H3C三层交换机安全配置规范.docx
《H3C三层交换机安全配置规范.docx》由会员分享,可在线阅读,更多相关《H3C三层交换机安全配置规范.docx(23页珍藏版)》请在冰豆网上搜索。
H3C三层交换机安全配置规范
H3C三层交换机安全配置规范
4.1 管理平面安全配置
4.1.1 管理口防护
4.1.1.1 关闭未使用的管理口
项目编号NOMD-2013-SC-H3C(L3SW)-01-01-01-v1
配置说明设备应关闭未使用的管理口(AUX、或者没开启业务的端口)。
重要等级高
配置指南1、参考配置操作
#
interfaceTen-GigabitEthernet0/1//进入端口视图
shutdown//执行shutdown命令,关闭端口
#
检测方法
及
判定依据1、符合性判定依据
端口关闭,不能使用。
2、参考检测方法
通过网线或光纤(视具体接口不同),将此端口与PC或其他设备未关闭的端口互连,该端口指示灯灭,且PC或其他设备没有网卡UP的提示信息。
备注
4.1.1.2 配置console口密码保护
项目编号NOMD-2013-SC-H3C(L3SW)-01-01-02-v1
配置说明设备应配置console口密码保护
重要等级高
配置指南1、参考配置操作
[H3C]user-interfaceconsole0
[H3C-ui-console0]authentication-modepassword
[H3C-ui-console0]setauthenticationpasswordcipherxxxxxxxx
检测方法
及
判定依据1、符合性判定依据
通过console口,只有输入正确密码才能进入配置试图
2、参考检测方法
PC用Console线连接设备Console口,通过超级终端等配置软件,在进入设备配置视图时,提示要求输入密码。
备注
4.1.2 账号与口令
4.1.2.1 避免共享账号
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-01-v1
配置说明应对不同的用户分配不同的账号,避免不同用户间账号共享。
重要等级中
配置指南1、参考配置操作
#
local-useruser1
service-typetelnet
userpriviledelevel2
#
local-useruser2
service-typeftp
userpriviledelevel3
#
2、补充操作说明
1、user1和user2是两个不同的账号名称,可根据不同用户,取不同的名称,建议使用:
姓名的简写+手机号码;
2、避免使用h3c、admin等简单易猜的账号名称;
检测方法
及
判定依据1、符合性判定依据
各账号都可以正常使用,不同用户有不同的账号。
2、参考检测方法
(1)用displaycurrent-configurationconfigurationluser命令查看配置是否正确
(2)使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用
(3)使用配置中没有的账号无法登录
3、补充说明
每个账号都有对应的使用人员,确保没有多余账号
备注
4.1.2.2 禁止无关账号
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-02-v1
配置说明应禁止配置与设备运行、维护等工作无关的账号;
重要等级高
配置指南如有无关账号,参考如下配置进行删除
#
undolocal-userusername
#
检测方法
及
判定依据1、符合性判定依据
不存在工作无关账号
2、参考检测方法
通过displaylocal-user来查看是否存在无关账号
备注
4.1.2.3 管理默认账号与口令
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-03-v1
配置说明应删除或锁定默认或缺省账号与口令。
重要等级高
配置指南#
undolocal-userusername
#
检测方法
及
判定依据1、符合性判定依据
密码强度和策略符合安全要求
2、参考检测方法
通过displaypassword来看密码策略
通过telnet方式登录设备,输入密码来检测密码安全性
备注
4.1.2.4 口令长度和复杂度
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-04-v1
配置说明对于采用静态口令认证技术的设备:
应支持口令长度及复杂度验证机制(强制要求口令应由数字、大写字母、小写字母和特殊符号4类字符构成,自动拒绝用户设置不符合复杂度要求的口令。
);
重要等级高
配置指南1、参考配置操作
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类,每类多余4个。
password-controlenable
password-controllength8
password-controlcompositiontype-number3type-length4
检测方法
及
判定依据1、符合性判定依据
密码强度和策略符合安全要求
2、参考检测方法
通过displaypassword来看密码策略
