3.管理平面
目前,对设备的远程管理主要采用Telnet,Web等方式,而Telnet,HTTP协议本身都没有提供安全功能,用户数据、用户账号和口令等都是明文传送,很容易被监听窃取,也很容易受到中间人(Man In the Middle)攻击。解决网络设备远程管理问题主要依靠SSH和SSL协议。SSH(Secure Shell)是目前比较可靠的为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。SSL(Secure Socket Layer)协议可以在使用Web方式进行远程管理时对浏览器和Web服务器之间的通信进行加密。
网络安全与设备测试
目前的路由器测试主要针对的是设备的功能、协议、性能等基本能力,随着对IP网络路由器中安全要求的不断提高,路由器本身也需要支持各种各样的安全能力,因此在测试中需要加强对路由器安全能力的测试。对路由器能力的测试同样也可以从数据平面、控制/信令平面和管理平面三个层次来考虑。
(1)抗DoS攻击能力的测试。主要是利用仪表模拟攻击流量,验证被测设备对攻击流量的处理。被测设备应该对异常流量采取丢弃策略,并生成告警日志。
(2)ACL功能测试。验证设备可以提供丰富的ACL功能来对非法流量进行过滤。
(3)防止IP地址欺骗测试。主要是URPF(单播逆向路径转发,Unicast Reverse Path Forwarding)功能的测试。被测设备应具备URPF功能,即设备可以检查数据包的源地址,在FIB表中查找该源地址是否与数据包的来源接口相匹配,如果没有匹配表项将丢弃该数据包。
(4)IPSec协议测试。验证设备是否支持IPSec协议来保证用户数据的机密性。
(5)对协议的控制测试。被测设备应该能够关闭一些可能造成攻击的协议端口或过滤某些可能对网络造成安全隐患的协议报文,如关闭UDP的回应请求端口、过滤源路由数据包等。