NSA的网络安全报告之网络基础设施安全指南（二）

关注公众号，回复“220619”获机翻版取“网络基础设施安全指南”

3.   安全维护

过时的硬件和软件可能包含众所周知的漏洞，并为攻击者利用网络提供了一种简单的机制。通过定期将硬件和软件升级到供应商支持的较新版本，可以缓解这些漏洞。此外，在使用之前和使用过程中，应验证下载软件的完整性。应定期进行安全维护，以确保设备继续安全运行。

升级硬件和软件，确保效率和安全性。

3.1  验证软件和配置的完整性

攻击者可以通过修改操作系统文件、内存中运行的可执行代码或加载网络设备操作系统的固件或引导加载程序，将恶意软件引入网络设备。攻击者可以使用在网络设备上恶意修改的软件来破坏数据完整性、泄露敏感信息并导致拒绝服务（DoS）。

NSA建议通过将文件的加密哈希与供应商发布的已知良好的哈希进行比较，来验证设备上安装和运行的操作系统文件的完整性。升级操作系统文件时，请在安装之前和之后对文件执行相同的完整性验证，以确保未进行任何修改。可以使用以下exec命令在操作系统映像文件上计算基本的联机哈希：

verify /sha512 <PATH:filename>

较旧的设备可能仅支持消息摘要 5 （MD5） 哈希，可以使用以下 exec 命令计算该哈希：

verify /md5 <PATH:filename>

计算的哈希值可以与https://www.cisco.com/的支持页面上为文件发布的信息进行比较。有关网络设备验证的详细信息，请参阅“网络设备完整性（NDI）方法”、“https://www.iad.gov/iad/library/reports/network-device-integrity-ndi-cisco-ios-devices.cfmCiscoIOS设备上的网络设备完整性（NDI）”和“验证硬件和软件的完整性https://www.iad.gov/iad/library/ia-guidance/security-tips/validate-integrity-of-hardware-and-software.cfm”文档。

对手可以选择简单地更改配置，而不是执行这些更复杂的软件修改。配置更改可能表示设备已遭到入侵。

NSA还建议实施配置更改控制过程，该过程可以安全地创建设备配置备份，以检测未经授权的修改。当需要更改配置时，请记录更改并包括授权、目的和任务理由。通过将当前设备配置与最新备份进行比较，定期验证是否未应用修改。如果观察到可疑更改，请验证更改是否已获得授权。

3.2  维护正确的文件系统和引导管理

许多网络设备至少有两种不同的配置，一个或多个保存在持久性存储中，一个在内存中运行主动副本。应保存或提交对配置的永久更改，以防止在设备重新启动或断电时出现配置不一致。可以使用以下exec命令将配置更改保存在设备上：

copy running-config startup-config

如果更改是临时的，NSA建议在更新的配置行之前插入注释，以包括进行更改的原因以及何时可以删除，并在适当的时间删除注释和临时更改。如果设备不支持注释，请在配置的备份副本中插入注释，以便与设备上的版本进行比较。

远程复制配置时使用加密协议，例如安全文件传输协议（SFTP）或安全复制协议（SCP）。必须保护用于备份或归档配置的复制机制以及备份存储库免受未经授权的访问。

NSA还建议检查每个设备上是否存在未使用或不必要的文件，并使用以下 exec 命令将其删除：

存储在设备上的较旧的操作系统文件或过时的备份配置文件很可能是不必要的，应将其删除。存储多个版本的软件为对手提供了重新加载过时软件的机会，并重新引入在较新版本的操作系统中修补的漏洞。

3.3  维护最新的软件和操作系统

维护最新的操作系统和稳定的软件可以防止在较新版本中发现并修复的关键漏洞和安全问题。运行过时操作系统或易受攻击的软件的设备容易受到各种已发布漏洞的影响，利用这些设备是攻击者用来破坏网络的常用技术。

NSA建议将所有设备上的操作系统和软件升级到供应商提供的最新稳定版本。升级操作系统可能需要额外的硬件或内存升级，并且获取新的软件版本可能需要与供应商签订维护或支持合同。某些网络基础结构设备可能不支持自动更新功能，因此可能需要实施申请和安装过程才能从供应商处获取最新软件。

请参阅表I：供应商支持页面中相应供应商的支持页面，以确定特定设备的最新操作系统。

表 I：供应商支持页面

3.4  与供应商支持的硬件保持同步

原文始发于微信公众号（祺印说信安）：NSA的网络安全报告之网络基础设施安全指南（二）