Juniper网络设备加固规范V02Word文档下载推荐.docx

Juniper网络设备加固规范V02Word文档下载推荐.docx

《Juniper网络设备加固规范V02Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《Juniper网络设备加固规范V02Word文档下载推荐.docx（28页珍藏版）》请在冰豆网上搜索。

3.1.4.SHG-Juniper-03-01-0418

3.1.5.SHG-Juniper-03-01-0519

3.1.6.SHG-Juniper-03-01-0620

4.设备其他安全要求20

4.1.1.SHG-Juniper-04-01-0120

4.1.2.SHG-Juniper-04-01-0221

4.1.3.SHG-Juniper-04-01-0322

4.1.4.SHG-Juniper-04-01-0423

4.1.5.SHG-Juniper-04-01-0524

1.账号管理、认证授权

1.1.账号

1.1.1.SHG-Juniper-01-01-01

编号：

SHG-Juniper-01-01-01

名称：

按照用户类型分配账号

实施目的：

按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。

问题影响：

权限不明确，存在用户越权使用的可能。

系统当前状态：

使用showconfigurationsystemlogin查看当前配置

实施方案：

1、参考配置操作

setsystemloginuserabc1

setsystemloginuserabc2

2、补充操作说明

1、abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称；

2、账号取名，建议使用：

姓名的简写＋手机号码。

回退方案：

删除新增加用户

判断依据：

标记用户用途，定期建立用户列表，比较是否有非法用户

实施风险：

低

重要等级：

★★★

1.1.2.SHG-Juniper-01-01-02

SHG-Juniper-01-01-02

删除无效账号

非法利用系统默认账号

deletesystemloginuserabc3

abc3是与工作无关的账号。

增加被删除的用户

查看配置文件，核对用户列表。

1.1.3.SHG-Juniper-01-01-03

SHG-Juniper-01-01-03

建立分配系统用户组

为了控制不同用户的访问级别，建立多用户级别，根据用户的业务需求，将用户账号分配到相应的用户级别。

账号越权使用

创建用户级别：

setsystemloginclassABC1permissions[viewview-configuration]

将用户账号分配到相应的用户级别：

setsystemloginuserabc1classread-only

setsystemloginuserabc2classABC1

setsystemloginuserabc3classsuper-user

（1）、ABC1是手工创建的组，该组具有的权限：

查看设备运行状态（如接口状态、设备硬件状态、路由状态等），并且可以查看设备的配置；

（2）、read-only组具有的权限：

查看设备运行状态，但不能查看设备的配置；

（3）、super-user是超级用户组，具有的权限：

所有权限；

（4）、read-only和super-user是路由器已经创建的组，不需要手工创建；

（5）、abc1、abc2、abc3是不同的用户，它们分别分配到相应的用户级别。

还原系统配置文件

高

1.2.口令

1.2.1.SHG-Juniper-01-02-01

SHG-Juniper-01-02-01

提高口令强度

对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

增加密码被暴力破解的成功率

setsystemloginuserabc1authenticationplain-text-password

（1）、输入指令回车后，将两次提示输入新口令（Newpassword:

和Retypenewpassword:

