HC交換機設(shè)備安全基線

1、H3C設(shè)備安全配置基線目錄第1章概述41.1 目的41.2 適用范圍4適用版本4第2章帳號管理、認證授權(quán)安全要求52.1 帳號管理52.1.1 用戶帳號分配*52.1.2 刪除無關(guān)的帳號*62.2 口令72.2.1 靜態(tài)口令以密文形式存放72.2.2 帳號、口令和授權(quán)82.2.3 密碼復(fù)雜度92.3 授權(quán)10用IP協(xié)議進行遠程維護的設(shè)備使用SSH等加密協(xié)議10第3章日志安全要求113.1 日志安全113.1.1 啟用信息中心113.1.2 開啟NTP服務(wù)保證記錄的時間的準確性12遠程日志功能*13第4章IP協(xié)議安全要求144.1 IP協(xié)議144.1.1 VRRPU證144.1.2 系統(tǒng)遠程服務(wù)

2、只允許特定地址訪問144.2 功能配置154.2.1 SNMP的Community默認通行字口令強度154.2.2 只與特定主機進行SNMP協(xié)議交互164.2.3 配置SNMPV2或以上版本17關(guān)閉未使用的SNMP協(xié)議及未使用write權(quán)限18第5章IP協(xié)議安全要求195.1.1 關(guān)閉未使用的接口195.1.2 修改設(shè)備缺省BANNER205.1.3 配置定時賬戶自動登出205.1.4 配置console口密碼保護功能215.1.5 端口與實際應(yīng)用相符22第1章概述1.1目的規(guī)范配置H3C路由器、交換機設(shè)備，保證設(shè)備基本安全。1.2適用范圍本配置標準的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)

3、絡(luò)監(jiān)控人員1.3適用版本comwareV7版本交換機、路由器。第2章帳號管理、認證授權(quán)安全要求2.1帳號管理2.1.1用戶帳號分配*1、安全基線名稱：用戶帳號分配安全2、安全基線編號：SBL-H3C-02-01-013、安全基線說明：應(yīng)按照用戶分配帳號，避免不同用戶間共享帳號，避免用戶帳號和設(shè)備間通信使用的帳號共享。4、參考配置操作：H3Clocal-useradminH3C-luser-manage-adminpasswordhashadminmmu2H3C-luser-manage-adminauthorization-attributeuser-rolelevel-15H3Clocal-

4、useruserH3C-luser-network-userpasswordhashusernhesaH3C-luser-network-userauthorization-attributeuser-rolenetwork-operator5、安全判定條件：(1) 配置文件中，存在不同的賬號分配網(wǎng)絡(luò)管理員確認用戶與賬號分配關(guān)系明確6、檢測操作：使用命令discur命令查看：#local-useradminclassmanagepasswordhash$h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDsxuoWQ=service-typesshauthorization-attri

5、buteuser-rolelevel-15#local-useruserclassnetworkpasswordhash$h$6$mmu2MlqLkGMnNyservice-typesshauthorization-attributeuser-rolenetwork-operator#對比命令顯示結(jié)果與運維人員名單，如果運維人員之間不存在共享賬號，表明符合安全要求。2.1.2刪除無關(guān)的帳號*1、安全基線名稱：刪除無關(guān)的賬號2、安全基線編號：SBL-H3C-02-01-023、安全基線說明：應(yīng)刪除與設(shè)備運行、維護等工作無關(guān)的賬號。4、參考配置操作：H3Cundolocal-userusercla

6、ssnetwork5、安全判定條件：(1) 配置文件存在多個賬號網(wǎng)絡(luò)管理員確認賬號與設(shè)備運行、維護等工作無關(guān)6、檢測操作：使用discur|includelocal-user#令查看：H3Cdiscur|includelocal-userlocal-useradminclassmanagelocal-useruserlclassmanage若不存在無用賬號則說明符合安全要求。2.2口令2.2.1靜態(tài)口令以密文形式存放1、安全基線名稱：靜態(tài)口令以密文形式存放2、安全基線編號：SBL-H3C-02-02-013、安全基線說明：配置本地用戶和super口令使用密文密碼。4、參考配置操作：H3Cloc

