3. 安全維護(hù) 過時(shí)的硬件和軟件可能包含眾所周知的漏洞�,并為攻擊者利用網(wǎng)絡(luò)提供了一種簡單的機(jī)制。通過定期將硬件和軟件升級到供應(yīng)商支持的較新版本�,可以緩解這些漏洞。此外��,在使用之前和使用過程中�����,應(yīng)驗(yàn)證下載軟件的完整性。應(yīng)定期進(jìn)行安全維護(hù)�,以確保設(shè)備繼續(xù)安全運(yùn)行。 升級硬件和軟件��,確保效率和安全性�。 3.1 驗(yàn)證軟件和配置的完整性攻擊者可以通過修改操作系統(tǒng)文件、內(nèi)存中運(yùn)行的可執(zhí)行代碼或加載網(wǎng)絡(luò)設(shè)備操作系統(tǒng)的固件或引導(dǎo)加載程序�����,將惡意軟件引入網(wǎng)絡(luò)設(shè)備�。攻擊者可以使用在網(wǎng)絡(luò)設(shè)備上惡意修改的軟件來破壞數(shù)據(jù)完整性�����、泄露敏感信息并導(dǎo)致拒絕服務(wù)(DoS)�����。 NSA建議通過將文件的加密哈希與供應(yīng)商發(fā)布的已知良好的哈希進(jìn)行比較��,來驗(yàn)證設(shè)備上安裝和運(yùn)行的操作系統(tǒng)文件的完整性�。升級操作系統(tǒng)文件時(shí),請?jiān)诎惭b之前和之后對文件執(zhí)行相同的完整性驗(yàn)證��,以確保未進(jìn)行任何修改��?����?梢允褂靡韵耬xec命令在操作系統(tǒng)映像文件上計(jì)算基本的聯(lián)機(jī)哈希: verify
/sha512 <PATH:filename> 較舊的設(shè)備可能僅支持消息摘要 5 (MD5) 哈希�,可以使用以下 exec 命令計(jì)算該哈希: verify
/md5 <PATH:filename> 計(jì)算的哈希值可以與https://www./的支持頁面上為文件發(fā)布的信息進(jìn)行比較。有關(guān)網(wǎng)絡(luò)設(shè)備驗(yàn)證的詳細(xì)信息�,請參閱“網(wǎng)絡(luò)設(shè)備完整性(NDI)方法”�����、“https://www./iad/library/reports/network-device-integrity-ndi-cisco-ios-devices.cfmCiscoIOS設(shè)備上的網(wǎng)絡(luò)設(shè)備完整性(NDI)”和“驗(yàn)證硬件和軟件的完整性https://www./iad/library/ia-guidance/security-tips/validate-integrity-of-hardware-and-software.cfm”文檔�。 對手可以選擇簡單地更改配置�,而不是執(zhí)行這些更復(fù)雜的軟件修改�。配置更改可能表示設(shè)備已遭到入侵。 NSA還建議實(shí)施配置更改控制過程��,該過程可以安全地創(chuàng)建設(shè)備配置備份�����,以檢測未經(jīng)授權(quán)的修改��。當(dāng)需要更改配置時(shí)�,請記錄更改并包括授權(quán)、目的和任務(wù)理由�����。通過將當(dāng)前設(shè)備配置與最新備份進(jìn)行比較��,定期驗(yàn)證是否未應(yīng)用修改�����。如果觀察到可疑更改��,請驗(yàn)證更改是否已獲得授權(quán)�����。 3.2 維護(hù)正確的文件系統(tǒng)和引導(dǎo)管理許多網(wǎng)絡(luò)設(shè)備至少有兩種不同的配置�����,一個(gè)或多個(gè)保存在持久性存儲(chǔ)中�����,一個(gè)在內(nèi)存中運(yùn)行主動(dòng)副本��。應(yīng)保存或提交對配置的永久更改��,以防止在設(shè)備重新啟動(dòng)或斷電時(shí)出現(xiàn)配置不一致�����?����?梢允褂靡韵耬xec命令將配置更改保存在設(shè)備上: copy
running-config startup-config 如果更改是臨時(shí)的�,NSA建議在更新的配置行之前插入注釋,以包括進(jìn)行更改的原因以及何時(shí)可以刪除�����,并在適當(dāng)?shù)臅r(shí)間刪除注釋和臨時(shí)更改�����。如果設(shè)備不支持注釋,請?jiān)谂渲玫膫浞莞北局胁迦胱⑨?�,以便與設(shè)備上的版本進(jìn)行比較�。 遠(yuǎn)程復(fù)制配置時(shí)使用加密協(xié)議,例如安全文件傳輸協(xié)議(SFTP)或安全復(fù)制協(xié)議(SCP)��。必須保護(hù)用于備份或歸檔配置的復(fù)制機(jī)制以及備份存儲(chǔ)庫免受未經(jīng)授權(quán)的訪問�。 