Juniper网络设备加固规范V02.docx

1、Juniper网络设备加固规范V02Juniper网络设备加固规范2018年9月目录1. 账号管理、认证授权 31.1. 账号 31.1.1. SHG-Juniper-01-01-01 31.1.2. SHG-Juniper-01-01-02 31.1.3. SHG-Juniper-01-01-03 41.2. 口令 51.2.1. SHG-Juniper-01-02-01 51.2.2. SHG-Juniper-01-02-02 61.2.3. SHG-Juniper-01-02-03 81.3. 认证 91.3.1. SHG-Juniper-01-03-01 92. 日志配置 102.1.

2、1. SHG-Juniper-02-01-01 102.1.2. SHG-Juniper-02-01-02 112.1.3. SHG-Juniper-02-01-03 122.1.4. SHG-Juniper-02-01-04 122.1.5. SHG-Juniper-02-01-05 132.1.6. SHG-Juniper-02-01-06 143. 通信协议 153.1.1. SHG-Juniper-03-01-01 153.1.2. SHG-Juniper-03-01-02 163.1.3. SHG-Juniper-03-01-03 173.1.4. SHG-Juniper-03-01

3、-04 183.1.5. SHG-Juniper-03-01-05 193.1.6. SHG-Juniper-03-01-06 204. 设备其他安全要求 204.1.1. SHG-Juniper-04-01-01 204.1.2. SHG-Juniper-04-01-02 214.1.3. SHG-Juniper-04-01-03 224.1.4. SHG-Juniper-04-01-04 234.1.5. SHG-Juniper-04-01-05 24 1. 账号管理、认证授权1.1. 账号 1.1.1. SHG-Juniper-01-01-01编号：SHG-Juniper-01-01-0

4、1名称：按照用户类型分配账号实施目的：按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。问题影响：权限不明确，存在用户越权使用的可能。系统当前状态：使用show configuration system login 查看当前配置实施方案：1、参考配置操作set system login user abc1set system login user abc22、补充操作说明1、abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称；2、账号取名，建议使用：姓名的简写手机号码。回退方案：删除新增加用户判断依据：标记用户用途，定期建立用户列表

5、，比较是否有非法用户实施风险：低重要等级：1.1.2. SHG-Juniper-01-01-02编号：SHG-Juniper-01-01-02名称：删除无效账号实施目的：按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。问题影响：非法利用系统默认账号系统当前状态：使用show configuration system login 查看当前配置实施方案：1、参考配置操作delete system login user abc32、补充操作说明abc3是与工作无关的账号。回退方案：增加被删除的用户判断依据：查看配置文件，核对用户列表。实施风险：低重要等级

6、：1.1.3. SHG-Juniper-01-01-03编号：SHG-Juniper-01-01-03名称：建立分配系统用户组实施目的：为了控制不同用户的访问级别，建立多用户级别，根据用户的业务需求，将用户账号分配到相应的用户级别。问题影响：账号越权使用系统当前状态：使用show configuration system login 查看当前配置实施方案：1、参考配置操作创建用户级别：set system login class ABC1 permissions view view-configuration 将用户账号分配到相应的用户级别：set system login user abc1

7、 class read-onlyset system login user abc2 class ABC1set system login user abc3 class super-user2、补充操作说明（1）、ABC1是手工创建的组，该组具有的权限：查看设备运行状态（如接口状态、设备硬件状态、路由状态等），并且可以查看设备的配置；（2）、read-only组具有的权限：查看设备运行状态，但不能查看设备的配置；（3）、super-user是超级用户组，具有的权限：所有权限；（4）、read-only和super-user是路由器已经创建的组，不需要手工创建；（5）、abc1、abc2、ab

8、c3是不同的用户，它们分别分配到相应的用户级别。回退方案：还原系统配置文件判断依据：使用show configuration system login 查看当前配置实施风险：高重要等级：1.2. 口令1.2.1. SHG-Juniper-01-02-01编号：SHG-Juniper-01-02-01名称：提高口令强度实施目的：对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。问题影响：增加密码被暴力破解的成功率系统当前状态：使用show configuration system login 查看当前配置实施方案：1、参考配置操作set s

9、ystem login user abc1 authentication plain-text-password 2、补充操作说明（1）、输入指令回车后，将两次提示输入新口令（New password:和Retype new password:）。（2）、口令要求：长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。回退方案：还原系统配置文件判断依据：使用show configuration system login 查看当前配置实施风险：低重要等级：1.2.2. SHG-Juniper-01-02-02编号：SHG-Juniper-01-02-02名称：根据用户的业务需要配

10、置其所需的最小权限实施目的：在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。问题影响：越权使用，非法访问。系统当前状态：使用show configuration system login 查看当前配置实施方案：（1）、用show configuration system login class ABC1命令查看配置（2）、用show configuration system login class ABC2命令查看配置（3）、在终端上用telnet方式登录路由器,输入用户名abc1和密码 成功登录路由器后，用configure命令进入配置模式。 使用以下命令检测： set ro

