3. 安全維護 過時的硬件和軟件可能包含眾所周知的漏洞����,并為攻擊者利用網(wǎng)絡(luò)提供了一種簡單的機制。通過定期將硬件和軟件升級到供應(yīng)商支持的較新版本��,可以緩解這些漏洞��。此外���,在使用之前和使用過程中��,應(yīng)驗證下載軟件的完整性�。應(yīng)定期進行安全維護�,以確保設(shè)備繼續(xù)安全運行。 升級硬件和軟件���,確保效率和安全性�。 3.1 驗證軟件和配置的完整性攻擊者可以通過修改操作系統(tǒng)文件、內(nèi)存中運行的可執(zhí)行代碼或加載網(wǎng)絡(luò)設(shè)備操作系統(tǒng)的固件或引導(dǎo)加載程序��,將惡意軟件引入網(wǎng)絡(luò)設(shè)備�。攻擊者可以使用在網(wǎng)絡(luò)設(shè)備上惡意修改的軟件來破壞數(shù)據(jù)完整性、泄露敏感信息并導(dǎo)致拒絕服務(wù)(DoS)�。 NSA建議通過將文件的加密哈希與供應(yīng)商發(fā)布的已知良好的哈希進行比較,來驗證設(shè)備上安裝和運行的操作系統(tǒng)文件的完整性��。升級操作系統(tǒng)文件時����,請在安裝之前和之后對文件執(zhí)行相同的完整性驗證,以確保未進行任何修改���?��?梢允褂靡韵耬xec命令在操作系統(tǒng)映像文件上計算基本的聯(lián)機哈希: verify
/sha512 <PATH:filename> 較舊的設(shè)備可能僅支持消息摘要 5 (MD5) 哈希,可以使用以下 exec 命令計算該哈希: verify
/md5 <PATH:filename> 計算的哈希值可以與https://www./的支持頁面上為文件發(fā)布的信息進行比較���。有關(guān)網(wǎng)絡(luò)設(shè)備驗證的詳細信息,請參閱“網(wǎng)絡(luò)設(shè)備完整性(NDI)方法”���、“https://www./iad/library/reports/network-device-integrity-ndi-cisco-ios-devices.cfmCiscoIOS設(shè)備上的網(wǎng)絡(luò)設(shè)備完整性(NDI)”和“驗證硬件和軟件的完整性https://www./iad/library/ia-guidance/security-tips/validate-integrity-of-hardware-and-software.cfm”文檔����。 對手可以選擇簡單地更改配置,而不是執(zhí)行這些更復(fù)雜的軟件修改���。配置更改可能表示設(shè)備已遭到入侵����。 NSA還建議實施配置更改控制過程�,該過程可以安全地創(chuàng)建設(shè)備配置備份,以檢測未經(jīng)授權(quán)的修改����。當(dāng)需要更改配置時,請記錄更改并包括授權(quán)�、目的和任務(wù)理由。通過將當(dāng)前設(shè)備配置與最新備份進行比較�,定期驗證是否未應(yīng)用修改。如果觀察到可疑更改����,請驗證更改是否已獲得授權(quán)。 3.2 維護正確的文件系統(tǒng)和引導(dǎo)管理許多網(wǎng)絡(luò)設(shè)備至少有兩種不同的配置��,一個或多個保存在持久性存儲中�����,一個在內(nèi)存中運行主動副本。應(yīng)保存或提交對配置的永久更改���,以防止在設(shè)備重新啟動或斷電時出現(xiàn)配置不一致�����?����?梢允褂靡韵耬xec命令將配置更改保存在設(shè)備上: copy
running-config startup-config 如果更改是臨時的����,NSA建議在更新的配置行之前插入注釋��,以包括進行更改的原因以及何時可以刪除���,并在適當(dāng)?shù)臅r間刪除注釋和臨時更改�。如果設(shè)備不支持注釋�,請在配置的備份副本中插入注釋��,以便與設(shè)備上的版本進行比較。 遠程復(fù)制配置時使用加密協(xié)議�����,例如安全文件傳輸協(xié)議(SFTP)或安全復(fù)制協(xié)議(SCP)���。必須保護用于備份或歸檔配置的復(fù)制機制以及備份存儲庫免受未經(jīng)授權(quán)的訪問��。 NSA還建議檢查每個設(shè)備上是否存在未使用或不必要的文件���,并使用以下 exec 命令將其刪除: dir /recursive all-filesystems delete<PATH:filename>存儲在設(shè)備上的較舊的操作系統(tǒng)文件或過時的備份配置文件很可能是不必要的,應(yīng)將其刪除�����。