Juniper網(wǎng)絡(luò)設(shè)備安全加固規(guī)范.doc
《Juniper網(wǎng)絡(luò)設(shè)備安全加固規(guī)范.doc》由會(huì)員分享,可在線閱讀,更多相關(guān)《Juniper網(wǎng)絡(luò)設(shè)備安全加固規(guī)范.doc(25頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
Juniper網(wǎng)絡(luò)設(shè)備安全基線規(guī)范 2019 年 10 月 第 2 頁(yè) 共 25 頁(yè) 目錄 1. 賬號(hào)管理、認(rèn)證授權(quán) .3 1.1. 賬號(hào) .3 1.1.1. ELK-Juniper-01-01-013 1.1.2. ELK-Juniper-01-01-023 1.1.3. ELK-Juniper-01-01-034 1.2. 口令 .5 1.2.1. ELK-Juniper-01-02-015 1.2.2. ELK-Juniper-01-02-026 1.2.3. ELK-Juniper-01-02-038 1.3. 認(rèn)證 .9 1.3.1. ELK-Juniper-01-03-019 2. 日志配置 .10 2.1.1. ELK-JUNIPER-02-01-01.10 2.1.2. ELK-JUNIPER-02-01-02.11 2.1.3. ELK-JUNIPER-02-01-03.12 2.1.4. ELK-JUNIPER-02-01-04.12 2.1.5. ELK-JUNIPER-02-01-05.13 2.1.6. ELK-JUNIPER-02-01-06.14 3. 通信協(xié)議 .15 3.1.1. ELK-JUNIPER-03-01-01.15 3.1.2. ELK-JUNIPER-03-01-02.16 3.1.3. ELK-JUNIPER-03-01-03.17 3.1.4. ELK-JUNIPER-03-01-04.18 3.1.5. ELK-JUNIPER-03-01-05.19 3.1.6. ELK-JUNIPER-03-01-06.20 4. 設(shè)備其他安全要求 .20 4.1.1. ELK-JUNIPER-04-01-01.20 4.1.2. ELK-JUNIPER-04-01-02.21 4.1.3. ELK-JUNIPER-04-01-03.22 4.1.4. ELK-JUNIPER-04-01-04.23 4.1.5. ELK-JUNIPER-04-01-05.24 第 3 頁(yè) 共 25 頁(yè) 1. 賬號(hào)管理、認(rèn)證授權(quán) 1.1. 賬號(hào) 1.1.1. ELK-Juniper-01-01-01 編號(hào): ELK-Juniper-01-01-01 名稱: 按照用戶類型分配賬號(hào) 實(shí)施目的: 按照不同的用戶分配不同的賬號(hào),避免不同用戶間共享賬號(hào),避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。 問(wèn)題影響: 權(quán)限不明確,存在用戶越權(quán)使用的可能。 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration system login 查看當(dāng)前配置 實(shí)施方案: 1、參考配置操作 set system login user abc1 set system login user abc2 2、補(bǔ)充操作說(shuō)明 1、 abc1 和 abc2 是兩個(gè)不同的賬號(hào)名稱,可根據(jù)不同用戶, 取不同的名稱; 2、賬號(hào)取名,建議使用:姓名的簡(jiǎn)寫(xiě)+手機(jī)號(hào)碼。 回退方案: 刪除新增加用戶 判斷依據(jù): 標(biāo)記用戶用途,定期建立用戶列表,比較是否有非法用戶 實(shí)施風(fēng)險(xiǎn): 低 重要等級(jí): ★★★ 1.1.2. ELK-Juniper-01-01-02 編號(hào): ELK-Juniper-01-01-02 第 4 頁(yè) 共 25 頁(yè) 名稱: 刪除無(wú)效賬號(hào) 實(shí)施目的: 按照不同的用戶分配不同的賬號(hào),避免不同用戶間共享賬號(hào),避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。 問(wèn)題影響: 非法利用系統(tǒng)默認(rèn)賬號(hào) 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration system login 查看當(dāng)前配置 實(shí)施方案: 1、參考配置操作 delete system login user abc3 2、補(bǔ)充操作說(shuō)明 abc3 是與工作無(wú)關(guān)的賬號(hào)。 回退方案: 增加被刪除的用戶 判斷依據(jù): 查看配置文件,核對(duì)用戶列表。 實(shí)施風(fēng)險(xiǎn): 低 重要等級(jí): ★★★ 1.1.3. ELK-Juniper-01-01-03 編號(hào): ELK-Juniper-01-01-03 名稱: 建立分配系統(tǒng)用戶組 實(shí)施目的: 為了控制不同用戶的訪問(wèn)級(jí)別,建立多用戶級(jí)別,根據(jù)用戶的業(yè)務(wù)需求,將用戶賬號(hào)分配到相應(yīng)的用戶級(jí)別。 