合理保护有线网络

在之前的一篇文章中，我介绍了组织可以通过保护对网络设备的物理访问来帮助保护其有线网络的一些步骤。这似乎是一个微不足道的步骤，但黑客故事的数量从“所以，我瞥了一眼，有一个开放的端口（USB，网络，无论如何），我插入它，它是活着的”足够重要，它需要注意这一步骤。

现在，我将介绍一些逻辑步骤，可以从逻辑角度帮助保护您的有线网络。虽然最佳实践包括网络访问控制 （NAC） 解决方案，但如果您需要管理大量端口，NAC 往往价格昂贵；它们也可能需要大量人力来提供和支持。较小的组织可能没有时间和专业知识来制定 NAC 解决方案。大型组织，能够拥有操作NAC的专业知识，可能会发现成本和精力太多而无法承担。

这并不是说你不应该使用NAC或研究它！无论如何，每个组织都应该使用 NAC 解决方案。然而，对于大多数人来说，我们都知道，当满足现实世界的要求和日常运营时，最佳实践往往会受到影响。这里没有耻辱，只是努力提供其他解决方案或选项，以使用可用的工具来保护你所拥有的东西。

控制台端口

在前一篇文章中，我谈到了任何值得他们盐的攻击者如何在他们的诀窍袋中放置控制台电缆。因此，依靠您的“特殊控制台线缆”，您的朋友都没有躺在周围来保持网络设备上的控制台端口安全，这是一个坏主意。逻辑上，在组织中所有交换机的黄金配置中，在该配置脚本中包含命令启用 aaa 控制台。此简单命令可确保控制台端口包含在交换机的其余身份验证、授权和计费 （AAA） 服务中。在控制台端口上启用 AAA 后，如果攻击者确实访问了网络设备并插入了控制台电缆，他们将需要验证访问硬件的凭据，而不是免费访问您的网络。

再一次，不是最复杂的防御，但如果攻击者没有凭证，这个单一的障碍可能会使他们减慢到足以让他们继续前进，绊倒并触发警报，或者花这么多时间被抓住。

虽然这听起来很有趣，但发现违反行为实际上是一件好事。虽然我们从不喜欢我们的网络受到破坏，但如果发生这种情况，确切地知道它何时发生以及谁负责真的很好。在行为中吸引某人会回答很多稍后会提出的问题。
使用受限 VLAN

我们都知道我们应该使用 VLAN。这些虚拟局域网有助于分割网络，以减少广播域和单独的流量。有多种方法（ACL、防火墙）可以实现，但工程师可以通过使用将受限 VLAN 引入网络的基本 IEEE VLAN 标准来摧毁攻击者。

受限 VLAN 只是被指定为牺牲给信息安全 （InfoSec） 神的 VLAN ID。这可以是任何有效的 VLAN ID，只需在整个网络团队中指定和知道即可。识别 ID 后，此受限 VLAN 的关键要素是 ID 不应出现在交换机的上行链路上。VLAN 应用于交换机上未使用的任何和所有端口。

受限 VLAN 配置

这些端口应该从运行到墙壁插孔的电缆上拔下，并且也应被管理禁用，但如果这些步骤被遗漏（因为没有人告诉任何人端口未使用），将这个受限的 VLAN 分配给端口意味着即使攻击者通过墙壁插孔或在房间内访问端口，插入这些未使用的端口也不允许他们离开交换机。没有 DHCP 且无法离开交换机，它们仅限于交换机。

使用此受限 VLAN 的一个好处是，只需查看 VLAN 分配，即可向网络团队快速发送未使用的端口信号。如果该受限 VLAN（上例中的 888 个）被分配给端口，则表示该端口未配置为使用。如果启用，这是一个需要调查的问题。如果显示连接，则再次表示存在需要调查的问题。

最低特权

最低特权的概念再次是一种安全配置，驻留在大多数企业硬件中，但没有得到足够的利用。虽然不像下一代防火墙和深度数据包检查那样丰富多彩，但最小特权的概念是，并不是每个人都需要超级用户访问网络配置，而且他们不需要一直使用它们。最小权限还涉及用户使用完成任务所需的最少访问量的政策和程序，并且仅根据需要针对更敏感的任务“升级”访问。

设置用户对设备或设备组的访问权限时，请设置一个唯一用户帐户，该帐户仅具有该用户所需的访问级别。使用通用超级管理员凭据作为网络的唯一凭据意味着，如果该密码被泄露，攻击者现在可以完全访问网络。所有其他很酷的安全功能都无关紧要，攻击者是否可以将配置更改为自己的喜好。

