中国移动通信集团网络设备安全配置规范总则.docx
《中国移动通信集团网络设备安全配置规范总则.docx》由会员分享,可在线阅读,更多相关《中国移动通信集团网络设备安全配置规范总则.docx(21页珍藏版)》请在冰豆网上搜索。
中国移动通信集团网络设备安全配置规范总则
密级:
内部
文档编号:
项目代号:
中国移动通信集团
网络设备安全配置规范
总则
版本:
草稿
二零零三年十一月
中国移动通信公司
福建移动通信公司
版本控制
版本号
日期
参与人员
更新说明
初稿
2003-11-25
洪顺安
文档建立,初始化
第一部分概述和介绍
1概述
本文档对于中国移动网络设备安全配置的标准进行描述,规范涉及适用范围、对应网络设备本身安全机制的介绍和设备安全配置标准三个部分,在规范中针对不同设备的六大安全规范主题进行描述,除了提供详细的安全配置标准外,同时考虑设备型号和适用网络层次的不同,对实际配置过程中应注意的问题进行详细描述。
1.1项目背景
该项目是为了规范网络设备的安全配置标准,提高中国移动网络设备的安全性而提出的。
该项目成果将适用于移动集团公司以及各省公司网络部、计费、信息化等部门,涵盖业务网络(GPRS、CMNet、各数据业务系统)、支撑系统(网管、BOSS、OA)等。
1.2项目目标
该项目的目标是对中国移动网络中使用的网络设备的安全配置标准进行规范,实现规范和指导各省的各应用系统网络设备安全配置的作用。
标准以路由器、交换机、NAS设备为主,防火墙的配置要求为辅。
1.3参考资料
●CISCO公司提供的《ImprovingSecurityonCiscoRouters》
●中国IT认证实验室网站
●爱立信公司提供的爱立信路由器交换器安全加固手册
●华为公司提供的路由器、交换机和接入服务器的安全配置建议
参与本项目编写的人员有:
福建移动通信公司:
洪顺安、林秀、程琦、欧松、郭耀庭、陈鸿、连伟
感谢:
爱立信公司、华为公司、亿阳信通和泰讯网络给予大力支持。
第二部分设备的安全机制
本部分内容对设备自身的安全机制进行简单描述,对每种安全机制可以解决什么问题进行阐述。
考虑到设备适用的网络层次不同,各安全机制实施的网络层面也不尽相同,在这对各安全机制的使用网络层次进行分析。
网络设备的安全机制要考虑以下几个部分:
2访问控制
大多数网络设备具有访问控制能力,或通过访问控制列表,或流量过滤功能实现。
通过访问控制能力,能够实现对远程访问控制、snmp的认证、路由协议认证、IP地址限制、流量控制等等。
本部分对各类设备具有的访问控制能力进行综合阐述,并描述如何将访问控制功能应用在防范攻击上。
同时,对设备的设计结构进行说明,并讨论访问控制的实施是否会对设备性能造成影响。
目前思科低端设备在实施访问控制上有一定局限性,主要原因是设备设计特性所决定的;而juniper路由器采用ASIC芯片来执行ACL,并且路由引擎和转发引擎是分开的,故ACL的实施对设备不会有很大的影响。
在对设备属性不是很熟悉的情况下,实施ACL最好获取厂商的技术支持,已确保实施满足最终效果。
3数据加密
本部分对网络设备是否支持加密的通信方式进行阐述,如是否支持SSH、口令加密、是否支持HTTPS等等,并针对不同的软件版本问题分别阐述。
4日志问题
本部分对网络设备的日志体系进行介绍,如日志的组成、日志的存储等问题。
对SYSLOG的支持等。
5自身的防攻击能力
本部分对网络设备自身所特有的防攻击能力。
目前,各厂家的网络设备一般具有一定的自动攻击检测和防范机制,在功能上和称呼上有一定的差别,有些能自动生成,有些需手工添加。
如Extremme有对攻击的智能防范功能,思科和华为的CAR功能等。
考虑到设备本省具备的防攻击能力是设备特有的,在各分册中对设备具有的特定防攻击能力进行详细描述。
第三部分设备安全配置建议