問(wèn)題影響: 賬號(hào)越權(quán)使用 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration system login 查看當(dāng)前配置 實(shí)施方案: 1、參考配置操作 創(chuàng)建用戶級(jí)別: set system login class ABC1 permissions [ view view-configuration ] 將用戶賬號(hào)分配到相應(yīng)的用戶級(jí)別: set system login user abc1 class read-only set system login user abc2 class ABC1 第 5 頁(yè) 共 25 頁(yè) set system login user abc3 class super-user 2、補(bǔ)充操作說(shuō)明 (1) 、ABC1 是手工創(chuàng)建的組,該組具有的權(quán)限:查看設(shè) 備運(yùn)行狀態(tài)(如接口狀態(tài)、設(shè)備硬件狀態(tài)、路由狀態(tài)等) , 并且可以查看設(shè)備的配置; (2) 、read-only 組具有的權(quán)限:查看設(shè)備運(yùn)行狀態(tài), 但不能查看設(shè)備的配置; (3) 、super-user 是超級(jí)用戶組,具有的權(quán)限:所有權(quán) 限; (4) 、read-only 和 super-user 是路由器已經(jīng)創(chuàng)建的組, 不需要手工創(chuàng)建; (5) 、abc1、abc2、abc3 是不同的用戶,它們分別分配到 相應(yīng)的用戶級(jí)別。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration system login 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn): 高 重要等級(jí): ★★★ 1.2. 口令 1.2.1. ELK-Juniper-01-02-01 編號(hào): ELK-Juniper-01-02-01 名稱: 提高口令強(qiáng)度 實(shí)施目的: 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備,口令長(zhǎng)度至少 6 位, 并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào) 4 類中至少 2 類。 問(wèn)題影響: 增加密碼被暴力破解的成功率 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration system login 查看當(dāng)前配置 第 6 頁(yè) 共 25 頁(yè) 實(shí)施方案: 1、參考配置操作 set system login user abc1 authentication plain- text-password 2、補(bǔ)充操作說(shuō)明 (1) 、輸入指令回車(chē)后,將兩次提示輸入新口令(New password:和 Retype new password:) 。 (2) 、口令要求:長(zhǎng)度至少 6 位,并包括數(shù)字、小寫(xiě)字母、 大寫(xiě)字母和特殊符號(hào) 4 類中至少 2 類。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration system login 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn): 低 重要等級(jí): ★★★ 1.2.2. ELK-Juniper-01-02-02 編號(hào): ELK-Juniper-01-02-02 名稱: 根據(jù)用戶的業(yè)務(wù)需要配置其所需的最小權(quán)限 實(shí)施目的: 在設(shè)備權(quán)限配置能力內(nèi),根據(jù)用戶的業(yè)務(wù)需要,配置其所需的最小權(quán)限。 問(wèn)題影響: 越權(quán)使用,非法訪問(wèn)。 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration system login 查看當(dāng)前配置 實(shí)施方案: (1) 、用 show configuration system login class ABC1 命令查 看配置 (2) 、用 show configuration system login class ABC2 命令查 看配置 (3) 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc1 和密碼 成功登錄路由器后,用 configure 命令進(jìn)入配置模式。 使用以下命令檢測(cè): set routing-可選 ions static 第 7 頁(yè) 共 25 頁(yè) set interfaces set chassis fpc 使用其它 set 命令 (4) 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc2 和密碼成功登錄路由器后,用 configure 命令進(jìn)入配置模式。 使用以下命令檢測(cè): set policy-可選 ions set protocols set routing-instances set routing-可選 ions 使用其它 set 命令 (5) 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc3 和密碼成功登錄路由器后,用 configure 命令進(jìn)入配置模式。 