11、uting-可选ions static set interfaces set chassis fpc 使用其它set命令（4）、在终端上用telnet方式登录路由器,输入用户名abc2和密码成功登录路由器后，用configure命令进入配置模式。使用以下命令检测：set policy-可选ions set protocols set routing-instances set routing-可选ions 使用其它set命令（5）、在终端上用telnet方式登录路由器,输入用户名abc3和密码成功登录路由器后，用configure命令进入配置模式。使用set命令以及其它命令检测。回退方案：使用

12、show configuration system login 查看当前配置。还原系统配置文件。判断依据：（1）、账号abc1属于组ABC1，该组只能配置routing-可选ions static、interfaces、 Chassis fpc项里的内容。不能做其它未授权的配置；（2）、账号abc2属于组ABC2，该组只能配置关于路由的所有配置，包括routing-可选ions、protocols、policy-可选ions、routing-instances等，不能做其它未授权的配置；（3）、账号abc3属于组super-user，拥有全部配置权限。备注：创建用户级别，即创建用户的配置权限：

13、set system login class ABC1 permissions configureset system login class ABC1 allow-configuration routing-可选ions static|interfaces|chassis fpc set system login class ABC2 permissions configure routing-control 将用户账号分配到相应的用户级别：set system login user abc1 class ABC1set system login user abc2 class ABC2se

14、t system login user abc3 class super-user2、补充操作说明（1）、ABC1组具有的权限：可配置interfaces，可配置routing-可选ions中的static，可配置chassis中的fpc；（2）、ABC2组具有的权限：可配置有关于路由的所有配置，包括routing-可选ions、protocols、policy-可选ions、routing-instances等；（3）、allow-configuration参数是以等级来限制，可以限制各个等级的配置，可以细化到各个小等级；（4）、permissions参数是以功能来限制，限制的范围较大；（5

15、）、allow-commands参数是以具体的指令来限制，allow-comands参数需要设定具体指令,不建议使用。实施风险：低重要等级：1.2.3. SHG-Juniper-01-02-03编号：SHG-Juniper-01-02-03名称：提高ROOT用户口令强度实施目的：修改root密码。root的默认密码是空，修改root密码，避免非管理员使用root账号登录。问题影响：增加密码被暴力破解的成功率系统当前状态：使用show configuration system login 查看当前配置实施方案：1、参考配置操作（1）、用show configuration system logi

16、n命令查看配置是否正确；（2）、通过console口方式登录路由器,输入root用户名和密码；（3）、通过console口方式登录路由器，输入root用户和空密码。2、补充操作说明（1）、输入指令回车后，将两次提示输入新口令（New password:和Retype new password:）。（2）、口令要求：长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。回退方案：还原系统配置文件判断依据：（1）、输入root用户和正确密码可以正常登录路由器；（2）、输入root用户和空密码无法登录路由器。实施风险：低重要等级：1.3. 认证1.3.1. SHG-Juniper-0

17、1-03-01编号：SHG-Juniper-01-03-01名称：设置认证系统联动实施目的：设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。问题影响：密码泄露。系统当前状态：使用show configuration system login查看当前配置 并查看Radius服务器配置实施方案：1、参考配置操作set system authentication-order radiusset system authentication-order passwordset system radius-server 10.1.1.1set system radius-server

18、 10.1.1.2set system radius-server 10.1.1.1 port 1645set system radius-server 10.1.1.2 port 1645set system radius-server 10.1.1.1 secret abc123set system radius-server 10.1.1.2 secret abc1232、补充操作说明（1）、配置认证方式，可通过radius和本地认证；（2）、10.1.1.1和10.1.1.2是radius认证服务器的IP地址，建议建立两个radius认证服务器作为互备；（3）、port 1645是ra

19、dius认证开启的端口号，可根据本地radius认证服务器开启的端口号进行配置；（4）、abc123是与radius认证系统建立连接所设定的密码，建议：与radius认证服务器建立连接时，使用密码认证建立连接。回退方案：还原系统配置文件判断依据：使用show configuration system login查看当前配置实施风险：低重要等级：2. 日志配置本部分对JUNIPER设备的日志功能提出建议，主要加强设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存

20、在环境异常等，以便通过审计分析工具，发现安全隐患。如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。2.1.1. SHG-Juniper-02-01-01编号：SHG-Juniper-02-01-01名称：开启系统日志功能实施目的：设备应配置日志功能，记录用户对设备的操作，比如：账号创建、删除和权限修改，口令修改，读取和修改设备配置，涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。问题影响：无法对用户的登陆进行日志记录。系统当前状态：使用show configuration system syslog查看当前配置实施