）。

（2）、口令要求：

长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

1.2.2.SHG-Juniper-01-02-02

SHG-Juniper-01-02-02

根据用户的业务需要配置其所需的最小权限

在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

越权使用，非法访问。

（1）、用showconfigurationsystemloginclassABC1命令查看配置

（2）、用showconfigurationsystemloginclassABC2命令查看配置

（3）、在终端上用telnet方式登录路由器,输入用户名abc1和密码

成功登录路由器后，用configure命令进入配置模式。

使用以下命令检测：

setrouting-可选ionsstatic

setinterfaces

setchassisfpc

使用其它set命令

（4）、在终端上用telnet方式登录路由器,输入用户名abc2和密码成功登录路由器后，用configure命令进入配置模式。

使用以下命令检测：

setpolicy-可选ions

setprotocols

setrouting-instances

setrouting-可选ions

使用其它set命令

（5）、在终端上用telnet方式登录路由器,输入用户名abc3和密码成功登录路由器后，用configure命令进入配置模式。

使用set命令以及其它命令检测。

使用showconfigurationsystemlogin查看当前配置。

还原系统配置文件。

（1）、账号abc1属于组ABC1，该组只能配置routing-可选ionsstatic、interfaces、Chassisfpc项里的内容。

不能做其它未授权的配置；

（2）、账号abc2属于组ABC2，该组只能配置关于路由的所有配置，包括routing-可选ions、protocols、policy-可选ions、routing-instances等，不能做其它未授权的配置；

（3）、账号abc3属于组super-user，拥有全部配置权限。

备注：

创建用户级别，即创建用户的配置权限：

setsystemloginclassABC1permissionsconfigure

setsystemloginclassABC1allow-configuration"

routing-可选ionsstatic|interfaces|chassisfpc"

setsystemloginclassABC2permissions[configurerouting-control]

setsystemloginuserabc1classABC1

setsystemloginuserabc2classABC2

（1）、ABC1组具有的权限：

可配置interfaces，可配置routing-可选ions中的static，可配置chassis中的fpc；

（2）、ABC2组具有的权限：

可配置有关于路由的所有配置，包括routing-可选ions、protocols、policy-可选ions、routing-instances等；

（3）、allow-configuration参数是以等级来限制，可以限制各个等级的配置，可以细化到各个小等级；

（4）、permissions参数是以功能来限制，限制的范围较大；

（5）、allow-commands参数是以具体的指令来限制，allow-comands参数需要设定具体指令,不建议使用。

1.2.3.SHG-Juniper-01-02-03

SHG-Juniper-01-02-03

提高ROOT用户口令强度

修改root密码。

root的默认密码是空，修改root密码，避免非管理员使用root账号登录。

（1）、用showconfigurationsystemlogin命令查看配置是否正确；

（2）、通过console口方式登录路由器,输入root用户名和密码；

（3）、通过console口方式登录路由器，输入root用户和空密码。

（1）、输入root用户和正确密码可以正常登录路由器；

（2）、输入root用户和空密码无法登录路由器。

1.3.认证

1.3.1.SHG-Juniper-01-03-01

SHG-Juniper-01-03-01

设置认证系统联动

设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。

密码泄露。

使用showconfigurationsystemlogin查看当前配置并查看Radius服务器配置

setsystemauthentication-orderradius

setsystemauthentication-orderpassword

setsystemradius-server10.1.1.1

setsystemradius-server10.1.1.2

setsystemradius-server10.1.1.1port1645

setsystemradius-server10.1.1.2port1645

setsystemradius-server10.1.1.1secretabc123

setsystemradius-server10.1.1.2secretabc123

（1）、配置认证方式，可通过radius和本地认证；

（2）、10.1.1.1和10.1.1.2是radius认证服务器的IP地址，建议建立两个radius认证服务器作为互备；

（3）、port1645是radius认证开启的端口号，可根据本地radius认证服务器开启的端口号进行配置；

（4）、abc123是与radius认证系统建立连接所设定的密码，建议：

与radius认证服务器建立连接时，使用密码认证建立连接。

使用showconfigurationsystemlogin查看当前配置

★

2.日志配置

本部分对JUNIPER设备的日志功能提出建议，主要加强设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。

