华为交换机安全基线.docx
《华为交换机安全基线.docx》由会员分享,可在线阅读,更多相关《华为交换机安全基线.docx(17页珍藏版)》请在冰豆网上搜索。
华为交换机安全基线
华为交换机安全基线
华为设备安全配置基线
第1章概述
1.1目的
规范配置华为路由器、交换机设备,保证设备基本安全。
1.2适用范围
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
1.3适用版本
华为交换机、路由器。
第2章帐号管理、认证授权安全要求
2.1帐号管理
2.1.1用户帐号分配*
1、安全基线名称:
用户帐号分配安全
2、安全基线编号:
SBL-HUAWEI-02-01-01
3、安全基线说明:
应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。
4、参考配置操作:
[Huawei]aaa
[Huawei-aaa]local-useradminpasswordcipheradmin123
[Huawei-aaa]local-useradminprivilegelevel15
[Huawei-aaa]local-useradminservice-typessh
[Huawei-aaa]local-useruserpasswordcipheruser123
[Huawei-aaa]local-useruserprivilegelevel4
[Huawei-aaa]local-useruserservice-typessh
5、安全判定条件:
(1)配置文件中,存在不同的账号分配
(2)网络管理员确认用户与账号分配关系明确
6、检测操作:
使用命令discur命令查看:
…
#
aaa
authentication-schemedefault
authorization-schemedefault
accounting-schemedefault
domaindefault
domaindefault_admin
local-useradminpasswordcipher"=LP!
6$^-IYNZPO3JBXBHA!
!
local-useradminprivilegelevel15
local-useradminservice-typessh
local-useruserpasswordcipher"=LP!
6$^-IYNZP
local-useruserprivilegelevel4
local-useruserservice-typessh
#
对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。
2.1.2删除无关的帐号*
1、安全基线名称:
删除无关的账号
2、安全基线编号:
SBL-HUAWEI-02-01-02
3、安全基线说明:
应删除与设备运行、维护等工作无关的账号。
4、参考配置操作:
[Huawei]aaa
[Huawei-aaa]undolocal-useruser
5、安全判定条件:
(1)配置文件存在多个账号
(2)网络管理员确认账号与设备运行、维护等工作无关
6、检测操作:
使用discur|includelocal-user命令查看:
[Huawei]discur|includelocal-user
local-useradminpasswordcipher"=LP!
6$^-IYNZPO3JBXBHA!
!
local-useradminprivilegelevel15
local-useradminservice-typessh
若不存在无用账号则说明符合安全要求。
2.2口令
2.2.1静态口令以密文形式存放
1、安全基线名称:
静态口令以密文形式存放
2、安全基线编号:
SBL-HUAWEI-02-02-01
3、安全基线说明:
配置本地用户和super口令使用密文密码。
4、参考配置操作:
[Huawei]aaa
[Huawei-aaa]local-useradminpasswordcipheradmin123
[Huawei]superpasswordcipheradmin123
5、安全判定条件:
配置文件中没有明文密码字段。
6、检测操作:
查看本地用户密码:
[Huawei]discur|includelocal-user
local-useradminpasswordcipher"=LP!
6$^-IYNZPO3JBXBHA!
!
local-useradminprivilegelevel15
local-useradminservice-typessh
查看super密码:
[Huawei]discur|includesuper
superpasswordlevel3ciphermPZr=2!
