内网网络安全设计
大中型园区网络典型组网通常分为核心、汇聚、接入三层架构,部分简化的网络可能采用核心,接入两层架构,这在网络安全的设计上并无实质性差异。下文将逐层展开描述网络安全的设计指导。
接入层
接入层作为园区网的边界,为用户提供各种接入方式,是PC终端、网络摄像机、打印机、IP电话、无线终端等设备接入网络的第一层,因此,满足各终端的接入要求是接入层的首要任务。同时,接入层也需要对网络提供保护,防止未经授权的用户和应用进入网络,因此,接入层需要在安全性和可用性方面提供适当的平衡,接入层的安全建议如下。
- 建议开启广播风暴控制
当设备二层以太接口收到广播、组播或未知单播报文时,如果根据报文的目的MAC地址设备不能明确报文的出接口,设备会向同一VLAN内的其他二层以太接口转发这些报文,这样可能导致广播风暴,降低设备转发性能。在接入层下行接口,部署广播、组播、未知单播报文的抑制,可有效减少广播风暴。
- 建议开启DHCP Snooping, 接入交换机上行直接或间接连接DHCP服务器的接口配置成trust
配置DHCP Snooping功能,可有效防止DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将接口设置为信任接口和非信任接口,信任接口正常转发接收到的DHCP报文,非信任接口接收到DHCP服务器响应的DHCP ACK和DHCP OFFER报文后,将丢弃该报文。
直接或间接连接管理员信任的DHCP服务器的接口需要设置为信任接口,其他接口设置为非信任接口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的DHCP Server仿冒者无法为DHCP客户端分配IP地址。
- 建议开启IPSG和DAI
在网络中经常出现利用仿冒合法用户的源IP、MAC等信息的报文访问或攻击网络的情况,导致合法用户无法获得稳定、安全的网络服务。配置IP源防攻击功能,可以防范上述情况的发生。IP源防攻击(IPSG)可以防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。
为了防御中间人攻击,避免合法用户的数据被中间人窃取,可以使能动态ARP检测功能。设备会将ARP报文对应的源IP、源MAC、接口、VLAN信息和绑定表中的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。
- 建议开启端口隔离
建议在接入交换机连接终端的接口上配置端口隔离,加强用户通信安全,同时避免无效的广播报文影响用户业务。
无线接入层
WLAN技术是以无线射频信号作为业务数据的传输介质,这种开放的信道使攻击者很容易对无线信道中传输的业务数据进行窃听和篡改,如非法无线用户、仿冒AP的欺骗、恶意终端的拒绝服务型攻击等。如图3-21所示,WLAN安全设计主要包括以下方面:
- 空口安全:如非法AP、非法终端、非法Ad-hoc网络与拒绝服务型攻击等识别与防护。
- 终端接入安全:确保用户接入无线网络的合法性和安全性。
- 业务安全:保证用户的业务数据在传输过程中的安全性,避免合法用户的业务数据在传输过程中被非法捕获。
- 空口安全设计
为了防止非法设备或干扰设备的入侵,可开启WLAN的WIDS(Wireless Intrusion Detection System,无线入侵检测系统)与WIPS功能,对网络的非法设备进行检测与反制;
为识别网络中的干扰源,进而对其进行定位并消除干扰对网络的影响,可以开启WLAN的频谱分析功能;
频谱分析架构包括频谱采样引擎、频谱分析器、干扰可视化三个部分。
- 频谱采样引擎:采集无线网络的频谱信息,并转发给频谱分析器。
- 频谱分析器:分析频谱数据,识别出干扰源类型,输出干扰设备报告并发送给干扰可视化模块。
- 干扰可视化:呈现干扰源信息,如实时频谱图等。
图3-22 频谱分析示意图为防止WLAN网络受到非法攻击,建议在例如公共区域以及学生宿舍等对安全要求高的场景,启用非法攻击检测功能,对泛洪攻击、弱向量和欺骗攻击等进行检测,自动添加攻击者到动态黑名单中,并发送告警信息从而及时通知管理员。
- 终端接入安全设计WLAN的802.11标准定义提供了WEP、WPA、WPA2和WAPI四种安全策略机制。每种安全策略体现了一整套安全机制,包括无线链路建立时的链路认证方式,无线用户上线时的用户接入认证方式和无线用户传输数据业务时的数据加密方式。表3-22 WLAN安全策略机制的比较
安全机制
特点
WEP
WEP共享密钥认证需要预先配置相同的静态密钥,无论从加密机制还是从加密算法本身,都很容易受到安全威胁,一般不推荐使用。
