【收藏】网络设备安全加固规范
一、Cisco網絡設備安全基線規范
本建議用于Cisco路由器和基于Cisco IOS的交換機及其三層處理模塊,其軟件版本為CISCO IOS 12.0及以上版本。加固前應該先備份系統配置文件。
01賬號管理、認證授權
1.1.本機認證和授權
初始模式下,設備內一般建有沒有密碼的管理員賬號,該賬號只能用于
Console連接,不能用于遠程登錄。強烈建議用戶應在初始化配置時為它們加添密碼。一般而言,設備允許用戶自行創建本機登錄賬號,并為其設定密碼和權限。同時,為了AAA服務器出現問題時,對設備的維護工作仍可正常進行,建議保留必要的維護用戶
操作方式:
配置本地用戶ShiRan,密碼ShiRanIT.com,權限為10 Router(config)#username ShiRan privilege 10 password ShiRanIT.com Router(config)#privilege exec level 10 telnet Router(config)#privilege exec level 10 show ip access-list1.2設置特權口令
不要采用enable password設置密碼,而采用enable secret命令設置,enable secret命令用于設定具有管理員權限的口令,而enable password采用的加密算法比較弱。而要采用enable secret命令設置。并且要啟用Service password-encryption,這條命令用于對存儲在配置文件中的所有口令和類似數據進行加密。避免當配置文件被不懷好意者看見,從而獲得這些數據的明文。
操作方式:
Router(Config)#enable secret xxxxxxxxRouter(Config)#Service password-encryption對比enable password和enabl esecret :
1.3登陸要求
控制CON端口的訪問,給CON口設置高強度的登錄密碼,修改默認參數,配置認證策略。
操作方式:???????
Router(Config)#line con 0Router(config-line)#password ShiRanIT.comRouter(config-line)#exec-timeout 300Router(config-line)#session-limit 5除非使用撥號接入時使用AUX端口,否則禁止這個端口。
操作方式:???????
Router(config)#line aux 0Router(config-line)#transport input none Router(config-line)#no exec設置完成后無法通過AUX撥號接入路由器如非要采用HTTP服務,要求對HTTP服務進行嚴格的控制,如果必須選擇使用HTTP進行管理,最好用ip http access-class命令限定訪問地址且用ip http authentication命令配置認證,修改HTTP的默認端口。
操作方式:???????
修改默認端口Router(Config)# ip http port 50000 Router(Config)# access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny any 啟用ACL嚴格控制可以登陸的維護地址Router(Config)# ip http access-class 10 配置本地數據庫Router(Config)# username ShiRan privilege 10 password ShiRanIT.com 啟用本地認證Router(config)#ip http authentication localRouter(Config)# ip http server啟用HTTP服務02日志配置
2.1開啟日志功能
為了實現對設備安全的管理,要求對設備的安全審計進行有效管理。根據設備本身具有的屬性和實際維護經驗,建議相關安全審計信息應包括設備登錄信息日志和設備事件信息日志,同時提供SYSLOG服務器的設置方式。
Cisco設備將LOG信息分成八個級別,由低到高分別為debugging、informational、notifications、warnings、errors、critical、alerts、emergencies。考慮到日志信息的種類和詳細程度,并且日志開啟對設備的負荷有一定影響,在這建議獲取有意義的日志信息,并將其發送到網管主機或日志服務器并進行分析,建議將notifications及以上的LOG信息送到日志服務器。
操作方式:???????
開啟日志Router(Config)#logging on 設置日志服務器地址Router(Config)#logging 192.168.0.254日志記錄級別,可用”?”查看詳細內容Router(Config)#logging trap notifications 日志發出用的源IP地址Router(Config)#logging source-interface g0/0 日志記錄的時間戳設置,可根據需要具體配置Router(Config)#service timestamps log datetime localtime03通信協議
3.1SNMP服務配置
如不需要提供SNMP服務的,要求禁止SNMP協議服務,注意在禁止時刪除一些SNMP服務的默認配置。
操作方式:
???????
