安全区域边界等保测评
1.边界防护
应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。
[测评方法]
1)应核查在网络边界处是否部署访问控制设备;网闸和防火墙
2)应核查设备配置信息是否指定端口进行跨越边界的网络通信,指定端口是否配置并启用了安全策略acl
3)应采用其他技术手段,如非法无线网络设备定位、核查设备配置信息,终端管控系统等.
(1 )查看网络拓扑图并比对实际的网络链路,确认网络边界设备及链路接入端口 。
执行相关命令,查看设备端口、VLAN信息:
思科:show running-config
show lldp
LLDP是一种链路层协议,用于在网络设备之间交换关于物理连接、设备标识和可配置参数的信息。它允许网络设备自动发现相邻设备、了解它们的属性和能力,并生成拓扑信息。
< H3C>display ip routing-table
显示通过ACL 2000过滤的所有路由的详细信息。
| 字段 | 描述 |
|---|---|
| Destinations | 目的地址个数 |
| Routes | 路由条数 |
| Destination | 目的地址/掩码 |
| Protocol | 发现该路由的路由协议类型 |
| Process ID | 进程号 |
| SubProtID | 路由子协议ID |
| Age | 此路由在路由表中存在的时间 |
| Cost | 路由的度量值 |
| Preference | 路由的优先级 |
| IpPre | IP优先级值 |
| QosLocalID | QoS本地ID |
| Tag | 路由标记 |
| State | 路由状态描述: · Active:有效的单播路由 · Adv:允许对外发送的路由 · Inactive:非激活路由标志 · NoAdv:不允许发布的路由 · Vrrp:VRRP产生的路由 · Nat:NAT产生的路由 · TunE:Tunnel隧道的标志 |
| OrigTblID | 原始路由表ID |
| OrigVrf | 路由所属的原始VPN |
| TableID | 路由所在路由表的ID |
| OrigAs | 初始AS号 |
| NibID | 下一跳ID |
| LastAs | 最后AS号 |
| AttrID | 路由属性ID号 |
| Neighbor | 路由协议的邻居地址 |
| Flags | 路由标志位 |
| OrigNextHop | 此路由的下一跳地址 |
| Label | 标签 |
| RealNextHop | 路由真实下一跳 |
| BkLabel | 备份标签 |
| BkNexthop | 备份下一跳地址 |
| Tunnel ID | 隧道ID |
| Interface | 出接口,即到该目的网段的数据包将从此接口发出 |
| BkTunnel ID | 备份隧道ID |
| BkInterface | 备份出接口 |
| FtnIndex | FTN表项索引 |
| TrafficIndex | 流量统计索引值,取值范围为1~64,N/A表示无效值 |
| Connector | 表示BGP为MD VPN特性所携带的Connector属性,具体取值为BGP对等体在交换VPN-IPv4路由时携带源PE的地址,N/A表示没有该属性 |
| Summary Count | 路由数目 |
应能够对非授权设备私自联到内部网络的行为进行检查或限制
(1 )询问网络管理员采用何种技术手段或管理措施对非授权设备私自连接内部网络的行为进行管控,并在网络管理员的配合下验证其有效性。
(2 )核查所有路由器和交换机等设备的闲置端口是否已经关闭。
思科:show ip interfaces brief
测未使用的端口的Status状态是否为ADM:administratively down
**华为:**display interface brief
[RTD]display interface brief
Brief information on interfaces in route mode:
Link: ADM - administratively down;
Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol[lc1] Primary IP DescriptionGE0/1 ADM DOWN 12.1.1.1
InLoop0 [lc2] UP UP(s) --
Loop0 UP UP(s) 4.4.4.4
NULL0 [lc3] UP UP(s) --
REG0 [lc4] UP -- --
Ser1/0 DOWN DOWN --
锐捷:show run