使用 set 命令以及其它命令檢測(cè)。 回退方案: 使用 show configuration system login 查看當(dāng)前配置。還原系統(tǒng)配置文件。 判斷依據(jù): (1) 、賬號(hào) abc1 屬于組 ABC1,該組只能配置 routing-可選 ions static、interfaces、 Chassis fpc 項(xiàng)里的內(nèi)容。不能做其 它未授權(quán)的配置; (2) 、賬號(hào) abc2 屬于組 ABC2,該組只能配置關(guān)于路由的 所有配置,包括 routing-可選 ions、protocols、policy-可選 ions、 routing-instances 等,不能做其它未授權(quán)的配置; (3) 、賬號(hào) abc3 屬于組 super-user,擁有全部配置權(quán)限。 備注: 創(chuàng)建用戶級(jí)別,即創(chuàng)建用戶的配置權(quán)限: set system login class ABC1 permissions configure set system login class ABC1 allow-configuration “routing-可選 ions static|interfaces|chassis fpc“ set system login class ABC2 permissions [ configure routing- 第 8 頁(yè) 共 25 頁(yè) control ] 將用戶賬號(hào)分配到相應(yīng)的用戶級(jí)別: set system login user abc1 class ABC1 set system login user abc2 class ABC2 set system login user abc3 class super-user 2、補(bǔ)充操作說(shuō)明 (1) 、ABC1 組具有的權(quán)限:可配置 interfaces,可配置 routing-可選 ions 中的 static,可配置 chassis 中的 fpc; (2) 、ABC2 組具有的權(quán)限:可配置有關(guān)于路由的所有配置, 包括 routing-可選 ions、protocols、policy- 可選 ions、 routing-instances 等; (3) 、allow-configuration 參數(shù)是以等級(jí)來(lái)限制,可以限制 各個(gè)等級(jí)的配置,可以細(xì)化到各個(gè)小等級(jí); (4) 、permissions 參數(shù)是以功能來(lái)限制,限制的范圍較大; (5) 、allow-commands 參數(shù)是以具體的指令來(lái)限制,allow- comands 參數(shù)需要設(shè)定具體指令,不建議使用。 實(shí)施風(fēng)險(xiǎn): 低 重要等級(jí): ★★★ 1.2.3. ELK-Juniper-01-02-03 編號(hào): ELK-Juniper-01-02-03 名稱: 提高 ROOT 用戶口令強(qiáng)度 實(shí)施目的: 修改 root 密碼。root 的默認(rèn)密碼是空,修改 root 密碼,避免非管理員使用 root 賬號(hào)登錄。 問(wèn)題影響: 增加密碼被暴力破解的成功率 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration system login 查看當(dāng)前配置 第 9 頁(yè) 共 25 頁(yè) 實(shí)施方案: 1、參考配置操作 (1) 、用 show configuration system login 命令查看配置是否 正確; (2) 、通過(guò) console 口方式登錄路由器,輸入 root 用戶名和 密碼; (3) 、通過(guò) console 口方式登錄路由器,輸入 root 用戶和空 密碼。 2、補(bǔ)充操作說(shuō)明 (1) 、輸入指令回車(chē)后,將兩次提示輸入新口令(New password:和 Retype new password:) 。 (2) 、口令要求:長(zhǎng)度至少 6 位,并包括數(shù)字、小寫(xiě)字母、 大寫(xiě)字母和特殊符號(hào) 4 類中至少 2 類。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): (1) 、輸入 root 用戶和正確密碼可以正常登錄路由器; (2) 、輸入 root 用戶和空密碼無(wú)法登錄路由器。 實(shí)施風(fēng)險(xiǎn): 低 重要等級(jí): ★★★ 1.3. 認(rèn)證 1.3.1. ELK-Juniper-01-03-01 編號(hào): ELK-Juniper-01-03-01 名稱: 設(shè)置認(rèn)證系統(tǒng)聯(lián)動(dòng) 實(shí)施目的: 設(shè)備通過(guò)相關(guān)參數(shù)配置,與認(rèn)證系統(tǒng)聯(lián)動(dòng),滿足帳號(hào)、口令和授權(quán)的強(qiáng)制要求。 問(wèn)題影響: 密碼泄露。 