通过telnet方式登录设备,输入密码来检测密码安全性
备注
4.1.2.5 口令加密
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-05-v1
配置说明静态口令应采用安全可靠的单向散列加密算法(如md5、sha1等)进行加密,并以密文形式存放。
如使用enablesecret配置Enable密码,不使用enablepassword配置Enable密码。
重要等级高
配置指南1、参考配置操作
#
local-useradmin
passwordcipher$c$3$91+quQroSJWHM4sAJOker3sBNmMjwUEU
#
检测方法
及
判定依据1、符合性判定依据
密码以密文形式存在设备配置中
2、参考检测方法
通过displaycurrent-configuration命令查看账号密码以密文形式显示
备注
4.1.2.6 口令变更周期
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-06-v1
配置说明口令定期更改,最长不得超过90天。
重要等级高
配置指南1、参考配置操作
对于采用静态口令认证技术的设备,账户口令的生存期不长于90天,提前7天告警。
password-controlenable
password-controlaging90
password-controlalert-before-expire7
检测方法
及
判定依据1、符合性判定依据
口令更改周期为90天,提前7天会自动告警
2、参考检测方法
通过displaypassword-control来查看密码策略
备注
4.1.2.7 账户锁定策略
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-07-v1
配置说明应为设备配置用户连续认证失败次数上限,当用户连续认证失败次数超过上限时,设备自动断开该用户账号的连接,并在一定时间内禁止该用户账号重新认证。
重要等级高
配置指南1、参考配置操作
password-controllogin-attempt5exceedlock-time60
一般设置为5次。
检测方法
及
判定依据1、符合性判定依据
账号密码输入连续多次错误,账号被锁定。
2、参考检测方法
模拟登录测试,连续输5次密码,该账号被锁定。
备注
4.1.3 认证
4.1.3.1 使用认证服务器认证
项目编号NOMD-2013-SC-H3C(L3SW)-01-03-01-v1
配置说明设备通过相关参数配置,通过与认证服务器(RADIUS或TACACS服务器)联动的方式实现对用户的认证,满足账号、口令和授权的要求。
重要等级中
配置指南1、参考配置操作
[FW]radiusschemerad
#配置主、备认证服务器的IP地址为10.1.1.1,认证端口号为1812。
[FW-radius-rad]primaryauthentication10.1.1.11812
[FW-radius-rad]secondaryauthentication10.1.1.21812
#配置与认证服务器交互报文时的共享密钥为expert。
[FW-radius-rad]keyauthenticationexpert
#配置向RADIUS服务器发送的用户名携带域名。
[FW-radius-rad]user-name-formatwith-domain
#配置RADIUS服务器的服务类型。
使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。
[FW-radius-rad]server-typeextended
[FW-radius-rad]quit
#配置ISP域的AAA方法。
[FW]domainbbb
[FW-isp-bbb]authenticationloginradius-schemerad
[FW-isp-bbb]quit
2、补充操作说明
(1)、配置认证方式,可通过radius和本地认证;
(2)、10.1.1.10和10.1.1.2是radius认证服务器的IP地址,建议建立两个radius认证服务器作为互备;
(3)、port1812是radius认证开启的端口号,可根据本地radius认证服务器开启的端口号进行配置;
(4)、abc123是与radius认证系统建立连接所设定的密码,建议:
与radius认证服务器建立连接时,使用密码认证建立连接。
检测方法
及
判定依据1、符合性判定依据
(1)、可以正常ping通Radius服务器的IP地址;
(2)、用户可以登录为正常;
(3)、如果要让Radius服务器向发送用户授权信息,需要在Radius服务器上装的字典文件并做相应配置。
2、参考检测方法
用户发起TELNET连接,在TELNET客户端按照提示输入用户名hello@bbb及正确的密码后,可成功进入用户界面,并可以使用级别为0、1、2、3的命令。
#可以通过如下命令查看到AAA用户的连接信息。
[FW]displayconnection
Index=1,Username=hello@bbb
IP=192.168.1.58
IPv6=N/A
Total1connection(s)matched.
