网络设备的安全隐患与防护

网络设备的安全隐患与防护

孙海翔

广州中海电信有限公司

摘要：为保证互联网快速便捷地运行，网络设备的正确连接和使用，以及网络设备在安全技术方面的稳定管理，已成为保证互联网正常使用的关键。为应对外来者的入侵，提高网络设备安全技术的功能，保障网络互联互通的正常使用至关重要。本文阐述网络设备在安全技术方面存在的问题及具体解决方案，以及避免外来入侵和进攻造成不必要的经济损失。

关键词：网络设备；防护；安全隐患；网络安全

引言

现阶段，由于我国企业信息化的高速发展，信息网络对企业愈来愈重要，而作为基础的网络设备设施如果受到外来者的攻击，甚至会造成生产数据、业务中断、甚至信息被盗，由于这些攻击对企业造成了很大的影响，因此对网络设备的安全也是一个不可忽略的问题。网络设备是整个网络的关键部件，也是整个网络的关键，网络的工作状况直接影响到网络设备的工作性能和工作状况。因此，网络设备能否稳定、可靠地工作，直接关系到整个网络的安全运行。文章论述了网络设备存在的安全问题，并提出了相应的防范措施，以便使管理者更好地保障网络设备的安全，降低网络受到的侵害。

1.网络设备的安全隐患

1.1物理性安全

由于它的特殊性，有的网络设备会放在走廊上，有的会放在专门的管理室。如果这些设备可以被路人轻松地访问到这些设备，那么这些设备就容易受到攻击。对于可管理的设备，它具有本地网络管理接口，如果攻击者接触到它，他只需要一台笔记本电脑和一根控制线就可以完完全全操作该设备，将其设置密码认证后，他也可以通过密码适应高设置恢复程序，然后修改攻击。在不受控制的设备中，黑客可能会增加一个密码，破坏原来的线路，使母网瘫痪，使整个网络崩溃。

比如，对于交换机，攻击者可以通过参与网线使其产生一个交换环路，这样就可以让数据包在循环中不停地传送。仅仅是由于数据包数量的增长，使得交换机的CPU无法在任意位置运行，最终导致了网络的崩溃。

1.2管理人员的综合素质

网络管理员作为网络设备的核心，但由于其自身的思想品质和保密性，很容易遭到黑客的社会工程攻击，导致网络设备的信息泄漏。1.3操作系统安全性

网络设备的操作系统通常不是开放源代码，有一定的缺陷，一旦被攻击者发现，就可以对其进行攻击。正如思科公司先前所发布的IOS XR软件一样，它能解决思科GRS路由器的碎片化问题。这些系统自身的缺陷，对设备来说，也是一种潜在的安全威胁。

1.4配置安全的软件协议和服务

一些网络设备的软件协议和服务可以更好地进行数据的传输和管理，但因为配置不当，容易被攻击者所利用。例如以下协议、服务：①思科的“邻居发现协议”（CDP)，是思科在邻近设备上使用的一种邻居协议，它可以让管理员更好地了解网络结构，同时，思科公司的设备也不允许使用这种协议进行验证，也就是说，当两个设备启动了这个协议之后，它们就会自动建立邻居，进行数据交换，并将自己的邻居资料添加到自己的数据库中。只要在任何一个终端上伪造 CDP的数据包，攻击者就可以和这个装置成为邻居，获取其信息。当然，也可以使用泛洪伪造的数据包来对设备进行拒绝服务攻击，这是因为每个CDP数据包都会在资料库中建立一个资料库，而CDP的数量太多，会造成系统持续的CDP建立、超时等问题，造成系统内存不足或 CPU利用率过高，造成数据流不能被传送。②路由协议（如RIP、EIGRP、 OSPF等），是指网络装置在网路层面上进行路由交换、建立资料传送通路、透过多播或广播传送资料包与邻近装置进行资讯交换、以及依据通路指标进行最后的选择。如果路由协议在不合适的介面上被激活，而没有经过验证，攻击者就会伪造路由报文，把路径信息通知到网络装置，从而影响到报文的最后选择，从而导致普通的数据流最终流向“黑洞”，或者被攻击者实施“中间人”的攻击和获取。③生成树协议(STP)，此协议是为了防止交换机中的分组转发环路，最后得到一个树型无环网络拓扑，并确定了交换机的转发路径。STP协议中没有认证信息，根桥是由网络装置的桥接ID决定的，当STR数据包被错误地接收到时，攻击者可以将STP的数据包复制到网络设备上，从而产生一个树结构，从而使网络中出现次优的路径，从而影响到整体的性能。

1.5远程管理的安全

网络设备通常具有远程管理的功能，以便于配置、监控和维护网络设备。远程登陆只要求使用者有自己的IP地址和密码，也就是说，攻击者只要知道我们自己的IP地址（可以通过软件扫描打开的端口），就可以用暴力破解，而密码的难度和时间取决于密码的复杂程度。在对网络设备进行监测与维修时，系统管理员可以通过一个简单的SNMP来远程查询和修改设备状态，而SNMP一般仅需IP和密码。很明显，远程管理也存在着一定的安全风险，为了方便对网络设备的配置、监控和维护，网络设备往往具备远程管理的能力。

