标签:安全基线
企业网络建设过程中,随着业务项目的增加,网络的拓展组网网络的设备会随着规模不断增加。今天分享给大家的就是在增加的设备中,一个好的运维习惯可以提高企业内部安全网络属性,
从大多网络设备及安全设备受攻击被黑客漫游都是因为操作人员的配置部当导致。所以对于一个合格的网络安全
运维者应当有一套针对自己网络环境的安全基线。这样有效的控制内网安全其中的部分工作,以下我就分享一下
我在安全运维工作中制定安全基线的方法:
1、Cisco路由器检查配置表
NO | 检查类别 | 检查项目 | 检查要点 | 检查对象 | 检查方法 | 判断条件 |
1 | 设备访问控制 | 用户认证方式 | 启用本地或AAA认证,查看登录认证方式,如本地帐户口令、认证服务器等。 | 核心域 | 使用show running-config 查看相关信息 | 符合:检查配置文件中 [hostname]#show running-config … aaa authentication login $(AAA_LIST_NAME) local aaa authentication enable default enable 或 username $(LOCAL_USERNAME) privilege (ID)password或同等配置信息 不符合:无相关信息 |
2 | 定义会话超时时间 | 配置定时帐户自动登出,会话空闲一定时间后自动登出。(建议超时设置为5分钟) | 核心域 | 参考配置操作 user-interface vty 0 4 idle-timeout 5 0 user-interface con 0 idle-timeout 5 0 | 符合:参考配置操作 user-interface vty 0 4 idle-timeout 5 0 user-interface con 0 idle-timeout 5 0 或同等配置信息 不符合:未配置帐号自动登出 | |
3 | 远程安全管理方式访问设备 | 启用了SSH,建议禁用TELNET(根据实际情况酌情考虑),且远程管理(VTY)的登录源地址必须采取ACL进行限制或指定固定管理IP。针对不支持的设备请说明品牌、型号、软件版本。 | 核心域 | 使用show running-configuration命令或相关命令查看相关信息 | 符合:查看配置中VTY访问是否有ACL控制措施: [hostname]display current-configuration … user-interface vty 0 4 acl XXXX inbound或同等配置信息 不符合:无相关信息 | |
4 | 账户管理 | 检查无用帐号和权限分配 | 1、应删除或锁定与设备运行、维护等工作无关的帐号。 2、不同等级管理维护人员,分配不同帐号,避免帐号混用。 | 核心域 | 检查配置文件中 [hostname]#show running-config username $(LOCAL_USERNAME) privilege password LOCAL_PASSWORD字段或相关命令查看相关信息 | 符合:抽查资产表中的3台网络设备,登录4A系统及设备进行帐号比对,分析是否有无用帐号(未分配给任何自然人的从帐号)。或同等配置信息 不符合:无相关信息 |
5 | 密码管理 | 口令加密并定期更换 | 开启密码加密服务,并定期更新 | 核心域 | 查看配置文件是否采用了相应的鉴别信息保护措施: [hostname]show running-config service password-encryption epassword +WumoGDbE75GFYyp+R47Mg==,或相关命令查看相关信息 | 符合:查看配置文件是否采用了相应的鉴别信息保护措施 [hostname]show running-config service password-encryption 不符合:无相关信息 |
6 | 日志管理 | log服务 | 指定日志服务器 | 核心域 | 查看配置文件中logging on(enable) 、logging [ip add] 或相关命令查看相关信息 | 符合:查看配置文件中logging on(enable) 、logging [ip add] 或同等配置信息 不符合:无相关信息 |
7 | 系统设置日志的时间戳 | 应为日志打上时间戳 | 核心域 | 查看配置文件中logging timestamp 项 [hostname]#show running-config logging timestamp 或相关命令查看相关信息 | 符合:查看配置文件中logging timestamp 项 [hostname]#show running-config logging timestamp或同等配置信息 不符合:无时间戳 | |
8 | 系统配置日志级别 | LOG应定义级别 | 核心域 | 查看配置文件中logging facility [20] 项或相关命令查看相关信息 | 符合:查看配置文件中logging facility [20] 项或同等配置信息 不符合:无相关配置 | |
9 | 服务管理 | 修改SNMP只读字串或可写字串 | SNMP 规则匹配snmp-server community **** RO | 核心域 | 查看配置文件中 [hostname]#show running-config snmp-server community **** RO/RW或相关命令查看相关信息 | 符合:查看配置文件中 [hostname]#show running-config snmp-server community **** RO/RW或同等配置信息 不符合:无相关信息 |
10 | NTP服务或本地时间管理 | 指定NTP服务器或校对本地时间 | 核心域 | 查看配置文件: [hostname]#show running-config ntp server *.*.*.* [hostname]#show clock 检查是否与当前时间一致或相关命令查看相关信息 | 符合:查看配置文件: [hostname]#show running-config ntp server *.*.*.* [hostname]#show clock 检查是否与当前时间一致或同等配置信息 不符合:无相关信息 | |