备注
4.1.3.2 会话超时配置
项目编号NOMD-2013-SC-H3C(L3SW)-01-03-02-v1
配置说明配置定时账户自动登出。
如TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接等。
重要等级高
配置指南1、参考配置操作
#
user-interfacecon0
idle-timeout50
user-interfaceaux0
idle-timeout50
user-interfacevty04
idle-timeout50
#
save
2、补充操作说明
以上配置是系统在5分钟没有管理流量就让用户自动退出。
超时时间一般设置为5-10分钟。
检测方法
及
判定依据1、符合性判定依据
当闲置时间超时(这里设了5分钟),用户会自动退出设备
2、参考检测方法
1)、使用displaycurrent-configurationconfigurationuser-interface查看配置结果
2)、在终端上用telnet方式登录,输入用户名密码
3)、让用户处于空闲状态,查看当时间超时是否自动登出
备注
4.1.4 授权
4.1.4.1 分级权限控制
项目编号NOMD-2013-SC-H3C(L3SW)-01-04-01-v1
配置说明原则上应采用预定义级别的授权方法,实现对不同用户权限的控制,满足用户最小授权的要求。
重要等级中
配置指南1、参考配置操作
#
local-useruser1
service-typetelnet
userpriviledelevel2
#
local-useruser2
service-typeftp
userpriviledelevel3
#
检测方法
及
判定依据1、符合性判定依据
各账号都可以正常使用,且能够输入的命令权限不同
2、参考检测方法
(1)用displaycurrent-configurationconfigurationluser命令查看配置是否正确
(2)使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用以及可以配置的命令
备注
4.1.4.2 利用认证服务器进行权限控制
项目编号NOMD-2013-SC-H3C(L3SW)-01-04-02-v1
配置说明除本地采用预定义级别进行外,设备可通过与认证服务器(RADIUS服务器或TACACS服务器)联动的方式实现对用户的授权。
并建议采用逐条授权的方式,尽量避免或减少使用一次性授权的方式。
重要等级中
配置指南1、参考配置操作
[FW]radiusschemerad
#配置主、备授权服务器的IP地址为10.1.1.1,认证端口号为1812。
[FW-radius-rad]primaryauthentication10.1.1.11812
[FW-radius-rad]secondaryauthentication10.1.1.21812
#配置与授权服务器交互报文时的共享密钥为expert。
[FW-radius-rad]keyauthenticationexpert
#配置向RADIUS服务器发送的用户名携带域名。
[FW-radius-rad]user-name-formatwith-domain
#配置RADIUS服务器的服务类型。
使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。
[FW-radius-rad]server-typeextended
[FW-radius-rad]quit
#配置ISP域的AAA方法。
[FW]domainbbb
[FW-isp-bbb]authorizationloginradius-schemerad
[FW-isp-bbb]quit
2、Radius服务器向发送用户授权信息,需要在Radius服务器上装字典文件并做相应配置。
检测方法
及
判定依据1、符合性判定依据
(1)、用户可以登录为正常;
(2)、用户只能够配置Radius服务器规定的命令
2、参考检测方法
用户发起TELNET连接,在TELNET客户端按照提示输入用户名hello@bbb及正确的密码后,可成功进入用户界面,并可以使用级别为0、1、2、3的命令。
#可以通过如下命令查看到AAA用户的连接信息。
[FW]displayconnection
Index=1,Username=hello@bbb
IP=192.168.1.58
IPv6=N/A
Total1connection(s)matched.
备注
4.1.4.3 授权粒度控制
项目编号NOMD-2013-SC-H3C(L3SW)-01-04-03-v1
配置说明原则上应采用对命令组或命令进行授权的方法,实现对用户权限细粒度的控制的能力,满足用户最小授权的要求。
重要等级中
配置指南1、参考配置操作
[FW]radiusschemerad
#配置主、备授权服务器的IP地址为10.1.1.1,认证端口号为1812。
[FW-radius-rad]primaryauthentication10.1.1.11812
[FW-radius-rad]secondaryauthentication10.1.1.21812
#配置与授权服务器交互报文时的共享密钥为expert。
[FW-radius-rad]keyauthenticationexpert
#配置向RADIUS服务器发送的用户名携带域名。
[FW-radius-rad]user-name-formatwith-domain
#配置RADIUS服务器的服务类型。
使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。
[FW-radius-rad]server-typeextended
[FW-radius-rad]quit
#配置ISP域的AAA方法。
[FW]domainbbb
