交换机设备安全基线.docx
《交换机设备安全基线.docx》由会员分享,可在线阅读,更多相关《交换机设备安全基线.docx(14页珍藏版)》请在冰豆网上搜索。
交换机设备安全基线
H3C设备安全配置基线
概述
目的
规范配置H3C路由器、交换机设备,保证设备基本安全。
适用范围
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
适用版本
comwareV7版本交换机、路由器。
帐号管理、认证授权安全要求
帐号管理
1.1.1用户帐号分配*
1、安全基线名称:
用户帐号分配安全
2、安全基线编号:
SBL-H3C-02-01-01
3、安全基线说明:
应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。
4、参考配置操作:
[H3C]local-useradmin
[H3C-luser-manage-admin]passwordhashadmin@mmu2
[H3C-luser-manage-admin]authorization-attributeuser-rolelevel-15
[H3C]local-useruser
[H3C-luser-network-user]passwordhashuser@nhesa
[H3C-luser-network-user]authorization-attributeuser-rolenetwork-operator
5、安全判定条件:
(1)配置文件中,存在不同的账号分配
(2)网络管理员确认用户与账号分配关系明确
6、检测操作:
使用命令discur命令查看:
…
#
local-useradminclassmanage
passwordhash$h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDsxuoWQ==
service-typessh
authorization-attributeuser-rolelevel-15
#
local-useruserclassnetwork
passwordhash$h$6$mmu2MlqLkGMnNy
service-typessh
authorization-attributeuser-rolenetwork-operator
#
对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。
1.1.2删除无关的帐号*
1、安全基线名称:
删除无关的账号
2、安全基线编号:
SBL-H3C-02-01-02
3、安全基线说明:
应删除与设备运行、维护等工作无关的账号。
4、参考配置操作:
[H3C]undolocal-useruserclassnetwork
5、安全判定条件:
(1)配置文件存在多个账号
(2)网络管理员确认账号与设备运行、维护等工作无关
6、检测操作:
使用discur|includelocal-user命令查看:
[H3C]discur|includelocal-user
local-useradminclassmanage
local-useruser1classmanage
若不存在无用账号则说明符合安全要求。
口令
1.1.3静态口令以密文形式存放
1、安全基线名称:
静态口令以密文形式存放
2、安全基线编号:
SBL-H3C-02-02-01
3、安全基线说明:
配置本地用户和super口令使用密文密码。
4、参考配置操作:
[H3C]local-useradmin
[H3C-luser-manage-admin]passwordhash<密文password>//配置本地用户密文密码
[H3C]superpasswordhash<密文password>//配置super密码使用密文加密
5、安全判定条件:
配置文件中没有明文密码字段。
6、检测操作:
使用discur显示本地用户账号和super密码为密文密码
#
local-useradminclassmanage
passwordhash$h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDoZlLwO/4Jn/G1OXExEKsv+c2lNRICxCEUU13fGSGCqkVojcHvn8a6u8gcHLXVWaCgq4/VI0sxuoWQ==
service-typesshtelnet
authorization-attributeuser-rolelevel-15
#
local-useruser1classmanage
passwordhash$h$6$Vq2YRqXUGH5+Rb7H$gXyN9RI9CPidNbbabnP8Ul6RvR9p8+AchsO5MmNV+ePgOJ6z8/mZTL1hlnQV14oDAbvP5uHhG7gP1/U0pwHGFQ==
authorization-attributeuser-rolenetwork-operator
#
#
superpasswordrolenetwork-adminhash$h$6$5hCfLSGRV20XIu31$CMRoTM2axjYWGsOuwnhH7jdyczUUTGupjH0RinySGYft6k9RDySQS29QyciznpJoVS/thfJHRWEmiPQG7c13WQ==
#
1.1.4帐号、口令和授权
1、安全基线名称:
账号、口令和授权安全基线
2、安全基线编号:
SBL-H3C-02-02-02
3、安全基线说明:
通过认证系统,确认远程用户身份,判断是否为合法的网络用户。
4、参考配置操作:
[H3C]local-useradmin
[H3C-luser-manage-admin]passwordhashpipaxing@xiangyun
[H3C-luser-manage-admin]authorization-attributeuser-rolelevel-15
[H3C]domainadmin
[H3C-isp-admin]authenticationdefaultlocal
5、安全判定条件:
账号和口令的配置,指定了认证的系统。
6、检测操作:
[H3C]discur
…
#
domainadmin
#
domainsystem
#
domaindefaultenablesystem
#
1.1.5密码复杂度
1、安全基线名称:
密码复杂度
2、安全基线编号:
SBL-H3C-02-02-03
3、安全基线说明:
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
4、参考配置操作:
[H3C]local-useradmin
[H3C-luser-manage-admin]passwordpipaxing@xiangyun
5、安全判定条件:
密码强度符合要求,密码至少90天进行更换。
授权
1.1.6用IP协议进行远程维护的设备使用SSH等加密协议
1、安全基线名称:
用IP协议进行远程维护设备
2、安全基线编号:
SBL-H3C-02-03-01
3、安全基线说明:
使用IP协议进行远程维护设备,应配置使用SSH等加密协议连接。
4、参考配置操作:
[H3C]sshserverenable
[H3C]local-useradmin
[H3C-luser-manage-admin]service-typessh
5、安全判定条件:
配置文件中只允许SSH等加密协议连接。
6、检测操作:
使用discur|includessh命令:
[H3C]discur|includessh
sshserverenable
service-typessh
ssh服务为enable状态表明符合安全要求。
日志安全要求
日志安全
