H3C交换机设备安全基线.docx

H3C交换机设备安全基线.docx

《H3C交换机设备安全基线.docx》由会员分享，可在线阅读，更多相关《H3C交换机设备安全基线.docx（15页珍藏版）》请在冰豆网上搜索。

H3C交换机设备安全基线

H3C设备安全配置基线

第1章概述

1.1目的

规范配置H3C路由器、交换机设备，保证设备基本安全。

1.2适用范围

本配置标准的使用者包括：

网络管理员、网络安全管理员、网络监控人员。

1.3适用版本

comwareV7版本交换机、路由器。

第2章帐号管理、认证授权安全要求

2.1帐号管理

2.1.1用户帐号分配*

1、安全基线名称：

用户帐号分配安全

2、安全基线编号：

SBL-H3C-02-01-01

3、安全基线说明：

应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

4、参考配置操作：

[H3C]local-useradmin

[H3C-luser-manage-admin]passwordhashadmin@mmu2

[H3C-luser-manage-admin]authorization-attributeuser-rolelevel-15

[H3C]local-useruser

[H3C-luser-network-user]passwordhashuser@nhesa

[H3C-luser-network-user]authorization-attributeuser-rolenetwork-operator

5、安全判定条件：

（1）配置文件中，存在不同的账号分配

（2）网络管理员确认用户与账号分配关系明确

6、检测操作：

使用命令discur命令查看：

…

#

local-useradminclassmanage

passwordhash$h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDsxuoWQ==

service-typessh

authorization-attributeuser-rolelevel-15

#

local-useruserclassnetwork

passwordhash$h$6$mmu2MlqLkGMnNy

service-typessh

authorization-attributeuser-rolenetwork-operator

#

对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。

2.1.2删除无关的帐号*

1、安全基线名称：

删除无关的账号

2、安全基线编号：

SBL-H3C-02-01-02

3、安全基线说明：

应删除与设备运行、维护等工作无关的账号。

4、参考配置操作：

[H3C]undolocal-useruserclassnetwork

5、安全判定条件：

（1）配置文件存在多个账号

（2）网络管理员确认账号与设备运行、维护等工作无关

6、检测操作：

使用discur|includelocal-user命令查看：

[H3C]discur|includelocal-user

local-useradminclassmanage

local-useruser1classmanage

若不存在无用账号则说明符合安全要求。

2.2口令

2.2.1静态口令以密文形式存放

1、安全基线名称：

静态口令以密文形式存放

2、安全基线编号：

SBL-H3C-02-02-01

3、安全基线说明：

配置本地用户和super口令使用密文密码。

4、参考配置操作：

[H3C]local-useradmin

[H3C-luser-manage-admin]passwordhash<密文password>//配置本地用户密文密码

[H3C]superpasswordhash<密文password>//配置super密码使用密文加密

5、安全判定条件：

配置文件中没有明文密码字段。

6、检测操作：

使用discur显示本地用户账号和super密码为密文密码

#

local-useradminclassmanage

passwordhash$h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDoZlLwO/4Jn/G1OXExEKsv+c2lNRICxCEUU13fGSGCqkVojcHvn8a6u8gcHLXVWaCgq4/VI0sxuoWQ==

service-typesshtelnet

authorization-attributeuser-rolelevel-15

#

local-useruser1classmanage

passwordhash$h$6$Vq2YRqXUGH5+Rb7H$gXyN9RI9CPidNbbabnP8Ul6RvR9p8+AchsO5MmNV+ePgOJ6z8/mZTL1hlnQV14oDAbvP5uHhG7gP1/U0pwHGFQ==

authorization-attributeuser-rolenetwork-operator

#

#

superpasswordrolenetwork-adminhash$h$6$5hCfLSGRV20XIu31$CMRoTM2axjYWGsOuwnhH7jdyczUUTGupjH0RinySGYft6k9RDySQS29QyciznpJoVS/thfJHRWEmiPQG7c13WQ==

