信息安全手冊(cè)之網(wǎng)絡(luò)指南

網(wǎng)絡(luò)設(shè)計(jì)和配置網(wǎng)絡(luò)文檔

網(wǎng)絡(luò)文檔準(zhǔn)確描述網(wǎng)絡(luò)的當(dāng)前狀態(tài)非常重要。這通常包括網(wǎng)絡(luò)設(shè)備，如防火墻、數(shù)據(jù)二極管、入侵檢測(cè)和防御系統(tǒng)、路由器、交換機(jī)以及關(guān)鍵服務(wù)器和服務(wù)。此外，由于該文檔可能被對(duì)手用來協(xié)助破壞網(wǎng)絡(luò)，因此必須對(duì)其進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。

網(wǎng)絡(luò)文檔包括一個(gè)高級(jí)網(wǎng)絡(luò)圖，顯示進(jìn)入網(wǎng)絡(luò)的所有連接;顯示所有網(wǎng)絡(luò)設(shè)備、關(guān)鍵服務(wù)器和服務(wù)的邏輯網(wǎng)絡(luò)圖;和所有網(wǎng)絡(luò)設(shè)備的配置一樣。

網(wǎng)絡(luò)文檔在進(jìn)行網(wǎng)絡(luò)配置更改時(shí)會(huì)更新，并包括"截至 [日期] 的當(dāng)前狀態(tài)"或等效語句。

提供給第三方或在公開招標(biāo)文件中發(fā)布的網(wǎng)絡(luò)文件僅包含其他方進(jìn)行合同服務(wù)所需的詳細(xì)信息。

網(wǎng)絡(luò)分段和隔離

網(wǎng)絡(luò)分段和隔離是最有效的安全控制措施之一，可防止攻擊者在獲得初始訪問權(quán)限后通過網(wǎng)絡(luò)傳播并訪問目標(biāo)數(shù)據(jù)。強(qiáng)制實(shí)施網(wǎng)絡(luò)分段和隔離的技術(shù)還包含日志記錄功能，這些功能對(duì)于檢測(cè)入侵以及在發(fā)生危害時(shí)將受感染的設(shè)備與網(wǎng)絡(luò)的其余部分隔離起來非常有價(jià)值。

網(wǎng)絡(luò)分段和隔離涉及將網(wǎng)絡(luò)分隔為多個(gè)功能網(wǎng)絡(luò)區(qū)域，以保護(hù)重要數(shù)據(jù)和關(guān)鍵服務(wù)。例如，一個(gè)網(wǎng)絡(luò)區(qū)域可能包含用戶工作站，而另一個(gè)網(wǎng)絡(luò)區(qū)域包含身份驗(yàn)證服務(wù)器。網(wǎng)絡(luò)分段和隔離還有助于創(chuàng)建和維護(hù)網(wǎng)絡(luò)訪問控制列表。

網(wǎng)絡(luò)根據(jù)數(shù)據(jù)或服務(wù)的敏感性或關(guān)鍵性分為多個(gè)功能網(wǎng)絡(luò)區(qū)域。

組織網(wǎng)絡(luò)與服務(wù)提供商進(jìn)行網(wǎng)絡(luò)隔離。

使用虛擬局域網(wǎng)使用互聯(lián)網(wǎng)協(xié)議版本 6

互聯(lián)網(wǎng)協(xié)議版本 6 （IPv6） 功能可能會(huì)給網(wǎng)絡(luò)帶來額外的安全風(fēng)險(xiǎn)。因此，使用基于 Internet 協(xié)議版本 4 （IPv4） 的網(wǎng)絡(luò)的組織應(yīng)禁用 IPv6 功能，直到該功能旨在用于幫助大限度地減少網(wǎng)絡(luò)的攻擊面，并確保任何不打算使用的 IPv6 功能都不會(huì)被利用。

為了幫助從IPv4過渡到IPv6，已經(jīng)開發(fā)了許多隧道協(xié)議，旨在允許協(xié)議之間的互操作性。在未明確要求此類功能的網(wǎng)絡(luò)設(shè)備和 ICT 設(shè)備上禁用 IPv6 隧道協(xié)議，將防止對(duì)手通過將 IPv6 數(shù)據(jù)封裝在 IPv4 數(shù)據(jù)包中來繞過傳統(tǒng)的網(wǎng)絡(luò)防御。

無狀態(tài)地址自動(dòng)配置 （SLAAC） 是 IPv6 網(wǎng)絡(luò)中無狀態(tài)互聯(lián)網(wǎng)協(xié)議 （IP） 地址配置的一種方法。SLAAC 降低了組織在網(wǎng)絡(luò)上維護(hù) IP 地址分配的有效日志的能力。因此，應(yīng)避免無狀態(tài) IP 尋址。

除非正在使用 IPv6 功能，否則在雙棧網(wǎng)絡(luò)設(shè)備和 ICT 設(shè)備中禁用 IPv6 功能。

支持 IPv6 的網(wǎng)絡(luò)安全設(shè)備用于 IPv6 和雙棧網(wǎng)絡(luò)。

除非明確要求，否則將在所有網(wǎng)絡(luò)設(shè)備和 ICT 設(shè)備上禁用 IPv6 隧道。

IPv6 隧道被外部連接的網(wǎng)絡(luò)邊界處的網(wǎng)絡(luò)安全設(shè)備阻止。

動(dòng)態(tài)分配的 IPv6 地址以有狀態(tài)方式使用動(dòng)態(tài)主機(jī)配置協(xié)議版本 6 進(jìn)行配置，租約數(shù)據(jù)存儲(chǔ)在集中式日志記錄工具中。