设备安全配置建议是本规范重要的一个部分,该部分将对安全配置的细节进行描述,并对安全配置适用的网络层次、对设备性能的影响和配置实施的注意点进行详细说明。
考虑到不同设备在配置上存在巨大差异,对不同设备的配置在各分册中给出配置建议。
6访问控制列表及其管理
访问控制列表是路由器本身具有安全机制中最有特点的一个功能,许多安全配置都基于访问控制列表功能进行的。
本部分针对设备的访问控制列表功能进行总体的描述,并描述访问控制列表具体实施和配置等问题。
同时考虑访问控制列表对部分设备性能有一定影响,访问控制列表的实施必须慎重,最好获取厂家的建议后实施。
6.1实施原则
目前,大多数路由器、交换机等网络设备能提供强大的ACL(访问控制列表)的功能。
建议用ACL去限制可以远程登录设备的源地址。
实施ACL的原则是:
●只允许合法的网管网段或网管和维护主机地址作为源地址发起对设备的远程连接,如Telnet、SSH、Http、SNMP、Syslog等;
●只允许需要的协议端口能进入(如OSPF、BGP、RSVP等);
●指定设备自身发包的源地址,如loopbackIP。
同时只允许在设备间使用这些地址来互相远程登录;
●除此之外所有以设备端口IP地址为目的地址数据包都被拒收。
ACL在不同设备上的有不同的定义,但目的都是实现对访问的控制,有效屏蔽大部分的网络攻击。
如JUNOS称之为FirewallFilter,CISCO和Extremme称之为AccessList。
6.2存在问题
注意ACL的设置会可能对路由器设备性能造成影响,如CISCO的ACL设置过多,设备性能会严重下降,但Juniper路由器和Extreme交换机都是采用ASIC芯片来执行ACL的,而且ACL检查都先于转发处理,不会影响设备的转发效能和路由处理。
对于不同设备,建议在实施ACL时,要获取相关设备提供商的建议。
需要强调的是,对网络病毒和攻击的防范,并不能单靠路由器或交换机来完成,应尽量保证受管理主机及时得到系统加固,从源头上减少网络病毒和攻击发生的可能性。
汇聚网络或核心网络中,每一条链路上都承载大量各种各样的流量。
在此对流量进行区分和过滤具有较大难度,也容易引发意外。
而且也加大了汇聚设备或核心设备的处理压力。
建议ACL的设置应尽量往网络边缘靠,如在接入层设备和全网出口处。
这样能起到更好的防范效果,也包证了网络的整体转发效能不受影响。
6.3要求配置部分
根据已有经验,要求添加的ACL包括以下几部分:
●对ICMP数据包的过滤
目前网络上泛滥着大量的使用ICMP数据包的DoS攻击,如W32/WelchiaWorm。
我们建议创建ACL来屏蔽所有的ICMP数据流。
基于网管需要和特殊要求,我们可以再加添高优先级的ACL来允许特殊类型或具体源/目地址的ICMP包通过。
●对已知攻击模式的病毒攻击的防护
●根据IANA组织制定的说明,屏蔽不应在Internet上出现的IP地址
这些地址包括:
回环地址(127.0.0.0/8);RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);科学文档作者测试用地址(192.0.2.0/24);不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);全网络地址(0.0.0.0/8)。
●根据IANA组织制定的说明,屏蔽不应在Internet上出现的服务端口。
●根据IANA组织制定的说明,屏蔽不需要的组播地址。
在用或需要用的某些协议是通过组播方式运作(如OSPF),必须创建高优先级的ACL来允许指向具体组播地址的数据流通过。
实现源地址检查功能的ACL。
7路由协议的安全性
路由协议是数据网络最常用的技术,大部分的路由协议都会周期发送组播或广播PDU来维持协议运作。
组播和广播模式自身就存在严重安全隐患,而且路由协议的PDU携带有敏感的路由信息。