#

2.2.2帐号、口令和授权

1、安全基线名称：

账号、口令和授权安全基线

2、安全基线编号：

SBL-H3C-02-02-02

3、安全基线说明：

通过认证系统，确认远程用户身份，判断是否为合法的网络用户。

4、参考配置操作：

[H3C]local-useradmin

[H3C-luser-manage-admin]passwordhashpipaxing@xiangyun

[H3C-luser-manage-admin]authorization-attributeuser-rolelevel-15

[H3C]domainadmin

[H3C-isp-admin]authenticationdefaultlocal

5、安全判定条件：

账号和口令的配置，指定了认证的系统。

6、检测操作：

[H3C]discur

…

#

domainadmin

#

domainsystem

#

domaindefaultenablesystem

#

2.2.3密码复杂度

1、安全基线名称：

密码复杂度

2、安全基线编号：

SBL-H3C-02-02-03

3、安全基线说明：

对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。

且5次以内不得设置相同的口令。

密码应至少每90天进行更换。

4、参考配置操作：

[H3C]local-useradmin

[H3C-luser-manage-admin]passwordpipaxing@xiangyun

5、安全判定条件：

密码强度符合要求，密码至少90天进行更换。

2.3授权

2.3.1用IP协议进行远程维护的设备使用SSH等加密协议

1、安全基线名称：

用IP协议进行远程维护设备

2、安全基线编号：

SBL-H3C-02-03-01

3、安全基线说明：

使用IP协议进行远程维护设备，应配置使用SSH等加密协议连接。

4、参考配置操作：

[H3C]sshserverenable

[H3C]local-useradmin

[H3C-luser-manage-admin]service-typessh

5、安全判定条件：

配置文件中只允许SSH等加密协议连接。

6、检测操作：

使用discur|includessh命令：

[H3C]discur|includessh

sshserverenable

service-typessh

ssh服务为enable状态表明符合安全要求。

第3章日志安全要求

3.1日志安全

3.1.1启用信息中心

1、安全基线名称：

启用信息中心

2、安全基线编号：

SBL-H3C-03-01-01

3、安全基线说明：

启用信息中心，记录与设备相关的事件。

4、参考配置操作：

[H3C]info-centerenable

5、安全判定条件：

（1）设备应配置日志功能，能对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录使用的IP地址。

（2）记录用户登录设备后所进行的所有操作。

6、检测操作：

使用disinfo-center有显示InformationCenter:

Enabled类似信息，如：

[H3C]disinfo-center

InformationCenter:

Enabled

Console:

Enabled

Monitor:

Enabled

Loghost:

Enabled

10.1.0.20,

portnumber:

514,hostfacility:

local7

10.1.0.95,

portnumber:

514,hostfacility:

local7

10.1.0.99,

portnumber:

514,hostfacility:

local7

Logbuffer:

Enabled

Maxbuffersize1024,currentbuffersize512

Currentmessages512,droppedmessages0,overwrittenmessages3736

Logfile:

Enabled

Securitylogfile:

Disabled

Informationtimestampformat:

Loghost:

Date

Otheroutputdestination:

