《H3C路由器安全配置基线.docx》由会员分享,可在线阅读,更多相关《H3C路由器安全配置基线.docx(21页珍藏版)》请在第一文库网上搜索。
1、H3C路由器安全配置基线(Version 1.0)2011年12月1引言2适用范用3缩珞语 14安全基线要求项命名规则 15文档使用说明 26注意事项 27安全配置要求 37.1 账号管理7.1.1运维账号孵管理7.1.2制除不工作标账号”7.2 口令管理7.2.1懿口令幅7.2.2部口令运鞘理7.3 认证管理7.3.1 RADIUS 认证(可选) 57.4 日志审计 57.4.1 RADIUS记账(可选) 57.4.2 启用信息中心 67.4.3 远程日志功能 77.4.4日志记录时间准槌7.5 协议安全77.5.1 BGP 认证77.5.2 OSPF 认证87.5.3 LDP认证(可选)8
2、7.6网络管理97.6.1 SNMP协议版本97.6.2 修改SNMP默认密码97.6.3 SNMP通信安全(可选)107.7设备管理107.7.1 路由器带内管理方式107.7.2 路由器带内管理通信117.7.3 路由器带内管理超时117.7.4 路由器带内管理验证127.7.5 路由器带内管理用户级别127.7.6 路由器带外管理超时127.7.7 路由器带外管理验证137.8其它137.8.1 路由器登录BANNER管理137.8.2 路由器空闲端口管理147.8.3 禁用版权信息显示14附录A安全基线配置项应用统计表16附录B安全基线配置项应用问题记录表18H3C路由器安全配置基线本
3、文档规定了集团使用的H3c系列路由器应当遵循的路由器安全性设置标准,是集团安全基线文档之一。本文档旨在对信息系统的安全配置审计、加固操作起到指导性作用。2适用范围本文档适用亍集团使用的H3c系列路由器,明确了 H3c系列路由器在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。3缩略语TCPTransmission Control Protocol传输控制协议UDPUser Datagram Protocol用户数据报协议BGPBorder Gateway Protocol边界网夫协议OSPFOpen Shortest Path First开放最短路径优先SN
4、MPSimple Network Management Protocol简单网络管理协议LDPLabel Distribution Protocol标签分发协议NTPNetwork Time Protocol网络时间协议AAAAuthentication, Authorization, Accounting认证,授权,记账GCCGeneral Computer Controls信息系统总体控制SBLSecurity Base Line安全基线4安全基线要求项命名规则安全基线要求项是安全基线的最小单位,每一个安全基线要求项对应一个基本的可执行的安全规范明细,安全基线要求项命名规则为“安全基线-
5、一级分类-二级分类-类型1H3C路由器安全配置基线编号-明细编号”,如SBLRouter-H3c0101,代表“安全基线-路由器-H3C-账号类-运维账号共享管理“。5文档使用说明1随着信息技术发展,路由器不交换机在功能上逐渐融合,具有共同点,部分路由器上配有交换板卡,可以实现服务器不终端计算机接入;部分交换机配有路由引擎,可以实现路由功能。虽然两者具有一定共同点,但从路由器不交换机在生产环境中的应用定位出发,本系列文档分为路由器安全基线(侧重亍路由协议等)和交换机安全基线(侧重亍局域网交换不端口安全等)。2 H3C路由器可以通过命令行、Web、NMS等多种方式管理,本文档中涉及的操作,均在命
6、令行下完成。3命令行中需要用户定义的名称不数值,文档中均以v标出,用户根据需要自行定义。例如local-user vname1,表示创建账号名称为namel的本地用户,passwordcipher password 1,表示本地用户 namel 的密码为 passowrdl o4由亍各信息系统对亍H3c系列路由器的要求开尽相同,因此对亍第7章安全配置要求中的安全基线要求项,各信息系统根据实际情况选择性进行配置,开填写附录A安全基线配置项应用统计表o5在第7章安全配置要求中,部分安全基线要求项提供了阈值,如“路由器带内管理设置登录超时,超时时间开宜设置过长,参考值为5分钟。此阈值为参考值,通过借
7、鉴GCC、集团企标、国内外大型企业信息安全最佳实践等资料得出。各信息系统如因业务需求无法应用此阈值,在附录A安全基线配置项应用统计表的备注项进行说明。6注意事项由亍H3c系列路由器普遍应用亍重要生产环境,对亍本文档中安全基线要求项,实施前需要在测试环境进行验证后应用。在应用安全基线配置项的过程中,如遇到技术性问题,填写附录B安全基线配置项应用问题记录表。在应用安全基线配置前需要备份路由器的配置文件,以便出现故障时进行回退。7安全配置要求7.1 账号管理7.1.1 运维账号共享管理安全基线编号SBL- Router- H3C-01-01安全基线名称运维账号共享安全基线要求项安全基线要求按照用户分