網(wǎng)絡(luò)訪問控制

如果攻擊者連接到網(wǎng)絡(luò)的機(jī)會(huì)有限，則他們破壞該網(wǎng)絡(luò)的機(jī)會(huì)有限。網(wǎng)絡(luò)訪問控制不僅可以防止未經(jīng)授權(quán)訪問網(wǎng)絡(luò)，還可以防止用戶不小心將網(wǎng)絡(luò)連接到另一個(gè)網(wǎng)絡(luò)。

網(wǎng)絡(luò)訪問控制在為需要知道或限制網(wǎng)段之間的數(shù)據(jù)流的特定用戶隔離數(shù)據(jù)時(shí)也很有用。例如，可以允許工作站和用于管理目的的系統(tǒng)之間的計(jì)算機(jī)管理流量，但不允許在標(biāo)準(zhǔn)用戶工作站之間傳輸計(jì)算機(jī)管理流量。

在網(wǎng)絡(luò)上實(shí)施網(wǎng)絡(luò)訪問控制，以防止連接未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備。

實(shí)施網(wǎng)絡(luò)訪問控制是為了將網(wǎng)段內(nèi)和網(wǎng)段之間的流量限制為實(shí)現(xiàn)業(yè)務(wù)目的所需的流量。

網(wǎng)絡(luò)設(shè)備寄存器

維護(hù)并定期審核授權(quán)網(wǎng)絡(luò)設(shè)備的登記冊(cè)有助于確定網(wǎng)絡(luò)上或直接連接到工作站的設(shè)備（如交換機(jī)、路由器、無線接入點(diǎn)和互聯(lián)網(wǎng)加密狗）是否為惡意設(shè)備。使用自動(dòng)發(fā)現(xiàn)和映射工具可以幫助完成此過程。

維護(hù)網(wǎng)絡(luò)設(shè)備寄存器并定期審核。

網(wǎng)絡(luò)設(shè)備的默認(rèn)賬戶

網(wǎng)絡(luò)設(shè)備可以使用默認(rèn)憑據(jù)預(yù)先配置。例如，具有名為"admin"的管理員帳戶和"admin"或"密碼"密碼的無線訪問點(diǎn)。確保禁用、重命名或更改其密碼短語有助于降低攻擊者利用默認(rèn)帳戶的可能性。

網(wǎng)絡(luò)設(shè)備的默認(rèn)賬戶將被禁用、重命名或更改其密碼。

禁用網(wǎng)絡(luò)設(shè)備上未使用的物理端口

禁用網(wǎng)絡(luò)設(shè)備（如交換機(jī)、路由器和無線接入點(diǎn)）上未使用的物理端口可減少攻擊者連接到網(wǎng)絡(luò)的機(jī)會(huì)（如果他們可以獲得對(duì)網(wǎng)絡(luò)設(shè)備的物理訪問權(quán)限）。

網(wǎng)絡(luò)設(shè)備上未使用的物理端口將被禁用。

服務(wù)器之間的功能分離

在服務(wù)器之間實(shí)現(xiàn)功能分離可以降低被對(duì)手破壞的服務(wù)器對(duì)其他服務(wù)器構(gòu)成安全風(fēng)險(xiǎn)的安全風(fēng)險(xiǎn)。

服務(wù)器與其他服務(wù)器保持有效的功能分離，允許它們獨(dú)立運(yùn)行。

服務(wù)器在網(wǎng)絡(luò)和文件系統(tǒng)級(jí)別大限度地減少與其他服務(wù)器的通信。

管理流量

實(shí)施專門針對(duì)管理流量的安全措施可在攻擊者找到連接到該網(wǎng)絡(luò)的機(jī)會(huì)時(shí)在網(wǎng)絡(luò)上提供另一層防御。這也使得攻擊者更難枚舉網(wǎng)絡(luò)。

實(shí)施安全措施以防止未經(jīng)授權(quán)訪問網(wǎng)絡(luò)管理流量。

使用簡(jiǎn)單的網(wǎng)絡(luò)管理協(xié)議

簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 （SNMP） 可用于監(jiān)視交換機(jī)、路由器和無線接入點(diǎn)等網(wǎng)絡(luò)設(shè)備的狀態(tài)。SNMP 的前兩次迭代本質(zhì)上是不安全的，因?yàn)樗鼈兪褂昧撕?jiǎn)單的身份驗(yàn)證方法。此外，強(qiáng)烈建議更改網(wǎng)絡(luò)設(shè)備上的所有默認(rèn) SNMP 社區(qū)字符串，并將訪問限制為只讀訪問。

SNMP 版本 1 和 2 不在網(wǎng)絡(luò)上使用。

網(wǎng)絡(luò)設(shè)備上的所有默認(rèn) SNMP 團(tuán)體字符串都將更改并禁用寫入訪問權(quán)限。

使用基于網(wǎng)絡(luò)的入侵檢測(cè)和防御系統(tǒng)

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) （NIDS） 或基于網(wǎng)絡(luò)的入侵防御系統(tǒng) （NIPS） 如果配置正確并得到適當(dāng)進(jìn)程和資源的支持，則可以成為識(shí)別和響應(yīng)已知入侵配置文件的有效方法。