一旦路由协议PDU被窃听或冒充后,不对的或被恶意篡改的路由信息将直接导致网络故障,甚至网络瘫痪。
路由协议运作过程中的安全防护是保证全网安全的重要一环。
路由协议的安全性主要考虑路由认证、源地址路由检查和黑洞路由管理三个方面进行阐述。
7.1路由协议认证
大多数网络设备的路由协议如OSPF、ISIS和BGP都具有MD5认证功能。
默认情况下该功能不会启用该功能,根据路由协议的需要,要求启用该项功能。
一般情况下,路由设备加入某个IGP或EGP协议域以后,会与邻接设备完整地交换路由信息。
如果这是一个完全可信的网络是没有问题的,但是对于一个暴露在Internet上或有大量终端用户的网络来说,就存在安全隐患。
过多的和过于细致的路由信息可能被部分不怀好意的组织或个人收集,作为攻击网络的原始资料。
建议在与不可信网络建立路由关系时,或邻居关系承载在不可信链路上时,添加路由策略来限制只与可信设备间建立路由邻接关系,并使得只发送尽可能简洁和必要的路由信息和只接受必要的外部路由更新,实现将路由协议的交互工作置于受控状态的目的。
通过路由协议的认证,并结合设备提供的强大路由策略配置和ACL的过滤功能,能实现对路由更新的发送和接受起到精确控制。
这样可以净化链路流量,也有助于提高网络安全性。
注意随意将该IP端口加入路由域的作法不值得提倡,建议在不需要接收和转发路由信息的端口的情况下,应该将该端口设为Passive模式来满足需要。
在路由协议认证方面,规范对OSPF、ISIS和BGP协议路由认证分别作详细介绍,考虑到RIP协议考虑其实际应用较少,只作补充介绍。
7.2源地址路由检查
为了防止利用IPSpoofing手段假冒源地址进行的DoS攻击对整个网络造成的冲击,建议在所有的边缘路由设备(即直接与终端用户网络互连的路由设备)上,根据用户网段规划添加源地址路由检查。
考虑到设备对源地址路由检查实现方法不同,如大多数设备可以通过强大的ACL功能来实现,思科部分高端设备和Juniper等设备还提供URPF(UnicastReversePathForwarding单播反向路径转发)功能来实现,Extremme提供了IPARPChecking功能实现对源地址路由的检查。
注意源路由检查功能只适用于网络接入层设备。
汇聚层和核心层设备不建议使用,这主要原因是汇聚层和核心层设备承载的路由记录多而且复杂,不容易区分某一个方向的合法源地址。
汇聚层和核心层设备承载的流量也比较大,增加大规模的源地址检查会增加系统负担,而且如果这一检查已经在所有接入层设备上万成,就更显得毫无必要。
还有一个主要原因是,汇聚层和核心层设备出现不均衡路由的机会较高(即输出流量与返回流量分别承载在不同链路上,这是正常现象)。
如果启用源路由检查后,容易造成正常返回流量的无端被弃。
对源地址路由检查可以在很大程度上提高网络的安全性,是许多防范DoS攻击十分有效的手段,特别是对伪造IP地址的攻击。
7.3黑洞路由
黑洞路由是:
当上级设备与下级设备互连时,若下级设备使用缺省路由引导流出流量,而上级设备使用静态路由或只接收下级设备宣告的汇聚路由来引导返回流量,常常会在互连链路上形成路由环路。
这是由于下级设备有部分明细路由实际上没有使用而没有路由记录,而此情况不被上级设备所知道。
当有流量指向这部分地址时,下级设备会根据最长匹配原则使用缺省路由记录发往上级设备,而上级设备又根据静态或汇聚路由记录发还给下级设备,由此反复直至该流量的TTL递减归0为止,这样形成了路由黑洞。
尤其在网络受到扫描攻击或恶意破坏时,大量的流量在此链路上循环将严重挤占带宽和设备资源,影响网络服务质量甚至导致网络瘫痪。
要求根据IP规划和实际配置情况,在有此类故障隐患的下级设备上加添静态路由,把可能存在的黑洞路由信息丢弃,以此屏蔽暂时不用的网段,并根据业务开展情况对黑洞路由实时作出调整。
可见,对付黑洞路由的最有效方法是对使用IP地址和路由进行精确管理。