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration system login 查看當(dāng)前配置 并查看 Radius 服務(wù)器配置 第 10 頁(yè) 共 25 頁(yè) 實(shí)施方案: 1、參考配置操作 set system authentication-order radius set system authentication-order password set system radius-server 10.1.1.1 set system radius-server 10.1.1.2 set system radius-server 10.1.1.1 port 1645 set system radius-server 10.1.1.2 port 1645 set system radius-server 10.1.1.1 secret abc123 set system radius-server 10.1.1.2 secret abc123 2、補(bǔ)充操作說(shuō)明 (1) 、配置認(rèn)證方式,可通過(guò) radius 和本地認(rèn)證; (2) 、 10.1.1.1 和 10.1.1.2 是 radius 認(rèn)證服務(wù)器的 IP 地 址,建議建立兩個(gè) radius 認(rèn)證服務(wù)器作為互備; (3) 、port 1645 是 radius 認(rèn)證開(kāi)啟的端口號(hào),可根據(jù)本 地 radius 認(rèn)證服務(wù)器開(kāi)啟的端口號(hào)進(jìn)行配置; (4) 、 abc123 是與 radius 認(rèn)證系統(tǒng)建立連接所設(shè)定的密碼, 建議:與 radius 認(rèn)證服務(wù)器建立連接時(shí),使用密碼認(rèn)證建 立連接。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration system login 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn): 低 重要等級(jí): ★ 2. 日志配置 本部分對(duì) JUNIPER 設(shè)備的日志功能提出建議,主要加強(qiáng)設(shè)備所具備的日 志功能,確保發(fā)生安全事件后,設(shè)備日志能提供充足的信息進(jìn)行安全事件定位。 根據(jù)這些要求,設(shè)備日志應(yīng)能支持記錄與設(shè)備相關(guān)的重要事件,包括違反安全 策略的事件、設(shè)備部件發(fā)生故障或其存在環(huán)境異常等,以便通過(guò)審計(jì)分析工具, 發(fā)現(xiàn)安全隱患。如出現(xiàn)大量違反 ACL 規(guī)則的事件時(shí),通過(guò)對(duì)日志的審計(jì)分析, 第 11 頁(yè) 共 25 頁(yè) 能發(fā)現(xiàn)隱患,提高設(shè)備維護(hù)人員的警惕性,防止惡化。 2.1.1. ELK-Juniper-02-01-01 編號(hào): ELK-Juniper-02-01-01 名稱: 開(kāi)啟系統(tǒng)日志功能 實(shí)施目的: 設(shè)備應(yīng)配置日志功能,記錄用戶對(duì)設(shè)備的操作,比如:賬 號(hào)創(chuàng)建、刪除和權(quán)限修改,口令修改,讀取和修改設(shè)備配 置,涉及通信隱私數(shù)據(jù)。記錄需要包含用戶賬號(hào),操作時(shí) 間,操作內(nèi)容以及操作結(jié)果。 問(wèn)題影響: 無(wú)法對(duì)用戶的登陸進(jìn)行日志記錄。 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration system syslog 查看當(dāng)前配置 實(shí)施方案: 1、參考配置操作 set system syslog file author.log authorization info 2、補(bǔ)充操作說(shuō)明 (1) 、author.log 是記錄登錄信息的 log 文件,該文件名 稱可手工定義; (2) 、author.log 文件保存在 juniper 路由器的存儲(chǔ)上。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration system syslog 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn): 低 重要等級(jí): ★★★ 2.1.2. ELK-Juniper-02-01-02 編號(hào): ELK-Juniper-02-01-02 名稱: 開(kāi)啟系統(tǒng)安全日志功能 實(shí)施目的: 設(shè)備應(yīng)配置日志功能,記錄對(duì)與設(shè)備相關(guān)的安全事件,比如:記錄路由協(xié)議事件和錯(cuò)誤。 問(wèn)題影響: 無(wú)法記錄路由協(xié)議事件和錯(cuò)誤。 第 12 頁(yè) 共 25 頁(yè) 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration 查看當(dāng)前配置 實(shí)施方案: 1、參考配置操作 set system syslog file daemon.log daemon warning set system syslog file firewall.log firewall warning 2、補(bǔ)充操作說(shuō)明 (1) 、daemon.log 是記錄路由協(xié)議事件的文件,該文件名 稱可手工定義; (2) 、firewall.log 是記錄安全事件的文件,該文件名稱 可手工定義; (3) 、daemon 和 firewall 可定義有九個(gè)等級(jí),建議將其設(shè) 定為 warning 等級(jí),即僅記錄 warning 等級(jí)以上的安全 事件。