此外，為違反防火墻規(guī)則集中任何規(guī)則的數(shù)據(jù)流生成警報(bào)可以幫助安全人員響應(yīng)由于防火墻故障或配置更改而進(jìn)入網(wǎng)絡(luò)的可疑或惡意流量。

NIDS 或 NIPS 部署在組織網(wǎng)絡(luò)與其不管理的其他網(wǎng)絡(luò)之間的所有網(wǎng)關(guān)中。

網(wǎng)關(guān)中的 NIDS 或NIPS位于最外層的防火墻內(nèi)，并配置為為違反防火墻規(guī)則集中任何規(guī)則的任何數(shù)據(jù)流生成日志條目和警報(bào)。

在非互聯(lián)網(wǎng)網(wǎng)關(guān)中部署NIDS或NIPS時(shí)，它們被配置為監(jiān)控異常的行為模式或流量，而不是基于互聯(lián)網(wǎng)的通信協(xié)議簽名。

阻止匿名網(wǎng)絡(luò)流量

從匿名網(wǎng)絡(luò)（如Tor，Tor2web和I2P）到組織面向互聯(lián)網(wǎng)的服務(wù)的入站網(wǎng)絡(luò)連接可以被對(duì)手用于偵察和惡意軟件交付目的，同時(shí)將檢測(cè)和歸因風(fēng)險(xiǎn)降至最低。因此，應(yīng)阻止此流量，前提是它不會(huì)對(duì)合法用戶的可訪問性產(chǎn)生重大影響。例如，某些組織可能會(huì)選擇支持與其網(wǎng)站的匿名連接，以滿足出于隱私原因希望保持匿名的個(gè)人的需求。在這種情況下，建議記錄和監(jiān)控來自匿名網(wǎng)絡(luò)的流量。此外，惡意軟件可能會(huì)將與匿名網(wǎng)絡(luò)的出站網(wǎng)絡(luò)連接用于命令和控制或數(shù)據(jù)泄露，并且應(yīng)該阻止它們，因?yàn)樗鼈兒苌倬哂泻戏ǖ臉I(yè)務(wù)用途。

從匿名網(wǎng)絡(luò)到面向 Internet 的服務(wù)的入站網(wǎng)絡(luò)連接將被阻止。

與匿名網(wǎng)絡(luò)的出站網(wǎng)絡(luò)連接被阻止。

無線網(wǎng)絡(luò)選擇無線設(shè)備

已通過 Wi-Fi 聯(lián)盟認(rèn)證計(jì)劃認(rèn)證的無線設(shè)備可為組織提供符合無線標(biāo)準(zhǔn)的保證。部署保證可與其他無線設(shè)備互操作的無線設(shè)備將防止無線網(wǎng)絡(luò)出現(xiàn)問題。

所有無線設(shè)備均通過 Wi-Fi 聯(lián)盟認(rèn)證。

用于公共訪問的無線網(wǎng)絡(luò)

當(dāng)組織為公眾提供無線網(wǎng)絡(luò)時(shí)，將此類無線網(wǎng)絡(luò)連接到任何其他網(wǎng)絡(luò)或與之共享基礎(chǔ)設(shè)施，為攻擊者創(chuàng)建一個(gè)額外的入口點(diǎn)，以針對(duì)連接的網(wǎng)絡(luò)來竊取數(shù)據(jù)或中斷服務(wù)。

提供給公眾訪問的無線網(wǎng)絡(luò)與所有其他網(wǎng)絡(luò)隔離。

無線接入點(diǎn)的管理界面

管理界面允許用戶修改無線接入點(diǎn)的配置和安全設(shè)置。默認(rèn)情況下，無線接入點(diǎn)通常允許用戶通過固定網(wǎng)絡(luò)連接、無線網(wǎng)絡(luò)連接和串行連接等方法訪問管理界面。禁用無線接入點(diǎn)上無線網(wǎng)絡(luò)連接的管理界面將有助于防止未經(jīng)授權(quán)的連接。

無線接入點(diǎn)上的管理界面對(duì)于無線網(wǎng)絡(luò)連接處于禁用狀態(tài)。

默認(rèn)設(shè)置

某些無線訪問點(diǎn)和無線設(shè)備附帶默認(rèn)的服務(wù)集標(biāo)識(shí)符 （SSID） 和/或弱默認(rèn)配置設(shè)置。由于無線訪問點(diǎn)的默認(rèn) SSID 通常記錄在 Internet 論壇中，以及默認(rèn)帳戶和密碼短語中，因此更改無線訪問點(diǎn)的默認(rèn) SSID 以及所有無線設(shè)備的默認(rèn)密碼和弱配置設(shè)置非常重要。

更改默認(rèn) SSID 時(shí)，重要的是新的 SSID 不會(huì)對(duì)組織的無線網(wǎng)絡(luò)造成過度關(guān)注。在這樣做時(shí)，無線網(wǎng)絡(luò)的SSID不應(yīng)輕易與組織，其場(chǎng)所的位置或無線網(wǎng)絡(luò)的功能相關(guān)聯(lián)。

