Juniper网络设备加固规范V02.docx
《Juniper网络设备加固规范V02.docx》由会员分享,可在线阅读,更多相关《Juniper网络设备加固规范V02.docx(28页珍藏版)》请在冰豆网上搜索。
Juniper网络设备加固规范V02
Juniper网络设备加固规范
2018年9月
目录
1.账号管理、认证授权3
1.1.账号3
1.1.1.SHG-Juniper-01-01-013
1.1.2.SHG-Juniper-01-01-023
1.1.3.SHG-Juniper-01-01-034
1.2.口令5
1.2.1.SHG-Juniper-01-02-015
1.2.2.SHG-Juniper-01-02-026
1.2.3.SHG-Juniper-01-02-038
1.3.认证9
1.3.1.SHG-Juniper-01-03-019
2.日志配置10
2.1.1.SHG-Juniper-02-01-0110
2.1.2.SHG-Juniper-02-01-0211
2.1.3.SHG-Juniper-02-01-0312
2.1.4.SHG-Juniper-02-01-0412
2.1.5.SHG-Juniper-02-01-0513
2.1.6.SHG-Juniper-02-01-0614
3.通信协议15
3.1.1.SHG-Juniper-03-01-0115
3.1.2.SHG-Juniper-03-01-0216
3.1.3.SHG-Juniper-03-01-0317
3.1.4.SHG-Juniper-03-01-0418
3.1.5.SHG-Juniper-03-01-0519
3.1.6.SHG-Juniper-03-01-0620
4.设备其他安全要求20
4.1.1.SHG-Juniper-04-01-0120
4.1.2.SHG-Juniper-04-01-0221
4.1.3.SHG-Juniper-04-01-0322
4.1.4.SHG-Juniper-04-01-0423
4.1.5.SHG-Juniper-04-01-0524
1.账号管理、认证授权
1.1.账号
1.1.1.SHG-Juniper-01-01-01
编号:
SHG-Juniper-01-01-01
名称:
按照用户类型分配账号
实施目的:
按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。
问题影响:
权限不明确,存在用户越权使用的可能。
系统当前状态:
使用showconfigurationsystemlogin查看当前配置
实施方案:
1、参考配置操作
setsystemloginuserabc1
setsystemloginuserabc2
2、补充操作说明
1、abc1和abc2是两个不同的账号名称,可根据不同用户,取不同的名称;
2、账号取名,建议使用:
姓名的简写+手机号码。
回退方案:
删除新增加用户
判断依据:
标记用户用途,定期建立用户列表,比较是否有非法用户
实施风险:
低
重要等级:
★★★
1.1.2.SHG-Juniper-01-01-02
编号:
SHG-Juniper-01-01-02
名称:
删除无效账号
实施目的:
按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。
问题影响:
非法利用系统默认账号
系统当前状态:
使用showconfigurationsystemlogin查看当前配置
实施方案:
1、参考配置操作
deletesystemloginuserabc3
2、补充操作说明
abc3是与工作无关的账号。
回退方案:
增加被删除的用户
判断依据:
查看配置文件,核对用户列表。
实施风险:
低
重要等级:
★★★
1.1.3.SHG-Juniper-01-01-03
编号:
SHG-Juniper-01-01-03
名称:
建立分配系统用户组
实施目的:
为了控制不同用户的访问级别,建立多用户级别,根据用户的业务需求,将用户账号分配到相应的用户级别。
问题影响:
账号越权使用
系统当前状态:
使用showconfigurationsystemlogin查看当前配置
实施方案:
1、参考配置操作
创建用户级别:
setsystemloginclassABC1permissions[viewview-configuration]
将用户账号分配到相应的用户级别:
setsystemloginuserabc1classread-only
setsystemloginuserabc2classABC1
setsystemloginuserabc3classsuper-user
2、补充操作说明
(1)、ABC1是手工创建的组,该组具有的权限:
查看设备运行状态(如接口状态、设备硬件状态、路由状态等),并且可以查看设备的配置;
(2)、read-only组具有的权限:
查看设备运行状态,但不能查看设备的配置;
(3)、super-user是超级用户组,具有的权限:
所有权限;
(4)、read-only和super-user是路由器已经创建的组,不需要手工创建;
(5)、abc1、abc2、abc3是不同的用户,它们分别分配到相应的用户级别。
回退方案:
还原系统配置文件
判断依据:
使用showconfigurationsystemlogin查看当前配置
实施风险:
高
重要等级:
★★★
1.2.口令