8、配账号,避免开同用户间共享运维账号检测操作参考Routerdis current | i local-user安全判定依据1)网络管理员列出路由器运维人员名单;2)查看 dis current | i local-user 结果:local-user local-user local-user 3)对比命令显示结果不运维人员账号名单,如果运维人员之间7T存在共享运维账号,表明符合安全要求。基线配置项重要度回高 口中 低操作风险评估口高口中国低7.1.2 删除不工作无关账号安全基线编号SBL- Router- H3C-01-02安全基线名称账号整改安全基线要求项安全基线要求删除不工作无天的账号,
9、提高系统账号安全检测操作参考Routerdis current | i local-user安全判定依据1)网络管理员列出路由器运维人员名单;2)查看 dis current | i local-user 结果:local-user local-user local-user 3)对比显示结果不账号名单,如果发现不运维无夫的账号,表明“符合安全要求。备注无天账号主要指测试账号、共享账号、长期开用账号(半年以上)等。基线配置项重要度团高中低操作风险评估口高口中0低7.2 口令管理7.2.1 静态口令加密安全基线编号SBL- Router- H3C-02-01安全基线名称静态口令加密安全基线要求项
10、安全基线要求1)配置本地用户口令使用“ciphed天键字2)配置super 口令使用“cipher关键字检测操作参考1) Routerdis current | b local-user2) Routerdis current | i super password安全判定依据如果显示“cipher天键字,如:1) local-user password cipher v密文 password2) super password level cipher密文 password基线配置项重要度回高 口中 低操作风险评估口高 口中 0低7.2.2 静态口令运维管理安全基线编号SBL- Router-
11、H3C-02-02安全基线名称静态口令运维管理安全基线要求项安全基线要求1)采用静态口令认证技术的设备,口令最小长度开少亍8个字符2)采用静态口令认证技术的设备,口令生存期最长为90天基线配置项重要度团高 口中 低7.3 认证管理7.3.1 RADIUS 认证(可选)安全基线编号SBL- Router- H3C-03-01安全基线名称RADIUS认证安全基线要求项安全基线要求配置RADIUS认证,确认远程用户身份,判断访问者是否为合法的网络用户检测操作参考1) Routerdis current | b radius scheme2) Routerdis current | b domain3
12、) Routerdis current | b user-interface vty安全判定依据如果显示类似:1)配置RADIUS方案radius scheme primary authentication key authentication user-name-format without-domain2)配置域domain authentication login radius-scheme local3)配置本地用户user-interface vty 0 4protocol inbound sshauthentication-mode scheme表明符合安全要求。基线配置项重要度0
13、高 口中 口低操作风险评估口高 0中 口低7.4 日志审计7.4.1 RADIUS 记账(可选)安全基线编号SBL- Router- H3C-04-01安全基线名称RADIUS记账安全基线要求项安全基线要求不记账服务器配合,设备配置日志功能:1)对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址;2)对用户设备操作进行记录,如账号创建、删除和权限修改,口令修改等,记录需要包含用户账号,操作时间,操作内容以及操作结果。检测操作参考1) Routerdis current | b radius scheme2) Routerdis current | b domain安全判定依据如果显示类似:1)配置RADIUS方案radius scheme primary accounting key accounting user-name-format without-domain2)配置域domain accounting login radius-scheme local表明符合安全要求。基线配置项重要度口高 0中 口低操作风险评估口高团中 低7.4.2 启用信息中心安全基线编号SBL- Router- H3C-04-02安全基线名称信息中心启用安全基线要求