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn): 中 重要等級(jí): ★★★ 2.1.3. ELK-Juniper-02-01-03 編號(hào): ELK-Juniper-02-01-03 名稱: 設(shè)置配置更改日志路徑 實(shí)施目的: 設(shè)置系統(tǒng)的配置更改信息保存到單獨(dú)的 change.log 文件內(nèi)。 問(wèn)題影響: 暴露系統(tǒng)日志。 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration system syslog 查看當(dāng)前配置 實(shí)施方案: 1、參考配置操作 set system syslog file change.log change-log info 2、補(bǔ)充操作說(shuō)明 (1) 、change.log 是記錄配置更改的文件,該文件名稱可 手工定義; (2) 、change.log 文件保存在 juniper 路由器的存儲(chǔ)上。 第 13 頁(yè) 共 25 頁(yè) 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration system syslog 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn): 中 重要等級(jí): ★★ 2.1.4. ELK-Juniper-02-01-04 編號(hào): ELK-Juniper-02-01-04 名稱: 設(shè)置配置遠(yuǎn)程日志功能 實(shí)施目的: 設(shè)備配置遠(yuǎn)程日志功能,將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。 問(wèn)題影響: 丟失重要日志。 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration system syslog 命令查看配置 實(shí)施方案: set system syslog host 10.1.1.1 any notice set system syslog host 10.1.1.1 log-prefix Router1 set system syslog host 10.1.1.2 any notice set system syslog host 10.1.1.2 log-prefix Router2 補(bǔ)充操作說(shuō)明 (1) 、10.1.1.1 和 10.1.1.2 是遠(yuǎn)程日志服務(wù)器的 IP 地址,建 議建設(shè)兩個(gè)遠(yuǎn)程日志服務(wù)器作為互備; (2) 、syslog 有九個(gè)等級(jí)的記錄信息,建議將 notice 等級(jí)以 上的信息傳送到遠(yuǎn)程日志服務(wù)器; (3) 、Router1 為路由器的主機(jī)名稱。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): (1) 、使用 show configuration system syslog 命令查看配置; (2) 、登錄遠(yuǎn)程日志服務(wù)器查看日志。 實(shí)施風(fēng)險(xiǎn): 中 第 14 頁(yè) 共 25 頁(yè) 重要等級(jí): ★★ 2.1.5. ELK-Juniper-02-01-05 編號(hào): ELK-Juniper-02-01-05 名稱: 設(shè)置系統(tǒng)的配置更改信息 實(shí)施目的: 設(shè)置系統(tǒng)的配置更改信息保存到單獨(dú)的 change.log 文件內(nèi) 問(wèn)題影響: 丟失重要日志。 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration system syslog 命令查看配置 實(shí)施方案: (1) 、使用 show configuration system syslog 命令查看配置; (2) 、在終端上以 telnet 方式登錄路由器,輸入用戶名密碼; (3) 、進(jìn)行創(chuàng)建、刪除帳號(hào)和修改用戶密碼等修改設(shè)備配 置操作; (4) 、用 show log change.log 命令查看日志。 回退方案: 使用 show configuration system syslog 命令查看配置,恢復(fù)默認(rèn)配置 判斷依據(jù): 可以在 change.log 中查看到用戶的操作內(nèi)容、操作時(shí)間 實(shí)施風(fēng)險(xiǎn): 中 重要等級(jí): ★★ 2.1.6. ELK-Juniper-02-01-06 編號(hào): ELK-Juniper-02-01-06 名稱: 保證日志功能記錄的時(shí)間的準(zhǔn)確性。 實(shí)施目的: 開(kāi)啟 NTP 服務(wù),保證日志功能記錄的時(shí)間的準(zhǔn)確性。路由器與 NTP SERVER 之間開(kāi)啟認(rèn)證功能 。 問(wèn)題影響: 丟失重要日志。 