[FW-isp-bbb]authorizationloginradius-schemerad
[FW-isp-bbb]quit
2、Radius服务器向发送用户授权信息,需要在Radius服务器上装的字典文件并做相应配置。
检测方法
及
判定依据1、符合性判定依据
通过账号登录测试,每个账号的权限不同
2、参考检测方法
通过radius服务器,查看每个账号的权限
备注
4.1.5 记账
4.1.5.1 记录用户登录日志
项目编号NOMD-2013-SC-H3C(L3SW)-01-05-01-v1
配置说明采用本地或采用与认证服务器(RADIUS或TACACS服务器)联动(优选方式)的方式,实现对用户登录日志的记录和审计。
记录和审计范围应包括但不限于:
用户登录的方式、使用的账号名、登录是否成功、登录时间、以及远程登录时用户使用的IP地址。
重要等级高
配置指南1、参考配置操作
设备缺省就对用户登录实施日志。
如果修改了缺省配置不对用户登录实施日志的话,请增加以下配置:
#
info-centerenable
info-centersourcedefaultchannellogbufferloglevelinformationalstateon
#
save
检测方法
及
判定依据1、符合性判定依据
可以在informational级别日志中查看到用户名、登录时间和源IP等内容。
2、参考检测方法
(1)使用displaycurrent-configuration|begininfo-center命令查看配置;
(2)在终端上使用tetlnet方式登录,输入用户名密码;
(3)使用displaylogbuffer命令查看日志。
备注
4.1.5.2 记录用户操作行为日志
项目编号NOMD-2013-SC-H3C(L3SW)-01-05-02-v1
配置说明采用本地或采用与认证服务器(RADIUS或TACACS服务器)联动(优选方式)的方式,实现对用户操作行为的记录和审计,记录和审计范围应包括但不限于:
账号创建、删除和权限修改,口令修改,设备配置修改,执行操作的行为和操作结果等。
重要等级高
配置指南1、参考配置操作
缺省就对用户修改配置实施日志。
如果修改了缺省配置不对实施日志的话,请增加以下配置:
info-centersourcedefaultchannelconsoleloglevelinformationalstateon
save
2、补充操作说明
缺省方式日志输出
输出方向的缺省输出规则
输出方向允许输出的模块LOGTRAPDEBUG
开关级别开关级别开关级别
控制台default(所有模块)开informational开debugging开debugging
监视终端default(所有模块)开informational开debugging开debugging
日志主机default(所有模块)开informational开debugging关debugging
告警缓冲区default(所有模块)关informational开informational关debugging
日志缓冲区default(所有模块)开informational关debugging关debugging
SNMP模块default(所有模块)关debugging开informational关debugging
Web页面default(所有模块)开debugging开debugging关debugging
日志文件default(所有模块)开debugging开debugging关debugging
检测方法
及
判定依据1、符合性判定依据
可以使用displaylogbuffer命令查看日志。
2、检测操作
(1)使用displaycurrent-configuration|begininfo-center命令查看配置;
(2)在终端上使用tetlnet方式登录,输入用户名密码;
(3)使用displaylogbuffer命令查看日志。
备注
4.1.6 远程管理
4.1.6.1 VTY端口防护策略
项目编号NOMD-2013-SC-H3C(L3SW)-01-06-01-v1
配置说明应限制VTY口的数量,通常情况下VTY口数量不超过16个。
应设定VTY口的防护策略,避免由于恶意攻击或者错误操作等导致VTY口不可用情况的发生。
(如:
网管系统尽量采用snmp方式对设备进行操作,避免使用对设备CPU负载较大的telnet方式。
)
重要等级高
配置指南1、参考配置操作
user-interfacevty04
authentication-modescheme
2、补充操作说明
设置访问密码,避免非法访问
检测方法
及
判定依据1、符合性判定依据
对vty口的数量不超过5个,其对起进行了访问限制。
2、参考检测方法
1)Displaycurrent-configuration
2)通过登录测试,只有输入密码才能访问设备
超出在线用户数限制,则无法通过vty口访问设备
备注
4.1.6.2 VTY端口访问的认证
项目编号NOMD-2013-SC-H3C(L3SW)-01-06-02-v1
配置说明对于VTY口访问的认证,应采用认证服务器认证或者本地认证的方式,避免使用VTY口下设置密码的方式认证。
重要等级高
配置指南1、参考配置操作
user-interfacevty04
authentication-modescheme
#
2、补充操作说明
以上配置是对VTY口访问采用服务器认证或本地认证的方式。
检测方法
及
判定依据1、符合性判定依据
通过telnet登录,只能通过用户名、密码本地或远程登录。
2、参考检测方法
登录设备,查看是否需要用户名、密码进行认证。
备注
4.1.6.3 远程主机IP地址段限制
项目编号NOMD-2013-SC-H3C(L3SW)-01-06-03-v1
配置说明应通过ACL限制可远程管理设备的IP地址段