8网管及认证问题
8.1访问管理
一般而言,维护人员习惯使用CLI进行设备配置和日常管理,使用Telnet工具来远程登录设备,并且大部分设备都提供标准的Telnet接口。
虽然Telnet在连接建立初期需要进行帐号和密码的核查,但是在此过程以及后续会话中,都是明文方式传送所有数据,容易造窃听而泄密,可以说Telnet并不是一个安全的协议。
要求采用SSH协议来取代Telnet进行设备的远程登录,SSH与Telnet一样,提供远程连接登录的手段。
因为SSH传送的数据(包括帐号和密码)是被加密的,且密钥会自动更新,可以极大提高了连接的安全性。
SSH可以非常有效地防止窃听、防止使用地址欺骗手段实施的连接尝试。
规范提供远程登陆SSH的开启方式和SSH相关属性的设置,如:
超时间隔、尝试登录次数、控制连接的并发数目、如何采用访问列表严格控制访问的地址,对采用AAA的设置见帐号认证和授权部分。
对访问管理除了telnet外,还包括对SSH协议、ftp、snmp等协议的访问管理,相关具体配置见规范中的相关内容。
对具体访问管理的属性见下文。
8.1.1限制登录空闲时间
由于意外掉线或维护不良习惯,部分登录连接长时间悬挂在设备上,造成安全隐患。
如果悬空的登录连接过多,会导致后续的登陆无法实施,影响对系统管理。
要求设定登录连接空闲时间限制,让系统自动检查当前连接是否长时间处于空闲状态,若是则自动将其拆除。
Timeout具体取值应视实际需要而定,建议设置为3分钟左右。
如果出于排障目的,需要长时间登录设备检查系统状态,则需临时延长或取消这项设置。
8.1.2限制尝试次数
为了防止穷举式密码试探,要求设置登录尝试次数限制。
当系统收到一个连接请求,若提供的帐号或密码连续不能通过验证的的次数超过设定值,就自动中断该连接。
8.1.3限制并发数
为了防止穷举式密码试探,要求设置并发登录个数限制。
该限制必须与上述的空闲时间限制一并使用,否则当收到此类攻击时,将导致无法远程登录设备。
8.1.4访问地址限制
采用了SSH协议后,并不一定就能保证其安全性,要求通过访问地址限制提高访问的安全性。
访问地址限制是通过ACL访问控制列表实现的。
注意,由于国外出口限制或设备本身的问题,不是所有的设备都支持SSH的远程访问方式,并且软件版本的不同,对SSH的支持也不同。
如思科和juniper部分软件版本不支持SSH协议。
对不支持SSH协议的设备远程访问管理,只能通过telnet进行维护管理工作,必须通过必要手段提高telnet安全性,具体如下:
●更改telnet服务的端口,不采用标准端口,而采用非标准端口;
●加强登录用户密码的管理,如采用AAA认证等;
●对登录设备的IP地址进行严格限制;
●设置登录并发数、空闲事件、尝试次数等相关限制措施。
8.2帐号和密码管理
要求应在日常维护过程中周期性地(至少按季度)更改登录密码,甚至登录帐号。
当外方人员需要登录设备时,应创建临时帐号,并指定合适的权限,临时帐号使用完后应及时删除。
登录帐号及密码的保管和更新应由专人负责,并注意保密。
帐号名字应该与使用者存在对应关系,如能反应使用者的级别、从属关系。
为了提高安全性,在方便记忆的前提下,帐号名字应尽量混用字符的大小写、数字和符号,提高猜度的难度。
同样的,密码必须至少使用四种可用字符类型中的三种:
小写字母、大写字母、数字和符号,而且密码不得包含用户名或用户全名的一部分。
一般情况下密码至少包含8个字符。
我们建议用密码生成器软件(如)来制造随机密码。
要考虑有些设备密码以明文形式存放问题,建议必须启用相关特性,保证密码以加密方式存放在配置文件中。
对无法以密文存放的,要加强配置文件的管理。
各设备规范数提供设备帐号和密码设备的相关命令。
8.3帐号认证和授权
帐号的认证和授权分为设备本身的认证和授权和AAA服务器的认证和授权两个部分。