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration system syslog 命令查看配置 第 15 頁(yè) 共 25 頁(yè) 實(shí)施方案: (1) 、使用 show configuration system ntp 命令查看配置; (2) 、使用 show system uptime 命令查看路由器時(shí)間與并與 北京時(shí)間對(duì)比; (3) 、使用 show ntp associations 查看路由器是否與 NTP 服 務(wù)器同步; (4) 、使用 show ntp status 查看路由器時(shí)間同步狀態(tài)。 回退方案: 使用 show configuration system syslog 命令查看配置,恢復(fù)默認(rèn)配置 判斷依據(jù): (1) 、用 show ntp associations 命令查看,信息如下面所示: remote refid st t when poll ============================== * ROUTER1 10.1.1.1 2 u 641 1024 + ROUTER2 10.1.1.2 2 u 713 1024 reach delay offset jitter ============================== 377 0.964 -24.126 0.067 377 4.490 -12.013 0.457 ROUTER1 前面的(*)號(hào)表示 ROUTER1 是已和路由器時(shí)間 同步的 NTP 服務(wù)器,(+)號(hào)為備用的 NTP 服務(wù)器. (2) 、有 show ntp status 命令查看,信息如下: status=0644 leap_none, sync_ntp, 4 events, event_peer/strat_chg, version=“ntpd 4.1.0-a Wed Oct 5 18:44:40 GMT 2005 (1)“, processor=“i386“, system=“JUNOS7.3R2.7“, leap=00, stratum=3, precision=-28, rootdelay=9.814, rootdispersion=102.250, peer=42484, refid=ROUTER , reftime=ca227da4.4b3ffac1 Wed, Jun 20 2007 0:07:00.293, poll=10, clock=ca2280ce.02849cb2 Wed, Jun 20 2007 0:20:30.009, state=4, offset=-17.830, frequency=85.438, jitter=28.377, stability=0.048 如上面信息的第一句第二部分顯示”sync_ntp” 表示路由 器時(shí)間已和 NTP 服務(wù)器同步,如果顯示”sync_unspec”即未 同步.。 實(shí)施風(fēng)險(xiǎn): 中 重要等級(jí): ★★ 第 16 頁(yè) 共 25 頁(yè) 3. 通信協(xié)議 3.1.1. ELK-Juniper-03-01-01 編號(hào): ELK-Juniper-03-01-01 名稱: OSPF 協(xié)議安全 實(shí)施目的: 對(duì)于非點(diǎn)到點(diǎn)的 OSPF 協(xié)議配置,應(yīng)配置 MD5 加密認(rèn)證,通過(guò) MD5 加密認(rèn)證建立 neighbor 問(wèn)題影響: 惡意攻擊 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration protocols rsvp 查看當(dāng)前配置 實(shí)施方案: 1) 、使用 show configuration 命令查看配置 2) 、使用 show ospf neighbor 命令查看 OSPF 鄰居狀態(tài) 3) 、使用 show route protocol ospf brief 命令查看 OSPF 路由 表 4) 、使用 ping 檢查路由連通性 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 1) 、OSPF 鄰居處于 full 狀態(tài)為正常 ,能學(xué)到鄰居的路由為正 常 2) 、路由能連通為正常 實(shí)施風(fēng)險(xiǎn): 低 重要等級(jí): ★ 3.1.2. ELK-Juniper-03-01-02 編號(hào): ELK-Juniper-03-01-02 名稱: 啟用帶加密方式的身份驗(yàn)證 實(shí)施目的: 配置動(dòng)態(tài)路由協(xié)議(BGP/ MP-BGP /OSPF 等)時(shí)必須啟用 帶加密方式的身份驗(yàn)證功能,相鄰路由器只有在身份驗(yàn)證 通過(guò)后,才能互相通告路由信息。 問(wèn)題影響: 非法訪問(wèn), 第 17 頁(yè) 共 25 頁(yè) 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor 查看當(dāng)前配置 實(shí)施方案: (1) 、使用 show configuration protocol 命令查看配置; (2) 、使用 show bgp neighbor 命令查看 BGP 鄰居狀態(tài); (3) 、使用 show route protocol bgp brief 命令查看 BGP 路由 表; (4) 、使用 show ospf neighbor 命令查看 OSPF 鄰居狀態(tài); (5) 、使用 show route protocol ospf brief 命令查看 OSPF 路 由表; (6) 、使用 ping 命令檢查路由連通性。 回退方案: 使用 show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor 查看當(dāng)前配置, 還原給原始狀態(tài)。 