Router(Config)# no snmp-server community public RoRouter(Config)# no snmp-server community private RWRouter(Config)# no snmp-server enable trapsRouter(Config)# no snmp-server system-shutdownRouter(Config)# no snmp-server關閉,網管系統無法采集到相關管理數據,不能進行告警監控如開啟SNMP協議,要求更改SNMP trap協議的標準端口號,以增強其安全性。
操作方式:
Router(config)# snmp-server host 192.168.0.254 traps version 2c public udp-port 1661如開啟SNMP協議,要求更改SNMP連接的源地址,以增強其安全性。
操作方式:???????
Router(Config)# access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny anyRouter(Config)# SNMP-server community MoreHardPublic Ro 10【影響】:只有指定的網管網段才能使用SNMP維護如開啟SNMP協議,要求設置并定期更改SNMP Community(至少半年一次),以增強其安全性,不建議開啟SNMP rw特性。
操作方式:???????
Router(Config)# SNMP-server community MoreHardPublic ro!不建議實施Router(Config)# SNMP-server community MoreHardPublic rw3.2源地址路由檢查
為了防止利用IP Spoofing手段假冒源地址進行的攻擊對整個網絡造成的沖擊,要求在所有的邊緣路由設備(即直接與終端用戶網絡互連的路由設備)上,根據用戶網段規劃添加源路由檢查。Cisco路由器提供全局模式下啟用URPF(Unicast Reverse Path Forwarding單播反向路徑轉發)的功能。
操作方式:
???????
啟用CEF,要使用VRVF功能必須啟用CEF(Cisco Express Forwarding)Router(config)#ip cef啟用Unicast Reverse-Path VerificationRouter(config)#interface g0/0Router(config-if)#ip verify unicast reverse-path3.3防止地址欺騙
操作方式:???????
如過濾非公有地址訪問內部網絡。過濾自己內部網絡地址;回環地址(127.0.0.0/8);RFC1918私有地址;DHCP自定義地址 (169.254.0.0/16);不用的組播地址(224.0.0.0/4);全網絡地址(0.0.0.0/8)。Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any Router(Config)# access-list 100 permit ip any anyRouter(config)#interface g0/0Router(Config-if)# ip access-group 100 in 建議采用訪問列表控制流出內部網絡的地址必須是屬于內部網絡的。(可選)如:Router(Config)# no access-list 101Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.255.255 any04設備其他安全要求
4.1禁止CDP(Cisco Discovery Protocol)
由于CDP服務可能被攻擊者利用獲得路由器的版本等信息,從而進行攻擊,所以如果沒有必要使用CDP服務,則應關閉CDP服務。
操作方式:???????
全局CDP的關閉Router(Config)#no cdp run特定端口CDP的關閉Router(Config)#interface g0/0Router(Config-if)# no cdp enable【影響】:無法發現網絡鄰居的詳細信息,造成維護不便。4.2禁止TCP、UDP Small服務
Cisco路由器提供一些基于TCP和UDP協議的小服務如:echo、chargen和discard。這些小服務很少被使用,而且容易被攻擊者利用來越過包過濾機制。要求關閉這些服務。
操作方式:???????
Router(Config)# no service tcp-small-serversRouter(Config)# no service udp-samll-servers4.3禁止Finger、NTP服務
Finger服務可能被攻擊者利用查找用戶和口令攻擊。NTP不是十分危險的,但是如果沒有一個很好的認證,則會影響路由器正確時間,導致日志和其他任務出錯。要求關閉這些服務。
操作方式:???????
Router(config)#no ip finger Router(config)#no service finger Router(config)#no ntp4.4禁止IP Source Routing
禁用源路由,防止路由信息泄露
操作方式:
4.5禁止IP Classless
禁止無類路由
操作方式:
4.6WINS和DNS服務加固
如果沒必要通過網絡進行名字查詢則禁止WINS和DNS服務
操作方式:
二、Huawei網絡設備安全基線規范
01賬號管理
1.1.無效帳戶清理
刪除與設備運行、維護等工作無關的賬號
操作方式:???????