8.3.1本机认证和授权
初始模式下,设备内一般建有没有密码的管理员帐号,该帐号只能用于Console连接,不能用于远程登录。
建议用户应在初始化配置时为它们加添密码。
一般而言,设备允许用户自行创建本机登录帐号,并为其设定密码和权限。
但不是所有设备都支持分级权限管理,这在配置过程中要予以重视,提供分级管理的建议对帐号严格实施分级分权。
同时,为了AAA服务器出现问题时,对设备的维护工作仍可正常进行,建议保留必要的维护用户,但必须设置健壮的密码。
8.3.2AAA认证
大多数设备都支持RADIUS或TACACS+的AAA(认证、授权、计费)客户端功能,通过AAA认证可以方便实现对大量设备的登录帐号和密码的管理。
建议采用集中认证和授权模式,通过AAA服务器还可以弥补设备本省对执行权限管理的不足。
在AAA认证设置上,最好选用支持对用户操作内容日志功能的AAA服务器软件,这样可以加强对用户行为的控制。
8.4snmp协议
Snmp协议是目前数据网管理中普遍使用的协议,但snmp协议本身也存在安全问题。
需要合理配置snmp协议的相关属性,才能让snmp协议更好的为日常维护管理服务。
由于snmp协议的MIB存放着大量设备状态信息(称之为Object,并以OID作为唯一标识),既有物理层信息(如端口状态),也有协议层信息(如端口IP地址)。
网管系统通过SNMPGET或M-GET指令采集这些信息作为原始数据,经分析和处理后实现各种网管功能。
部分MIBObject还可以让网管系统通过SNMPSET指令来赋值。
怀有恶意的人可以通过窃取SNMP数据来获得网络的基本情况,并以此发起恶意攻击,甚至通过修改MIBObject赋值来进行破坏。
因此SNMP的防护非常重要。
SNMP自身提供了一些安全属性。
如Community,Community相当于网管系统与设备之间建立SNMP连接合法性的识别字串,它们两者之间的SNMP交互都需要先做Community检查后,再执行。
有2种Community:
Read-Only(简称RO)和Read-Write(简称RW)。
RO提供给SNMPGET、SNMPM-GET、SNMPTRAP指令使用;RW还提供给SNMPSET指令使用,RW相当危险,要求关闭snmprw功能。
同时,Snmp也可以进行访问地址限制。
这些安全属性的提供,提高了该协议本身的安全性。
各设备对snmp协议的初始配置不尽相同,如思科和其他厂家设备默认开启snmp协议,并采用了public和private的默认口令,默认的snmp配置是极其危险的;而Juniper和Extremme没有内建的Community,都需要用户自行创建。
故在对snmp进行安全配置时,须考虑设备的实际情况。
要求采取以下方法进行保护:
●更改SNMP协议的端口,采用非标准端口设置;
●限制发起SNMP连接的源地址;
●删除或关闭“Public”和“Private”Community,如果有的话;
●设置并定期更改SNMPCommunity(至少半年一次);
●除特殊情况,否则要求不设置SNMPRWCommunity;
●条件许可的话,建议转用SNMPv3。
SNMPversion3已经商用。
它引入了除Community外的基于MD5认证和DES加密来保障SNMP通道安全的机制。
8.5HTTP的配置要求
大多数网络设备都提供基于HTTP服务的维护管理界面,由于HTTP服务本身具有诸多安全漏洞,如CGI漏洞等,思科路由器的HTTP服务就发现有安全漏洞;虽然,很多设备的HTTP服务并没有安全问题报告,但对设备维护而言,HTTP服务不是一个很好的维护手段。
强烈建议关闭HTTP服务。
对非要使用HTTP服务的设备,要求通过下列措施保证其安全性:
●更改HTTP服务的端口,不采用标准的80端口,而采用非标准端口;
●加强登录用户密码的管理,如采用AAA认证等;