通常建議降低無線網(wǎng)絡(luò)配置文件的一種方法是禁用 SSID 廣播。雖然這確保了無線網(wǎng)絡(luò)的存在不會(huì)使用信標(biāo)幀公開廣播，但SSID仍然在探測(cè)請(qǐng)求，探測(cè)響應(yīng)，關(guān)聯(lián)請(qǐng)求和重新關(guān)聯(lián)請(qǐng)求中廣播。因此，通過捕獲這些請(qǐng)求和響應(yīng)，很容易確定無線網(wǎng)絡(luò)的 SSID。通過禁用SSID廣播，組織將使用戶更難以連接到無線網(wǎng)絡(luò)。此外，攻擊者可以配置惡意無線訪問點(diǎn)，以廣播與合法無線網(wǎng)絡(luò)使用的隱藏SSID相同的SSID，從而欺騙用戶或設(shè)備自動(dòng)連接到對(duì)手的惡意無線訪問點(diǎn)。在此過程中，攻擊者可以竊取身份驗(yàn)證憑據(jù)，以便訪問合法的無線網(wǎng)絡(luò)。出于這些原因，建議組織啟用 SSID 廣播。

更改了無線訪問點(diǎn)的默認(rèn) SSID。

非公共無線網(wǎng)絡(luò)的 SSID 不容易與組織、其場(chǎng)所的位置或無線網(wǎng)絡(luò)的功能相關(guān)聯(lián)。

在無線網(wǎng)絡(luò)上啟用 SSID 廣播。

更改無線設(shè)備的默認(rèn)帳戶和密碼。

無線設(shè)備的配置設(shè)置已強(qiáng)化。

靜態(tài)尋址

為訪問無線網(wǎng)絡(luò)的設(shè)備分配靜態(tài) IP 地址可以防止在連接到無線網(wǎng)絡(luò)時(shí)為惡意設(shè)備分配可路由的 IP 地址。但是，某些對(duì)手將能夠確定合法用戶的 IP 地址，并使用此信息來猜測(cè)或欺騙無線網(wǎng)絡(luò)的有效 IP 地址范圍。將設(shè)備配置為使用靜態(tài) IP 地址會(huì)帶來管理開銷，而不會(huì)帶來任何明顯的安全優(yōu)勢(shì)。

靜態(tài)尋址不用于在無線網(wǎng)絡(luò)上分配IP地址。

媒體訪問控制地址篩選

連接到無線網(wǎng)絡(luò)的設(shè)備通常具有唯一的媒體訪問控制 （MAC） 地址。因此，可以在無線訪問點(diǎn)上使用 MAC 地址篩選來限制哪些設(shè)備可以連接到無線網(wǎng)絡(luò)。雖然此方法會(huì)帶來管理開銷，但它可以防止惡意設(shè)備連接到無線網(wǎng)絡(luò)。但是，某些對(duì)手將能夠確定已在無線網(wǎng)絡(luò)上的合法用戶的有效 MAC 地址。然后，攻擊者可以使用此信息來欺騙有效的 MAC 地址并訪問無線網(wǎng)絡(luò)。MAC 地址篩選會(huì)帶來管理開銷，但沒有任何明顯的安全優(yōu)勢(shì)。

MAC 地址篩選不用于限制哪些設(shè)備可以連接到無線網(wǎng)絡(luò)。

無線網(wǎng)絡(luò)流量的機(jī)密性和完整性

由于無線網(wǎng)絡(luò)通常能夠從安全空間外圍訪問，因此所有無線網(wǎng)絡(luò)流量都需要適當(dāng)?shù)募用鼙Ｗo(hù)。為此，建議使用 Wi-Fi 保護(hù)訪問 3 （WPA3），因?yàn)樗峁┡c其前身 Wi-Fi 保護(hù)訪問 2 （WPA2） 相當(dāng)或更高的安全性。WPA3還禁止使用各種過時(shí)和不安全的密碼套件。

WPA3-Enterprise 支持三種企業(yè)操作模式：僅企業(yè)模式、轉(zhuǎn)換模式和 192 位模式。選 WPA3-Enterprise 192 位模式，因?yàn)榇四Ｊ桨瑵M足商業(yè)國家安全算法套件要求的更改，并確保不使用具有已知弱點(diǎn)的算法。但是，如果使用任何其他 WPA3-企業(yè)模式，則應(yīng)禁用身份驗(yàn)證和密鑰管理套件 00-0F-AC：1（如果此選項(xiàng)可用）。

WPA3-Enterprise 192 位模式用于保護(hù)所有無線網(wǎng)絡(luò)流量的機(jī)密性和完整性。

802.1X 身份驗(yàn)證

WPA3-Enterprise 使用 802.1X 身份驗(yàn)證，這需要使用可擴(kuò)展身份驗(yàn)證協(xié)議 （EAP）。WPA2 和 WPA3 都支持許多 EAP 方法。

可擴(kuò)展身份驗(yàn)證協(xié)議傳輸層安全性 （EAP-TLS） 被認(rèn)為是最安全的 EAP 方法之一，并得到廣泛支持。它使用公鑰基礎(chǔ)結(jié)構(gòu)通過使用 X.509 證書來保護(hù)設(shè)備與遠(yuǎn)程訪問撥入用戶服務(wù) （RADIUS） 服務(wù)器之間的通信。雖然 EAP-TLS 提供強(qiáng)大的相互身份驗(yàn)證，但它要求組織已建立公鑰基礎(chǔ)結(jié)構(gòu)。這涉及為訪問無線網(wǎng)絡(luò)的每個(gè)設(shè)備部署自己的證書頒發(fā)機(jī)構(gòu)和頒發(fā)證書，或從商業(yè)證書頒發(fā)機(jī)構(gòu)購買證書。雖然這會(huì)帶來額外的成本和管理開銷，但安全優(yōu)勢(shì)非常顯著。

