1、选Huawei网络设备加固规范V01 lnHuawei网络设备加固规范V01Huawei网络设备加固规范2020年6月 1 帐号管理、认证授权1.1 账号管理1.1.1 SHG-Huawei-01-01-01编号:SHG-Huawei-01-01-01名称:无效帐户清理实施目的:删除与设备运行、维护等工作无关的账号问题影响:账号混淆,权限不明确,存在用户越权使用的可能。系统当前状态:查看备份的系统配置文件中帐号信息。实施方案:1、 参考配置操作aaaundo local-user test 回退方案:还原系统配置文件。判断依据:标记用户用途,定期建立用户列表,比较是否有非法用户实施风险:低重要
2、等级:实施风险:低重要等级:1.2 登录要求1.2.1 SHG-Huawei-01-02-01编号:Huawie-01-02-01名称:远程登录加密传输实施目的:远程登陆采用加密传输问题影响:泄露密码系统当前状态:查看备份的系统配置文件中远程登陆的配置状态。实施方案:1、参考配置操作全局模式下配置如下命令:(1)R36xxE系列、R2631E系列#protocol inbound ssh x acl xxxx; #ssh user xxxx assign rsa-key xxxxxx; #ssh user xxxx authentication-type password | RSA | al
3、l (2)NE系列#local-user username password simple | cipher password#aaa enable#ssh user username authentication-type password#user-interface vty x#authentication-mode scheme default#protocol inbound ssh回退方案:还原系统配置文件。判断依据:查看备份的系统配置文件中远程登陆的配置状态。实施风险:高重要等级:1.2.2 SHG-Huawei-01-02-02编号:SHG-Huawei-01-02-02名称:
4、加固AUX端口的管理实施目的:除非使用拨号接入时使用AUX端口,否则禁止这个端口。问题影响:用户非法登陆系统当前状态:查看备份的系统配置文件中关于CON配置状态。实施方案:1、参考配置操作# undo modem设置完成后无法通过AUX拨号接入路由器回退方案:还原系统配置文件。判断依据:查看备份的系统配置文件中关于CON配置状态。实施风险:中重要等级:1.2.3 SHG-Huawei-01-02-03编号:SHG-Huawei-01-02-03名称:远程登陆源地址限制实施目的:对登录用户的源IP地址进行过滤,防止某些获得登录密码的用户从非法的地址登录到设备上。问题影响:非法登陆。系统当前状态:
5、查看备份的系统配置文件中关于登录配置状态。实施方案:1、 参考配置操作全局模式下配置如下命令:acl acl-number match config | auto;rule normal |special permit | deny source xxx xxx destination xxx xxx .回退方案:还原系统配置文件。判断依据:查看备份的系统配置文件中关于登录配置状态。实施风险:中重要等级:1.3 认证和授权1.3.1 SHG-Huawei-01-03-01编号:SHG-Huawei-01-03-01名称:认证和授权设置实施目的:设备通过相关参数配置,与认证系统联动,满足帐号、口
6、令和授权的强制要求。问题影响:非法登陆。系统当前状态:查看备份的系统配置文件中相关配置。实施方案:1、 参考配置操作#对远程登录用户先用RADIUS服务器进行认证,如果没有响应,则不认证。#认证服务器IP地址为129.7.66.66,无备用服务器,端口号为默认值1812。# 配置RADIUS服务器模板。Router radius-server template shiva# 配置RADIUS认证服务器IP地址和端口。Router-radius-shivaradius-server authentication 129.7.66.66 1812# 配置RADIUS服务器密钥、重传次数。Route
7、r-radius-shiva radius-server shared-key it-is-my-secretRouter-radius-shiva radius-server retransmit 2Router-radius-shiva quit# 进入AAA视图。Router aaa# 配置认证方案r-n,认证方法为先RADIUS,如果没有响应,则不认证。Routeraaa authentication-scheme r-nRouter-aaa-authen-r-n authentication-mode radius noneRouter-aaa-authen-r-n quit# 配置