●对登录设备的IP地址进行严格限制,或通过VPN等安全手段控制对设备的访问;
●设置登录并发数、空闲事件、尝试次数等相关限制措施。
9安全审计
为了实现对设备安全的管理,要求对设备的安全审计进行有效管理。
根据设备本身具有的属性和实际维护经验,建议相关安全审计信息应包括设备登录信息和设备事件信息日志,同时,要求提供SYSLOG服务器的设置方式。
9.1设备的登录信息
设备的登录信息应包括:
登录时间、退出时间、帐号名、发起地址等信息。
最好能记录该用户执行过的所有CLI指令。
设备登录信息的保存,有助于问题的分析。
如在遭受黑客攻击后,对登录日志的分析,可以进行取证工作;对登录日志的分析,可以通过查出尝试攻击源,在访问上进行限制,达到预防的作用。
9.2设备异常事件
记录设备发生的异常事件日志:
包括异常流量、端口状态变化、设备负荷异常、ACL规则违反等。
通过对异常事件的监控,可以及时对异常问题采取措施。
如发现ICMP流量异常时,可以通过ACL的设置,进而达到对恶意流量的过滤。
9.3SYSLOG服务器的设置
日志生成后,如何将日志保存以便进行分析,是SYSLOG服务器要解决的问题。
大多数网络设备都具有发送SYSLOG日志信息功能。
日志服务器要实现日志的存储和管理功能,并可以通过日志分析程序或网管系统,实现对日志的分析和报表统计。
考虑到不同设备其日志信息的种类和详细层度有一定差别,并且日志开启对设备的负荷有一定影响。
建议开启对维护管理有实际意义的日志选项,并将其发送到日志服务器。
对各设备的日志开启选项和SYSLOG服务器的设置见各设备分册。
10设备IOS升级方法
设备软件版本升级和补丁安装是实施设备安全加固一个不可缺少的环节。
为了确保IOS升级的顺利进行,要求从以下几个细节进行考虑。
各设备的详细升级流程见各设备分册。
10.1前期准备
前期准备工作包括:
IOS软件的获取、升级计划的制定、配置同步、数据备份。
10.1.1软件的获取
目前,各大公司基本都会在官方网站上提供最新的软件版本和对应的升级包,但必须有对应的登陆帐户,如Juniper设备需要具备有效地CustomerSupportCenter登录帐号、CISCO设备必需要有CCO帐号。
建议在升级前必须确认软件是否通过集团公司的入网许可,并且与设备支撑单位确认你所要升级设备的硬件满足升级IOS的要求,最好IOS软件直接设备供应商获取。
10.1.2制定升级计划
与设备支撑单位一起制定详细的升级计划,充分考虑实施升级和补丁装载时系统重启对业务的影响,充分考虑网络结构的双机或双链路结构对业务的保护,最大限度减少业务中断时间。
如果路由器只配有单个路由引擎,建议安排现场升级或必须有具备技术能力的现场配合人员;并在条件许可的情况下,有备用路由器在现场。
若设备配有双路由引擎,可以远程执行,但也应安排一般的现场人员提供必要的配合。
注意有些IOS的升级是逐步进行的如:
JUNOS4.x需要先升级至JUNOS5.0至JUNOS5.2的任意中间版本,然后才能再次升级至更高版本。
在制定计划时必须体现这些问题。
10.1.3配置同步
路由器的配置内容被存放在多个介质中,如运行配置文件存放在RAM,但配置文件存放在硬盘上,对多个路由引擎的设备可能每个路由引擎上的配置也不同,为确保配置的一致性,有必要进行配置同步,以确保下一步数据备份的配置数据是最新的。
10.1.4数据备份
为确保升级过程的可恢复性,对原IOS和配置数据有必要进行完全备份。
要求在备份前确认备份介质的可用性和可靠性,并在备份完升级前进行验证。
提供数据备份的命令,包括IOS备份和配置数据备份。
10.1.5其他准备工作
其他升级前的准备工作如下:
1、检测升级设备各部件的工作状态,对存在的问题立即进行解决,无法解决的暂时停止升级工作。
2、FTP服务器的设置,并将获取的IOS软件放在服
升级会员 