使用 EAP-TLS 的 802.1X 身份驗(yàn)證，使用 X.509 證書，用于相互身份驗(yàn)證;在請(qǐng)求和身份驗(yàn)證服務(wù)器上禁用所有其他 EAP 方法。

如果可用于 EAP-TLS 實(shí)現(xiàn)，則使用用戶標(biāo)識(shí)機(jī)密性。

評(píng)估 802.1X 身份驗(yàn)證實(shí)現(xiàn)

802.1X 身份驗(yàn)證的安全性取決于四個(gè)主要元素以及它們之間的交互方式。這四個(gè)元素包括請(qǐng)求方、身份驗(yàn)證器、無線接入點(diǎn)和身份驗(yàn)證服務(wù)器。為確保這些要素已正確實(shí)施，它們應(yīng)已完成評(píng)估。

在無線網(wǎng)絡(luò)中使用已評(píng)估的請(qǐng)求方、身份驗(yàn)證器、無線訪問點(diǎn)和身份驗(yàn)證服務(wù)器。

生成和頒發(fā)用于身份驗(yàn)證的證書

向設(shè)備頒發(fā)證書以訪問無線網(wǎng)絡(luò)時(shí)，組織應(yīng)注意該證書可能被惡意代碼竊取。一旦遭到入侵，該證書可以在其他設(shè)備上使用，以未經(jīng)授權(quán)訪問其頒發(fā)的無線網(wǎng)絡(luò)。組織還應(yīng)該意識(shí)到，在僅向設(shè)備頒發(fā)證書時(shí)，用戶執(zhí)行的任何操作將僅歸因于設(shè)備，而不是特定用戶。

向用戶頒發(fā)證書以訪問無線網(wǎng)絡(luò)時(shí)，證書的形式可以是存儲(chǔ)在設(shè)備上的證書或存儲(chǔ)在智能卡中的證書。在智能卡上頒發(fā)證書可提高安全性，但成本更高。具體而言，用戶更有可能注意到缺少智能卡并提醒其安全團(tuán)隊(duì)，然后安全團(tuán)隊(duì)能夠吊銷 RADIUS 服務(wù)器上的憑據(jù)，從而大限度地減少對(duì)手訪問無線網(wǎng)絡(luò)的時(shí)間。此外，為了降低被盜智能卡被用于未經(jīng)授權(quán)訪問無線網(wǎng)絡(luò)的可能性，可以通過在智能卡上使用個(gè)人識(shí)別碼來實(shí)現(xiàn)多因素身份驗(yàn)證。當(dāng)智能卡授予用戶任何形式的管理訪問權(quán)限時(shí)，這一點(diǎn)尤其重要。

證書是使用評(píng)估的證書頒發(fā)機(jī)構(gòu)解決方案或硬件安全模塊生成的。

訪問無線網(wǎng)絡(luò)的設(shè)備和用戶都需要 Certificate。

Certificate受加密、用戶身份驗(yàn)證以及邏輯和物理訪問控制的保護(hù)。

緩存 802.1X 身份驗(yàn)證結(jié)果

使用 802.1X 身份驗(yàn)證時(shí)，在成功對(duì)設(shè)備進(jìn)行身份驗(yàn)證后，將生成稱為成對(duì)主密鑰 （PMK） 的共享密鑰。然后，可以緩存此 PMK，以幫助在無線接入點(diǎn)之間快速漫游。當(dāng)設(shè)備從已通過身份驗(yàn)證的無線訪問點(diǎn)漫游時(shí)，如果設(shè)備在緩存的 PMK 保持有效的情況下漫游回去，則無需執(zhí)行完全重新身份驗(yàn)證。為了進(jìn)一步協(xié)助漫游，可以將無線訪問點(diǎn)配置為將設(shè)備預(yù)先驗(yàn)證到設(shè)備可能漫游到的其他相鄰無線訪問點(diǎn)。盡管每次設(shè)備在無線接入點(diǎn)之間漫游時(shí)都要求對(duì)其進(jìn)行完全身份驗(yàn)證是理想的，但如果組織有快速漫游的業(yè)務(wù)需求，則可以選擇使用 PMK 緩存和預(yù)身份驗(yàn)證。如果使用 PMK 緩存，則 PMK 緩存周期不應(yīng)設(shè)置為大于 1440 分鐘（24 小時(shí)）。

PMK緩存周期未設(shè)置為大于1440分鐘（24 小時(shí)）。

快速基本服務(wù)集轉(zhuǎn)換

WPA3 標(biāo)準(zhǔn)指定支持快速基本服務(wù)集轉(zhuǎn)換 （FT） （802.11r）。FT 是一項(xiàng)功能，旨在提高用戶移動(dòng)性并消除因需要對(duì)每個(gè)無線接入點(diǎn)進(jìn)行身份驗(yàn)證而引入的滯后。但是，F(xiàn)T 要求身份驗(yàn)證器請(qǐng)求密鑰并將其發(fā)送到安全域中的其他身份驗(yàn)證器。如果截獲了這些密鑰中的任何一個(gè)，則所有安全屬性都將丟失。因此，必須適當(dāng)保護(hù)通信。因此，F(xiàn)T 應(yīng)禁用，除非可以確認(rèn)身份驗(yàn)證器與身份驗(yàn)證器之間的通信由適當(dāng)?shù)?ASD 批準(zhǔn)的加密協(xié)議保護(hù)，該協(xié)議提供機(jī)密性、完整性和相互身份驗(yàn)證。

