背景

據國(guó)家網絡與信息安(ān)全信息通報中(zhōng)心監測發現，近日有(yǒu)組織發布推文(wén)揚言将于近期對我國(guó)視頻監控系統實施網絡攻擊破壞活動。同時發現，有(yǒu)“匿名(míng)者”黑客聲稱已掌握我境内大量攝像頭控制權限，并公(gōng)布了70餘個閉路電(diàn)視系統外圍探測信息。針對該情況，邁普從傳統網絡和邁普BD-LAN網絡推出相應的網絡防護措施和解決方案。

1..傳統網絡防護措施

針對傳統網絡，邁普建議從六個方面加強網絡防護，以下以邁普S4220設備為(wèi)例，列舉相關的措施與方法：

  1. 網絡設備防管理(lǐ)面攻擊

a.  更新(xīn)設備管理(lǐ)密碼，避免使用(yòng)常規admin、123456等密碼，并使能(néng)設備密碼加密功能(néng)。

service password-encryption（默認已經開啓）

user XX password XXXXXX （注意使用(yòng)更強複雜度的密碼）

b.  限制登陸密碼錯誤嘗試次數和登陸失敗抑制登陸時長(cháng)。

login-secure max-try-time 3 (修改登陸密碼錯誤次數為(wèi)3次，默認5次)

login-secure forbid-time 60 (修改抑制登陸時長(cháng)為(wèi)60分(fēn)鍾，默認10分(fēn)鍾)

c.  限制登錄主機，隻允許指定的管理(lǐ)主機登錄。

ip access-list standard managment

10 permit host X.X.X.X（X.X.X.X為(wèi)管理(lǐ)主機地址）

exit

line vty 0 15

 access-class management in

 exit

d.  開啓Smurf防攻擊，TCP SYN防攻擊等安(ān)全功能(néng)。

ip access-list standard a

 10 permit any

 exit

ip tcp intercept list a

ip smurf intercept list a

2.  網絡設備防控制面攻擊

      a. 接入交換機開啓端口安(ān)全，隻允許合法設備接入。

    interface gigabitethernet 0/1

     port-security enable

     port-security permit mac-address M.M.M ip-address X.X.X.X(M.M.M為(wèi)MAC地址，X. X. X. X為(wèi)IP地址)

     exit

      b. 采用(yòng)三層網絡且路由量不大時建議開啓URPF，防止部分(fēn)遠(yuǎn)程DDoS攻擊，并删除不必要的缺省路由。

    ip urpf

    interface gigabitethernet 0/1

     ip urpf loose

     exit

    注：建議隻在風險較大的區(qū)域邊緣交換機開啓，且開關URPF可(kě)能(néng)引起網絡瞬間的丢包。

      c. 在采用(yòng)DHCP服務(wù)器的網絡中(zhōng)建議開啓DHCP-Snooping，防止DHCP服務(wù)器攻擊。

    dhcp-snooping

    interface gigabitethernet 0/1（0/1為(wèi)上連DHCP服務(wù)器端口）

     dhcp-snooping trust

     exit

3.  網絡設備轉發面防攻擊

a.關閉不使用(yòng)端口。

interface gigabitethernet 0/5-0/23 (0/5-0/23為(wèi)不使用(yòng)的端口)

 shutdown

 exit

b.僅允許使用(yòng)的服務(wù)器地址和端口進行轉發

視頻監控服務(wù)器常見的有(yǒu)管理(lǐ)流和視頻流兩條流，将這兩條流明确并限制其他(tā)地址的登陸管理(lǐ)。

ip access-list extended a

（以下配置目标服務(wù)器為(wèi)1.1.1.10，目标端口為(wèi)tcp 80，該流需要根據現網業務(wù)進行調整）

 10 permit tcp any host 1.1.1.10 eq 80

（以下配置目标服務(wù)器為(wèi)1.1.1.10，目标端口為(wèi)udp 8000，該流需要根據現網業務(wù)進行調整）

 10 permit udp any host 1.1.1.10 eq 8000

 exit

（在上聯端口上應用(yòng)該QoS策略）

interface gigabitethernet0/4

  ip access-group a out

exit

c.開啓風暴抑制。

interface gigabitethernet 0/1（所有(yǒu)端口均需開啓，通常設備已經默認開啓，可(kě)通過show storm-control查看）

(以下配置舉例中(zhōng)，1000pps為(wèi)每秒(miǎo)通過1000個該類型的報文(wén)，可(kě)根據網絡情況具(jù)體(tǐ)調整該值大小(xiǎo))

storm-control broadcast pps 1000

storm-control multicast pps 1000

storm-control unicast pps 1000

exit

d.邊緣QoS優化，保證關鍵業務(wù)優先調度，預防DDoS攻擊。在風險較大的接入交換機或邊界交換機可(kě)以通過部署QoS，避免DDoS攻擊産(chǎn)生高優先級報文(wén)，阻塞網絡，影響關鍵業務(wù)。

