3. 安全維護
過時的硬體和軟體可能包含眾所周知的漏洞,並為攻擊者利用網絡提供了一種簡單的機制。通過定期將硬體和軟體升級到供應商支持的較新版本,可以緩解這些漏洞。此外,在使用之前和使用過程中,應驗證下載軟體的完整性。應定期進行安全維護,以確保設備繼續安全運行。
升級硬體和軟體,確保效率和安全性。
3.1 驗證軟體和配置的完整性
攻擊者可以通過修改作業系統文件、內存中運行的可執行代碼或加載網絡設備作業系統的固件或引導加載程序,將惡意軟體引入網絡設備。攻擊者可以使用在網絡設備上惡意修改的軟體來破壞數據完整性、泄露敏感信息並導致拒絕服務(DoS)。
NSA建議通過將文件的加密哈希與供應商發布的已知良好的哈希進行比較,來驗證設備上安裝和運行的作業系統文件的完整性。升級作業系統文件時,請在安裝之前和之後對文件執行相同的完整性驗證,以確保未進行任何修改。可以使用以下exec命令在作業系統映像文件上計算基本的聯機哈希:
verify /sha512 <PATH:filename>
較舊的設備可能僅支持消息摘要 5 (MD5) 哈希,可以使用以下 exec 命令計算該哈希:
verify /md5 <PATH:filename>
計算的哈希值可以與https://www.cisco.com/的支持頁面上為文件發布的信息進行比較。有關網絡設備驗證的詳細信息,請參閱「網絡設備完整性(NDI)方法」、「https://www.iad.gov/iad/library/reports/network-device-integrity-ndi-cisco-ios-devices.cfmCiscoIOS設備上的網絡設備完整性(NDI)」和「驗證硬體和軟體的完整性https://www.iad.gov/iad/library/ia-guidance/security-tips/validate-integrity-of-hardware-and-software.cfm」文檔。
對手可以選擇簡單地更改配置,而不是執行這些更複雜的軟體修改。配置更改可能表示設備已遭到入侵。
NSA還建議實施配置更改控制過程,該過程可以安全地創建設備配置備份,以檢測未經授權的修改。當需要更改配置時,請記錄更改並包括授權、目的和任務理由。通過將當前設備配置與最新備份進行比較,定期驗證是否未應用修改。如果觀察到可疑更改,請驗證更改是否已獲得授權。
3.2 維護正確的文件系統和引導管理
許多網絡設備至少有兩種不同的配置,一個或多個保存在持久性存儲中,一個在內存中運行主動副本。應保存或提交對配置的永久更改,以防止在設備重新啟動或斷電時出現配置不一致。可以使用以下exec命令將配置更改保存在設備上:
copy running-config startup-config
如果更改是臨時的,NSA建議在更新的配置行之前插入注釋,以包括進行更改的原因以及何時可以刪除,並在適當的時間刪除注釋和臨時更改。如果設備不支持注釋,請在配置的備份副本中插入注釋,以便與設備上的版本進行比較。
遠程複製配置時使用加密協議,例如安全文件傳輸協議(SFTP)或安全複製協議(SCP)。必須保護用於備份或歸檔配置的複製機制以及備份存儲庫免受未經授權的訪問。
NSA還建議檢查每個設備上是否存在未使用或不必要的文件,並使用以下 exec 命令將其刪除:
dir /recursive all-filesystems delete<PATH:filename>
存儲在設備上的較舊的作業系統文件或過時的備份配置文件很可能是不必要的,應將其刪除。存儲多個版本的軟體為對手提供了重新加載過時軟體的機會,並重新引入在較新版本的作業系統中修補的漏洞。
3.3 維護最新的軟體和作業系統
維護最新的作業系統和穩定的軟體可以防止在較新版本中發現並修復的關鍵漏洞和安全問題。運行過時作業系統或易受攻擊的軟體的設備容易受到各種已發布漏洞的影響,利用這些設備是攻擊者用來破壞網絡的常用技術。
NSA建議將所有設備上的作業系統和軟體升級到供應商提供的最新穩定版本。升級作業系統可能需要額外的硬體或內存升級,並且獲取新的軟體版本可能需要與供應商簽訂維護或支持合同。某些網絡基礎結構設備可能不支持自動更新功能,因此可能需要實施申請和安裝過程才能從供應商處獲取最新軟體。
請參閱表I:供應商支持頁面中相應供應商的支持頁面,以確定特定設備的最新作業系統。
表 I:供應商支持頁面
|
供應商 |
URL |
|
Arista Networks |
https://www.arista.com/en/support/ |
|
Aruba Networks |
https://www.arubanetworks.com/support-services/ |
|
Vendor |
URL |
|
Broadcom |
https://www.broadcom.com/support |
|
Cisco Systems |
https://www.cisco.com/c/en/us/support/index.html |
|
Dell |
https://www.dell.com/support/home/en-us/ |
|
Extreme Networks |
https://www.extremenetworks.com/support/ |
|
F5 |
https://www.f5.com/services/support |
|
Fortinet |
https://www.fortinet.com/support |
|
Hewlett Packard Enterprise (HPE) |
https://www.hpe.com/us/en/services.html |
|
International Business Machines (IBM) |
https://www.ibm.com/mysupport/ |
|
Juniper Networks |
https://support.juniper.net/support/ |
|
Linksys |
https://www.linksys.com/us/support/ |
|
NETGEAR |
https://www.netgear.com/support/ |
|
Palo Alto Networks |
https://support.paloaltonetworks.com/support/ |
|
Riverbed Technology |
https://support.riverbed.com/ |
|
Ruckus Networks |
https://support.ruckuswireless.com/ |
|
SonicWall |
https://www.sonicwall.com/support/ |
|
TRENDnet |
https://www.trendnet.com/support/ |
|
Tripp Lite |
https://www.tripplite.com/support/ |
|
Ubiquiti |
https://help.ui.com/hc/en-us/ |
|
WatchGuard |
https://www.watchguard.com/wgrd-support/overview |
3.4 與供應商支持的硬體保持同步
供應商最終停止支持特定的硬體平台,如果發生故障,則無法為這些報廢設備提供服務。除了設備不穩定和內存要求問題外,由於缺乏軟體更新來修復已知漏洞,攻擊者利用設備的風險增加。較新的、供應商支持的硬體平台具有改進的安全功能,包括針對已知漏洞的保護。
一旦供應商發布生命周期終止通知或宣布設備將不再受支持,NSA建議制定計劃,根據供應商的建議,用較新的設備升級或更換受影響的設備。應立即升級或更換過時或不受支持的設備,以確保網絡服務和安全支持的可用性。
請參閱表I:供應商支持頁面中相應供應商的支持頁面,以確定該供應商是否支持特定設備。