4.1 管理平面安全配置
4.1.1 管理口防护
4.1.1.1 关闭未使用的管理口
项目编号
配置说明 设备应关闭未使用的管理口(AUX、或者没开启业务的端口)。
重要等级 高
配置指南 、参考配置操作
interface Ten-GigabitEthernet0/1 //进入端口视图
s执行shutdown命令,关闭端口
#
检测方法
及
判定依据 、符合性判定依据
端口关闭,不能使用。
2、参考检测方法
通过网线或光纤(视具体接口不同),将此端口与PC或其他设备未关闭的端口互连,该端口指示灯灭,且PC或其他设备没有网卡UP的提示信息。
备注
4.1.1.2 配置console口密码保护
项目编号
配置说明 设备应配置console口密码保护
重要等级 高
配置指南 、参考配置操作
[H3C]user-interface console 0
[ H3C-ui-console0] authentication-mode password
[ H3C-ui-console0] set authentication password cipher xxxxxxxx
检测方法
及
判定依据 、 符合性判定依据
通过console口,只有输入正确密码才能进入配置试图
2、 参考检测方法
PC用Console线连接设备Console口,通过超级终端等配置软件,在进入设备配置视图时,提示要求输入密码。
备注
4.1.2 账号与口令
4.1.2.1 避免共享账号
项目编号
配置说明 应对不同的用户分配不同的账号,避免不同用户间账号共享。
重要等级 中
配置指南 、参考配置操作
#
local-user user1
user privilede level 2
#
local-user user2
user privilede level 3
#
2、补充操作说明
1、user1和user2是两个不同的账号名称,可根据不同用户,取不同的名称,建议使用:姓名的简写+手机号码;
2、避免使用h3c、admin等简单易猜的账号名称;
检测方法
及
判定依据 、符合性判定依据
各账号都可以正常使用,不同用户有不同的账号。
2、参考检测方法
(1)用display current-configuration configuration luser命令查看配置是否正确
(2)使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用
(3)使用配置中没有的账号无法登录
3、补充说明
每个账号都有对应的使用人员,确保没有多余账号
备注
4.1.2.2 禁止无关账号
项目编号
配置说明 应禁止配置与设备运行、维护等工作无关的账号;
重要等级 高
配置指南 如有无关账号,参考如下配置进行删除
#
undo local-user username
#
检测方法
及
判定依据 、 符合性判定依据
不存在工作无关账号
2、 参考检测方法
通过display local-user来查看是否存在无关账号
备注
4.1.2.3 管理默认账号与口令
项目编号
配置说明 应删除或锁定默认或缺省账号与口令。
重要等级 高
配置指南
undo local-user username
#
检测方法
及
判定依据 、 符合性判定依据
密码强度和策略符合安全要求
2、 参考检测方法
通过display password来看密码策略
通过telnet方式登录设备,输入密码来检测密码安全性
备注
4.1.2.4 口令长度和复杂度
项目编号
配置说明 对于采用静态口令认证技术的设备:应支持口令长度及复杂度验证机制(强制要求口令应由数字、大写字母、小写字母和特殊符号4类字符构成,自动拒绝用户设置不符合复杂度要求的口令。);
重要等级 高
配置指南 、参考配置操作
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类,每类多余4个。
password-control enable
password-control length 8
password-control composition type-number 3 type-length 4
检测方法
及
判定依据 、 符合性判定依据
密码强度和策略符合安全要求
2、 参考检测方法
通过display password来看密码策略
通过telnet方式登录设备,输入密码来检测密码安全性
备注
4.1.2.5 口令加密
项目编号
配置说明 静态口令应采用安全可靠的单向散列加密算法(如md5、sha1等)进行加密,并以密文形式存放。如使用enable secret配置Enable密码,不使用enable password配置Enable密码。