NSA還建議檢查每個(gè)設(shè)備上是否存在未使用或不必要的文件,并使用以下 exec 命令將其刪除: dir /recursive all-filesystems delete<PATH:filename>存儲(chǔ)在設(shè)備上的較舊的操作系統(tǒng)文件或過時(shí)的備份配置文件很可能是不必要的�,應(yīng)將其刪除。存儲(chǔ)多個(gè)版本的軟件為對手提供了重新加載過時(shí)軟件的機(jī)會(huì)��,并重新引入在較新版本的操作系統(tǒng)中修補(bǔ)的漏洞�。 3.3 維護(hù)最新的軟件和操作系統(tǒng)維護(hù)最新的操作系統(tǒng)和穩(wěn)定的軟件可以防止在較新版本中發(fā)現(xiàn)并修復(fù)的關(guān)鍵漏洞和安全問題。運(yùn)行過時(shí)操作系統(tǒng)或易受攻擊的軟件的設(shè)備容易受到各種已發(fā)布漏洞的影響�,利用這些設(shè)備是攻擊者用來破壞網(wǎng)絡(luò)的常用技術(shù)。 NSA建議將所有設(shè)備上的操作系統(tǒng)和軟件升級到供應(yīng)商提供的最新穩(wěn)定版本�。升級操作系統(tǒng)可能需要額外的硬件或內(nèi)存升級,并且獲取新的軟件版本可能需要與供應(yīng)商簽訂維護(hù)或支持合同�。某些網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)設(shè)備可能不支持自動(dòng)更新功能�����,因此可能需要實(shí)施申請和安裝過程才能從供應(yīng)商處獲取最新軟件。 請參閱表I:供應(yīng)商支持頁面中相應(yīng)供應(yīng)商的支持頁面�����,以確定特定設(shè)備的最新操作系統(tǒng)�。 表 I:供應(yīng)商支持頁面 供應(yīng)商 | URL | Arista
Networks | https://www./en/support/ | Aruba Networks | https://www./support-services/ |
Vendor | URL | Broadcom | https://www./support | Cisco
Systems | https://www./c/en/us/support/index.html | Dell | https://www./support/home/en-us/ | Extreme Networks | https://www./support/ | F5 | https://www./services/support | Fortinet | https://www./support | Hewlett
Packard Enterprise (HPE) | https://www./us/en/services.html | International
Business Machines (IBM) | https://www.ibm.com/mysupport/ | Juniper
Networks | https://support./support/ | Linksys | https://www./us/support/ | NETGEAR | https://www./support/ | Palo Alto
Networks | https://support./support/ | Riverbed
Technology | https://support./ | Ruckus
Networks | https://support./ | SonicWall | https://www./support/ | TRENDnet | https://www./support/ | Tripp Lite | https://www./support/ | Ubiquiti | https://help./hc/en-us/ | WatchGuard | https://www./wgrd-support/overview |
3.4 與供應(yīng)商支持的硬件保持同步供應(yīng)商最終停止支持特定的硬件平臺,如果發(fā)生故障�,則無法為這些報(bào)廢設(shè)備提供服務(wù)。除了設(shè)備不穩(wěn)定和內(nèi)存要求問題外�,由于缺乏軟件更新來修復(fù)已知漏洞,攻擊者利用設(shè)備的風(fēng)險(xiǎn)增加�����。較新的��、供應(yīng)商支持的硬件平臺具有改進(jìn)的安全功能�,包括針對已知漏洞的保護(hù)。一旦供應(yīng)商發(fā)布生命周期終止通知或宣布設(shè)備將不再受支持�����,NSA建議制定計(jì)劃�,根據(jù)供應(yīng)商的建議,用較新的設(shè)備升級或更換受影響的設(shè)備�。應(yīng)立即升級或更換過時(shí)或不受支持的設(shè)備��,以確保網(wǎng)絡(luò)服務(wù)和安全支持的可用性�。請參閱表I:供應(yīng)商支持頁面中相應(yīng)供應(yīng)商的支持頁面�,以確定該供應(yīng)商是否支持特定設(shè)備。
|