Date

3.1.2开启NTP服务保证记录的时间的准确性

1、安全基线名称：

日志记录时间准确性

2、安全基线编号：

SBL-H3C-03-01-02

3、安全基线说明：

开启NTP服务，保证日志功能记录的时间的准确性。

4、参考配置操作：

配置ntp客户端，服务器地址为192.168.1.1：

[H3C]ntp-serviceenable

[H3C]ntp-serviceunicast-server192.168.1.1

5、安全判定条件：

日志记录时间准确。

6、检测操作：

[H3C]discur|includentp

ntp-serviceenable

ntp-serviceunicast-server192.168.1.1

3.1.3远程日志功能*

1、安全基线名称：

远程日志功能

2、安全基线编号：

SBL-H3C-03-01-03

3、安全基线说明：

配置远程日志功能，使设备能通过远程日志功能传输到日志服务器。

4、参考配置操作：

[H3C]info-centerloghost*.*.*.*//配置接收日志的服务器地址

[H3C]info-centersourcedefaultloghostlevelemergency//配置发送的日志级别

5、安全判定条件：

日志服务器能够正确接收网络设备发送的日志。

6、检测操作：

使用命令discur|includeinfo-center查看：

[H3C]discur|includeinfo-center

undocopyright-infoenable

info-centerloghost10.1.0.20

info-centerloghost10.1.0.95

info-centerloghost10.1.0.99

info-centersourcedefaultloghostlevelemergency

第4章IP协议安全要求

4.1IP协议

4.1.1VRRP认证

1、安全基线名称：

VRRP认证

2、安全基线编号：

SBL-H3C-04-01-01

3、安全基线说明：

VRRP启用认证，防止非法设备加入到VRRP组中。

4、安全判定条件：

查看VRRP组，只存在正确的设备。

5、检测操作：

使用命令disvrrp

4.1.2系统远程服务只允许特定地址访问

1、安全基线名称：

系统远程服务只允许特定地址访问

2、安全基线编号：

SBL-H3C-04-01-02

3、安全基线说明：

设备以UDP/TCP协议对外提供服务，供外部主机进行访问，如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等，应配置设备，只允许特定主机访问。

4、参考配置操作：

通过配置访问控制列表ACL，只允许特定的地址访问设备的服务，如：

[H3C]acladvanced3000

[H3C-acl-ipv4-adv-3000]rule0permittcpsource10.18.54.120destination10.1.0.500destination-porteq443

[H3C-acl-ipv4-adv-3000]rule65534denyip

5、安全判定条件：

在相关端口上绑定相应的ACL。

6、检测操作：

使用discur命令查看：

#

interfaceVlan-interface10

ipaddress10.1.0.50255.255.255.0

packet-filter3000inbound

#

4.2功能配置

4.2.1SNMP的Community默认通行字口令强度

1、安全基线名称：

SNMP协议的community团体字

2、安全基线编号：

SBL-H3C-04-02-01

3、安全基线说明：

修改SNMP的community默认团体字，字符串应符合口令强度要求。

4、参考配置操作：

[H3C]snmp-agentcommunityread

[H3C]snmp-agentcommunitywrite

5、安全判定条件：

Community非默认，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

6、检测操作：

使用命令discur|includesnmp查看：

[H3C]discur|includesnmp

snmp-agent

snmp-agentlocal-engineid800063A280A4F25325010000000001

snmp-agentcommunityreadxiangyun_read

snmp-agentcommunitywritexiangyun_write

snmp-agentsys-infoversionv3

snmp-agenttrapenablearp

snmp-agenttrapenableradius

snmp-agenttrapenablestp

7、补充：

若设备不需要使用SNMP协议应关闭SNMP功能，若需要用到应使用V2版本以上的SNMP协议。

4.2.2只与特定主机进行SNMP协议交互

1、安全基线名称：

只与特定主机进行SNMP协议交互

2、安全基线编号：

SBL-H3C-04-02-02

3、安全基线说明：

设备只与特定主机进行SNMP协议交互

4、参考配置操作：

使用ACL限制只与特定主机进行SNMP交互

[H3C]acladvancednameacl_snmp

[H3C-acl-ipv4-adv-acl_snmp]rulepermitipsource11.11.1.100

[H3C-acl-ipv4-adv-acl_snmp]ruledenyipsourceany

[H3C]snmp-agentcommunityreadxiangyunaclnameacl_snmp

5、安全判定条件：

Snmp绑定了acl

6、检测操作：

使用discur|includesnmp命令查看：

[H3C]discur|includesnmp

snmp-agent

snmp-agentlocal-engineid800063A280A4F25325010000000001

snmp-agentcommunityreadxiangyun

snmp-agentsys-infoversion3

snmp-agenttrapenablearp

snmp-agenttrapenableradius

snmp-agenttrapenablestp

snmp-agentcommunityreadxiangyunaclnameacl_snmp

4.2.3配置SNMPV2或以上版本

1、安全基线名称：

配置SNMPv2或以上版本

2、安全基线编号：

SBL-H3C-04-02-03

3、安全基线说明：

系统应配置SNMPv2或以上版本

4、参考配置操作：

[H3C]snmp-agentsys-infoversionv3

5、安全判定条件：

系统可以成功使用snmpv2或v3版本协议。

6、检测操作：

使用discur|includesnmp命令查看：

[H3C]discur|includesnmp

…..

snmp-agentsys-infoversion3

…..

