国家安全局本周详细介绍了企业的建议,以保护其网络基础架构免受攻击,为常用网络协议提供安全的配置技巧,并敦促使用所有网络使用基本安全措施。
NSA的报告强调了零信任网络安全性的原则,但其中的大部分涵盖了特定步骤网络管理员应采取的以防止其基础架构免受妥协的影响。网络管理员的配置提示包括使用安全,经常更改的所有管理帐户密码,限制登录尝试,并保持潜在的脆弱系统修补和最新。该报告还描述了SSH(安全壳),HTTP和SNMP(简单的网络管理协议)。
报告说:“配置不正确,配置的不正确处理以及弱加密密钥可以暴露整个网络中的漏洞。”“所有网络都有妥协的风险,尤其是如果设备未正确配置和维护设备。”
NSA还建议将网络访问控制系统用作企业网络的额外安全层。这个想法是实现一个可靠的系统来识别网络上的各个设备,因为端口安全性可能难以管理,并且通过MAC地址跟踪连接的设备可以由攻击者绕过。
NSA的使用集中授权,身份验证和会计服务器的使用也被强调为强大的安全措施。这有助于避免使用潜在脆弱的遗产身份验证技术,因为它们不依赖于存储在连接的设备上的凭证,这可能相对简单而妥协。该机构称,在处理系统资源请求的AAA服务器的部署中加倍提供了一定程度的冗余,并可以帮助更轻松地发现和防止恶意活动。
NSA说,可靠的日志记录技术是确保企业网络安全的另一种关键技术,确保网络基础架构正在捕获足够数量的日志数据,从而使识别和跟踪潜在的攻击比其他情况要简单得多。成功或失败的登录尝试对此特别重要,但该机构指出,产生太多消息可能会使日志评论复杂化。
NSA报告,可用于下载,包含针对思科iOS用户的详细说明,介绍了如何完成其建议的许多任务,但是一般原则对于任何供应商的网络设备的用户都是有效的。