安全區域邊界-(一)邊界防護
安全區域邊界
網路實現了不同系統的互聯互通,但是現實環境中往往需要根據不同的安全需求對系統進行切割,對網路進行劃分,形成不同系統的網路邊界或不同等級保護物件的邊界。按照“一箇中心,三重防禦”的縱深防禦思想,網路邊界防護構成了安全防禦的第二道防線。在不同的網路間實現互聯互通的同時,在網路邊界採取必要的授權接入、訪問控制、入侵防範等措施實現對內部的保護是安全防禦必要的手段。
安全區域邊界針對網路邊界提出了安全控制要求,主要物件為系統邊界和區域邊界等;涉及的安全控制點包括邊界防護、訪問控制、入侵防範、惡意程式碼防範、安全審計和可信驗證。以下將以三級等級保護物件為例,描述各個控制點的檢查方法、檢查物件和預期結果等。
控制點
1.邊界防護
邊界安全防護要從幾個方面來考慮,首先應考慮網路邊界裝置埠、鏈路的可靠,通過有效的技術措施保障邊界裝置物理埠可信,防止非授權的網路鏈路接入;其次,通過有效的技術措施對外部裝置的網路接行為及內部裝置的網路外連行為進行管控,減少外部威脅的引入;同時,對無線網路的使用進行管控,防止因無線網路的濫用而引入安全威脅。
a)**
安全要求:應保證跨越邊界的訪問和資料流通過邊界裝置提供的受控介面進行通訊。
要求解讀:為了保障資料通過受控邊界,應明確網路邊界裝置,並明確邊界裝置物理埠,網路外連鏈路僅能通過指定的裝置埠進行資料通訊。
檢查方法
1.應核查網路拓撲圖與實際的網路鏈路是否一致,是否明確了網路邊界,且明確邊界裝置埠。
2.應核查路由配置資訊及邊界裝置配置資訊,確認是否指定物理埠進行跨越邊界的網路通訊。
以CiscoIOS為例,輸入命令“router#show running-config”,檢視相關配置。
3.應採用其他技術手段核查是否不存在其他未受控埠進行跨越邊界的網路通訊。例如檢測無線訪問情況,可使用無線嗅探器、無線入侵檢測/防禦系統、手持式無線訊號檢測系統等相關工具進行檢測。
測評物件
1.網路鏈路、裝置物理埠
2.配置資訊
期望結果
1.檢視網路拓撲圖,並比對實際的網路鏈路,確認網路邊界裝置及鏈路接入埠無誤。
2.通過相關命令顯示裝置埠、Vlan資訊。
interfaceIP-Address 0K?Method Status Protocol
FastEehernet0/0 192.168.1 YES manual up up
FastEehernet0/1 192.168.12.1YES manual up up
Vlan1 unassigned YES manual administratively down down
顯示路由資訊
IP route 0.0.0.0 0.0.0.0 192.168.12.1
3.通過網路管理系統的自動拓撲發現功能,監控是否存在非授權的網路出口鏈路;通過無線嗅探器排查無線網路的使用情況,確認無非授權WiFi。
b)*
安全要求:應能夠對非授權裝置私自聯到內部網路的行為進行檢查或限制。
要求解讀:裝置的“非授權接入”可能會破壞原有的邊界設計策略,可以採用技術手段和管理措施對“非授權接入”行為進行檢查。技術手段包括部署內網安全管理系統,關閉網路裝置未使用的埠,繫結IP/MAC地址等。
檢查方法
1.應訪談網路管理員,詢問採用何種技術手段或管理措施對非授權裝置私自聯到內部網路的行為進行管控,並在網路管理員的配合下驗證其有效性。
2.應核查所有路由器和交換機等裝置閒置埠是否均已關閉。
以Cisco I0S為例,輸入命令“show ip interfaces brief”
