關於安全運維中,網絡及安全設備基線設置的方法和必要性。
隨著規模不斷增加。今天分享給大家的就是在增加的設備中,一個好的運維習慣可以提高企業內部安全網絡屬性,
從大多網絡設備及安全設備受攻擊被黑客漫遊都是因為操作人員的配置部當導致。所以對於一個合格的網絡安全
運維者應當有一套針對自己網絡環境的安全基線。這樣有效的控制內網安全其中的部分工作,以下我就分享一下
我在安全運維工作中制定安全基線的方法:
1、Cisco路由器檢查配置表
NO | 檢查類別 | 檢查項目 | 檢查要點 | 檢查對象 | 檢查方法 | 判斷條件 |
1 | 設備訪問控制 | 用戶認證方式 | 啟用本地或AAA認證,查看登錄認證方式,如本地帳戶口令、認證服務器等。 | 核心域 | 使用show running-config | 符合:檢查配置文件中 [hostname]#show running-config … aaa authentication login $(AAA_LIST_NAME) local aaa authentication enable default enable 或 username $(LOCAL_USERNAME) privilege (ID)password或同等配置信息 不符合:無相關信息 |
2 | 定義會話超時時間 | 配置定時帳戶自動登出,會話空閑一定時間後自動登出。(建議超時設置為5分鐘) | 核心域 | 參考配置操作 user-interface vty 0 4 idle-timeout 5 0 user-interface con 0 idle-timeout 5 0 | 符合:參考配置操作 user-interface vty 0 4 idle-timeout 5 0 user-interface con 0 idle-timeout 5 0 或同等配置信息 不符合:未配置帳號自動登出 | |
3 | 遠程安全管理方式訪問設備 | 啟用了SSH,建議禁用TELNET(根據實際情況酌情考慮),且遠程管理(VTY)的登錄源地址必須采取ACL進行限制或指定固定管理IP。針對不支持的設備請說明品牌、型號、軟件版本。 | 核心域 | 使用show running-configuration命令或相關命令查看相關信息 | 符合:查看配置中VTY訪問是否有ACL控制措施: [hostname]display current-configuration … user-interface vty 0 4 acl XXXX inbound或同等配置信息 不符合:無相關信息 | |
4 | 賬戶管理 | 檢查無用帳號和權限分配 | 1、應刪除或鎖定與設備運行、維護等工作無關的帳號。 2、不同等級管理維護人員,分配不同帳號,避免帳號混用。 | 核心域 | 檢查配置文件中 [hostname]#show running-config username $(LOCAL_USERNAME) privilege password LOCAL_PASSWORD字段或相關命令查看相關信息 | 符合:抽查資產表中的3臺網絡設備,登錄4A系統及設備進行帳號比對,分析是否有無用帳號(未分配給任何自然人的從帳號)。或同等配置信息 不符合:無相關信息 |
5 | 密碼管理 | 口令加密並定期更換 | 開啟密碼加密服務,並定期更新 | 核心域 | 查看配置文件是否采用了相應的鑒別信息保護措施: [hostname]show running-config service password-encryption epassword +WumoGDbE75GFYyp+R47Mg==,或相關命令查看相關信息 | 符合:查看配置文件是否采用了相應的鑒別信息保護措施 [hostname]show running-config service password-encryption 不符合:無相關信息 |
6 | 日誌管理 | log服務 | 指定日誌服務器 | 核心域 | 查看配置文件中logging on(enable) 、logging [ip add] 或相關命令查看相關信息 | 符合:查看配置文件中logging on(enable) 、logging [ip add] 或同等配置信息 不符合:無相關信息 |
7 | 系統設置日誌的時間戳 | 應為日誌打上時間戳 | 核心域 | 查看配置文件中logging timestamp 項 [hostname]#show running-config logging timestamp 或相關命令查看相關信息 | 符合:查看配置文件中logging timestamp 項 [hostname]#show running-config logging timestamp或同等配置信息 不符合:無時間戳 | |
8 | 系統配置日誌級別 | LOG應定義級別 | 核心域 | 查看配置文件中logging facility [20] 項或相關命令查看相關信息 | 符合:查看配置文件中logging facility [20] 項或同等配置信息 不符合:無相關配置 | |
9 | 服務管理 | 修改SNMP只讀字串或可寫字串 | SNMP 規則匹配snmp-server community **** RO | 核心域 | 查看配置文件中 [hostname]#show running-config snmp-server community **** RO/RW或相關命令查看相關信息 | 符合:查看配置文件中 [hostname]#show running-config snmp-server community **** RO/RW或同等配置信息 不符合:無相關信息 |
10 | NTP服務或本地時間管理 | 指定NTP服務器或校對本地時間 | 核心域 | 查看配置文件: [hostname]#show running-config ntp server *.*.*.* [hostname]#show clock 檢查是否與當前時間一致或相關命令查看相關信息 | 符合:查看配置文件: [hostname]#show running-config ntp server *.*.*.* [hostname]#show clock 檢查是否與當前時間一致或同等配置信息 不符合:無相關信息 | |
