在线服务与更有可能成为目标的其他在线服务隔离开来。
为服务连续性做准备
根据拒绝服务攻击的性质,用最小的静态版本替换功能齐全的网站可以帮助提供原本不可能提供的服务级别。
由于数据库集成或存在大型媒体文件(如高分辨率图像或视频),组织的标准全功能网站可能具有更高的处理或资源需求。这些额外的资源要求可能会使网站更容易受到拒绝服务攻击。
网站的静态版本是预先准备的,需要最少的处理和带宽,以便在遭受拒绝服务攻击时至少提供基本级别的服务。
|
注:本文档翻译参考来源为澳大利亚ACSC,部分内容在本文中做了技术性调整,具体实施请参考我国有关标准,本文仅提供为大家提供一个信息安全的思路拓展。
|
原文始发于微信公众号(祺印说信安):信息安全手册之网络指南
评论