2.网络安全设备存在安全隐患的因素

2.1人为因素

  在网络设备的配置和管理中，由于各专业技术人员的技术水平不同，难免会出现人工操作上的错误和疏忽，即便是技术水平高的企业，也容易出现故障。常见的人为因素造成的安全风险主要有：设备密码在设定中，密码为空，密码较简单或没有设置密码，或已设定密码为明码但没有加密；远程管理没有设置访问权限，也就是说，不能正确地控制远程管理终端地址；访问控制配置错误，没有达到预期的目的。

2.2操作系统在网络上运行时易受恶意攻击

网络操作系统是控制网络设备运行、数据转发、路由计算、访问控制等的功能的重要组成部分。不同制造商的网络设备都有各自的定制系统，其性能差别很大，系统漏洞也各不相同。常用的网络操作系统存在以下问题：接收特定非法、格式错误的数据包，导致系统拒绝访问、内存泄漏、完全瘫痪，甚至出现设备完全受控。

2.3网络设备安全防护

通常在默认的情况下，网络设备将向外部提供特定的网络服务，如HTTP、NTP、CDP等，这些服务可以被攻击者使用，为其提供一定的攻击机会。攻击者可能会使用这类不安全的服务，进行远程的拒绝服务攻击，并获取基本的设备信息，或使用这些服务来实现对设备的完全控制。

3关于网络设备的防护的措施

3.1将数据中心与其他网络区域隔离开来

针对企业网络，企业会根据不同的功能去划分区域，把网络也划分为不同的区域。与此同时把每个区域都设置上权限，使其他人没有访问权限，禁止看到企业内部网络信息。但还网络漏洞还是存在的，这会导致数据流失。数据作为网络的核心至关重要，数据中心更是重中之重，所以应该将这个网络区域隔离，设置独立的区域，严格筛查数据中心的数据流。

3.2加强防火墙的安全

在数据中心领域设置防火墙，这个方法可以保障网络安全，当然这也是最有效的措施之一。在连接口处设置防火墙，能够有效拦截黑客的攻击增强数据中心的安全性。其次，防火墙可以有效控制数据中心不被外界人员访问，保护隐私，而且防火墙能够对一些网络异常进行报警处理，使人们发现网络异常并及时采取措施。防火墙还可以报警，在第一时间向管理者报告异常行为，并可以有效进行安全防护。我们可以这样说，防火墙的存在起到了监视和报警作用，同时防火墙上存在的地址转换技术可以把内部的地址隐藏起来，保障服务器安全。因此要想对数据中心的网络安全进行有效防护，首先要保证防火墙的安全防护，提高防火墙的安全度是保障数据中心安全防护的重要措施。

3.3做好防御工作

设置防火墙可以阻止黑客的入侵，阻止他们进入数据中心，但是也不能从根本上消除网络的威胁，因为某些高级黑客会使用更高级的技术，光有防火墙是不行的。网络安全是一个整体，最恐怖的不是那些入侵数据中心的不法人员，而是那些被入侵的应用程序，这些防火墙根本起不到任何作用，所以必须要有更多的保护措施。为了更好的保护措施，必须要有相应的网络安全产品，数据中心可以通过入侵和防御的方式来监视数据中心的防御，防止黑客入侵

3.4定期升级系统

请到厂家网站上定期下载和更新您的操作系统，以防止被攻击。更新要做好运行日志，并制定相应的返工计划，以防止因更新而造成的现有网络不能正常运行。

3.5正确配置协议与服务

配置网络设备，仅在需要的地方才开启相关的协议、服务。在面向终端、用户的接口关闭CDP、LLDP 等协议。如果启用了生成树，交换机应配置好生成树BPDU过滤、根防护。配置路由协议时，配置路由协议时，为了设定必需的验证资讯，并使能宣布进入路径的使用者介面，使用无源介面的功能，而不会从使用者收到讯息或传送讯息给使用者。

3.6对用户名、密码进行加密

该设备的远程控制需要使用用户名或者密码进行校验，并且该密码必须是一种强大的密码，该密码包含多个字符，而非默认密码。在选择远程登录协议时，必须采用ssh，而非telnet，这是一种明文的传输口令，如果攻击者拦截了身份验证的数据包，那么可以直接读取，而SSH则是完全加密的，即使被拦截，也查不到密码。在SNMP协议的选择上，应该选择版本3，因为版本1和2也是明文传送密码，并且不支持用户名和密码对认证。

结束语

网络是一门复杂而又全面的学科。企业在使用互联网时的首要任务是加强网络设备的安全建设，采用一系列符合自身发展的安全技术，落实各项安全措施。只有这样，网络管理者才能更好地保障网络设备的安全，保护企业网络设备免受非法入侵，降低企业风险，做到防患于未然。

参考文献

[1]张平，骆成，葛永辉. 网络设备的安全隐患与防护.计算机软件与理论,2010-05.

[2]张建卫.浅谈计算机网络设备维护与安全管理[J].科技资讯，2013(21).

[3]程君.高职院院校校园网络安全技术研究[J].信息通信，2013(09).

[4]乔健，徐靖.数据中心的网络设备安全防护[J].网络安全技术与应用，2018，209（5）：41-42.

[5]佟连刚.高校据中心机房安全防护体系构建研究[J].教育现代化，2015（14）：69-70.