21、方案：1、参考配置操作set system syslog file author.log authorization info 2、补充操作说明（1）、author.log是记录登录信息的log文件，该文件名称可手工定义；（2）、author.log文件保存在juniper路由器的存储上。回退方案：还原系统配置文件判断依据：使用show configuration system syslog查看当前配置实施风险：低重要等级：2.1.2. SHG-Juniper-02-01-02编号：SHG-Juniper-02-01-02名称：开启系统安全日志功能实施目的：设备应配置日志功能，记录对与设备相关

22、的安全事件，比如：记录路由协议事件和错误。问题影响：无法记录路由协议事件和错误。系统当前状态：使用show configuration查看当前配置实施方案：1、参考配置操作set system syslog file daemon.log daemon warningset system syslog file firewall.log firewall warning2、补充操作说明（1）、daemon.log是记录路由协议事件的文件，该文件名称可手工定义；（2）、firewall.log是记录安全事件的文件，该文件名称可手工定义；（3）、daemon和firewall可定义有九个等级，建议

23、将其设定为warning等级，即仅记录warning等级以上的安全事件。回退方案：还原系统配置文件判断依据：使用show configuration查看当前配置实施风险：中重要等级：2.1.3. SHG-Juniper-02-01-03编号：SHG-Juniper-02-01-03名称：设置配置更改日志路径实施目的：设置系统的配置更改信息保存到单独的change.log文件内。问题影响：暴露系统日志。系统当前状态：使用show configuration system syslog查看当前配置实施方案：1、参考配置操作set system syslog file change.log chan

24、ge-log info 2、补充操作说明（1）、change.log是记录配置更改的文件，该文件名称可手工定义；（2）、change.log文件保存在juniper路由器的存储上。回退方案：还原系统配置文件判断依据：使用show configuration system syslog查看当前配置实施风险：中重要等级：2.1.4. SHG-Juniper-02-01-04编号：SHG-Juniper-02-01-04名称：设置配置远程日志功能实施目的：设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。问题影响：丢失重要日志。系统当前状态：使用show configuration s

25、ystem syslog命令查看配置实施方案：set system syslog host 10.1.1.1 any noticeset system syslog host 10.1.1.1 log-prefix Router1set system syslog host 10.1.1.2 any noticeset system syslog host 10.1.1.2 log-prefix Router2补充操作说明（1）、10.1.1.1和10.1.1.2是远程日志服务器的IP地址，建议建设两个远程日志服务器作为互备；（2）、syslog有九个等级的记录信息，建议将notice等级以上

26、的信息传送到远程日志服务器；（3）、Router1为路由器的主机名称。回退方案：还原系统配置文件判断依据：（1）、使用show configuration system syslog命令查看配置；（2）、登录远程日志服务器查看日志。实施风险：中重要等级：2.1.5. SHG-Juniper-02-01-05编号：SHG-Juniper-02-01-05名称：设置系统的配置更改信息实施目的：设置系统的配置更改信息保存到单独的change.log文件内问题影响：丢失重要日志。系统当前状态：使用show configuration system syslog命令查看配置实施方案：（1）、使用show

27、 configuration system syslog命令查看配置；（2）、在终端上以telnet方式登录路由器,输入用户名密码；（3）、进行创建、删除帐号和修改用户密码等修改设备配置操作；（4）、用show log change.log命令查看日志。回退方案：使用show configuration system syslog命令查看配置，恢复默认配置判断依据：可以在change.log中查看到用户的操作内容、操作时间实施风险：中重要等级：2.1.6. SHG-Juniper-02-01-06编号：SHG-Juniper-02-01-06名称：保证日志功能记录的时间的准确性。实施目的：开启

28、NTP服务，保证日志功能记录的时间的准确性。路由器与NTP SERVER之间开启认证功能。问题影响：丢失重要日志。系统当前状态：使用show configuration system syslog命令查看配置实施方案：（1）、使用show configuration system ntp命令查看配置；（2）、使用show system uptime命令查看路由器时间与并与北京时间对比；（3）、使用show ntp associations查看路由器是否与NTP服务器同步；（4）、使用show ntp status查看路由器时间同步状态。回退方案：使用show configuration sys

29、tem syslog命令查看配置，恢复默认配置判断依据：（1）、用show ntp associations命令查看，信息如下面所示: remote refid st t when poll =* ROUTER1 10.1.1.1 2 u 641 1024 + ROUTER2 10.1.1.2 2 u 713 1024 reach delay offset jitter = 377 0.964 -24.126 0.067 377 4.490 -12.013 0.457 ROUTER1前面的(*)号表示ROUTER1是已和路由器时间同步的NTP服务器,(+)号为备用的NTP服务器.（2）、有show ntp status命令查看，信息如下:status=0644 leap_none, sync_ntp, 4 events, event_peer/strat_chg,version=ntpd 4.1.0-a Wed Oct 5 18:44:40 GMT 2005 (1),processor=i386, system=JUNOS7.3R2.7, leap=00, stratum=3,precision=-28, rootdelay=9.814, rootdispersion=102.250, peer=42484,refid=ROUTER1.