(2)网络中部署的终端管理系统已经启用,各终端设备均已有效部署,无特权设备。
(3) IP/MAC地址绑定结果。
思科:show ip arp
arp 10.10.10-1 0000.e268.9980 arpa 映射ip和arp
应能够对内部用户非授权联到外部网络的行为进行检查或限制。
(1 )核查是否采用了内网安全管理系统 或其他技术手段对内部用户非授权连接外部网络的行为进行限制或检查。
(2)核查是否限制了终端设备相关端口的使用,例如是否通过禁用双网卡、USB接口、调制解调器、无线网络等来防止内部用户进行非授权外联。
例如禁止更改网络配置,以及禁用双网卡、USB接口、调制解调器、无线网络等。
应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
(1)询问网络管理员网络中是否有授权的无线网络,以及这些无线网络是否是在单独
组网后接入有线网络的。
(2)核查无线网络的部署方式。核查是否部署了无线接入网关、无线网络控制器等设
备。检查无线网络设备的配置是否合理,例如无线网络设备信道的使用是否合理,用户口
令的强度是否足够,以及是否使用WPA2加密方式等。
(3)核查网络中是否部署了对非授权的无线设备的管控措施,以及是否能够对非授权
的无线设备进行检查、屏蔽,例如是否使用无线嗅探器、无线入侵检测/防御系统、手持式
无线信号检测系统等相关工具进行检测和限制。
2.访问控制
应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。
(1)核查网络边界或区域之间是否部署了访问控制设备,是否启用了访问控制策略。
思科:show run
(2)核查设备的访问控制策略是否为白名单机制,是否仅允许授权的用户访问网络资源,是否禁止了其他所有网络访问行为。
(3)核查所配置的访问控制策略是否实际应用到了相应接口的进或出的方向。
1、扩展知识:
1、基于ACL规则的访问控制技术
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器、三层交换机和包过滤防火墙等,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
包过滤防火墙是用一个软件查看所流经的数据包的包头,由此决定整个包的命运。包过滤防火墙根据事先定义的ACL规则对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤防火墙不检测会话状态和数据包内容。
2、基于状态检测的访问控制技术
状态检测防火墙采用了“状态检测”机制来进行包过滤。“状态检测”机制以流量为单位来对报文进行检测和转发,即对一条流量的第一个报文,进行包过滤规则检查,并将判断结果作为该条流量的“状态”记录下来。对于该流量的后续报文都直接根据这个“状态”来判断是转发还是丢弃,而不会再次检查报文的数据内容。这个“状态”就是我们平常所述的会话表项。这种机制迅速提升了防火墙产品的检测速率和转发效率,已经成为目前主流的包过滤机制。
应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化。
(2)访问控制策略的优先级配置合理。
Cisco IOS为例,可'以输入"show running-config”
全通策略已被禁: access-list 100 permit tcp any host any eq any
应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。
思科:“showrunning-config”
应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。
1.核查状态检测防火墙 的访问控制策略中是否明确设定了源地址、目的地址、源端口、目的端口和协议。
2.要查看边界设备是否关闭了不必要的服务(可选)包括:CDP、TCP/UDP Small service、Finger、B0OTp、IP Source Routing、ARP-Proxy、IP Directed Broadcast、WINS和 DNS。
3. 命令抽查设备访问控制列表限制的端口级情况(查看ACL的eq值)
应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
在网络边界处采用下一代防火墙或相关安全组件,实现基于应用协议和应用内容的访问控制。通过防火墙配置应用访问控制策略,根据应用协议、应用内容进行访问控制,对即时聊天工具、视频软件及Web服务、FTP服务等进行管控。
1**、基于应用协议和应用内容的访问控制技术**