唯一凭证的另一个好处是，如果需要，审计日志更容易阅读和破译。如果每个人都使用相同的管理员/密码通用凭据，则审核日志无法指向访问设备的人员。像 jpalmer/jimlikescookies 这样的唯一凭证意味着审计日志将显示是 Jim 访问了交换机并进行了更改。如果不允许这些凭据进行配置更改（最小特权），则无法进行更改，甚至无法显示进行这些更改所需的升级凭据。

最后，唯一的凭据意味着当 Jim 离开公司时，只需要从网络中删除他的凭据，而不是每个人（因为通用的管理员用户名和密码）。虽然使用集中式 AAA 服务器进行身份验证更容易完成，但即使没有中央身份验证服务器，它仍然可以完成。

迫使用户在需要时提升其权限，以及使用单独的唯一密码对于授权用户来说可能是他们可能会抱怨的轻微延迟。但这两个步骤可能是攻击者的石墙，即使他们访问了网络。

请记住，这可能是阻碍攻击的最小障碍；我们希望确保我们拥有足够的障碍，攻击者放弃并继续前进。

链接错误禁用

我想涵盖的最后一个逻辑配置可能是我最喜欢的。攻击者通常会试图隐身，因为他们进入网络，所以他们的计划不能停止，直到为时已晚。因此，他们通常不喜欢拔掉任何有源设备，以防网络上出现故障设备警报。此外，由于 Wi-Fi® 接入点等一些设备位于公共区域，并且这些设备可能不经常自行下降和上升，因此很难判断某些设备是无辜地离线还是由于恶意而离线。因此，仅仅检查掉/掉设备是不够的。

由于其可访问性，攻击者将Wi-Fi AP视为网络的一扇大门，因此，他们倾向于攻击它们。可以使用 MAC 学习或 NAC 等方法采取一些步骤来保护这些安全，但 NAC 可能很昂贵，并且 MAC 地址通常打印在设备上。RUCKUS Networks ICX® 交换机具有一个命令，可以免费使用，以帮助防止任何人试图将这些接入点用作网络的敞开式前门。

链路错误禁用切换阈值采样秒内等待秒内时间

每个端口应用，一次一个，或者应用到一系列端口，这个命令看起来很有吸引力，但使用起来相当简单。对于被识别为潜在目标的网络设备（例如，在对公众开放且墙壁插座可访问的大堂中的接入点），配置看起来像这样：

device（config）# 接口以太网 1/1/1
device（config-if-e10000-1/1/1）# 链接-错误-禁用 1 1 0

该示例配置告诉交换机的是，如果交换机的端口 1 在一秒的时间跨度（橙色 1）内下降一次（绿色 1），则端口将错误地禁用（关闭），并且永远不会重新打开（红色 0）。这些参数可以根据需要进行调整，例如仅禁用几秒钟甚至几小时，以及端口在几秒钟内需要下降多少次（例如，5分钟内下降10次）。但是，对于已被确定为易受攻击的区域，在手动重置之前，保持端口永久禁用，允许组织派遣技术人员对硬件进行物理检查，以确保其不会被篡改。

是否耗时？是！

服务是否受到影响？是！

这是否会造成不便？是！

与完全网络漏洞相比，该组织的所有数据被盗且操作系统加密，等待赎金将其解密，这是否更耗时、影响服务、不方便？否！

这些警报可以绑定到其他平台，这些平台甚至可以发送消息和电子邮件，让管理员确切知道该事件何时发生，这是任何调查的关键信息。

最终想法

有足够的逻辑配置和产品来保护您的网络，以填满一千页的书。这里的目标不是涵盖所有这些，只是强调一些可以在没有成本过高的情况下实施的目标。

别误会我，你仍然想在你的IT安全上花一些钱，并采取其他措施来保护你的网络，但我概述的这些步骤可能是InfoSec手册中保护你的网络并在攻击发生之前阻止攻击的一个部分。老实说，这些简单的步骤可以防止攻击，而不是一百万美元的安全投资阻止0-Day的攻击。

请记住，我们需要确保我们专注于小事情来保护我们的网络，以及我们读到的更大，复杂和高调的攻击。如果攻击者可以使用一个简单的，打开的后门，他们就不会冒着暴露超级秘密漏洞的风险。

和我一起进入下一期，我将开始谈论无线安全。如果你能相信，无线安全实际上可以比有线安全更容易实现和控制！