1.1.7启用信息中心
1、安全基线名称:
启用信息中心
2、安全基线编号:
SBL-H3C-03-01-01
3、安全基线说明:
启用信息中心,记录与设备相关的事件。
4、参考配置操作:
[H3C]info-centerenable
5、安全判定条件:
(1)设备应配置日志功能,能对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录使用的IP地址。
(2)记录用户登录设备后所进行的所有操作。
6、检测操作:
使用disinfo-center有显示InformationCenter:
Enabled类似信息,如:
[H3C]disinfo-center
InformationCenter:
Enabled
Console:
Enabled
Monitor:
Enabled
Loghost:
Enabled
portnumber:
514,hostfacility:
local7
portnumber:
514,hostfacility:
local7
portnumber:
514,hostfacility:
local7
Logbuffer:
Enabled
Maxbuffersize1024,currentbuffersize512
Currentmessages512,droppedmessages0,overwrittenmessages3736
Logfile:
Enabled
Securitylogfile:
Disabled
Informationtimestampformat:
Loghost:
Date
Otheroutputdestination:
Date
1.1.8开启NTP服务保证记录的时间的准确性
1、安全基线名称:
日志记录时间准确性
2、安全基线编号:
SBL-H3C-03-01-02
3、安全基线说明:
开启NTP服务,保证日志功能记录的时间的准确性。
4、参考配置操作:
配置ntp客户端,服务器地址为:
[H3C]ntp-serviceenable
[H3C]ntp-serviceunicast-server
5、安全判定条件:
日志记录时间准确。
6、检测操作:
[H3C]discur|includentp
ntp-serviceenable
ntp-serviceunicast-server1
1.1.9远程日志功能*
1、安全基线名称:
远程日志功能
2、安全基线编号:
SBL-H3C-03-01-03
3、安全基线说明:
配置远程日志功能,使设备能通过远程日志功能传输到日志服务器。
4、参考配置操作:
[H3C]info-centerloghost*.*.*.*//配置接收日志的服务器地址
[H3C]info-centersourcedefaultloghostlevelemergency//配置发送的日志级别
5、安全判定条件:
日志服务器能够正确接收网络设备发送的日志。
6、检测操作:
使用命令discur|includeinfo-center查看:
[H3C]discur|includeinfo-center
undocopyright-infoenable
info-centersourcedefaultloghostlevelemergency
IP协议安全要求
IP协议
1.1.10VRRP认证
1、安全基线名称:
VRRP认证
2、安全基线编号:
SBL-H3C-04-01-01
3、安全基线说明:
VRRP启用认证,防止非法设备加入到VRRP组中。
4、安全判定条件:
查看VRRP组,只存在正确的设备。
5、检测操作:
使用命令disvrrp
1.1.11系统远程服务只允许特定地址访问
1、安全基线名称:
系统远程服务只允许特定地址访问
2、安全基线编号:
SBL-H3C-04-01-02
3、安全基线说明:
设备以UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置设备,只允许特定主机访问。
4、参考配置操作:
通过配置访问控制列表ACL,只允许特定的地址访问设备的服务,如:
[H3C]acladvanced3000
[H3C-acl-ipv4-adv-3000]rule0destination-porteq443
[H3C-acl-ipv4-adv-3000]rule65534denyip
5、安全判定条件:
在相关端口上绑定相应的ACL。
6、检测操作:
使用discur命令查看:
#
interfaceVlan-interface10
packet-filter3000inbound
#
功能配置
1.1.12SNMP的Community默认通行字口令强度
1、安全基线名称:
SNMP协议的community团体字
2、安全基线编号:
SBL-H3C-04-02-01
3、安全基线说明:
修改SNMP的community默认团体字,字符串应符合口令强度要求。
4、参考配置操作:
[H3C]snmp-agentcommunityread
[H3C]snmp-agentcommunitywrite
5、安全判定条件:
Community非默认,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
6、检测操作:
使用命令discur|includesnmp查看:
[H3C]discur|includesnmp
snmp-agent
snmp-agentcommunityreadxiangyun_read
snmp-agentcommunitywritexiangyun_write
snmp-agentsys-infoversionv3
snmp-agenttrapenablearp
snmp-agenttrapenableradius
snmp-agenttrapenablestp
7、补充:
若设备不需要使用SNMP协议应关闭SNMP功能,若需要用到应使用V2版本以上的SNMP协议。
1.1.13只与特定主机进行SNMP协议交互
1、安全基线名称:
只与特定主机进行SNMP协议交互
2、安全基线编号:
SBL-H3C-04-02-02
3、安全基线说明:
设备只与特定主机进行SNMP协议交互
4、参考配置操作:
使用ACL限制只与特定主机进行SNMP交互
[H3C]acladvancednameacl_snmp
[H3C-acl-ipv4-adv-acl_snmp]ruledenyipsourceany
[H3C]snmp-agentcommunityreadxiangyunaclnameacl_snmp
5、安全判定条件:
Snmp绑定了acl
6、检测操作:
使用discur|includesnmp命令查看:
[H3C]discur|includesnmp
snmp-agent
snmp-agentcommunityreadxiangyun
snmp-agentsys-infoversion3
snmp-agenttrapenablearp
snmp-agenttrapenableradius
snmp-agenttrapenablestp
snmp-agentcommunityreadxiangyunaclnameacl_snmp
1.1.14配置SNMPV2或以上版本
1、安全基线名称:
配置SNMPv2或以上版本
2、安全基线编号:
SBL-H3C-04-02-03
3、安全基线说明:
系统应配置SNMPv2或以上版本
4、参考配置操作:
[H3C]snmp-agentsys-infoversionv3
5、安全判定条件:
系统可以成功使用snmpv2或v3版本协议。
6、检测操作:
使用discur|includesnmp命令查看:
[H3C]discur|includesnmp
…..