应用层防火墙,也称应用防火墙,是一种防火墙,经由应用程序或服务来控制网络封包的流入、流出与系统调用,因为运作在OSI模型中的应用层而得名。它能够监控网络封包,阻挡不符合防火墙设定规则的封包进入、离开以及呼叫系统调用。这类防火墙,通常又可以分成以网络为基础的应用防火墙与以主机为基础的应用防火墙。
2、基于应用协议和应用内容的访问控制技术在NGFW中的应用
基于应用协议和应用内容的访问控制技术,是目前各种应用防火墙安全防护的基础。应用协议识别当前比较流行的技术包括深度包检测技术(DPI)和深度流检测技术(DFI)。DPI技术在进行分析报文包头的基础上,结合不同的应用协议的**“指纹”综合判断所属的应用。DFI是一种流量行为分析的应用识别技术。不同的应用类型体现在会话连接或数据流上的状态各有不同。DPI技术由于可以比较准确的识别出具体的应用,因此广泛的应用于各种需要准确识别应用的系统中,如运营商的用户行为分析系统等;而DFI技术由于采用流量模型方式可以识别出DPI技术无法识别的流量,如P2P****加密流等,当前越来越多的在带宽控制系统中得到应用。应用内容分析,当前各类安全产品主要聚焦在文本、文件提取等技术,提取文本文件后用于敏感信息检索、APT检测等动作,根据检测结果判定是否放行。**
要求通过通信协议转换或通信协议隔离等方式进行数据交换。
4、基于通信协议转换或通信协议隔离的访问控制技术
通信协议转换是一种映射,就是把某一协议的收发信息序列映射为另一协议的收发信息序列。通信协议转换装置就是网关,用于构架网络连接,将一种协议转换为另一种协议。通信协议隔离应用了网络隔离技术,在两个或两个以上的计算机或网络在断开连接的基础上,实现信息交换和资源共享。采用通信协议隔离技术既可以使两个网络实现物理上的隔离,又能在安全的网络环境下进行数据交换。
在电力行业,正向隔离装置和反向隔离装置都应用了通信协议隔离的相关技术。在智能制造行业,随着万物互联和工业互联网的快速发展,通信协议转换装置应用更加普遍。
3 、访问控制技术对比分析
上面小节讨论的访问控制技术的对比分析如下表:
| 访问控制技术 | 优点 | 缺点 | 主要适用场景 |
|---|---|---|---|
| 基于ACL规则的访问控制技术 | 简单、高效 | 仅检测数据包头,不检测会话状态和数据包内容 | 等保一级 路由器、交换机、防火墙等企业边界安全 |
| 基于状态检测的访问控制技术 | 通过会话表,不需要对每个数据包进行规则检查,提升性能 | 不检测数据包的内容 | 等保二级 防火墙等企业边界安全 |
| 基于应用协议和应用内容的访问控制技术 | 访问控制的粒度提升到应用级 | 以应用访问控制为核心的NGFW,复杂度提升,防护效果一般 | 等保三级 NGFW等企业边界安全 |
| 基于通信协议转换或通信协议隔离的访问控制技术 | 网络隔离 | 生产效率低下,阻碍企业互联互通的发展 | 等保四级 网闸等网络隔离安全 |
| 基于零信任架构的访问控制技术 | 用户(设备)到应用的访问控制最小化授权 | 在安全策略自适应未解决时,部署周期较长 | 所有企业远程办公、数据中心安全、云安全、工业互联网安全等 |
3.入侵防范
应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。
例如抗APT[lc5] 攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统、入侵检测系统(IDS)、入侵防御系统(IPS)、包含入侵防范模块的多功能安全网关(UTM)等。
(1)核查相关系统或设备是否能够检测到从外部发起的网络攻击行为。
(2)核查相关系统或设备的规则库是否已经更新到最新版本。
(3)核查相关系统、设备配置信息或安全策略是否能够覆盖网络中的所有关键节点。
(4)测试验证相关系统或设备的安全策略是否有效。
应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。
< H3C>display monitor-link group all[lc6]
思科:show server-name
server-name****可以是以下几种:
- arp: 显示ARP(地址解析协议)表,用于将IP地址映射到MAC地址。
- cdp: 显示CDP(Cisco Discovery Protocol)信息,用于发现和查看连接至同一网络上的邻居Cisco设备的信息。
- class-map: 显示QoS(Quality of Service)类别映射,用于对数据包进行分类和处理。
- crypto: 显示加密模块的状态和配置信息,用于网络安全和加密操作。
- hosts: 显示IP域名、查找样式、名称服务器和主机表的配置信息。
- interfaces: 显示接口的状态和配置信息,如Ethernet接口或序列接口。