判斷依據(jù): 1) 、確定配置已經(jīng)啟用加密的身份認(rèn)證; 2) 、BGP 鄰居處于 establish 狀態(tài)為正常,能學(xué)到鄰居的路 由為正常; 3) 、OSPF 鄰居處于 full 狀態(tài)為正常 ,能學(xué)到鄰居的路由為正 常; 4) 、路由能連通為正常。 實(shí)施風(fēng)險(xiǎn): 中 重要等級(jí): ★★ 3.1.3. ELK-Juniper-03-01-03 編號(hào): ELK-Juniper-03-01-03 名稱: 過(guò)濾所有和業(yè)務(wù)不相關(guān)的流量 實(shí)施目的: 對(duì)于具備 TCP/UDP 協(xié)議功能的設(shè)備,設(shè)備應(yīng)根據(jù)業(yè)務(wù)需要, 配置基于源 IP 地址、通信協(xié)議 TCP 或 UDP、目的 IP 地址、 源端口、目的端口的流量過(guò)濾,過(guò)濾所有和業(yè)務(wù)不相關(guān)的 流量。 問(wèn)題影響: 惡意攻擊。 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration firewall filter abc 查看配置 第 18 頁(yè) 共 25 頁(yè) 實(shí)施方案: (1) 、使用 show configuration firewall filter abc 查看配置 (2) 、將終端的 IP 地址設(shè)為: 10.1.1.1 (3) 、在終端上安裝 Nmap 端口掃描工具(本例基于 windowsXP2 系統(tǒng)) (4) 、在 DOS 下輸入:nmap -sS -g 445 10.1.2.1 –p 145 這 指令的意思是以源端口為 445 來(lái)訪問(wèn)主機(jī) IP 為 10.1.2.1 的 TCP145 端口。 (5) 、用 namp 訪問(wèn)其它非業(yè)務(wù)端口,如訪問(wèn) 80 端口,在 DOS 下輸入: nmap –sS 10.1.2.1 –p 80 這指令的意思是以任何端口訪問(wèn) 10.1.2.1 的 TCP80 端口 (6) 、運(yùn)行真實(shí)業(yè)務(wù)測(cè)試業(yè)務(wù)流量和非業(yè)務(wù)流量。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration firewall filter abc 查看配置,還原為原始狀態(tài)。 實(shí)施風(fēng)險(xiǎn): 中 重要等級(jí): ★★ 3.1.4. ELK-Juniper-03-01-04 編號(hào): ELK-Juniper-03-01-04 名稱: 配置 MP-BGP 的 MD5 加密認(rèn) 實(shí)施目的: 配置 MP-BGP 路由協(xié)議,應(yīng)配置 MD5 加密認(rèn)證,通過(guò) MD5 加密認(rèn)證建立 peer。 問(wèn)題影響: 信息泄露。 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration protocol bgp 查看當(dāng)前配置 第 19 頁(yè) 共 25 頁(yè) 實(shí)施方案: 1、參考配置操作 set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123 2、補(bǔ)充操作說(shuō)明 1) 、 abc 為 group 的名稱,可自行設(shè)定; 2) 、 10.1.1.1 為對(duì)端 peer 的 IP 地址,可根據(jù)需求設(shè)定; 3) 、 abc123 為 MD5 加密認(rèn)證的認(rèn)證密碼,該密碼和對(duì)端 peer 的密碼要一致。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration protocol bgp 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn): 中 重要等級(jí): ★★ 3.1.5. ELK-Juniper-03-01-05 編號(hào): ELK-Juniper-03-01-05 名稱: 設(shè)置 SNMP 訪問(wèn)安全限制 實(shí)施目的: 設(shè)置 SNMP 訪問(wèn)安全限制,只允許特定主機(jī)通過(guò) SNMP 訪問(wèn)網(wǎng)絡(luò)設(shè)備。 問(wèn)題影響: 非法登陸。 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration snmp 查看當(dāng)前配置 實(shí)施方案: 1、參考配置操作 set snmp community abcd123 clients 10.1.1.1/32 set snmp community abcd123 clients 10.1.2.1/32 set snmp community abcd123 clients ready-only 2、補(bǔ)充操作說(shuō)明 1) 、 abcd123 是 communtity 字符串,可自行定義,但必須 和 client 的主機(jī)一致; 2) 、 10.1.1.1 和 10.1.2.1 是主機(jī) IP 地址,即允許 10.1.1.1.和 10.1.2.1 主機(jī)通過(guò) SNMP 訪問(wèn)網(wǎng)絡(luò)設(shè)備; 3) 、未在 client 列表中的主機(jī),不允許通過(guò) SNMP 訪問(wèn)網(wǎng) 絡(luò)設(shè)備。 