[Huawei]aaa [Huawei-aaa]undo local-user test1.2認證和授權設置
設備通過相關參數配置,與認證系統聯動,滿足帳號、口令和授權的強制要求。
操作方式:???????
#對遠程登錄用戶先用RADIUS服務器進行認證,如果沒有響應,則不認證。#認證服務器IP地址為129.7.66.66,無備用服務器,端口號為默認值1812。# 配置RADIUS服務器模板。[Router] radius-server template shiva# 配置RADIUS認證服務器IP地址和端口。Router-radius-shiva]radius-server authentication 129.7.66.66 1812# 配置RADIUS服務器密鑰、重傳次數。[Router-radius-shiva] radius-server shared-key cipher shiran.com[Router-radius-shiva] radius-server retransmit 2[Router-radius-shiva] quit# 進入AAA視圖。[Router] aaa# 配置認證方案shiran,認證方法為先RADIUS,如果沒有響應,則不認證。[Router–aaa] authentication-scheme shiran[Router-aaa-authen-r-n] authentication-mode radius local [Router-aaa-authen-r-n] quit# 配置default域,在域下采用r-n認證方案、缺省的計費方案(不計費),shiva的RADIUS模板。[Router-aaa] domain default[Router-aaa-domain-default] authentication-scheme shiran[Router-aaa-domain-default]radius-server shiva02日志配置
2.1開啟日志功能
支持數據日志,可以記錄系統日志與用戶日志。系統日志指系統運行過程中記錄的相關信息,用以對運行情況、故障進行分析和定位,日志文件可以通過XModem、FTP、TFTP協議,遠程傳送到網管中心。
操作方式:???????
[Huawei]info-center enable ;默認已啟動[Huawei]info-center console channel 0;向控制臺輸出日志[Huawei]info-center logbuffer ;向路由器內部緩沖器輸出日志[Huawei]info-center loghost 192.168.0.254;向日志主機輸出日志[Huawei]info-center?monitor?channel?monitor?;??????向telnet終端或啞終端輸出日志03通信協議
3.1限定特定主機訪問
路由器以UDP/TCP協議對外提供服務,供外部主機進行訪問,如作為NTP服務器、TELNET服務器、TFTP服務器、FTP服務器、SSH服務器等,應配置路由器,只允許特定主機訪問。
操作方式:
???????
acl number 1 rule 1 deny ip 127.0.0.0 0.255.255.255 any log …int f1/1firewall packet-filter 3001 inbound(outbound)3.2過濾高危端口
過濾已知攻擊:在網絡邊界,設置安全訪問控制,過濾掉已知安全攻擊數據包,例如udp 1434端口(防止SQL slammer蠕蟲)、tcp445,5800,5900(防止Della蠕蟲)。
操作方式:???????
?全局模式下是否啟用如下命令:acl number 3001 rule 1 deny tcp destination-port eq 135 rule 2 deny udp destination-port eq 135 rule 5 deny tcp destination-port eq 139 rule 7 deny tcp destination-port eq 445 rule 8 deny udp destination-port eq 445 rule 9 deny tcp destination-port eq 539 rule 10 deny udp destination-port eq 539 rule 11 deny udp destination-port eq 593 rule 12 deny tcp destination-port eq 593 rule 13 deny udp destination-port eq 1434 rule 14 deny tcp destination-port eq 4444 rule 15 deny tcp destination-port eq 9996 rule 16 deny tcp destination-port eq 5554 rule 17 deny udp destination-port eq 9996 ?[Quidway-接口]?firewall?packet-filter?3001?inbound(outbound)04其他設備安全要求
4.1禁用端口
禁止未使用或空閑的端口
操作方式:
???????
不用端口模式下是否啟用如下命令: # shutdown(不用端口)4.2啟用源地址檢查
啟用源地址路由檢查(二層不適用)
操作方式:??????????????
不用端口模式下是否啟用如下命令: # urpf enable總結
以上是生活随笔為你收集整理的【收藏】网络设备安全加固规范的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【中间件加固】Nginx安全加固规范
- 下一篇: 刘亦菲胸肌??what