背景
据国家网络与信息安全信息通报中心监测发现,近日有组织发布推文扬言将于近期对我国视频监控系统实施网络攻击破坏活动。同时发现,有“匿名者”黑客声称已掌握我境内大量摄像头控制权限,并公布了70余个闭路电视系统外围探测信息。针对该情况,yh1122银河国际从传统网络和yh1122银河国际BD-LAN网络推出相应的网络防护措施和解决方案。
1..传统网络防护措施
针对传统网络,yh1122银河国际建议从六个方面加强网络防护,以下以yh1122银河国际S4220设备为例,列举相关的措施与方法:
1. 网络设备防管理面攻击
a. 更新设备管理密码,避免使用常规admin、123456等密码,并使能设备密码加密功能。
service password-encryption(默认已经开启)
user XX password XXXXXX (注意使用更强复杂度的密码)
b. 限制登陆密码错误尝试次数和登陆失败抑制登陆时长。
login-secure max-try-time 3 (修改登陆密码错误次数为3次,默认5次)
login-secure forbid-time 60 (修改抑制登陆时长为60分钟,默认10分钟)
c. 限制登录主机,只允许指定的管理主机登录。
ip access-list standard managment
10 permit host X.X.X.X(X.X.X.X为管理主机地址)
exit
line vty 0 15
access-class management in
exit
d. 开启Smurf防攻击,TCP SYN防攻击等安全功能。
ip access-list standard a
10 permit any
exit
ip tcp intercept list a
ip smurf intercept list a
2. 网络设备防控制面攻击
a. 接入交换机开启端口安全,只允许合法设备接入。
interface gigabitethernet 0/1
port-security enable
port-security permit mac-address M.M.M ip-address X.X.X.X(M.M.M为MAC地址,X. X. X. X为IP地址)
exit
b. 采用三层网络且路由量不大时建议开启URPF,防止部分远程DDoS攻击,并删除不必要的缺省路由。
ip urpf
interface gigabitethernet 0/1
ip urpf loose
exit
注:建议只在风险较大的区域边缘交换机开启,且开关URPF可能引起网络瞬间的丢包。
c. 在采用DHCP服务器的网络中建议开启DHCP-Snooping,防止DHCP服务器攻击。
dhcp-snooping
interface gigabitethernet 0/1(0/1为上连DHCP服务器端口)
dhcp-snooping trust
exit
3. 网络设备转发面防攻击
a.关闭不使用端口。
interface gigabitethernet 0/5-0/23 (0/5-0/23为不使用的端口)
shutdown
exit
b.仅允许使用的服务器地址和端口进行转发
视频监控服务器常见的有管理流和视频流两条流,将这两条流明确并限制其他地址的登陆管理。
ip access-list extended a
(以下配置目标服务器为1.1.1.10,目标端口为tcp 80,该流需要根据现网业务进行调整)
10 permit tcp any host 1.1.1.10 eq 80
(以下配置目标服务器为1.1.1.10,目标端口为udp 8000,该流需要根据现网业务进行调整)
10 permit udp any host 1.1.1.10 eq 8000
exit
(在上联端口上应用该QoS策略)
interface gigabitethernet0/4
ip access-group a out
exit
c.开启风暴抑制。
interface gigabitethernet 0/1(所有端口均需开启,通常设备已经默认开启,可通过show storm-control查看)
(以下配置举例中,1000pps为每秒通过1000个该类型的报文,可根据网络情况具体调整该值大小)
storm-control broadcast pps 1000
storm-control multicast pps 1000
storm-control unicast pps 1000
exit
d.边缘QoS优化,保证关键业务优先调度,预防DDoS攻击。在风险较大的接入交换机或边界交换机可以通过部署QoS,避免DDoS攻击产生高优先级报文,阻塞网络,影响关键业务。
(配置高优先级业务的优先级为5)
l3-action-group a
remark l2-priority dot1p-lp 5
exit
(配置低优先级业务的优先级为0)
l3-action-group b
remark l2-priority dot1p-lp 0
exit
ip access-list extended a
(以下配置数据流目的为1.1.1.0 0.0.0.255的业务为高优先级业务,该流需要根据现网业务进行调整)
10 permit ip any 1.1.1.0 0.0.0.255 l3-action-group a
(以下配置业务其它所有数据流均为低优先级业务)
20 permit ip any any l3-action-group b
Exit
(在接入端口上应用该QoS策略)
interface gigabitethernet0/1
ip access-group a in
exit
4. 加强服务器防护
建议更新安全和防病毒软件,定期检查DNS,HOSTS文件是否被篡改。
a.通过防火墙、IPS、WAF等加强对AAA、视频、DNS等服务器防护。可通过端口扫描,系统扫描,漏洞扫描等方式预评估安全性。
b.使用DNS注册时建议使用双因素身份验证。
主机防护
三、yh1122银河国际BD-LAN解决方案防护措施
yh1122银河国际BD-LAN(业务驱动园区网)解决方案由控制器和网络设备共同组成,采用标准的ODL转控分离架构,统一整合全网资源,提供包括园区网络设备的零配置上线,业务自动部署,一键替换,接入认证方式、防病毒、网络异常预警等智能业务。针对本次攻击,yh1122银河国际BD-LAN网络建议增强安全接入、数据安全、网络风险预警相关模块的部署与监控。
安全接入
基于SDN的园区网统一和融合802.1x、WebAuth(与有线无线统一同时支持)、MacAuth多种认证方式,为园区网络中的各类办公、物联、BYOD设备提供更安全和便捷的AnyConnet接入方案。启用安全接入模块,并采用强密码或证书认证,避免非法的客户端、设备接入网络,可有效预防非法终端带来的破坏。
数据安全
基于统一身份引擎与统一策略引擎,将访问控制定义为终端认证、设备可信、动态策略三个维度,将用户名、终端、网络设备、业务子网、用户组、位置及时间等作为判定身份和状态的统一标识。不再单一的将用户与权限绑定、打破设备固化网络策略的限制,通过软件定义更高级别的边界安全。
在网络各个节点,通过对报文中特定字段的解读,实现内网安全的预警,直观呈现可疑报文数量,并将可疑报文加入过滤列表,禁止其通行,有可疑行为发生时,第一时间通知运维人员,运维人员确定安全后,可信任该可疑报文。
对所有接入设备或指定设备一键下发指定病毒策略,防止该病毒的传播;也可通过病毒模板,对所有接入设备或指定设备下发病毒策略。
针对本次攻击,建议更新病毒库,并下发到相应的边界设备;同时注意观察日志和告警,是否出现可疑报文及相关攻击告警,及时阻断攻击。
风险预警
对设备各种性能负载情况、容量指标情况、网络带宽情况进行综合检测分析,形成网络健康分析报表;对潜在风险和网络DDoS攻击等进行预警。当性能容量出现被攻击或业务瓶颈时,控制器可智能的进行预警和提供扩容建议。
针对本次攻击,可以根据网络情况,适当设低相关告警阀值,进一步提前发现网络和设备异常,及时阻断,提前应对。