除非身份驗(yàn)證器與身份驗(yàn)證器之間的通信受 ASD 批準(zhǔn)的加密協(xié)議保護(hù)，否則將禁用 FT （802.11r）的使用。

遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)身份驗(yàn)證

與 802.1X 身份驗(yàn)證過程不同的是身份驗(yàn)證器和 RADIUS 服務(wù)器之間發(fā)生的 RADIUS 身份驗(yàn)證過程。RADIUS是所謂的身份驗(yàn)證，授權(quán)和記帳協(xié)議，旨在調(diào)解網(wǎng)絡(luò)訪問。但是，RADIUS 不夠安全，無法在沒有保護(hù)的情況下使用。為了保護(hù)身份驗(yàn)證器和 RADIUS 服務(wù)器之間通信的憑據(jù)，通信應(yīng)使用附加加密層進(jìn)行封裝，例如 RADIUS over Internet Protocol Security 或 RADIUS over Transport Layer Security。

身份驗(yàn)證器和 RADIUS 服務(wù)器之間的通信使用 RADIUS over Internet Protocol Security或 RADIUS over Transport Layer Security 進(jìn)行額外的加密層進(jìn)行封裝。

無線網(wǎng)絡(luò)之間的干擾

如果多個(gè)無線網(wǎng)絡(luò)部署在近距離，則可能會(huì)發(fā)生干擾，從而影響無線網(wǎng)絡(luò)的可用性，尤其是在常用的 802.11b/g （2.4 GHz） 默認(rèn)信道 1 和 11 上運(yùn)行時(shí)。通過使用頻率分離來充分分離無線網(wǎng)絡(luò)有助于降低這種安全風(fēng)險(xiǎn)。這可以通過使用配置為在最小化重疊頻率的信道上運(yùn)行的無線網(wǎng)絡(luò)，或者通過同時(shí)使用802.11b/g（2.4 GHz）信道和802.11n（5 GHz）信道來實(shí)現(xiàn)。但需要注意的是，如果混合使用 2.4 GHz 和 5 GHz 信道，并非所有設(shè)備都與 802.11n 兼容并能夠連接到 5 GHz 信道。

無線網(wǎng)絡(luò)實(shí)現(xiàn)了與其他無線網(wǎng)絡(luò)的充分頻率分離。

保護(hù)無線網(wǎng)絡(luò)上的管理框架

通過使用廉價(jià)的商業(yè)硬件利用不受保護(hù)的管理框架，可以執(zhí)行有效的拒絕服務(wù)。802.11 標(biāo)準(zhǔn)不為管理框架提供任何保護(hù)，因此不能防止欺騙或拒絕服務(wù)活動(dòng)。但是，802.11w修正案專門針對(duì)無線網(wǎng)絡(luò)上管理幀的保護(hù)，應(yīng)為WPA2啟用，在WPA3中，此功能內(nèi)置于標(biāo)準(zhǔn)中。

無線接入點(diǎn)允許使用 802.11w 修正案來保護(hù)管理框架。

無線網(wǎng)絡(luò)占用空間

與其部署少量以高功率廣播的無線接入點(diǎn)，不如部署更多使用較少廣播功率的無線接入點(diǎn)，以實(shí)現(xiàn)所需的占用空間。這樣做的好處是在無線接入點(diǎn)無法使用時(shí)提供服務(wù)連續(xù)性。在這種情況下，可以增加附近無線接入點(diǎn)的輸出功率以覆蓋占用空間間隙，直到可以更換無法使用的無線接入點(diǎn)。

除了大限度地減少無線接入點(diǎn)的輸出功率以減少無線網(wǎng)絡(luò)的占地面積外，還可以將射頻（RF）屏蔽用于組織的設(shè)施。雖然價(jià)格昂貴，但這會(huì)將無線通信限制在組織控制的區(qū)域。組織設(shè)施上的射頻屏蔽具有防止無線網(wǎng)絡(luò)從運(yùn)行的設(shè)施外部干擾無線網(wǎng)絡(luò)的額外好處。

不是部署少量以高功率廣播的無線接入點(diǎn)，而是部署更多使用較少廣播功率的無線接入點(diǎn)以實(shí)現(xiàn)所需的占用空間。

在組織控制區(qū)域之外的無線通信的有效范圍受到在使用秘密或最高機(jī)密無線網(wǎng)絡(luò)的設(shè)施上實(shí)施RF屏蔽的限制。

在線服務(wù)的服務(wù)連續(xù)性基于云的在線服務(wù)托管

使用云服務(wù)提供商可以允許組織構(gòu)建高度彈性的在線服務(wù)，因?yàn)樵铺峁┥淘黾恿擞?jì)算資源，帶寬和多個(gè)單獨(dú)的物理站點(diǎn)。組織可以使用自己的基礎(chǔ)架構(gòu)實(shí)現(xiàn)相同的結(jié)果;但是，這可能需要大量的前期成本，并且仍可能導(dǎo)致動(dòng)態(tài)擴(kuò)展以滿足不斷增長(zhǎng)的需求的能力有限。在發(fā)生拒絕服務(wù)攻擊的情況下，基于云的托管還可以提供與自托管或其他云托管服務(wù)的隔離，以確保其他系統(tǒng)（如電子郵件服務(wù)）不受影響。