重要等级 高
配置指南 、参考配置操作
#
local-user admin
password cipher $c$3$91+quQroSJWHM4sAJOker3sBNmMjwUEU
#
检测方法
及
判定依据 、 符合性判定依据
密码以密文形式存在设备配置中
2、 参考检测方法
通过display current-configuration命令查看账号密码以密文形式显示
备注
4.1.2.6 口令变更周期
项目编号
配置说明 口令定期更改,最长不得超过90天。
重要等级 高
配置指南 、参考配置操作
对于采用静态口令认证技术的设备,账户口令的生存期不长于90天,提前7天告警。
password-control enable
password-control aging 90
password-control alert-before-expire 7
检测方法
及
判定依据 、 符合性判定依据
口令更改周期为90天,提前7天会自动告警
2、 参考检测方法
通过display password-control来查看密码策略
备注
4.1.2.7 账户锁定策略
项目编号
配置说明 应为设备配置用户 连续认证失败次数上限,当用户连续认证失败次数超过上限时,设备自动断开该用户账号的连接,并在一定时间内禁止该用户账号重新认证。
重要等级 高
配置指南 、参考配置操作
password-control login-attempt 5 exceed lock-time 60
一般设置为5次。
检测方法
及
判定依据 、 符合性判定依据
账号密码输入连续多次错误,账号被锁定。
2、 参考检测方法
模拟登录测试,连续输5次密码,该账号被锁定。
备注
4.1.3 认证
4.1.3.1 使用认证服务器认证
项目编号
配置说明 设备通过相关参数配置,通过与认证服务器(RADIUS或TACACS服务器)联动的方式实现对用户的认证,满足账号、口令和授权的要求。
重要等级 中
配置指南 、参考配置操作
[FW] radius scheme rad
# 配置主、备认证服务器的IP地址为10.1.1.1,认证端口号为1812。
[FW-radius-rad] primary authentication 10.1.1.1 1812
[FW-radius-rad] secondary authentication 10.1.1.2 1812
# 配置与认证服务器交互报文时的共享密钥为expert。
[FW-radius-rad] key authentication expert
# 配置向RADIUS服务器发送的用户名携带域名。
[FW-radius-rad] user-name-format with-domain
# 配置RADIUS服务器的服务类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。
[FW-radius-rad] server-type extended
[FW-radius-rad] quit
# 配置ISP域的AAA方法。
[FW] domain bbb
[FW-isp-bbb] authentication login radius-scheme rad
[FW-isp-bbb] quit
2、补充操作说明
(1)、配置认证方式,可通过radius和本地认证;
(2)、10.1.1.10和10.1.1.2是radius认证服务器的IP地址,建议建立两个radius认证服务器作为互备;
(3)、port 1812是radius认证开启的端口号,可根据本地radius认证服务器开启的端口号进行配置;
(4)、abc123是与radius认证系统建立连接所设定的密码,建议:与radius认证服务器建立连接时,使用密码认证建立连接。
检测方法
及
判定依据 、符合性判定依据
(1)、可以正常ping通 Radius服务器的IP地址;
(2)、用户可以登录为正常;
(3)、如果要让Radius服务器向发送用户授权信息,需要在Radius服务器上装的字典文件并做相应配置。
2、参考检测方法
用户发起TELNET连接,在TELNET客户端按照提示输入用户名hello@bbb及正确的密码后,可成功进入用户界面,并可以使用级别为0、1、2、3的命令。
# 可以通过如下命令查看到AAA用户的连接信息。
[FW] display connection
IP=192.168.1.58
IPv6=N/A
Total 1 connection(s) matched.