Z<@u:
|l#3M^#3Icf##
2.2.2密码复杂度
1、安全基线名称:
密码复杂度
2、安全基线编号:
SBL-HUAWEI-02-02-02
3、安全基线说明:
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
4、参考配置操作:
[Huawei]aaa
[Huawei-aaa]local-useradminpasswordcipheradmin@xiangyun
5、安全判定条件:
密码强度符合要求,密码至少90天进行更换。
2.3授权
2.3.1用IP协议进行远程维护的设备使用SSH等加密协议
1、安全基线名称:
用IP协议进行远程维护设备
2、安全基线编号:
SBL-HUAWEI-02-03-01
3、安全基线说明:
使用IP协议进行远程维护设备,应配置使用SSH等加密协议连接。
4、参考配置操作:
[Huawei]aaa
[Huawei-aaa]local-useradminpasswordcipheradmin123
[Huawei-aaa]local-useradminprivilegelevel15
[Huawei-aaa]local-useradminservice-typessh
[Huawei]rsalocal-key-paircreate
[Huawei]stelnetserverenable
[Huawei]sshuseradminservice-typestelnet
[Huawei]sshuseradminauthentication-typepassword
[Huawei]user-interfacevty04
[Huawei-ui-vty0-4]protocolinboundssh
5、安全判定条件:
配置文件中只允许SSH等加密协议连接。
6、检测操作:
使用discur|includessh命令:
[Huawei]discur|includessh
local-useradminservice-typessh
sshuseradmin
sshuseradminauthentication-typepassword
sshuseradminservice-typestelnet
第3章日志安全要求
3.1日志安全
3.1.1启用信息中心
1、安全基线名称:
启用信息中心
2、安全基线编号:
SBL-HUAWEI-03-01-01
3、安全基线说明:
启用信息中心,记录与设备相关的事件。
4、参考配置操作:
[HUAWEI]info-centerenable
5、安全判定条件:
(1)设备应配置日志功能,能对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录使用的IP地址。
(2)记录用户登录设备后所进行的所有操作。
6、检测操作:
使用disinfo-center有显示InformationCenter:
Enabled类似信息,如:
[Huawei]disinfo-center
InformationCenter:
enabled
Loghost:
Console:
channelnumber:
0,channelname:
console
Monitor:
channelnumber:
1,channelname:
monitor
SNMPAgent:
channelnumber:
5,channelname:
snmpagent
Logbuffer:
enabled,maxbuffersize1024,currentbuffersize512,
currentmessages56,channelnumber:
4,channelname:
logbuffer
droppedmessages0,overwrittenmessages0
Trapbuffer:
enabled,maxbuffersize1024,currentbuffersize256,
currentmessages4,channelnumber:
3,channelname:
trapbuffer
droppedmessages0,overwrittenmessages0
Informationtimestampsetting:
log-date,trap-date,debug-datemillisecond
Sentmessages=1227,Receivedmessages=1226
IORegmessages=0IOSentmessages=0
3.1.2开启NTP服务保证记录的时间的准确性
1、安全基线名称:
日志记录时间准确性
2、安全基线编号:
SBL-HUAWEI-03-01-02
3、安全基线说明:
开启NTP服务,保证日志功能记录的时间的准确性。
4、参考配置操作:
配置ntp客户端,服务器地址为192.168.1.1:
[Huawei]ntp-serviceauthenticationenable
[Huawei]ntp-serviceunicast-server192.168.1.1
5、安全判定条件:
日志记录时间准确。
6、检测操作:
[Huawei]discur|includentp
ntp-serviceauthenticationenable
ntp-serviceunicast-server192.168.1.1
3.1.3远程日志功能*
1、安全基线名称:
远程日志功能
2、安全基线编号:
SBL-HUAWEI-03-01-03
3、安全基线说明:
配置远程日志功能,使设备能通过远程日志功能传输到日志服务器。
4、参考配置操作:
[HUAWEI]info-centerloghost*.*.*.*//配置接收日志的服务器地址
[Huawei]info-centersourcedefaultchannelloghostloglevelemergencies//配置发送的日志级别
5、安全判定条件:
日志服务器能够正确接收网络设备发送的日志。
6、检测操作:
使用命令discur|includeinfo-center查看:
[Huawei]discur|includeinfo-center