（配置高優先級業務(wù)的優先級為(wèi)5）

l3-action-group a

 remark l2-priority dot1p-lp 5

 exit

（配置低優先級業務(wù)的優先級為(wèi)0）

l3-action-group b

 remark l2-priority dot1p-lp 0

 exit

ip access-list extended a

（以下配置數據流目的為(wèi)1.1.1.0 0.0.0.255的業務(wù)為(wèi)高優先級業務(wù)，該流需要根據現網業務(wù)進行調整）

 10 permit ip any 1.1.1.0 0.0.0.255 l3-action-group a

（以下配置業務(wù)其它所有(yǒu)數據流均為(wèi)低優先級業務(wù)）

 20 permit ip any any l3-action-group b

 Exit

（在接入端口上應用(yòng)該QoS策略）

interface gigabitethernet0/1

 ip access-group a in

 exit

4.  加強服務(wù)器防護

   a.通過防火牆、IPS、WAF等加強對AAA、視頻、DNS等服務(wù)器防護。可(kě)通過端口掃描，系統掃描，漏洞掃描等方式預評估安(ān)全性。

   b.使用(yòng)DNS注冊時建議使用(yòng)雙因素身份驗證。

主機防護

1. 建議更新(xīn)安(ān)全和防病毒軟件，定期檢查DNS，HOSTS文(wén)件是否被篡改。

三、邁普BD-LAN解決方案防護措施

邁普BD-LAN（業務(wù)驅動園區(qū)網）解決方案由控制器和網絡設備共同組成，采用(yòng)标準的ODL轉控分(fēn)離架構，統一整合全網資源，提供包括園區(qū)網絡設備的零配置上線(xiàn)，業務(wù)自動部署，一鍵替換，接入認證方式、防病毒、網絡異常預警等智能(néng)業務(wù)。針對本次攻擊，邁普BD-LAN網絡建議增強安(ān)全接入、數據安(ān)全、網絡風險預警相關模塊的部署與監控。

安(ān)全接入

基于SDN的園區(qū)網統一和融合802.1x、WebAuth（與有(yǒu)線(xiàn)無線(xiàn)統一同時支持）、MacAuth多(duō)種認證方式，為(wèi)園區(qū)網絡中(zhōng)的各類辦(bàn)公(gōng)、物(wù)聯、BYOD設備提供更安(ān)全和便捷的AnyConnet接入方案。啓用(yòng)安(ān)全接入模塊，并采用(yòng)強密碼或證書認證，避免非法的客戶端、設備接入網絡，可(kě)有(yǒu)效預防非法終端帶來的破壞。

數據安(ān)全

基于統一身份引擎與統一策略引擎，将訪問控制定義為(wèi)終端認證、設備可(kě)信、動态策略三個維度，将用(yòng)戶名(míng)、終端、網絡設備、業務(wù)子網、用(yòng)戶組、位置及時間等作(zuò)為(wèi)判定身份和狀态的統一标識。不再單一的将用(yòng)戶與權限綁定、打破設備固化網絡策略的限制，通過軟件定義更高級别的邊界安(ān)全。

在網絡各個節點，通過對報文(wén)中(zhōng)特定字段的解讀，實現内網安(ān)全的預警，直觀呈現可(kě)疑報文(wén)數量，并将可(kě)疑報文(wén)加入過濾列表，禁止其通行，有(yǒu)可(kě)疑行為(wèi)發生時，第一時間通知運維人員，運維人員确定安(ān)全後，可(kě)信任該可(kě)疑報文(wén)。

對所有(yǒu)接入設備或指定設備一鍵下發指定病毒策略，防止該病毒的傳播；也可(kě)通過病毒模闆，對所有(yǒu)接入設備或指定設備下發病毒策略。

針對本次攻擊，建議更新(xīn)病毒庫，并下發到相應的邊界設備；同時注意觀察日志(zhì)和告警，是否出現可(kě)疑報文(wén)及相關攻擊告警，及時阻斷攻擊。

 風險預警

對設備各種性能(néng)負載情況、容量指标情況、網絡帶寬情況進行綜合檢測分(fēn)析，形成網絡健康分(fēn)析報表；對潛在風險和網絡DDoS攻擊等進行預警。當性能(néng)容量出現被攻擊或業務(wù)瓶頸時，控制器可(kě)智能(néng)的進行預警和提供擴容建議。

針對本次攻擊，可(kě)以根據網絡情況，适當設低相關告警閥值，進一步提前發現網絡和設備異常，及時阻斷，提前應對。