备注
4.1.3.2 会话超时配置
项目编号
配置说明 配置定时账户自动登出。如TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接等。
重要等级 高
配置指南 、参考配置操作
#
user-interface con 0
idle-timeout 5 0
user-interface aux 0
idle-timeout 5 0
user-interface vty 0 4
idle-timeout 5 0
#
save
2、补充操作说明
以上配置是系统在5分钟没有管理流量就让用户自动退出。
超时时间一般设置为5-10分钟。
检测方法
及
判定依据 、符合性判定依据
当闲置时间超时(这里设了5分钟),用户会自动退出设备
2、参考检测方法
1)、使用display current-configuration configuration user-interface查看配置结果
2)、在终端上用telnet方式登录,输入用户名密码
3)、让用户处于空闲状态,查看当时间超时是否自动登出
备注
4.1.4 授权
4.1.4.1 分级权限控制
项目编号
配置说明 原则上应采用预定义级别的授权方法,实现对不同用户权限的控制,满足用户最小授权的要求。
重要等级 中
配置指南 、参考配置操作
#
local-user user1
user privilede level 2
#
local-user user2
user privilede level 3
#
检测方法
及
判定依据 、符合性判定依据
各账号都可以正常使用,且能够输入的命令权限不同
2、参考检测方法
(1)用display current-configuration configuration luser命令查看配置是否正确
(2)使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用以及可以配置的命令
备注
4.1.4.2 利用认证服务器进行权限控制
项目编号
配置说明 除本地采用预定义级别进行外,设备可通过与认证服务器(RADIUS服务器或TACACS服务器)联动的方式实现对用户的授权。并建议采用逐条授权的方式,尽量避免或减少使用一次性授权的方式。
重要等级 中
配置指南 、参考配置操作
[FW] radius scheme rad
# 配置主、备授权服务器的IP地址为10.1.1.1,认证端口号为1812。
[FW-radius-rad] primary authentication 10.1.1.1 1812
[FW-radius-rad] secondary authentication 10.1.1.2 1812
# 配置与授权服务器交互报文时的共享密钥为expert。
[FW-radius-rad] key authentication expert
# 配置向RADIUS服务器发送的用户名携带域名。
[FW-radius-rad] user-name-format with-domain
# 配置RADIUS服务器的服务类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。
[FW-radius-rad] server-type extended
[FW-radius-rad] quit
# 配置ISP域的AAA方法。
[FW] domain bbb
[FW-isp-bbb] authorization login radius-scheme rad
[FW-isp-bbb] quit
2、Radius服务器向发送用户授权信息,需要在Radius服务器上装字典文件并做相应配置。
检测方法
及
判定依据 、符合性判定依据
(1)、用户可以登录为正常;
(2)、用户只能够配置Radius服务器规定的命令
2、参考检测方法
用户发起TELNET连接,在TELNET客户端按照提示输入用户名hello@bbb及正确的密码后,可成功进入用户界面,并可以使用级别为0、1、2、3的命令。
# 可以通过如下命令查看到AAA用户的连接信息。
[FW] display connection
IP=192.168.1.58
IPv6=N/A
Total 1 connection(s) matched.
备注
4.1.4.3 授权粒度控制
项目编号
配置说明 原则上应采用对命令组或命令进行授权的方法,实现对用户权限细粒度的控制的能力,满足用户最小授权的要求。
重要等级 中
配置指南 、参考配置操作
[FW] radius scheme rad
# 配置主、备授权服务器的IP地址为10.1.1.1,认证端口号为1812。
[FW-radius-rad] primary authentication 10.1.1.1 1812
[FW-radius-rad] secondary authentication 10.1.1.2 1812
# 配置与授权服务器交互报文时的共享密钥为expert。
[FW-radius-rad] key authentication expert
# 配置向RADIUS服务器发送的用户名携带域名。
[FW-radius-rad] user-name-format with-domain