1.2.1.SHG-Juniper-01-02-01
编号:
SHG-Juniper-01-02-01
名称:
提高口令强度
实施目的:
对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
问题影响:
增加密码被暴力破解的成功率
系统当前状态:
使用showconfigurationsystemlogin查看当前配置
实施方案:
1、参考配置操作
setsystemloginuserabc1authenticationplain-text-password
2、补充操作说明
(1)、输入指令回车后,将两次提示输入新口令(Newpassword:
和Retypenewpassword:
)。
(2)、口令要求:
长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
回退方案:
还原系统配置文件
判断依据:
使用showconfigurationsystemlogin查看当前配置
实施风险:
低
重要等级:
★★★
1.2.2.SHG-Juniper-01-02-02
编号:
SHG-Juniper-01-02-02
名称:
根据用户的业务需要配置其所需的最小权限
实施目的:
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
问题影响:
越权使用,非法访问。
系统当前状态:
使用showconfigurationsystemlogin查看当前配置
实施方案:
(1)、用showconfigurationsystemloginclassABC1命令查看配置
(2)、用showconfigurationsystemloginclassABC2命令查看配置
(3)、在终端上用telnet方式登录路由器,输入用户名abc1和密码
成功登录路由器后,用configure命令进入配置模式。
使用以下命令检测:
setrouting-可选ionsstatic
setinterfaces
setchassisfpc
使用其它set命令
(4)、在终端上用telnet方式登录路由器,输入用户名abc2和密码成功登录路由器后,用configure命令进入配置模式。
使用以下命令检测:
setpolicy-可选ions
setprotocols
setrouting-instances
setrouting-可选ions
使用其它set命令
(5)、在终端上用telnet方式登录路由器,输入用户名abc3和密码成功登录路由器后,用configure命令进入配置模式。
使用set命令以及其它命令检测。
回退方案:
使用showconfigurationsystemlogin查看当前配置。
还原系统配置文件。
判断依据:
(1)、账号abc1属于组ABC1,该组只能配置routing-可选ionsstatic、interfaces、Chassisfpc项里的内容。
不能做其它未授权的配置;
(2)、账号abc2属于组ABC2,该组只能配置关于路由的所有配置,包括routing-可选ions、protocols、policy-可选ions、routing-instances等,不能做其它未授权的配置;
(3)、账号abc3属于组super-user,拥有全部配置权限。
备注:
创建用户级别,即创建用户的配置权限:
setsystemloginclassABC1permissionsconfigure
setsystemloginclassABC1allow-configuration"routing-可选ionsstatic|interfaces|chassisfpc"
setsystemloginclassABC2permissions[configurerouting-control]
将用户账号分配到相应的用户级别:
setsystemloginuserabc1classABC1
setsystemloginuserabc2classABC2
setsystemloginuserabc3classsuper-user
2、补充操作说明
(1)、ABC1组具有的权限:
可配置interfaces,可配置routing-可选ions中的static,可配置chassis中的fpc;
(2)、ABC2组具有的权限:
可配置有关于路由的所有配置,包括routing-可选ions、protocols、policy-可选ions、routing-instances等;
(3)、allow-configuration参数是以等级来限制,可以限制各个等级的配置,可以细化到各个小等级;
(4)、permissions参数是以功能来限制,限制的范围较大;
(5)、allow-commands参数是以具体的指令来限制,allow-comands参数需要设定具体指令,不建议使用。
实施风险:
低
重要等级:
★★★
1.2.3.SHG-Juniper-01-02-03
编号:
SHG-Juniper-01-02-03
名称:
提高ROOT用户口令强度
实施目的:
修改root密码。
root的默认密码是空,修改root密码,避免非管理员使用root账号登录。
问题影响:
增加密码被暴力破解的成功率
系统当前状态:
使用showconfigurationsystemlogin查看当前配置
实施方案:
1、参考配置操作
(1)、用showconfigurationsystemlogin命令查看配置是否正确;
