溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
企業網絡建設過程中,隨著業務項目的增加,網絡的拓展組網網絡的設備會
隨著規模不斷增加。今天分享給大家的就是在增加的設備中,一個好的運維習慣可以提高企業內部安全網絡屬性,
從大多網絡設備及安全設備受***被***漫游都是因為操作人員的配置部當導致。所以對于一個合格的網絡安全
運維者應當有一套針對自己網絡環境的安全基線。這樣有效的控制內網安全其中的部分工作,以下我就分享一下
我在安全運維工作中制定安全基線的方法:
1、Cisco路由器檢查配置表
NO | 檢查類別 | 檢查項目 | 檢查要點 | 檢查對象 | 檢查方法 | 判斷條件 |
1 | 設備訪問控制 | 用戶認證方式 | 啟用本地或AAA認證,查看登錄認證方式,如本地帳戶口令、認證服務器等。 | 核心域 | 使用show running-config 查看相關信息 | 符合:檢查配置文件中 [hostname]#show running-config … aaa authentication login $(AAA_LIST_NAME) local aaa authentication enable default enable 或 username $(LOCAL_USERNAME) privilege (ID)password或同等配置信息 不符合:無相關信息 |
2 | 定義會話超時時間 | 配置定時帳戶自動登出,會話空閑一定時間后自動登出。(建議超時設置為5分鐘) | 核心域 | 參考配置操作 user-interface vty 0 4 idle-timeout 5 0 user-interface con 0 idle-timeout 5 0 | 符合:參考配置操作 user-interface vty 0 4 idle-timeout 5 0 user-interface con 0 idle-timeout 5 0 或同等配置信息 不符合:未配置帳號自動登出 | |
3 | 遠程安全管理方式訪問設備 | 啟用了SSH,建議禁用TELNET(根據實際情況酌情考慮),且遠程管理(VTY)的登錄源地址必須采取ACL進行限制或指定固定管理IP。針對不支持的設備請說明品牌、型號、軟件版本。 | 核心域 | 使用show running-configuration命令或相關命令查看相關信息 | 符合:查看配置中VTY訪問是否有ACL控制措施: [hostname]display current-configuration … user-interface vty 0 4 acl XXXX inbound或同等配置信息 不符合:無相關信息 | |
4 | 賬戶管理 | 檢查無用帳號和權限分配 | 1、應刪除或鎖定與設備運行、維護等工作無關的帳號。 2、不同等級管理維護人員,分配不同帳號,避免帳號混用。 | 核心域 | 檢查配置文件中 [hostname]#show running-config username $(LOCAL_USERNAME) privilege password LOCAL_PASSWORD字段或相關命令查看相關信息 | 符合:抽查資產表中的3臺網絡設備,登錄4A系統及設備進行帳號比對,分析是否有無用帳號(未分配給任何自然人的從帳號)。或同等配置信息 不符合:無相關信息 |
5 | 密碼管理 | 口令加密并定期更換 | 開啟密碼加密服務,并定期更新 | 核心域 | 查看配置文件是否采用了相應的鑒別信息保護措施: [hostname]show running-config service password-encryption epassword +WumoGDbE75GFYyp+R47Mg==,或相關命令查看相關信息 | 符合:查看配置文件是否采用了相應的鑒別信息保護措施 [hostname]show running-config service password-encryption 不符合:無相關信息 |
6 | 日志管理 | log服務 | 指定日志服務器 | 核心域 | 查看配置文件中logging on(enable) 、logging [ip add] 或相關命令查看相關信息 | 符合:查看配置文件中logging on(enable) 、logging [ip add] 或同等配置信息 不符合:無相關信息 |
7 | 系統設置日志的時間戳 | 應為日志打上時間戳 | 核心域 | 查看配置文件中logging timestamp 項 [hostname]#show running-config logging timestamp 或相關命令查看相關信息 | 符合:查看配置文件中logging timestamp 項 [hostname]#show running-config logging timestamp或同等配置信息 不符合:無時間戳 | |
8 | 系統配置日志級別 | LOG應定義級別 | 核心域 | 查看配置文件中logging facility [20] 項或相關命令查看相關信息 | 符合:查看配置文件中logging facility [20] 項或同等配置信息 不符合:無相關配置 | |
9 | 服務管理 | 修改SNMP只讀字串或可寫字串 | SNMP 規則匹配snmp-server community **** RO | 核心域 | 查看配置文件中 [hostname]#show running-config snmp-server community **** RO/RW或相關命令查看相關信息 | 符合:查看配置文件中 [hostname]#show running-config snmp-server community **** RO/RW或同等配置信息 不符合:無相關信息 |
10 | NTP服務或本地時間管理 | 指定NTP服務器或校對本地時間 | 核心域 | 查看配置文件: [hostname]#show running-config ntp server *.*.*.* [hostname]#show clock 檢查是否與當前時間一致或相關命令查看相關信息 | 符合:查看配置文件: [hostname]#show running-config ntp server *.*.*.* [hostname]#show clock 檢查是否與當前時間一致或同等配置信息 不符合:無相關信息 | |