# 配置RADIUS服务器的服务类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。
[FW-radius-rad] server-type extended
[FW-radius-rad] quit
# 配置ISP域的AAA方法。
[FW] domain bbb
[FW-isp-bbb] authorization login radius-scheme rad
[FW-isp-bbb] quit
2、Radius服务器向发送用户授权信息,需要在Radius服务器上装的字典文件并做相应配置。
检测方法
及
判定依据 、 符合性判定依据
通过账号登录测试,每个账号的权限不同
2、 参考检测方法
通过radius服务器,查看每个账号的权限
备注
4.1.5 记账
4.1.5.1 记录用户登录日志
项目编号
配置说明 采用本地或采用与认证服务器 (RADIUS或TACACS服务器)联动(优选方式)的方式,实现对用户登录日志的记录和审计。记录和审计范围应包括但不限于:用户登录的方式、使用的账号名、登录是否成功、登录时间、以及远程登录时用户使用的IP地址。
重要等级 高
配置指南 、参考配置操作
设备缺省就对用户登录实施日志。如果修改了缺省配置不对用户登录实施日志的话,请增加以下配置:
#
info-center enable
info-center source default channel logbuffer log level informational state on
#
save
检测方法
及
判定依据 、符合性判定依据
可以在informational级别日志中查看到用户名、登录时间和源IP等内容。
2、参考检测方法
(1)使用display current-configuration | begin info-center命令查看配置;
(2)在终端上使用tetlnet方式登录,输入用户名密码;
(3)使用display logbuffer 命令查看日志。
备注
4.1.5.2 记录用户操作行为日志
项目编号
配置说明 采用本地或采用与认证服务器 (RADIUS或TACACS服务器)联动(优选方式)的方式,实现对用户操作行为的记录和审计,记录和审计范围应包括但不限于:账号创建、删除和权限修改,口令修改,设备配置修改,执行操作的行为和操作结果等。
重要等级 高
配置指南 、参考配置操作
缺省就对用户修改配置实施日志。如果修改了缺省配置不对实施日志的话,请增加以下配置:
info-center source default channel console log level informational state on
save
2、补充操作说明
缺省方式日志输出
输出方向的缺省输出规则
输出方向 允许输出的模块 LOG TRAP DEBUG
开关 级别 开关 级别 开关 级别
控制台 (所有模块) 开 informational 开 debugging 开
监视终端 (所有模块) 开 informational 开 debugging 开
日志主机 (所有模块) 开 informational 开 debugging 关
告警缓冲区 (所有模块) 关 informational 开 informational 关
日志缓冲区 (所有模块) 开 informational 关 debugging 关
SNMP模块 (所有模块) 关 debugging 开 informational 关
Web页面 (所有模块) 开 debugging 开 debugging 关
日志文件 (所有模块) 开 debugging 开 debugging 关
检测方法
及
判定依据 、符合性判定依据
可以使用display logbuffer 命令查看日志。
2、检测操作
(1)使用display current-configuration | begin info-center命令查看配置;
(2)在终端上使用tetlnet方式登录,输入用户名密码;
(3)使用display logbuffer 命令查看日志。
备注
4.1.6 远程管理
4.1.6.1 VTY端口防护策略
项目编号
配置说明 应VTY口的数量,通常情况下VTY口数量不超过16个。应设定VTY口的防护策略,避免由于恶意攻击或者错误操作等导致VTY口不可用情况的发生。(如:网管系统尽量采用snmp方式对设备进行操作,避免使用对设备CPU负载较大的telnet方式。)
重要等级 高
配置指南 、 参考配置操作
user-interface vty 0 4
authentication-mode scheme
2、补充操作说明
设置访问密码,避免非法访问
检测方法
及
判定依据 、符合性判定依据
对vty口的数量不超过5个,其对起进行了访问。
2、参考检测方法
2通过登录测试,只有输入密码才能访问设备
超出在线用户数,则无法通过vty口访问设备
备注
4.1.6.2 VTY端口访问的认证
项目编号
配置说明 对于VTY口访问的认证,应采用认证服务器认证或者本地认证的方式,避免使用VTY口下设置密码的方式认证。
