网络设备安全特性

1.网络设备安全
  网络设备受到的常见攻击如下：
  恶意登录网络设备执行非法操作，例如重启设备。
  伪造大量控制报文造成设备CPU利用率升高，例如发送大量的ICMP报文

2.常见设备安全加固策略
见的设备安全加固策略主要可以从以下方面部署：
A.关闭不使用的业务和协议端口
  在分析业务需求的基础上，按照最小授权原则，关闭不使用的业务和协议端口。
  不使用的物理端口，应该默认配置为关闭，即使插上网线也不能通信
  不使用的协议端口，应该默认配置为关闭，不对外提供访问。如常见的telnet、FTP、HTTP等端口
B.废弃不安全的访问通道
  在业务需求分析的基础上，优先满足业务的访问需求。在同一个访问需求有多种访问通道服务的情况下，废弃不安全的访问通道，而选择安全的访问通道
  设备数据传输安全常见场景及采用协议：
  用户远程登录：
  Telnet：采用TCP协议进行明文传输。
  STelnet：基于SSH协议，提供安全的信息保障和强大的认证功能。
  设备文件操作：
  FTP：支持文件传输以及文件目录的操作，具有授权和认证功能，明文传输数据。
  TFTP：只支持文件传输，不支持授权和认证，明文传输数据。
  SFTP：支持文件传输及文件目录的操作，数据进行了严格加密和完整性保护
  1.SSH协议结构
  SSH协议框架中最主要的部分是三个协议：传输层协议、用户认证协议和连接协议。
  传输层协议：提供版本协商，加密算法协商，密钥交换，服务端认证以及信息完整性支持。
  用户认证协议：为服务器提供客户端的身份鉴别。
  连接协议：将加密的信息隧道复用为多个逻辑通道，提供给高层的应用协议（STelnet、SFTP）使用；各种高层应用协议可以相对地独立于SSH基本体系之外  ，并依靠这个基本框架，通过连接协议使用SSH的安全机制。

 

C.基于可信路径的访问控制
 部署URPF，可以判定某个报文的源地址是否合法，如果该报文的路径与URPF学习的路径不符，丢弃该报文，用URPF可以有效防范IP地址欺骗

 

D.本机防攻击
  本机防攻击包括CPU防攻击和攻击溯源两部分。
  CPU防攻击针对上送CPU的报文进行限制和约束，使单位时间内上送CPU报文的数量限制在一定的范围之内，从而保护CPU的安全，保证CPU对业务的正常处理。
  攻击溯源针对DoS（Denial of Service，拒绝服务）攻击进行防御。设备通过对上送CPU的报文进行分析统计，然后对统计的报文设置一定的阈值，将超过阈值的报文判定为攻击报文，再对这些攻击报文根据报文信息找出攻击源用户或者攻击源接口，最后通过日志、告警等方式提醒管理员以便管理员采用一定的措施来保护设备，或者直接丢弃攻击报文以对攻击源进行惩罚
  1.多级安全机制，保证设备的安全，实现了对设备的分级保护。设备通过以下策略实现对设备的分级保护：
  第一级：通过黑名单来过滤上送CPU的非法报文。
  第二级：CPCAR（Control Plane Committed Access Rate）。对上送CPU的报文按照协议类型进行速率限制，保证每种协议上送CPU的报文不会过多。
  第三级：对上送CPU的报文，按照协议优先级进行调度，保证优先级高的协议先得到处理。
  第四级：对上送CPU的报文统一限速，对超过统一限速值的报文随机丢弃，保证整体上送CPU的报文不会过多，保护CPU安全。
  动态链路保护功能的CPU报文限速，是指当设备检测到SSH Session数据、Telnet Session数据、HTTP Session数据、FTP Session数据以及BGP Session数据建立时，会启动对此Session的动态链路保护功能，后续上送报文如匹配此Session特征信息，此类数据将会享受高速率上送的权利，由此保证了此Session相关业务的运行可靠性、稳定性
  2.攻击溯源原理
  攻击溯源包括报文解析、流量分析、攻击源识别和发送日志告警通知管理员以及实施惩罚四个过程
  通过图中所示的四个过程，找出攻击源，然后管理员通过ACL或配置黑名单的方式限制攻击源，以保护设备CPU


3.本机防攻击配置
A.问题：

   

  如图所示，位于不同局域网的用户通过R1访问Internet。为分析R1受攻击情况，需要配置攻击溯源检查功能记录攻击源信息。管理员发现存在以下现象：
  通过攻击溯源检查功能分析可知，Net1中的某个用户经常会发生攻击行为。
  R1收到大量的ARP Request报文，影响CPU的正常工作。
  R1无法提供FTP服务。
  局域网用户通过DHCP方式动态获取IP地址，但R1未优先处理上送CPU的DHCP报文。
  R1收到大量的Telnet报文。
  管理员希望通过在R1进行配置，以便解决上述问题
B.解决方案
  配置黑名单，将Net1网段中的攻击者（0001-c0a8-0102）列入黑名单，阻止其接入网络。
  配置ARP Request报文上送CPU的速率限制，使ARP Request报文限制在一个较小的速率范围内，减少对CPU处理正常业务的影响。
  配置FTP协议的动态链路保护功能，保证R1正常提供FTP功能。
  配置协议优先级，对DHCP Client报文设置较高的优先级，保证R1优先处理上送CPU的DHCP Client报文。
  关闭R1的Telnet服务器功能，使R1丢弃收到的Telnet报文
C.配置：
  # 配置黑名单使用的ACL。
  [R1] acl number 4001
  [R1-acl-L2-4001] rule 5 permit source-mac 0001-c0a8-0102
  [R1-acl-L2-4001] quit
  # 创建防攻击策略。
  [R1] cpu-defend policy devicesafety
  # 配置攻击溯源检查功能。
  [R1-cpu-defend-policy-devicesafety] auto-defend enable
  [R1-cpu-defend-policy-devicesafety] auto-defend threshold 50
  # 配置黑名单。
  [R1-cpu-defend-policy-devicesafety] blacklist 1 acl 4001
  # 配置ARP Request报文上送CPU的速率限制。
  [R1-cpu-defend-policy-devicesafety] packet-type arp-request rate-limit 64
  # 配置FTP协议动态链路保护功能的速率限制值。
  [R1-cpu-defend-policy-devicesafety] application-apperceive packet-type ftp rate-limit 2000
  # 使能FTP协议动态链路保护功能。
  [R1] cpu-defend application-apperceive ftp enable
  # 应用防攻击策略。
  [R1] cpu-defend-policy devicesafety
  # 关闭telnet server功能。
  [R1] undo telnet server enable