云服務(wù)提供商用于托管在線服務(wù)。

在線服務(wù)的位置策略

使用云服務(wù)提供商時(shí)，組織需要考慮是否應(yīng)將其數(shù)據(jù)鎖定到特定區(qū)域或可用性區(qū)域。在這樣做的過程中，指定鎖定策略的組織將期望其數(shù)據(jù)不會(huì)被云服務(wù)提供商重新定位到不同的區(qū)域或可用性區(qū)域。

云服務(wù)提供商會(huì)通知組織有關(guān)在線服務(wù)的已配置區(qū)域或可用性區(qū)域的任何更改。

在線服務(wù)的可用性規(guī)劃和監(jiān)控

重要的是，組織與其云服務(wù)提供商之間的連接必須滿足組織對(duì)帶寬、延遲和可靠性的要求。為了支持這一點(diǎn)，組織和云服務(wù)提供商應(yīng)討論并記錄任何特定的網(wǎng)絡(luò)要求、性能特征或?qū)捎眯怨收系挠?jì)劃響應(yīng)，尤其是在存在高可用性要求的情況下。這包括組織和云服務(wù)提供商之間的網(wǎng)絡(luò)連接是否將使用專用通信鏈路或通過 Internet 進(jìn)行連接，以及如果主通信鏈路不可用，任何輔助通信鏈路是否將提供足夠的容量來維持操作要求。

此外，應(yīng)執(zhí)行容量監(jiān)視，以便管理工作負(fù)荷并監(jiān)視聯(lián)機(jī)服務(wù)的運(yùn)行狀況。這可以通過連續(xù)和實(shí)時(shí)監(jiān)控延遲、抖動(dòng)、數(shù)據(jù)包丟失、吞吐量和可用性等指標(biāo)來實(shí)現(xiàn)。此外，當(dāng)性能不符合服務(wù)級(jí)別協(xié)議目標(biāo)時(shí)，應(yīng)向云服務(wù)提供商提供反饋。為此，可以通過集成到安全監(jiān)視工具中的網(wǎng)絡(luò)遙測(cè)來執(zhí)行異常檢測(cè)。

云服務(wù)提供商由于真正的需求高峰或拒絕服務(wù)攻擊而動(dòng)態(tài)擴(kuò)展資源的能力作為在線服務(wù)容量規(guī)劃過程的一部分進(jìn)行測(cè)試。

如果存在聯(lián)機(jī)服務(wù)的高可用性要求，則服務(wù)設(shè)計(jì)為在可用性區(qū)域之間自動(dòng)轉(zhuǎn)換。

如果聯(lián)機(jī)服務(wù)存在高可用性要求，則使用拒絕服務(wù)緩解服務(wù)。

組織對(duì)在線服務(wù)的可用性進(jìn)行持續(xù)的實(shí)時(shí)監(jiān)控。

使用內(nèi)容交付網(wǎng)絡(luò)

與基于云的托管類似，使用內(nèi)容交付網(wǎng)絡(luò) （CDN） 和拒絕服務(wù)緩解服務(wù)可以使組織通過利用 CDN 和拒絕服務(wù)緩解服務(wù)提供商提供的大帶寬、地理位置分散的托管位置、流量清理和其他安全控制來創(chuàng)建高彈性的在線服務(wù)。

在提供靜態(tài)、帶寬密集型媒體（如圖像、聲音或視頻文件）時(shí)，使用 CDN 特別有效。但是，CDN 提供的服務(wù)可以包含的基本內(nèi)容托管，例如 Web 響應(yīng)緩存、負(fù)載平衡、Web 應(yīng)用程序安全控制或拒絕服務(wù)緩解措施。

在配置使用 CDN 或拒絕服務(wù)緩解服務(wù)時(shí)應(yīng)小心謹(jǐn)慎，以確保對(duì)手無法識(shí)別組織的 Web 服務(wù)器的 IP 地址，因?yàn)檫@可能會(huì)繞過保護(hù)。此外，應(yīng)應(yīng)用適當(dāng)?shù)木W(wǎng)絡(luò)安全控制，以僅允許組織的服務(wù)器、CDN 或拒絕服務(wù)緩解服務(wù)提供商與授權(quán)管理環(huán)境之間的通信。

如果網(wǎng)站托管存在高可用性要求，則使用緩存網(wǎng)站的 CDN。

如果使用CDN，則避免泄露組織控制下的Web服務(wù)器（稱為源服務(wù)器）的 IP 地址，并且對(duì)源服務(wù)器的訪問僅限于CDN和授權(quán)管理網(wǎng)絡(luò)。

拒絕服務(wù)策略

拒絕服務(wù)攻擊旨在破壞或降低網(wǎng)站、電子郵件和域名系統(tǒng)服務(wù)等在線服務(wù)。為了實(shí)現(xiàn)這一目標(biāo)，攻擊者可能會(huì)使用多種方法來拒絕合法用戶訪問在線服務(wù)：

1.使用多臺(tái)計(jì)算機(jī)將大量不需要的網(wǎng)絡(luò)流量定向到聯(lián)機(jī)服務(wù)，以嘗試消耗所有可用的網(wǎng)絡(luò)帶寬