4.2.4关闭未使用的SNMP协议及未使用write权限

1、安全基线名称：

关闭未使用的SNMP协议及未使用write权限

2、安全基线编号：

SBL-H3C-04-02-04

3、安全基线说明：

系统应及时关闭未使用的SNMP协议及未使用write权限

4、参考配置操作：

[H3C]undosnmp-agentcommunitypipaxing

5、安全判定条件：

Snmp权限为read。

6、检测操作：

使用discur|includesnmp命令查看，权限只有read：

[H3C]discur|includesnmp

…..

snmp-agentcommunityreadxiangyun

…..

第5章其他安全要求

5.1其他安全配置

5.1.1关闭未使用的接口

1、安全基线名称：

关闭未使用的接口

2、安全基线编号：

SBL-H3C-05-01-01

3、安全基线说明：

关闭未使用的接口

4、参考配置操作：

[H3C]intg1/0/10

[H3C-GigabitEthernet1/0/10]shutdown

5、安全判定条件：

未使用接口应该管理员down。

6、检测操作：

[H3C]discur

….

#

interfaceGigabitEthernet1/0/10

portlink-modebridge

comboenablefiber

shutdown

#

….

5.1.2修改设备缺省BANNER语

1、安全基线名称：

修改设备缺省BANNER语

2、安全基线编号：

SBL-H3C-05-01-02

3、安全基线说明：

要修改设备缺省BANNER语，BANNER最好不要有系统平台或地址等有碍安全的信息。

4、参考配置操作：

[H3C]headerlogin

Pleaseinputbannercontent,andquitwiththecharacter'%'.

5、安全判定条件：

欢迎界面、提示符等不包含敏感信息。

6、检测操作：

通过远程登录或console口登录查看设备提示信息。

5.1.3配置定时账户自动登出

1、安全基线名称：

配置账号定时自动退出

2、安全基线编号：

SBL-H3C-05-01-03

3、安全基线说明：

如Telnet、ssh、console登录连接超时退出

4、参考配置操作：

配置vty登录3分钟无操作自动退出：

[H3C]user-interfacevty04

[H3C-line-vty0-4]idle-timeout3

5、安全判定条件：

每种登录方式均设备了超时退出时间。

6、检测操作：

使用discur查看：

[H3C]discur

…

#

linevty04

authentication-modescheme

user-rolelevel-4

idle-timeout30

#

…

5.1.4配置console口密码保护功能

1、安全基线名称：

配置console口密码保护

2、安全基线编号：

SBL-H3C-05-01-04

3、安全基线说明：

配置console口密码保护

4、参考配置操作：

[H3C]user-interfaceaux0

[H3C-line-aux0]authentication-modepassword

[H3C-line-aux0]setauthenticationpasswordsimpleadmin123

5、安全判定条件：

通过console口登录，确认需要密码。

6、检测操作：

使用命令discur查看：

[H3C]discur

…

#

lineaux0

authentication-modepassword

user-rolenetwork-admin

setauthenticationpasswordhash$h$6$QpooKvn4vB7WJP7u/J9oscewiEEVfvQ==

#

…

5.1.5端口与实际应用相符

1、安全基线名称：

端口与实际应用相符

2、安全基线编号：

SBL-H3C-05-01-05

3、安全基线说明：

系统使用的端口默认无描述，安全事件处理及后期日志查询较为不变，出于安全考虑，应该将使用的端口添加符合实际应用的描述。

4、参考配置操作：

[H3C]intg1/0/10

[H3C-GigabitEthernet1/0/10]descriptionshangxinag

5、安全判定条件：

正在使用的端口配置了相应的描述。

6、检测操作：

使用discur命令查看对应使用的端口是否有描述：

[H3C]discur

….

#

interfaceGigabitEthernet1/0/10

portlink-modebridge

descriptionshangxinag

comboenablefiber

#