snmp-agentsys-infoversion3
…..
1.1.15关闭未使用的SNMP协议及未使用write权限
1、安全基线名称:
关闭未使用的SNMP协议及未使用write权限
2、安全基线编号:
SBL-H3C-04-02-04
3、安全基线说明:
系统应及时关闭未使用的SNMP协议及未使用write权限
4、参考配置操作:
[H3C]undosnmp-agentcommunitypipaxing
5、安全判定条件:
Snmp权限为read。
6、检测操作:
使用discur|includesnmp命令查看,权限只有read:
[H3C]discur|includesnmp
…..
snmp-agentcommunityreadxiangyun
…..
其他安全要求
其他安全配置
1.1.16关闭未使用的接口
1、安全基线名称:
关闭未使用的接口
2、安全基线编号:
SBL-H3C-05-01-01
3、安全基线说明:
关闭未使用的接口
4、参考配置操作:
[H3C]intg1/0/10
[H3C-GigabitEthernet1/0/10]shutdown
5、安全判定条件:
未使用接口应该管理员down。
6、检测操作:
[H3C]discur
….
#
interfaceGigabitEthernet1/0/10
portlink-modebridge
comboenablefiber
shutdown
#
….
1.1.17修改设备缺省BANNER语
1、安全基线名称:
修改设备缺省BANNER语
2、安全基线编号:
SBL-H3C-05-01-02
3、安全基线说明:
要修改设备缺省BANNER语,BANNER最好不要有系统平台或地址等有碍安全的信息。
4、参考配置操作:
[H3C]headerlogin
Pleaseinputbannercontent,andquitwiththecharacter'%'.
5、安全判定条件:
欢迎界面、提示符等不包含敏感信息。
6、检测操作:
通过远程登录或console口登录查看设备提示信息。
1.1.18配置定时账户自动登出
1、安全基线名称:
配置账号定时自动退出
2、安全基线编号:
SBL-H3C-05-01-03
3、安全基线说明:
如Telnet、ssh、console登录连接超时退出
4、参考配置操作:
配置vty登录3分钟无操作自动退出:
[H3C]user-interfacevty04
[H3C-line-vty0-4]idle-timeout3
5、安全判定条件:
每种登录方式均设备了超时退出时间。
6、检测操作:
使用discur查看:
[H3C]discur
…
#
linevty04
authentication-modescheme
user-rolelevel-4
idle-timeout30
#
…
1.1.19配置console口密码保护功能
1、安全基线名称:
配置console口密码保护
2、安全基线编号:
SBL-H3C-05-01-04
3、安全基线说明:
配置console口密码保护
4、参考配置操作:
[H3C]user-interfaceaux0
[H3C-line-aux0]authentication-modepassword
[H3C-line-aux0]setauthenticationpasswordsimpleadmin123
5、安全判定条件:
通过console口登录,确认需要密码。
6、检测操作:
使用命令discur查看:
[H3C]discur
…
#
lineaux0
authentication-modepassword
user-rolenetwork-admin
setauthenticationpasswordhash$h$6$QpooKvn4vB7WJP7u/J9oscewiEEVfvQ==
#
…
1.1.20端口与实际应用相符
1、安全基线名称:
端口与实际应用相符
2、安全基线编号:
SBL-H3C-05-01-05
3、安全基线说明:
系统使用的端口默认无描述,安全事件处理及后期日志查询较为不变,出于安全考虑,应该将使用的端口添加符合实际应用的描述。
4、参考配置操作:
[H3C]intg1/0/10
[H3C-GigabitEthernet1/0/10]descriptionshangxinag
5、安全判定条件:
正在使用的端口配置了相应的描述。
6、检测操作:
使用discur命令查看对应使用的端口是否有描述:
[H3C]discur
….
#
interfaceGigabitEthernet1/0/10
portlink-modebridge
descriptionshangxinag
comboenablefiber
#