7、al-useradminH3C-luser-manage-adminpasswordhash密文password>/U己置本地用戶密文密碼H3Csuperpasswordhash裾文password>/如置super密碼使用密文加密5、安全判定條件：配置文件中沒有明文密碼字段。6、檢測操作：使用discur顯示本地用戶賬號和super密碼為密文密碼#local-useradminclassmanagepasswordhash$h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDoZlLwO/4Jn/G1OXExEKsv+c2lNRICxCEUU13fGSGCqkVojcHv

8、n8a6u8gcHLXVWaCgq4/VI0sxuoWQ=service-typesshtelnetauthorization-attributeuser-rolelevel-15#local-useruser1classmanagepasswordhash$h$6$Vq2YRqXUGH5+Rb7H$gXyN9RI9CPidNbbabnP8Ul6RvR9p8+AchsO5MmNV+ePgOJ6z8/mZTL1hlnQV14oDAbvP5uHhG7gP1/U0pwHGFQ=authorization-attributeuser-rolenetwork-operator#superpassword

9、rolenetwork-adminhash$h$6$5hCfLSGRV20XIu31$CMRoTM2axjYWGsOuwnhH7jdyczUUTGupjH0RinySGYft6k9RDySQS29QyciznpJoVS/thfJHRWEmiPQG7c13WQ=#2.2.2帳號、口令和授權(quán)1、安全基線名稱：賬號、口令和授權(quán)安全基線2、安全基線編號：SBL-H3C-02-02-023、安全基線說明：通過認證系統(tǒng)，確認遠程用戶身份，判斷是否為合法的網(wǎng)絡(luò)用戶。4、參考配置操作：H3Clocal-useradminH3C-luser-manage-adminpasswordhashpipaxingxia

10、ngyunH3C-luser-manage-adminauthorization-attributeuser-rolelevel-15H3CdomainadminH3C-isp-adminauthenticationdefaultlocal5、安全判定條件：賬號和口令的配置，指定了認證的系統(tǒng)6、檢測操作：H3Cdiscur#domainadmin#domainsystem#domaindefaultenablesystem#2.2.3密碼復(fù)雜度1、安全基線名稱：密碼復(fù)雜度2、安全基線編號：SBL-H3C-02-02-033、安全基線說明：對丁采用靜態(tài)口令認證技術(shù)的設(shè)備，口令長度至少8位，并包括

11、數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進行更換。4、參考配置操作：H3Clocal-useradminH3C-luser-manage-adminpasswordpipaxingxiangyun5、安全判定條件：密碼強度符合要求，密碼至少90天進行更換。2.3授權(quán)2.3.1用IP協(xié)議進行遠程維護的設(shè)備使用SSH等加密協(xié)議1、安全基線名稱：用IP協(xié)議進行遠程維護設(shè)備2、安全基線編號：SBL-H3C-02-03-013、安全基線說明：使用IP協(xié)議進行遠程維護設(shè)備，應(yīng)配置使用SSH等加密協(xié)議連接。4、參考配置操作：H3Csshservere

12、nableH3Clocal-useradminH3C-luser-manage-adminservice-typessh5、安全判定條件：配置文件中只允許SSH等加密協(xié)議連接。6、檢測操作：使用discur|includessh令：H3Cdiscur|includesshsshserverenableservice-typesshssh服務(wù)為enable狀態(tài)表明符合安全要求。第3章日志安全要求3.1日志安全3.1.1啟用信息中心1、安全基線名稱：啟用信息中心2、安全基線編號：SBL-H3C-03-01-013、安全基線說明：啟用信息中心，記錄與設(shè)備相關(guān)的事件。4、參考配置操作：H3Cinfo-

13、centerenable5、安全判定條件：設(shè)備應(yīng)配置日志功能，能對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄使用的IP地址。(1) 記錄用戶登錄設(shè)備后所進行的所有操作。6、檢測操作：使用disinfo-center有顯示InformationCenter:Enabled類似信息，如：H3Cdisinfo-centerInformationCenter:EnabledConsole:EnabledMonitor:EnabledLoghost:Enabled0,portnumber:514,hostfacility:local710.1.