3.如通過部署內網安全管理系統實現系統准入,應檢查各終端裝置是否統一進行了部署,是否存在不可控特殊許可權接入裝置。
4.如採用IP-MAC地址繫結的方式進行准入控制,應核查接入層網路裝置是否配置了IP/MAC地址繫結等措施。
以Cisco IOS為例,輸入命令“show iparp”
測評物件
1.網路管理員
2.裝置閒置埠
期望結果
1.非使用的埠均已關閉,檢視裝置配置中是否存在如下類似配置:
Interface FastEthernet0/1 shutdown。
2.網路中部署的終端管理系統已啟用,且各終端裝置均已有效部署,無特權裝置。
3.IP/MAC地址繫結結果,檢視裝置配置中是否存在如下類似配置:
arp 10.10.10.1 0000.e268.9980 arpa
c)*
安全要求:應能夠對內部使用者非授權連到外部網路的行為並行檢查或限制。
要求解讀:內網使用者裝置上的外部連線埠的“非授權外聯”行為也可能破壞原有的邊界設計策略,可以通過內網安全管理系統的非授權外聯管控功能或者防非法外聯絡統實現“非授權外聯”行為的控制,由於內網安全管理系統可實現包括非授權外連管控在內的眾多的管理功能,建議採用該項措施。通過對使用者非授權建立網路連線訪問非可信網路的行為進行管控,從而減少安全風險的引入。
檢查方法
1.應核查是否採用內網安全管理系統或其它技術手段,對內部使用者非授權連線到外部網路的行為進行限制或檢查。
2.應核查是否限制終端裝置相關埠的使用,如禁用雙網絡卡、USB介面、Modem、無線網路等,防止內部使用者非授權外連行為。
測評物件
1.內網安全管理措施
2.終端裝置相關埠
期望結果
1.網路中部署有終端安全管理系統,或非授權外聯管控系統。
2.網路中各型別終端裝置均已正確部署了終端安全管理系統或外聯管控系統,並啟用了相關策略,如禁止更改網路配置,禁用雙網絡卡、USB介面、Modem、無線網路等。
d)*
安全要求:應限制無線網路的使用,保證無線網路通過受控的邊界裝置接入內部網路。
要求解讀:為了防止未經授權的無線網路接入行為,無線網路應單獨組網並通過無線接入閘道器等受控的邊界防護裝置接入到內部有線網路。同時,應部署無線網路管控措施,對分非授權無線網路進行檢測、遮蔽。
檢查方法
1.應訪談網路管理員是否有授權的無線網路,是否單獨組網後接入到有線網路。
2.應核查無線網路部署方式,是否部署無線接入閘道器、無線網路控制器等裝置。應檢查該型別裝置配置是否合理,如無線網路裝置通道使用是否合理,使用者口令是否具備足夠強度、是否使用WPA2加密方式等。
3.應核查網路中是否部署了對非授權無線裝置管控措施,能夠對非授權無線裝置進行檢查、遮蔽。如使用無線嗅探器、無線入侵檢測/防禦系統、手持式無線訊號檢測系統等相關工具進行檢測、限制。
測評物件
1.網路管理員
2.無線網路部署情況、管控措施
期望結果
1.授權的無限網路通過無線接入網管,並通過防火牆等訪問控制裝置接入到有限網路。無線網路使用了1通道,防止裝置間互相干擾;使用WPA2進行加密;且使用者密碼具備複雜度要求,如:口令長度8位以上,由數字、字母、大小寫及特殊字元組成。
2.通過無線嗅探器未發現非授權無線裝置。
高風險判定
滿足以下條件即可判定為高風險:
內部重要網路與無線網路互聯,且不通過任何受控的邊界裝置,或邊界裝置控制策略設定不當;一旦非授權接入無線網路即可訪問內部重要資源。
補償因素:
對於必須使用無線網路的場景,可從無線接入裝置的管控和身份認證措施、非授權接入的可能性等角度進行綜合分析,酌情判定風險等級。