重要等级 高
配置指南 、参考配置操作
user-interface vty 0 4
authentication-mode scheme
#
2、补充操作说明
以上配置是对VTY口访问采用服务器认证或本地认证的方式。
检测方法
及
判定依据 、 符合性判定依据
通过telnet登录,只能通过用户名、密码本地或远程登录。
2、 参考检测方法
登录设备,查看是否需要用户名、密码进行认证。
备注
4.1.6.3 远程主机IP地址段
项目编号
配置说明 应通过ACL可远程管理设备的IP地址段
重要等级 高
配置指南 、参考配置操作
Acl number 2000
rule 1 permit source 192.168.0.0 0.0.255.255
r匹配某个地址的用户
User-interface vty 0 4
acl 2000 inbound
检测方法
及
判定依据 、 符合性判定依据
通过设定acl,成功过滤非法的访问。
2、 参考检测方法
display current-configuration
通过模拟账号登录设备,如果不是ACL所允许的IP地址,则无法登录。
备注
4.1.6.4 远程管理通信安全
项目编号
配置说明 使用SSH或带SSH的telnet等加密的远程管理方式。
重要等级 高
配置指南 、参考配置操作
# 设置用户界面VTY 0 到VTY 4 支持SSH 协议。
[Sysname] user-interface vty 0 4 [Sysname-ui-vty0-4] authentication-mode scheme [Sysname-ui-vty0-4] protocol inbound ssh 检测方法 及 判定依据 、符合性判定依据 通过telnet无法登录,只能以SSH方式登录 2、参考检测方法 通过SSH方式登录设备,成功。Telnet登录,则失败。 备注 4.1.7 SNMP安全 4.1.7.1 使用SNMP V3版本 项目编号 配置说明 对于支持SNMP V3版本的设备,必须使用V3版本SNMP协议。 重要等级 高 配置指南 、参考配置操作 snmp-agent sys-info version v3 检测方法 及 判定依据 1. 符合性判定依据 成功使能snmpv2c、和v3版本。 2参考检测操作 display current-configuration 备注 4.1.7.2 访问IP地址范围 项目编号 配置说明 应对发起SNMP访问的源IP地址进行,并对设备接收端口进行。 重要等级 高 配置指南 、参考配置操作 snmp-agent community read XXXX acl 2000 检测方法 及 判定依据 1. 符合性判定依据 通过设定acl来成功过滤特定的源才能进行访问。 2参考检测操作 display current-configuration 备注 4.1.7.3 SNMP服务读写权限管理 项目编号 配置说明 应关闭未使用的SNMP协议,尽量不开启SNMP的RW权限。 重要等级 高 配置指南 、参考配置操作 snmp-agent community read xxx snmp-agent community write xxxx 检测方法 及 判定依据 、符合性判定依据 开启了snmp READ权限,视情况配置write权限。 2、参考检测操作 display current-configuration 备注 4.1.7.4 修改SNMP默认的Community字符串 项目编号 配置说明 应修改SNMP协议RO和RW的默认Community字符串,并设置复杂的字符串作为SNMP的Community。 重要等级 高 配置指南 、参考配置操作 snmp-agent community read xxx snmp-agent community write xxxx 检测方法 及 判定依据 1. 符合性判定依据 系统成功修改SNMP的Community为用户定义口令,非常规private或者public,并且符合口令强度要求。 2参考检测操作 display current-configuration 备注 4.1.7.5 Community字符串加密 项目编号 配置说明 建议支持对SNMP协议RO、RW的Community字符串的加密存放。 重要等级 高 配置指南 、参考配置操作 SNMP V3支持加密功能,例如配置使用的用户名为managev3user,认证方式为MD5,认证密码为authkey,加密算法为DES56,加密密码是prikey [Sysname] snmp-agent group v3 managev3group read-view test write-view test [Sysname] snmp-agent usm-user v3 managev3user managev3group authentication-mode md5 authkey privacy-mode des56 prikey 检测方法 及 判定依据 、 符合性判定依据 Community字符串经过加密存储。 2、 参考检测方法 Community字符串在传输的过程中,进行加密处理。通过抓包方法可以检测。下载本文