14、0.95,portnumber:514,hostfacility:local79,portnumber:514,hostfacility:local7Logbuffer:EnabledMaxbuffersize1024,currentbuffersize512Currentmessages512,droppedmessages0,overwrittenmessages3736Logfile:EnabledSecuritylogfile:DisabledInformationtimestampformat:Loghost:DateOtheroutputdestination:Da

15、te3.1.2開啟NTP服務(wù)保證記錄的時間的準確性1、安全基線名稱：日志記錄時間準確性2、安全基線編號：SBL-H3C-03-01-023、安全基線說明：開啟NTP服務(wù)，保證日志功能記錄的時間的準確性。4、參考配置操作：配置ntp客戶端，服務(wù)器地址為:H3Cntp-serviceenableH3Cntp-serviceunicast-server5、安全判定條件：日志記錄時間準確。6、檢測操作：H3Cdiscur|includentpntp-serviceenablentp-serviceunicast-server3.1.3遠

16、程日志功能*1、安全基線名稱：遠程日志功能2、安全基線編號：SBL-H3C-03-01-033、安全基線說明：配置遠程日志功能，使設(shè)備能通過遠程日志功能傳輸?shù)饺罩痉?wù)器。4、參考配置操作：H3Cinfo-centerloghost*.*.*/配置接收日志的服務(wù)器地址H3Cinfo-centersourcedefaultloghostlevelemergency/配置發(fā)送的日志級別5、安全判定條件：日志服務(wù)器能夠正確接收網(wǎng)絡(luò)設(shè)備發(fā)送的日志。6、檢測操作：使用命令discur|includeinfo-center查看：H3Cdiscur|includeinfo-centerundocopyrigh

17、t-infoenableinfo-centerloghost0info-centerloghost5info-centerloghost9info-centersourcedefaultloghostlevelemergency第4章IP協(xié)議安全要求IP協(xié)議VRRP認證1、安全基線名稱：VRRP認證2、安全基線編號：SBL-H3C-04-01-013、安全基線說明：VRRP啟用認證，防止非法設(shè)備加入到VRRP組中。4、安全判定條件：查看VRRP組，只存在正確的設(shè)備。5、檢測操作：使用命令disvrrp4.1.2系統(tǒng)遠程服務(wù)只允許特定地址訪問1、安

18、全基線名稱：系統(tǒng)遠程服務(wù)只允許特定地址訪問2、安全基線編號：SBL-H3C-04-01-023、安全基線說明：設(shè)備以UDP/TC初議對外提供服務(wù)，供外部主機進行訪問，如作為NTP服務(wù)器、TELNE"®務(wù)器、TFTP服務(wù)器、FTP服務(wù)器、SSH®務(wù)器等，應(yīng)配置設(shè)備，只允許特定主機訪問。4、參考配置操作：通過配置訪問控制列表ACL,只允許特定的地址訪問設(shè)備的服務(wù)，如：H3Cacladvanced3000H3C-acl-ipv4-adv-3000rule0permittcpsource20destination00destinatio

19、n-porteq443H3C-acl-ipv4-adv-3000rule65534denyip5、安全判定條件：在相關(guān)端口上綁定相應(yīng)的ACL。6、檢測操作：使用discur命令查看：#interfaceVlan-interface10ipaddress0packet-filter3000inbound#4.2功能配置4.2.1SNMP的Community默認通行字口令強度1、安全基線名稱：SNMP協(xié)議的community團體字2、安全基線編號：SBL-H3C-04-02-013、安全基線說明：修改SNMP的community默認團體字，字符申應(yīng)符合口令

20、強度要求。4、參考配置操作：H3Csnmp-agentcommunityread<community團體字>H3Csnmp-agentcommunitywrite<community團體字>5、安全判定條件：Community非默認，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少2類。6、檢測操作：使用命令discur|includesnmp查看：H3Cdiscur|includesnmpsnmp-agentsnmp-agentlocal-engineid800063A280A4F25325010000000001snmp-agentcommuni