info-centersourcedefaultchannel2loglevelemergencies
第4章IP协议安全要求
4.1IP协议
4.1.1VRRP认证
1、安全基线名称:
VRRP认证
2、安全基线编号:
SBL-HUAWEI-04-01-01
3、安全基线说明:
VRRP启用认证,防止非法设备加入到VRRP组中。
4、安全判定条件:
查看VRRP组,只存在正确的设备。
5、检测操作:
使用命令disvrrp
4.1.2系统远程服务只允许特定地址访问
1、安全基线名称:
系统远程服务只允许特定地址访问
2、安全基线编号:
SBL-HUAWEI-04-01-02
3、安全基线说明:
设备以UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置设备,只允许特定主机访问。
4、参考配置操作:
通过配置访问控制列表ACL,只允许特定的地址访问设备的服务,如:
[HUAWEI]aclnumber3000
[HUAWEI-acl-adv-3000]rule0permittcpsource10.18.54.120destination10.1.0.500destination-porteq443
[HUAWEI-acl-adv-3000]rule65534denyip
[Huawei]trafficbehavior1
[Huawei-behavior-1]permit
[Huawei]trafficpolicy1
[Huawei-classifier-1]if-matchacl3000
[Huawei]trafficpolicy1
[Huawei-trafficpolicy-1]classifier1behavior1
[Huawei]vlan20
[Huawei-vlan20]traffic-policy1inbound
5、安全判定条件:
在相关端口上绑定相应的ACL。
6、检测操作:
使用discur命令查看:
…
#
aclnumber3000
rule5permittcpsource10.18.1.10
#
trafficclassifier1operatorand
if-matchacl3000
#
trafficbehavior1
permit
#
trafficpolicy1
classifier1behavior1
#
drop-profiledefault
#
vlan20
traffic-policy1inbound
#
4.2功能配置
4.2.1SNMP的Community默认通行字口令强度
1、安全基线名称:
SNMP协议的community团体字
2、安全基线编号:
SBL-HUAWEI-04-02-01
3、安全基线说明:
修改SNMP的community默认团体字,字符串应符合口令强度要求。
4、参考配置操作:
[HUAWEI]snmp-agentcommunityread
[HUAWEI]snmp-agentcommunitywrite
5、安全判定条件:
Community非默认,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
6、检测操作:
使用命令discur|includesnmp查看:
[HUAWEI]discur|includesnmp
snmp-agent
snmp-agentlocal-engineid800063A280A4F25325010000000001
snmp-agentcommunityreadxiangyun_read
snmp-agentcommunitywritexiangyun_write
snmp-agentsys-infoversionv3
snmp-agenttrapenablearp
snmp-agenttrapenableradius
snmp-agenttrapenablestp
7、补充:
若设备不需要使用SNMP协议应关闭SNMP功能,若需要用到应使用V2版本以上的SNMP协议。
4.2.2只与特定主机进行SNMP协议交互
1、安全基线名称:
只与特定主机进行SNMP协议交互
2、安全基线编号:
SBL-HUAWEI-04-02-02
3、安全基线说明:
设备只与特定主机进行SNMP协议交互
4、参考配置操作:
使用ACL限制只与特定主机进行SNMP交互
[HUAWEI]aclnumber2000
[HUAWEI-acl-adv-2000]rule0permitipsource10.18.54.120
[HUAWEI-acl-adv-2000]rule65534denyip
[HUAWEI]snmp-agentcommunityreadxiangyunacl2000
5、安全判定条件:
Snmp绑定了acl
6、检测操作:
使用discur|includesnmp命令查看:
[HUAWEI]discur|includesnmp
snmp-agent
snmp-agentlocal-engineid800063A280A4F25325010000000001
snmp-agentcommunityreadxiangyun
snmp-agentsys-infoversion3
snmp-agenttrapenablearp
snmp-agenttrapenableradius
snmp-agenttrapenablestp
snmp-agentcommunityreadxiangyunacl2000
4.2.3配置SNMPV2或以上版本
1、安全基线名称:
配置SNMPv2或以上版本
2、安全基线编号:
SBL-HUAWEI-04-02-03
3、安全基线说明:
系统应配置SNMPv2或以上版本
4、参考配置操作:
[HUAWEI]snmp-agentsys-infoversionv3
5、安全判定条件:
系统可以成功使用snmpv2或v3版本协议。
6、检测操作:
使用discur|includesnmp命令查看:
[HUAWEI]discur|includesnmp
…..
snmp-agentsys-infoversion3
…..