11 | http服務 | http關閉 | 核心域 | 查看配置文件不能出現: [hostname]#show running-config ip http server或相關命令查看相關信息 | 符合:查看配置文件中是否有no ip http server字段 [hostname]#show running-config no ip http server或同等配置信息 不符合:開啟了http服務 | |
12 | FTP、TFTP服務 | FTP、TFTP服務關閉 | 核心域 | 查看配置文件不能出現: [hostname]#show running-config ip ftp-server ip tftp-server或相關命令查看相關信息 | 符合:查看配置文件中不包括ip ftp-server enable或ip tftp-server或同等配置信息 不符合:配置文件中包括ip ftp-server enable或ip tftp-server | |
13 | DNS服務 | 禁用DNS解析服務 | 核心域 | 查看配置文件不能出現: [hostname]#show running-config ip domain-lookup或相關命令查看相關信息 | 符合:檢查配置文件中是否有 [hostname]#show running-config no ip domain-lookup或同等配置信息 不符合:開啟DNS解析服務 | |
14 | small tcp和udp服務 | 禁用small tcp and udp service,,針對不滿足的設備應進行原因說明 | 核心域 | 查看配置文件不能出現: [hostname]#show running-config service tcp-small-servers service udp-smail-servers或相關命令查看相關信息 | 符合:查看配置文件是否有 [hostname]#show running-config no service tcp-small-servers no service udp-smail-servers或同等配置信息 不符合:開啟了small tcp和udp服務 | |
15 | finger服務 | 禁用finger服務,針對不滿足的設備應進行原因說明 | 核心域 | 查看配置文件不能出現: [hostname]#show running-config finger或相關命令查看相關信息 | 符合:查看配置文件中是否有 [hostname]#show running-config no finger或同等配置信息 不符合:開啟finger | |
16 | bootp服務 | 禁用bootp服務,針對不滿足的設備應進行原因說明 | 核心域 | 查看配置文件不能出現: [hostname]#show running-config ip bootp server或相關命令查看相關信息 | 符合:查看配置文件中是否有 [hostname]#show running-config no ip bootp server或同等配置信息 不符合:開啟bootp服務 | |
17 | 關閉IP源路由協議 | IP源路由協議應關閉,針對不滿足的設備應進行原因說明 | 核心域 | 查看配置文件不能出現: [hostname]#show running-config ip source-route或相關命令查看相關信息 | 符合:查看配置文件中 [hostname]#show running-config no ip source-route或同等配置信息 不符合:開啟IP源路由協議 | |
18 | 禁止arp-proxy | ARP代理禁用,針對不滿足的設備應進行原因說明。 | 核心域 | 查看配置文件中不能出現: [hostname]#show running-config ip arp-proxy或相關命令查看相關信息 | 符合:查看配置文件中no arp-proxy項 [hostname]#show running-config no ip arp-proxy 不符合:開啟ARP代理 | |
19 | 關閉IP Directed Broadcast | IP Directed Broadcast應關閉,針對不滿足的設備應進行原因說明 | 核心域 | 查看配置文件中不能出現: [hostname]#show running-config ip directed-broadcast或相關命令查看相關信息 | 符合:查看配置文件中IP Directed Broadcast項 [hostname]#show running-config no ip directed-broadcast或同等配置信息 不符合:IP Directed Broadcast | |
20 | 端口管理 | shutdown未使用的網絡接口 | 明確關閉不使用的網絡接口,如路由器的AUX口、及其它網絡接口等,但不包含管理口等特殊接口。 | 核心域 | 使用show running-config 或相關命令查看相關信息查看相關信息 | 符合:使用show running-config命令,如下例: router#show running-config Building configuration... Current configuration: ! … line aux 0 no exec transport input none exit或同等配置信息 不符合:未使用的接口未關閉 |
主要是以這些方面做基礎設備的安全基線,如需要更詳細的多廠家的朋友可以留言留下聯系方式,我可和大家共享相關信息。建議大家有開發能力的小
夥伴可以根據主類,建立特征庫,根據判斷條件批量去核查企業內部基礎設施配置。安全運維工作不只是維護安全設備和網絡設備的安全策略,安全策略只是
防止網絡層的非授權訪問,解決因為配置過失帶來的安全風險,也是提高基礎網絡健壯性的唯一途徑。
謝謝大家,我會在有時間的時候,將我工作經驗分享給大家,還希望大家看到後,不嫌棄的話關註下,這樣文章更新文章會推送。
關於安全運維中,網絡及安全設備基線設置的方法和必要性。