根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。

如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。

2.1.1.SHG-Juniper-02-01-01

SHG-Juniper-02-01-01

开启系统日志功能

设备应配置日志功能，记录用户对设备的操作，比如：

账号创建、删除和权限修改，口令修改，读取和修改设备配置，涉及通信隐私数据。

记录需要包含用户账号，操作时间，操作内容以及操作结果。

无法对用户的登陆进行日志记录。

使用showconfigurationsystemsyslog查看当前配置

setsystemsyslogfileauthor.logauthorizationinfo

（1）、author.log是记录登录信息的log文件，该文件名称可手工定义；

（2）、author.log文件保存在juniper路由器的存储上。

2.1.2.SHG-Juniper-02-01-02

SHG-Juniper-02-01-02

开启系统安全日志功能

设备应配置日志功能，记录对与设备相关的安全事件，比如：

记录路由协议事件和错误。

无法记录路由协议事件和错误。

使用showconfiguration查看当前配置

setsystemsyslogfiledaemon.logdaemonwarning

setsystemsyslogfilefirewall.logfirewallwarning

（1）、daemon.log是记录路由协议事件的文件，该文件名称可手工定义；

（2）、firewall.log是记录安全事件的文件，该文件名称可手工定义；

（3）、daemon和firewall可定义有九个等级，建议将其设定为warning等级，即仅记录warning等级以上的安全事件。

中

2.1.3.SHG-Juniper-02-01-03

SHG-Juniper-02-01-03

设置配置更改日志路径

设置系统的配置更改信息保存到单独的change.log文件内。

暴露系统日志。

setsystemsyslogfilechange.logchange-loginfo

（1）、change.log是记录配置更改的文件，该文件名称可手工定义；

（2）、change.log文件保存在juniper路由器的存储上。

★★

2.1.4.SHG-Juniper-02-01-04

SHG-Juniper-02-01-04

设置配置远程日志功能

设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。

丢失重要日志。

使用showconfigurationsystemsyslog命令查看配置

setsystemsysloghost10.1.1.1anynotice

setsystemsysloghost10.1.1.1log-prefixRouter1

setsystemsysloghost10.1.1.2anynotice

setsystemsysloghost10.1.1.2log-prefixRouter2

补充操作说明

（1）、10.1.1.1和10.1.1.2是远程日志服务器的IP地址，建议建设两个远程日志服务器作为互备；

（2）、syslog有九个等级的记录信息，建议将notice等级以上的信息传送到远程日志服务器；

（3）、Router1为路由器的主机名称。

（1）、使用showconfigurationsystemsyslog命令查看配置；

（2）、登录远程日志服务器查看日志。

2.1.5.SHG-Juniper-02-01-05

SHG-Juniper-02-01-05

设置系统的配置更改信息

设置系统的配置更改信息保存到单独的change.log文件内

（2）、在终端上以telnet方式登录路由器,输入用户名密码；

（3）、进行创建、删除帐号和修改用户密码等修改设备配置操作；

（4）、用showlogchange.log命令查看日志。

使用showconfigurationsystemsyslog命令查看配置，恢复默认配置

可以在change.log中查看到用户的操作内容、操作时间

2.1.6.SHG-Juniper-02-01-06

SHG-Juniper-02-01-06

保证日志功能记录的时间的准确性。

开启NTP服务，保证日志功能记录的时间的准确性。

路由器与NTPSERVER之间开启认证功能。

（1）、使用showconfigurationsystemntp命令查看配置；

（2）、使用showsystemuptime命令查看路由器时间与并与北京时间对比；

（3）、使用showntpassociations查看路由器是否与NTP服务器同步；

（4）、使用showntpstatus查看路由器时间同步状态。

（1）、用showntpassociations命令查看，信息如下面所示:

remoterefidsttwhenpoll

==============================

*ROUTER110.1.1.12u6411024

+ROUTER210.1.1.22u7131024

reachdelayoffsetjitter

==============================

3770.964-24.1260.067

3774.490-12.0130.457

ROUTER1前面的（*）号表示ROUTER1是已和路由器时间同步的NTP服务器,（+）号为备用的NTP服务器.

（2）、有showntpstatus命令查看，信息如下:

status=0644leap_none,sync_ntp,4events,event_peer/strat_chg,

version="

ntpd4.1.0-aWedOct518:

44:

40GMT2005

（1）"

processor="

i386"

system="

JUNOS7.3R2.7"

leap=00,stratum=3,

precision=-28,rootdelay=9.814,rootdispersion=102.250,peer=42484,

refid=ROUTER1.