4.2.4关闭未使用的SNMP协议及未使用write权限
1、安全基线名称:
关闭未使用的SNMP协议及未使用write权限
2、安全基线编号:
SBL-HUAWEI-04-02-04
3、安全基线说明:
系统应及时关闭未使用的SNMP协议及未使用write权限
4、参考配置操作:
[Huawei]undosnmp-agentcommunitywritepipaxing
5、安全判定条件:
Snmp权限为read。
6、检测操作:
使用discur|includesnmp命令查看,权限只有read:
[HUAWEI]discur|includesnmp
…..
snmp-agentcommunityreadxiangyun
…..
第5章IP协议安全要求
5.1其他安全配置
5.1.1关闭未使用的接口
1、安全基线名称:
关闭未使用的接口
2、安全基线编号:
SBL-HUAWEI-05-01-01
3、安全基线说明:
关闭未使用的接口
4、参考配置操作:
[HUAWEI]intg1/0/10
[HUAWEI-GigabitEthernet1/0/10]shutdown
5、安全判定条件:
未使用接口应该管理员down。
6、检测操作:
[HUAWEI]discur
….
#
interfaceGigabitEthernet1/0/10
portlink-modebridge
comboenablefiber
shutdown
#
….
5.1.2修改设备缺省BANNER语
1、安全基线名称:
修改设备缺省BANNER语
2、安全基线编号:
SBL-HUAWEI-05-01-02
3、安全基线说明:
要修改设备缺省BANNER语,BANNER最好不要有系统平台或地址等有碍安全的信息。
4、参考配置操作:
[Huawei]headerlogininformation{需要显示的登录信息}
5、安全判定条件:
欢迎界面、提示符等不包含敏感信息。
6、检测操作:
通过远程登录或console口登录查看设备提示信息。
5.1.3配置定时账户自动登出
1、安全基线名称:
配置账号定时自动退出
2、安全基线编号:
SBL-HUAWEI-05-01-03
3、安全基线说明:
如Telnet、ssh、console登录连接超时退出
4、参考配置操作:
配置vty登录3分钟无操作自动退出:
[HUAWEI]user-interfacevty04
[HUAWEI-line-vty0-4]idle-timeout3
5、安全判定条件:
每种登录方式均设备了超时退出时间。
6、检测操作:
使用discur查看:
[HUAWEI]discur
…
#
linevty04
authentication-modescheme
user-rolelevel-4
idle-timeout30
#
…
5.1.4配置console口密码保护功能
1、安全基线名称:
配置console口密码保护
2、安全基线编号:
SBL-HUAWEI-05-01-04
3、安全基线说明:
配置console口密码保护
4、参考配置操作:
[Huawei]user-interfaceconsole0
[Huawei-ui-console0]authentication-modepassword
[Huawei-ui-console0]setauthenticationpasswordcipheradmin123
5、安全判定条件:
通过console口登录,确认需要密码。
6、检测操作:
使用命令discur查看:
[HUAWEI]discur
…
#
user-interfacecon0
authentication-modepassword
setauthenticationpasswordciphert(<'@e^+hKEBi%T]n/.IV8e#
#
…
5.1.5端口与实际应用相符
1、安全基线名称:
端口与实际应用相符
2、安全基线编号:
SBL-HUAWEI-05-01-05
3、安全基线说明:
系统使用的端口默认无描述,安全事件处理及后期日志查询较为不变,出于安全考虑,应该将使用的端口添加符合实际应用的描述。
4、参考配置操作:
[HUAWEI]intg1/0/10
[HUAWEI-GigabitEthernet1/0/10]descriptionshangxinag
升级会员 