8、default域,在域下采用r-n认证方案、缺省的计费方案(不计费),shiva的RADIUS模板。Router-aaa domain defaultRouter-aaa-domain-default authentication-scheme r-nRouter-aaa-domain-defaultradius-server shiva回退方案:还原系统配置文件。判断依据:查看备份的系统配置文件中相关配置。实施风险:低重要等级:2 日志配置2.1.1 SHG-Huawei-02-01-01编号:SHG-Huawei-02-01-01名称:开启日志功能实施目的:支持数据日志,可以记录系统日志与
9、用户日志。系统日志指系统运行过程中记录的相关信息,用以对运行情况、故障进行分析和定位,日志文件可以通过XModem、FTP、TFTP协议,远程传送到网管中心。判断依据:无法对用户的登陆进行日志记录。系统当前状态:查看备份的系统配置文件中关于日志功能的配置。实施方案:1、 参考配置操作#info-center enable; 默认已启动#info-center console; 向控制台输出日志#info-center logbuffer; 向路由器内部缓冲器输出日志#info-center loghost; 向日志主机输出日志#info-center monitor; 向telnet终端或哑终
10、端输出日志回退方案:还原系统配置文件。判断依据:查看备份的系统配置文件中关于日志功能的配置。实施风险:中重要等级:3 通信协议3.1.1 SHG-Huawei-03-01-01编号:SHG-Huawei-03-01-01名称:SNMP服务配置实施目的:如不需要提供SNMP服务的,要求禁止SNMP协议服务,注意在禁止时删除一些SNMP服务的默认配置。问题影响:对系统造成不安全影响。系统当前状态:查看备份的系统配置文件中关于SNMP服务的配置。实施方案:1、 参考配置操作全局模式下配置如下命令:Undo snmp enableundo snmp-agent community RWuser关闭sn
11、mp的设备不能被网管检测到,关闭写权限的设备不能进行set操作。回退方案:还原系统配置文件。判断依据:查看备份的系统配置文件中关于SNMP服务的配置。实施风险:中重要等级:3.1.2 SHG-Huawei-03-01-02编号:SHG-Huawei-03-01-02名称:更改SNMP TRAP协议端口;实施目的:如开启SNMP协议,要求更改SNMP trap协议的标准端口号,以增强其安全性。问题影响:容易引起拒绝服务攻击。系统当前状态:查看备份的系统配置文件中关于SNMP服务的配置。实施方案:(2) 参考配置操作全局模式下配置如下命令:(2) R36xxE系列、R2631E系列#snmp-ag
12、ent#snmp-agent target-host trap address xxx.xxx.xxx.xxx security xxx port xxx#snmp-agent trap enable(2)NE系列#snmp-agent#snmp-agent target-host trap address udp-domain xxx.xxx.xxx.xxx securityname xxx udp-port xxx#snmp-agent trap enable回退方案:还原系统配置文件。判断依据:Show SNMP实施风险:高重要等级:3.1.3 SHG-Huawei-03-01-03编号
13、:SHG-Huawei-03-01-03名称:限制发起SNMP连接的源地址实施目的:如开启SNMP协议,要求更改SNMP 连接的源地址,以增强其安全性。问题影响:被非法攻击。系统当前状态:查看备份的系统配置文件中关于SNMP服务的配置。实施方案:1、参考配置操作全局模式下配置如下命令:#snmp-agent# snmp-agent community read | write XXXX acl xxxx【影响】:只有指定的网管网段才能使用SNMP维护回退方案:还原系统配置文件。判断依据:查看备份的系统配置文件中关于SNMP服务的配置。实施风险:中重要等级:3.1.4 SHG-Huawei-03
14、-01-04编号:SHG-Huawei-03-01-04名称:设置SNMP密码实施目的:如开启SNMP协议,要求设置并定期更改SNMP Community(至少半年一次),以增强其安全性。系统当前状态:查看备份的系统配置文件中关于SNMP服务的配置。问题影响:泄露密码,引起非法登陆。实施方案:1、参考配置操作全局模式下配置如下命令:#snmp-agent# snmp-agent community read | write XXXX(不建议打开write特性)回退方案:还原系统配置文件。判断依据:查看备份的系统配置文件中关于SNMP服务的配置。实施风险:中重要等级:3.1.5 SHG-Huawei-03-01-05编号:SHG-Huawei-03-01-05名称:SNMP访问安全限制实施目的:设置SNMP访问安全限制,只允许特定主机通过SNMP访问网络设备。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1