(2)、通过console口方式登录路由器,输入root用户名和密码;
(3)、通过console口方式登录路由器,输入root用户和空密码。
2、补充操作说明
(1)、输入指令回车后,将两次提示输入新口令(Newpassword:
和Retypenewpassword:
)。
(2)、口令要求:
长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
回退方案:
还原系统配置文件
判断依据:
(1)、输入root用户和正确密码可以正常登录路由器;
(2)、输入root用户和空密码无法登录路由器。
实施风险:
低
重要等级:
★★★
1.3.认证
1.3.1.SHG-Juniper-01-03-01
编号:
SHG-Juniper-01-03-01
名称:
设置认证系统联动
实施目的:
设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。
问题影响:
密码泄露。
系统当前状态:
使用showconfigurationsystemlogin查看当前配置并查看Radius服务器配置
实施方案:
1、参考配置操作
setsystemauthentication-orderradius
setsystemauthentication-orderpassword
setsystemradius-server10.1.1.1
setsystemradius-server10.1.1.2
setsystemradius-server10.1.1.1port1645
setsystemradius-server10.1.1.2port1645
setsystemradius-server10.1.1.1secretabc123
setsystemradius-server10.1.1.2secretabc123
2、补充操作说明
(1)、配置认证方式,可通过radius和本地认证;
(2)、10.1.1.1和10.1.1.2是radius认证服务器的IP地址,建议建立两个radius认证服务器作为互备;
(3)、port1645是radius认证开启的端口号,可根据本地radius认证服务器开启的端口号进行配置;
(4)、abc123是与radius认证系统建立连接所设定的密码,建议:
与radius认证服务器建立连接时,使用密码认证建立连接。
回退方案:
还原系统配置文件
判断依据:
使用showconfigurationsystemlogin查看当前配置
实施风险:
低
重要等级:
★
2.日志配置
本部分对JUNIPER设备的日志功能提出建议,主要加强设备所具备的日志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位。
根据这些要求,设备日志应能支持记录与设备相关的重要事件,包括违反安全策略的事件、设备部件发生故障或其存在环境异常等,以便通过审计分析工具,发现安全隐患。
如出现大量违反ACL规则的事件时,通过对日志的审计分析,能发现隐患,提高设备维护人员的警惕性,防止恶化。
2.1.1.SHG-Juniper-02-01-01
编号:
SHG-Juniper-02-01-01
名称:
开启系统日志功能
实施目的:
设备应配置日志功能,记录用户对设备的操作,比如:
账号创建、删除和权限修改,口令修改,读取和修改设备配置,涉及通信隐私数据。
记录需要包含用户账号,操作时间,操作内容以及操作结果。
问题影响:
无法对用户的登陆进行日志记录。
系统当前状态:
使用showconfigurationsystemsyslog查看当前配置
实施方案:
1、参考配置操作
setsystemsyslogfileauthor.logauthorizationinfo
2、补充操作说明
(1)、author.log是记录登录信息的log文件,该文件名称可手工定义;
(2)、author.log文件保存在juniper路由器的存储上。
回退方案:
还原系统配置文件
判断依据:
使用showconfigurationsystemsyslog查看当前配置
实施风险:
低
重要等级:
★★★
2.1.2.SHG-Juniper-02-01-02
编号:
SHG-Juniper-02-01-02
名称:
开启系统安全日志功能
实施目的:
设备应配置日志功能,记录对与设备相关的安全事件,比如:
记录路由协议事件和错误。
问题影响:
无法记录路由协议事件和错误。
系统当前状态:
使用showconfiguration查看当前配置
实施方案:
1、参考配置操作
setsystemsyslogfiledaemon.logdaemonwarning
setsystemsyslogfilefirewall.logfirewallwarning
2、补充操作说明
(1)、daemon.log是记录路由协议事件的文件,该文件名称可手工定义;
(2)、firewall.log是记录安全事件的文件,该文件名称可手工定义;
(3)、daemon和firewall可定义有九个等级,建议将其设定为warning等级,即仅记录warning等级以上的安全事件。
回退方案:
还原系统配置文件
判断依据:
使用showconfiguration查看当前配置
实施风险:
中
重要等级:
★★★
2.1.3.SHG-Juniper-02-01-03
