网络设备的种类很多,本文继续测评路由器中的访问控制功能,您可前往信创致远http://www.dengbao110.com/了解更多内容。
(七)重要网段应采取技术手段防止地址欺骗。
【描述】
地址欺骗在网络安全测评中比较重要的一个问题,这里的地址可以是MAC地址,也可以是IP地址。目前发生比较多的是ARP地址欺骗,ARP地址欺骗是MAC地址欺骗的一种。 ARP( Address Resolution Protocol,地址解析协议)是一个位于TCP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。从影响网络安全测评连接通畅的方式来看,ARP欺骗分为两种,一种是对网络设备ARP表的欺骗,另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是截获网关数据。它通知网络安全测评设备一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在网络设备中,结果网络设备的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的途径上网。一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。
解决方法为:
一、在网络设备中把所有PC的PMAC输入到一个静态表中,这叫 IP-MAC绑定;
二、在内网所有PC上设置网关的静态ARP信息,这叫 PC IP-MAC绑定。一般要求两个工作都要做,称为 IP-MAC双向绑定。
在关键设备上,比如核心路由器交换机也要采用 IP/MAC地址绑定方式,防止重要网段的地址欺骗。
【检查方法】
在思科路由器中
1)在特权模式下输入命令 show ip a会输出该路由器相关配置信息。
2)检查配置信息中应当存在类似如下配置信息:
arp10.10.10.10000.e268.9980arpa
在华为路由器中:
1)在特权模式下输入命令 display a会输出该路由器相关配置信息。
2)检查配置信息中应当存在类似如下配置信息:
rp static192.168.1.1000014-7855-c7pb
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。
【描述】
对通过远程采用PN拨号技术或通过其他方式连入单位内网的用户,路由器或相关设备应提供用户认证功能,通过配置用户、用户组,并结合访问控制规则可以实现对认证成功的用户允许访问受控资源。
【检查方法】
在思科路由器中:
1)在特权模式下输入命令 show crypto isakmp policy会输出该路由器相关配置信息。
2)检查配置信息中应当存在类似如下配置信息:
crypto isakmp policy 1
md5
authentication pre-share
ifetime 3 600
crypto isakmp key cisco address 10.10.10.1 255. 255 255.0
3)在特权模式下输入命令 show crypto ipsec transform-set会输出该路由器相关配置信息。
4)检查配置信息中应当存在类似如下配置信息:
crypto ipsec transform-set zhang ah-md5-hmac esp-des
crypto map zhang 10 ipsec-isakmp
set peer 10.10.10.1
set transform-set zhang
set pfs group.
match address 100
5)在特权模式下输入命令 show ip access-list会输出该路由器相关配置信息。
6)检查配置信息中应当存在类似如下配置信息
access-list 100 permit tcp host 1.l.1.1 host 2.2.2.2
在华为路由器中:
1)在特权模式下输入命令 display ipsec会输出该路由器相关配置信息。
2)检查配置信息中应当存在类似如下配置信息:
info-center enable
info-center loghost 1.1.1.1 facility local4 language chinese
info-center source default channel loghost log level informational