21、tyreadxiangyun_readsnmp-agentcommunitywritexiangyun_writesnmp-agentsys-infoversionv3snmp-agenttrapenablearpsnmp-agenttrapenableradiussnmp-agenttrapenablestp7、補充：若設(shè)備不需要使用SNMP協(xié)議應(yīng)關(guān)閉SNMP功能，若需要用到應(yīng)使用V2版本以上的SNMP協(xié)議。4.2.2只與特定主機進行SNMP協(xié)議交互1、安全基線名稱：只與特定主機進行SNMP協(xié)議交互2、安全基線編號：SBL-H3C-04-02-023、安全基線說明：設(shè)備只與特定主機進行SNM

22、P協(xié)議交互4、參考配置操作：使用ACL限制只與特定主機進行SNMP交互H3Cacladvancednameacl_snmpH3C-acl-ipv4-adv-acl_snmprulepermitipsource00H3C-acl-ipv4-adv-acl_snmpruledenyipsourceanyH3Csnmp-agentcommunityreadxiangyunaclnameacl_snmp5、安全判定條件：Snmp綁定了acl6、檢測操作：使用discur|includesnmp命令查看：H3Cdiscur|includesnmpsnmp-agentsnmp-agent

23、local-engineid800063A280A4F25325010000000001snmp-agentcommunityreadxiangyunsnmp-agentsys-infoversion3snmp-agenttrapenablearpsnmp-agenttrapenableradiussnmp-agenttrapenablestpsnmp-agentcommunityreadxiangyunaclnameacl_snmp4.2.3配置SNMPV2或以上版本1、安全基線名稱：配置SNMPv2或以上版本2、安全基線編號：SBL-H3C-04-02-033、安全基線說明：系統(tǒng)應(yīng)配置SN

24、MPv2或以上版本4、參考配置操作：H3Csnmp-agentsys-infoversionv35、安全判定條件：系統(tǒng)可以成功使用snmpv2或v3版本協(xié)議。6、檢測操作：使用discur|includesnmp命令查看：H3Cdiscur|includesnmp.snmp-agentsys-infoversion關(guān)閉未使用的SNMP協(xié)議及未使用write權(quán)限1、安全基線名稱：關(guān)閉未使用的SNMP協(xié)議及未使用write權(quán)限2、安全基線編號：SBL-H3C-04-02-043、安全基線說明：系統(tǒng)應(yīng)及時關(guān)閉未使用的SNMP協(xié)議及未使用write權(quán)限4、參考配置操作：H3Cundosn

25、mp-agentcommunitypipaxing5、安全判定條件：Snmp權(quán)限為reado6、檢測操作：使用discur|includesnmp命令查看，權(quán)限只有read:H3Cdiscur|includesnmp.snmp-agentcommunityreadxiangyun第5章其他安全要求5.1其他安全配置5.1.1關(guān)閉未使用的接口1、安全基線名稱：關(guān)閉未使用的接口2、安全基線編號：SBL-H3C-05-01-013、安全基線說明：關(guān)閉未使用的接口4、參考配置操作：H3Cintg1/0/10H3C-GigabitEthernet1/0/10shutdown5、安全判定條件：未使用接口應(yīng)

26、該管理員down。6、檢測操作：H3Cdiscur.#interfaceGigabitEthernet1/0/10portlink-modebridgecomboenablefibershutdown5.1.2修改設(shè)備缺省BANNER語1、安全基線名稱：修改設(shè)備缺省BANNER語2、安全基線編號：SBL-H3C-05-01-023、安全基線說明：要修改設(shè)備缺省BANNED,BANNER好不要有系統(tǒng)平臺或地址等有礙安全的信息。4、參考配置操作：H3CheaderloginPleaseinputbannercontent,andquitwiththecharacter'%'.5、安全判定條件：歡迎界面、提示符等不包含敏感信息。6、檢測操作：通過遠程登錄或console口登錄查看設(shè)備提示信息。5.1.3配置定時賬戶自動登出1、安全基線名稱：配置賬號定時自動退出2、安全基線編號：SBL-H3C-05-01-033、安全基線說明：如Telnet、sshconsole登錄連接超時退出4、參考配置操作：配置vty登錄3分鐘無操作自動退出：H3Cuser-interfacevty04H3