2.使用多臺(tái)計(jì)算機(jī)將定制流量定向到在線服務(wù)，試圖消耗在線服務(wù)的處理資源

3.劫持在線服務(wù)，試圖將合法用戶從這些服務(wù)重定向到對(duì)手控制的其他服務(wù)。

雖然組織無法避免成為拒絕服務(wù)攻擊的目標(biāo)，但他們可以實(shí)施許多措施來準(zhǔn)備并可能減少目標(biāo)的影響。這包括與其云服務(wù)提供商合作，以確定可能可供使用的拒絕服務(wù)檢測(cè)技術(shù)。例如，實(shí)時(shí)容量報(bào)告儀表板根據(jù)組織定義的閾值提供帶外和實(shí)時(shí)警報(bào)，可幫助快速識(shí)別拒絕服務(wù)攻擊。此外，并非組織提供的所有在線服務(wù)或功能都可能是關(guān)鍵業(yè)務(wù)。了解哪些服務(wù)可以通過減少功能，取消優(yōu)先級(jí)，禁用或沒有服務(wù)來提供，可以幫助組織減少或消除對(duì)其他更重要服務(wù)的影響，或者釋放資源以首先響應(yīng)更關(guān)鍵的服務(wù)。

總體而言，在拒絕服務(wù)攻擊發(fā)生之前為它們做好準(zhǔn)備是迄今為止最好的策略，因?yàn)橐坏┧鼈冮_始就很難做出反應(yīng)，并且現(xiàn)階段的努力不太可能有效。

與云服務(wù)提供商討論了拒絕服務(wù)攻擊的預(yù)防和緩解策略，具體而言：

1.它們抵御拒絕服務(wù)攻擊的能力

2.拒絕服務(wù)攻擊可能產(chǎn)生的任何費(fèi)用

3.拒絕服務(wù)攻擊通知的閾值

4.在拒絕服務(wù)攻擊期間關(guān)閉在線服務(wù)的閾值

5.在拒絕服務(wù)攻擊期間可以執(zhí)行的預(yù)先批準(zhǔn)的操作

6.與上游服務(wù)提供商的拒絕服務(wù)攻擊防御安排，以盡可能在上游阻止惡意流量。

確定并記錄聯(lián)機(jī)服務(wù)的功能和質(zhì)量、如何維護(hù)此類功能以及在拒絕服務(wù)攻擊期間可以不使用哪些功能。

域名注冊(cè)商鎖定

使用域名注冊(cè)商鎖定可以防止因未經(jīng)授權(quán)刪除或轉(zhuǎn)讓域名，或?qū)τ蛎?cè)詳細(xì)信息進(jìn)行其他未經(jīng)授權(quán)的修改而導(dǎo)致的拒絕服務(wù)。

在線服務(wù)的域名通過注冊(cè)商鎖定進(jìn)行保護(hù)，并確認(rèn)域名注冊(cè)詳細(xì)信息是否正確。

通過實(shí)時(shí)警報(bào)監(jiān)控在線服務(wù)

組織應(yīng)通過實(shí)時(shí)警報(bào)對(duì)在線服務(wù)執(zhí)行自動(dòng)監(jiān)控，以確保盡快檢測(cè)到并響應(yīng)拒絕服務(wù)攻擊。

對(duì)在線服務(wù)實(shí)施具有實(shí)時(shí)警報(bào)的可用性監(jiān)視，以檢測(cè)拒絕服務(wù)攻擊并衡量其影響。

關(guān)鍵在線服務(wù)的隔離

拒絕服務(wù)攻擊通常集中在高度可見的在線服務(wù)上，例如組織的核心網(wǎng)站，以便產(chǎn)生公眾明顯的影響。通過隔離在線服務(wù)（例如，具有一個(gè)用于電子郵件和互聯(lián)網(wǎng)訪問的互聯(lián)網(wǎng)連接以及用于Web托管服務(wù)的單獨(dú)連接），拒絕服務(wù)攻擊的影響可以僅限于目標(biāo)服務(wù)。

關(guān)鍵在線服務(wù)與更有可能成為目標(biāo)的其他在線服務(wù)隔離開來。

為服務(wù)連續(xù)性做準(zhǔn)備

根據(jù)拒絕服務(wù)攻擊的性質(zhì)，用最小的靜態(tài)版本替換功能齊全的網(wǎng)站可以幫助提供原本不可能提供的服務(wù)級(jí)別。

由于數(shù)據(jù)庫集成或存在大型媒體文件（如高分辨率圖像或視頻），組織的標(biāo)準(zhǔn)全功能網(wǎng)站可能具有更高的處理或資源需求。這些額外的資源要求可能會(huì)使網(wǎng)站更容易受到拒絕服務(wù)攻擊。

網(wǎng)站的靜態(tài)版本是預(yù)先準(zhǔn)備的，需要最少的處理和帶寬，以便在遭受拒絕服務(wù)攻擊時(shí)至少提供基本級(jí)別的服務(wù)。

非常感謝您讀完創(chuàng)新互聯(lián)的這篇文章："信息安全手冊(cè)之網(wǎng)絡(luò)指南"，僅為提供更多信息供用戶參考使用或?yàn)閷W(xué)習(xí)交流的方便。我們公司提供：網(wǎng)站建設(shè)、網(wǎng)站制作、官網(wǎng)建設(shè)、SEO優(yōu)化、小程序制作等服務(wù)，歡迎聯(lián)系我們提供您的需求。

新聞標(biāo)題：信息安全手冊(cè)之網(wǎng)絡(luò)指南
URL網(wǎng)址：http://www.muchs.cn/news15/310315.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、做網(wǎng)站、響應(yīng)式網(wǎng)站、網(wǎng)頁設(shè)計(jì)公司、網(wǎng)站設(shè)計(jì)、手機(jī)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)