存儲多個版本的軟件為對手提供了重新加載過時軟件的機會����,并重新引入在較新版本的操作系統(tǒng)中修補的漏洞。 3.3 維護最新的軟件和操作系統(tǒng)維護最新的操作系統(tǒng)和穩(wěn)定的軟件可以防止在較新版本中發(fā)現(xiàn)并修復(fù)的關(guān)鍵漏洞和安全問題�����。運行過時操作系統(tǒng)或易受攻擊的軟件的設(shè)備容易受到各種已發(fā)布漏洞的影響����,利用這些設(shè)備是攻擊者用來破壞網(wǎng)絡(luò)的常用技術(shù)���。 NSA建議將所有設(shè)備上的操作系統(tǒng)和軟件升級到供應(yīng)商提供的最新穩(wěn)定版本。升級操作系統(tǒng)可能需要額外的硬件或內(nèi)存升級���,并且獲取新的軟件版本可能需要與供應(yīng)商簽訂維護或支持合同�。某些網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)設(shè)備可能不支持自動更新功能�����,因此可能需要實施申請和安裝過程才能從供應(yīng)商處獲取最新軟件�����。 請參閱表I:供應(yīng)商支持頁面中相應(yīng)供應(yīng)商的支持頁面����,以確定特定設(shè)備的最新操作系統(tǒng)。 表 I:供應(yīng)商支持頁面 供應(yīng)商 | URL | Arista
Networks | https://www./en/support/ | Aruba Networks | https://www./support-services/ |
Vendor | URL | Broadcom | https://www./support | Cisco
Systems | https://www./c/en/us/support/index.html | Dell | https://www./support/home/en-us/ | Extreme Networks | https://www./support/ | F5 | https://www./services/support | Fortinet | https://www./support | Hewlett
Packard Enterprise (HPE) | https://www./us/en/services.html | International
Business Machines (IBM) | https://www.ibm.com/mysupport/ | Juniper
Networks | https://support./support/ | Linksys | https://www./us/support/ | NETGEAR | https://www./support/ | Palo Alto
Networks | https://support./support/ | Riverbed
Technology | https://support./ | Ruckus
Networks | https://support./ | SonicWall | https://www./support/ | TRENDnet | https://www./support/ | Tripp Lite | https://www./support/ | Ubiquiti | https://help./hc/en-us/ | WatchGuard | https://www./wgrd-support/overview |
3.4 與供應(yīng)商支持的硬件保持同步供應(yīng)商最終停止支持特定的硬件平臺��,如果發(fā)生故障���,則無法為這些報廢設(shè)備提供服務(wù)����。除了設(shè)備不穩(wěn)定和內(nèi)存要求問題外�����,由于缺乏軟件更新來修復(fù)已知漏洞����,攻擊者利用設(shè)備的風(fēng)險增加。較新的���、供應(yīng)商支持的硬件平臺具有改進的安全功能�,包括針對已知漏洞的保護���。一旦供應(yīng)商發(fā)布生命周期終止通知或宣布設(shè)備將不再受支持����,NSA建議制定計劃��,根據(jù)供應(yīng)商的建議�,用較新的設(shè)備升級或更換受影響的設(shè)備。應(yīng)立即升級或更換過時或不受支持的設(shè)備,以確保網(wǎng)絡(luò)服務(wù)和安全支持的可用性����。請參閱表I:供應(yīng)商支持頁面中相應(yīng)供應(yīng)商的支持頁面,以確定該供應(yīng)商是否支持特定設(shè)備��。
|