11 | http服務 | http關閉 | 核心域 | 查看配置文件不能出現: [hostname]#show running-config ip http server或相關命令查看相關信息 | 符合:查看配置文件中是否有no ip http server字段 [hostname]#show running-config no ip http server或同等配置信息 不符合:開啟了http服務 | |
12 | FTP、TFTP服務 | FTP、TFTP服務關閉 | 核心域 | 查看配置文件不能出現: [hostname]#show running-config ip ftp-server ip tftp-server或相關命令查看相關信息 | 符合:查看配置文件中不包括ip ftp-server enable或ip tftp-server或同等配置信息 不符合:配置文件中包括ip ftp-server enable或ip tftp-server | |
13 | DNS服務 | 禁用DNS解析服務 | 核心域 | 查看配置文件不能出現: [hostname]#show running-config ip domain-lookup或相關命令查看相關信息 | 符合:檢查配置文件中是否有 [hostname]#show running-config no ip domain-lookup或同等配置信息 不符合:開啟DNS解析服務 | |
14 | small tcp和udp服務 | 禁用small tcp and udp service,,針對不滿足的設備應進行原因說明 | 核心域 | 查看配置文件不能出現: [hostname]#show running-config service tcp-small-servers service udp-smail-servers或相關命令查看相關信息 | 符合:查看配置文件是否有 [hostname]#show running-config no service tcp-small-servers no service udp-smail-servers或同等配置信息 不符合:開啟了small tcp和udp服務 | |
15 | finger服務 | 禁用finger服務,針對不滿足的設備應進行原因說明 | 核心域 | 查看配置文件不能出現: [hostname]#show running-config finger或相關命令查看相關信息 | 符合:查看配置文件中是否有 [hostname]#show running-config no finger或同等配置信息 不符合:開啟finger | |
16 | bootp服務 | 禁用bootp服務,針對不滿足的設備應進行原因說明 | 核心域 | 查看配置文件不能出現: [hostname]#show running-config ip bootp server或相關命令查看相關信息 | 符合:查看配置文件中是否有 [hostname]#show running-config no ip bootp server或同等配置信息 不符合:開啟bootp服務 | |
17 | 關閉IP源路由協議 | IP源路由協議應關閉,針對不滿足的設備應進行原因說明 | 核心域 | 查看配置文件不能出現: [hostname]#show running-config ip source-route或相關命令查看相關信息 | 符合:查看配置文件中 [hostname]#show running-config no ip source-route或同等配置信息 不符合:開啟IP源路由協議 | |
18 | 禁止arp-proxy | ARP代理禁用,針對不滿足的設備應進行原因說明。 | 核心域 | 查看配置文件中不能出現: [hostname]#show running-config ip arp-proxy或相關命令查看相關信息 | 符合:查看配置文件中no arp-proxy項 [hostname]#show running-config no ip arp-proxy 不符合:開啟ARP代理 | |
19 | 關閉IP Directed Broadcast | IP Directed Broadcast應關閉,針對不滿足的設備應進行原因說明 | 核心域 | 查看配置文件中不能出現: [hostname]#show running-config ip directed-broadcast或相關命令查看相關信息 | 符合:查看配置文件中IP Directed Broadcast項 [hostname]#show running-config no ip directed-broadcast或同等配置信息 不符合:IP Directed Broadcast | |
20 | 端口管理 | shutdown未使用的網絡接口 | 明確關閉不使用的網絡接口,如路由器的AUX口、及其它網絡接口等,但不包含管理口等特殊接口。 | 核心域 | 使用show running-config 或相關命令查看相關信息查看相關信息 | 符合:使用show running-config命令,如下例: router#show running-config Building configuration... Current configuration: ! … line aux 0 no exec transport input none exit或同等配置信息 不符合:未使用的接口未關閉 |
主要是以這些方面做基礎設備的安全基線,如需要更詳細的多廠家的朋友可以留言留下聯系方式,我可和大家共享相關信息。建議大家有開發能力的小
伙伴可以根據主類,建立特征庫,根據判斷條件批量去核查企業內部基礎設施配置。安全運維工作不只是維護安全設備和網絡設備的安全策略,安全策略只是
防止網絡層的非授權訪問,解決因為配置過失帶來的安全風險,也是提高基礎網絡健壯性的唯一途徑。
謝謝大家,我會在有時間的時候,將我工作經驗分享給大家,還希望大家看到后,不嫌棄的話關注下,這樣文章更新文章會推送。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