WPA/WPA2
WPA和WPA2在安全性上几乎没有差别,WPA/WPA2分为企业版和个人版:
WPA/WPA2企业版需要使用认证服务器,推荐在大中型园区网络中企业员工接入使用;
WPA/WPA2个人版提供了简化的模式,不需要认证服务器,推荐在大中园区中访客接入使用,采用WPA/WPA2-PPSK(Private PSK)增强个人版的网络安全性的同时兼顾便捷性;
WAPI
WAPI是中国提出的无线安全标准,WAPI能够提供比WEP和WPA更强的安全性
终端接入的安全设计主要是对终端接入安全策略进行合理规划,兼顾安全性与使用便利性,例如在一个企业中,建议采用WPA/WPA2安全策略。
同时,对于不需要用户间进行互访的场景,建议配置用户间隔离功能。
- 业务安全设计
AP与WAC间的有线网络也会面临IP网络常见的安全威胁,包括探测、篡改与仿冒等。为了提高数据传输的安全性,AP与WAC之间的CAPWAP隧道支持采用DTLS加密方式等,包括:
- 管理报文CAPWAP隧道的DTLS加密;
- 业务数据报文CAPWAP隧道的DTLS加密;
- 敏感信息加密:AP和WAC之间涉及敏感信息传输时,如FTP用户名、FTP用户密码、AP登录用户名、AP登录密码以及业务配置相关的密钥等,可以配置敏感信息加密功能;在WAC间漫游的组网中,WAC之间需要传输一些敏感信息(如用户名、密码等),同样可以配置敏感信息加密功能来保护WAC间传输的数据。
- 完整性校验:CAPWAP报文在WAC和AP设备间进行传输时,有可能被仿真,篡改,或被攻击者恶意构造畸形报文发起攻击,通过完整性校验更好地保护WAC和AP之间的CAPWAP报文。
对于AP与WAC都在内部网络的情况,不需要开启该安全功能;当AP与WAC间或者WAC间涉及跨Internet时建议开启该功能。
- 空口安全设计
核心层
核心层设备处于网络的关键位置,其设备自身的安全至关重要。当核心设备作为集中认证点时,需要考虑CPU性能要能满足大量用户接入时的协议报文处理压力。当核心设备作为网关时,需考虑其ARP安全。
为了保护CPU,保证CPU对正常业务的处理和响应,交换机提供了本机防攻击功能。本机防攻击针对的是上送CPU的报文,主要用于保护设备自身安全,保证已有业务在发生攻击时的正常运转,避免设备遭受攻击时各业务的相互影响。
本机防攻击包括CPU防攻击、攻击溯源、端口防攻击和用户级限速四部分功能,交换机设备在缺省情况已使能。
CPU防攻击
CPU防攻击可以针对上送CPU的报文进行限制和约束,使单位时间内上送CPU报文的数量限制在一定范围之内,从而保护CPU的安全,保证CPU对业务的正常处理。
CPU防攻击的核心部分是CPCAR(Control Plane Committed Access Rate)功能。CPCAR通过对上送控制平面的不同业务的协议报文分别进行限速,来保护控制平面的安全。
攻击溯源
攻击溯源可以针对DoS(Denial of Service)攻击进行防御。设备通过对上送CPU的报文进行分析统计,然后对统计的报文设置一定的阈值,将超过阈值的报文判定为攻击报文,再根据攻击报文信息找出攻击源用户或者攻击源接口,最后通过日志、告警等方式提醒管理员,以便管理员采用一定的措施来保护设备,或者直接丢弃攻击报文以对攻击源进行惩罚。
端口防攻击
端口防攻击是针对DoS攻击的另一种防御方式。它基于端口维度进行防御,可以避免攻击端口的协议报文挤占带宽,导致其他报文丢弃。
设备默认开启常见用户协议如ARP、ICMP、DHCP、IGMP的端口防攻击功能,在用户攻击发生时可以自动将攻击影响隔离到端口范围内,减少对其它端口的影响。
用户级限速
用户级限速指的是基于用户MAC地址识别用户,然后对用户的特定协议报文(ARP/ND/DHCP Request/DHCPV6 Request/IGMP/8021x/HTTPS-SYN)进行限速,使得单个用户在受到DoS攻击的情况下,只影响本用户,不对其他用户带来影响。用户级限速的核心部分是HOST-CAR功能。缺省情况下,已经使能用户级限速功能。
当设备作为接入网关时,设备会收到大量请求本机接口MAC地址的ARP请求报文。如果全部将ARP请求报文上送主控板CPU处理,将会导致CPU使用率过高,影响CPU对正常业务的处理。
为了避免上述危害,可以使能ARP优化应答功能。使能该功能后,对于目的IP地址是本设备接口IP地址的ARP请求报文,接口板直接回复ARP应答,从而可以提高设备防御ARP泛洪攻击的能力。该功能适用于框式交换机设备上安装了多块接口板或盒式交换机堆叠场景。
缺省情况下,ARP优化应答功能处于使能状态,请不要关闭。