11 | http服务 | http关闭 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config ip http server或相关命令查看相关信息 | 符合:查看配置文件中是否有no ip http server字段 [hostname]#show running-config no ip http server或同等配置信息 不符合:开启了http服务 | |
12 | FTP、TFTP服务 | FTP、TFTP服务关闭 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config ip ftp-server ip tftp-server或相关命令查看相关信息 | 符合:查看配置文件中不包括ip ftp-server enable或ip tftp-server或同等配置信息 不符合:配置文件中包括ip ftp-server enable或ip tftp-server | |
13 | DNS服务 | 禁用DNS解析服务 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config ip domain-lookup或相关命令查看相关信息 | 符合:检查配置文件中是否有 [hostname]#show running-config no ip domain-lookup或同等配置信息 不符合:开启DNS解析服务 | |
14 | small tcp和udp服务 | 禁用small tcp and udp service,,针对不满足的设备应进行原因说明 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config service tcp-small-servers service udp-smail-servers或相关命令查看相关信息 | 符合:查看配置文件是否有 [hostname]#show running-config no service tcp-small-servers no service udp-smail-servers或同等配置信息 不符合:开启了small tcp和udp服务 | |
15 | finger服务 | 禁用finger服务,针对不满足的设备应进行原因说明 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config finger或相关命令查看相关信息 | 符合:查看配置文件中是否有 [hostname]#show running-config no finger或同等配置信息 不符合:开启finger | |
16 | bootp服务 | 禁用bootp服务,针对不满足的设备应进行原因说明 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config ip bootp server或相关命令查看相关信息 | 符合:查看配置文件中是否有 [hostname]#show running-config no ip bootp server或同等配置信息 不符合:开启bootp服务 | |
17 | 关闭IP源路由协议 | IP源路由协议应关闭,针对不满足的设备应进行原因说明 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config ip source-route或相关命令查看相关信息 | 符合:查看配置文件中 [hostname]#show running-config no ip source-route或同等配置信息 不符合:开启IP源路由协议 | |
18 | 禁止arp-proxy | ARP代理禁用,针对不满足的设备应进行原因说明。 | 核心域 | 查看配置文件中不能出现: [hostname]#show running-config ip arp-proxy或相关命令查看相关信息 | 符合:查看配置文件中no arp-proxy项 [hostname]#show running-config no ip arp-proxy 不符合:开启ARP代理 | |
19 | 关闭IP Directed Broadcast | IP Directed Broadcast应关闭,针对不满足的设备应进行原因说明 | 核心域 | 查看配置文件中不能出现: [hostname]#show running-config ip directed-broadcast或相关命令查看相关信息 | 符合:查看配置文件中IP Directed Broadcast项 [hostname]#show running-config no ip directed-broadcast或同等配置信息 不符合:IP Directed Broadcast | |
20 | 端口管理 | shutdown未使用的网络接口 | 明确关闭不使用的网络接口,如路由器的AUX口、及其它网络接口等,但不包含管理口等特殊接口。 | 核心域 | 使用show running-config 或相关命令查看相关信息查看相关信息 | 符合:使用show running-config命令,如下例: router#show running-config Building configuration... Current configuration: ! … line aux 0 no exec transport input none exit或同等配置信息 不符合:未使用的接口未关闭 |
主要是以这些方面做基础设备的安全基线,如需要更详细的多厂家的朋友可以留言留下联系方式,我可和大家共享相关信息。建议大家有开发能力的小
伙伴可以根据主类,建立特征库,根据判断条件批量去核查企业内部基础设施配置。安全运维工作不只是维护安全设备和网络设备的安全策略,安全策略只是
防止网络层的非授权访问,解决因为配置过失带来的安全风险,也是提高基础网络健壮性的唯一途径。
谢谢大家,我会在有时间的时候,将我工作经验分享给大家,还希望大家看到后,不嫌弃的话关注下,这样文章更新文章会推送。
标签:安全基线
原文地址:http://blog.51cto.com/13769225/2121234