- ip: 显示IP相关的信息,如接口IP地址、路由表、邻居发现等。
- lldp: 显示LLDP(链路层发现协议)信息,用于自动发现和查看相邻网络设备的信息。
- policy-map: 显示QoS策略映射,用于定义和应用QoS策略。
- sessions: 显示Telnet连接的信息。
- ssh: 显示SSH服务器连接的状态。
- tcp: 显示TCP连接的状态,如开启的TCP连接列表。
应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。
(1 )核查是否部署了网络回溯系统或抗APT攻击系统等对新型网络攻击行为进行检测和分析。
(2)核查相关系统或设备的规则库是否已经更新到最新版本。
(3)测试验证是否能够对网络行为进行分析,是否能够对网络攻击行为特别是未知的新型网络攻击行为进行检测和分析。
当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
(1)访谈网络管理员和查看网络拓扑结构,核查在网络边界处是否部署了具有入侵防范功能的设备。如果部署了相应的设备,则检查设备的日志记录,查看其中是否记录了攻击源IP地址、攻击类型、攻击目的、攻击时间等信息,了解设备采用何种方式进行报警。
(2)测试验证相关系统或设备的报警策略是否有效。
4. 恶意代码和垃圾邮件防范
应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。
(I)访谈网络管理员和检查网络拓扑结构,核查在网络边界处是否部署了防恶意代码产品。如果部署了相关产品,则查看是否启用了恶意代码检测及阻断功能,并查看日志记录中是否有相关信息。
(2 )访谈网络管理员,了解是否已对防恶意代码产品的特征库进行升级及具体的升级方式,登录相应的防恶意代码产品,核查其特征库的升级情况(当前是否为最新版本)。
(3 )测试验证相关系统或设备的安全策略是否有效。
应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更动
(I)核查在关键网络节点处是否部署了防垃圾邮件设备或系统。
(2)核查防垃圾邮件产品的运行是否正常,以及防垃圾邮件规则库是否已经更新到最新版本。
(3)测试验证相关设备或系统的安全策略是否有效。
5.安全审计
应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
(1)核查是否部署了综合安全审计系统或具有类似功能的系统平台。
(2)核查安全审计范围是否覆盖每个用户,是否对重要的用户行为和重要安全事件进行了审计。
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
6 可信验证
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
(1)核查是否基于可信根对设备的系统引导程序、系统程序、重要配置参数和关键应用程序等进行了可信验证。
(2)核查是否在应用程序的关键执行环节进行了动态可信验证。
(3)测试验证在检测到设备的可信性受到破坏后是否能进行报警。
(4)核查测试验证结果是否以审计记录的形式被送至安全管理中心。
1、加密传输;
2、账号密码登录;
3、必须通过堡垒机进行操作;
4、要进行权限设置,例如修改重要配置参数必须要管理员身份
[lc1]Link 和 Protocol 则分别指接口的物理层状态和协议层状态
[lc2]InLoop0 表示该接口是虚拟回环接口,同时它支持 IP 欺骗(spoofing)功能。回环接口是一种特殊类型的接口,通常用来测试和诊断网络连接。
[lc3]NULL0 接口是一个虚拟接口,通常用来消耗某些路由协议中需要使用的网络号,即所有发往该网络号的数据包将会被丢弃。这种方式也称为黑洞路由 (Blackhole route),可以用来阻止某些不需要的数据流量,例如 DDoS 攻击等。
[lc4]GE0 接口通常是指千兆以太网 (Gigabit Ethernet) 接口,可以用于连接其他设备,例如服务器、交换机或路由器等。
[lc5]APT(Advanced Persistent Threat)是一种高级持续性威胁,它通常指代针对特定目标进行长期、精心策划和持续的攻击活动。APT 攻击通常由高度专业化和有组织的黑客、间谍组织或国家级威胁行为者进行。
[lc6]display monitor-link group all 是一条 H3C 网络设备(例如交换机)的命令,用于显示所有监控链路组的信息。
在网络设备中,监控链路是用于监视设备之间的链路连接状态和性能的一种特殊配置。通过监控链路,网络管理员可以获取链路的运行状态、带宽利用率、丢包情况等信息,以便进行故障排除、性能优化和网络规划等工作。