编号:
SHG-Juniper-02-01-03
名称:
设置配置更改日志路径
实施目的:
设置系统的配置更改信息保存到单独的change.log文件内。
问题影响:
暴露系统日志。
系统当前状态:
使用showconfigurationsystemsyslog查看当前配置
实施方案:
1、参考配置操作
setsystemsyslogfilechange.logchange-loginfo
2、补充操作说明
(1)、change.log是记录配置更改的文件,该文件名称可手工定义;
(2)、change.log文件保存在juniper路由器的存储上。
回退方案:
还原系统配置文件
判断依据:
使用showconfigurationsystemsyslog查看当前配置
实施风险:
中
重要等级:
★★
2.1.4.SHG-Juniper-02-01-04
编号:
SHG-Juniper-02-01-04
名称:
设置配置远程日志功能
实施目的:
设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。
问题影响:
丢失重要日志。
系统当前状态:
使用showconfigurationsystemsyslog命令查看配置
实施方案:
setsystemsysloghost10.1.1.1anynotice
setsystemsysloghost10.1.1.1log-prefixRouter1
setsystemsysloghost10.1.1.2anynotice
setsystemsysloghost10.1.1.2log-prefixRouter2
补充操作说明
(1)、10.1.1.1和10.1.1.2是远程日志服务器的IP地址,建议建设两个远程日志服务器作为互备;
(2)、syslog有九个等级的记录信息,建议将notice等级以上的信息传送到远程日志服务器;
(3)、Router1为路由器的主机名称。
回退方案:
还原系统配置文件
判断依据:
(1)、使用showconfigurationsystemsyslog命令查看配置;
(2)、登录远程日志服务器查看日志。
实施风险:
中
重要等级:
★★
2.1.5.SHG-Juniper-02-01-05
编号:
SHG-Juniper-02-01-05
名称:
设置系统的配置更改信息
实施目的:
设置系统的配置更改信息保存到单独的change.log文件内
问题影响:
丢失重要日志。
系统当前状态:
使用showconfigurationsystemsyslog命令查看配置
实施方案:
(1)、使用showconfigurationsystemsyslog命令查看配置;
(2)、在终端上以telnet方式登录路由器,输入用户名密码;
(3)、进行创建、删除帐号和修改用户密码等修改设备配置操作;
(4)、用showlogchange.log命令查看日志。
回退方案:
使用showconfigurationsystemsyslog命令查看配置,恢复默认配置
判断依据:
可以在change.log中查看到用户的操作内容、操作时间
实施风险:
中
重要等级:
★★
2.1.6.SHG-Juniper-02-01-06
编号:
SHG-Juniper-02-01-06
名称:
保证日志功能记录的时间的准确性。
实施目的:
开启NTP服务,保证日志功能记录的时间的准确性。
路由器与NTPSERVER之间开启认证功能。
问题影响:
丢失重要日志。
系统当前状态:
使用showconfigurationsystemsyslog命令查看配置
实施方案:
(1)、使用showconfigurationsystemntp命令查看配置;
(2)、使用showsystemuptime命令查看路由器时间与并与北京时间对比;
(3)、使用showntpassociations查看路由器是否与NTP服务器同步;
(4)、使用showntpstatus查看路由器时间同步状态。
回退方案:
使用showconfigurationsystemsyslog命令查看配置,恢复默认配置
判断依据:
(1)、用showntpassociations命令查看,信息如下面所示:
remoterefidsttwhenpoll
==============================
*ROUTER110.1.1.12u6411024
+ROUTER210.1.1.22u7131024
reachdelayoffsetjitter
==============================
3770.964-24.1260.067
3774.490-12.0130.457
ROUTER1前面的(*)号表示ROUTER1是已和路由器时间同步的NTP服务器,(+)号为备用的NTP服务器.
(2)、有showntpstatus命令查看,信息如下:
status=0644leap_none,sync_ntp,4events,event_peer/strat_chg,
version="ntpd4.1.0-aWedOct518:
44:
40GMT2005
(1)",
processor="i386",system="JUNOS7.3R2.7",leap=00,stratum=3,
precision=-28,rootdelay=9.814,rootdispersion=102.250,peer=42484,
refid=ROUTER1.