第 20 頁(yè) 共 25 頁(yè) 4) 、設(shè)置主機(jī)訪問(wèn)網(wǎng)絡(luò)設(shè)備具有讀的權(quán)限,可根據(jù)需求設(shè) 置為具有讀寫(xiě)的權(quán)限(read-write) 。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration snmp 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn): 高 重要等級(jí): ★★★ 3.1.6. ELK-Juniper-03-01-06 編號(hào): ELK-Juniper-03-01-06 名稱: RSVP 標(biāo)簽分發(fā)協(xié)議 實(shí)施目的: 啟用 RSVP 標(biāo)簽分發(fā)協(xié)議時(shí),打開(kāi) RSVP 協(xié)議認(rèn)證功能,如MD5 加密,確保與可信方進(jìn)行 RSVP 協(xié)議交互。 問(wèn)題影響: 非法登陸。 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration protocols rsvp 查看當(dāng)前配置 實(shí)施方案: 1、參考配置操作 set protocols rsvp interface fe-0/0/0.0 authentication-key abc123 2、補(bǔ)充操作說(shuō)明 abc123 為 MD5 加密密碼。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 各鄰居狀態(tài)為 UP 正常各 RSVP session 狀為 UP 正常 實(shí)施風(fēng)險(xiǎn): 中 重要等級(jí): ★★ 第 21 頁(yè) 共 25 頁(yè) 4. 設(shè)備其他安全要求 4.1.1. ELK-Juniper-04-01-01 編號(hào): ELK-Juniper-04-01-01 名稱: 開(kāi)啟配置定期備份 實(shí)施目的: 開(kāi)啟配置文件定期備份功能,定期備份配置文件。 問(wèn)題影響: 容易丟失數(shù)據(jù)。 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration system archival 查看當(dāng)前配置 實(shí)施方案: 1、參考配置操作 set system archival configuration transfer-interval 2880 set system archival configuration archive-sites ftp://juniper@10.1.1.1 password abc123 set system archival configuration archive-sites ftp://juniper@10.1.1.2 password abc123 2、補(bǔ)充操作說(shuō)明 1) 、 2880 是時(shí)間間隔,單位是分鐘,時(shí)間間隔可設(shè)置的范 圍為 15-2880; 2) 、juniper 是 ftp 的用戶名稱, 10.1.1.1 和 10.1.1.2 是 ftp 服務(wù)器的 IP 地址, abc123 是登錄 frp 服務(wù)器的密 碼;建議設(shè)置兩個(gè) IP 地址作為互備; 3) 、定期備份僅能通過(guò) ftp 服務(wù)備份; 4) 、通過(guò)定期備份配置文件,時(shí)間間隔較短,即備份比較 頻繁,建議采用 transfer-on-commit 方式,即只要執(zhí) 行 commit 指令,配置將自動(dòng)備份到 ftp 服務(wù)器,指令 為 set system archival configuration transfer-on- commit; 5) 、transfer-interval 和 transfer-on-commit 方式不能 共存。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration system archival 查看當(dāng)前配置 第 22 頁(yè) 共 25 頁(yè) 實(shí)施風(fēng)險(xiǎn): 高 重要等級(jí): ★★★ 4.1.2. ELK-Juniper-04-01-02 編號(hào): ELK-Juniper-04-01-02 名稱: 關(guān)閉不必要服務(wù) 實(shí)施目的: 關(guān)閉網(wǎng)絡(luò)設(shè)備不必要的服務(wù),比如 FTP、TFTP 服務(wù)等。 問(wèn)題影響: 對(duì)系統(tǒng)造成不穩(wěn)定。 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration system services 查看當(dāng)前配置 實(shí)施方案: 1、參考配置操作 delete system services ftp 2、補(bǔ)充操作說(shuō)明 默認(rèn)是關(guān)閉 FTP 服務(wù) 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration system services 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn): 低 重要等級(jí): ★★★ 4.1.3. ELK-Juniper-04-01-03 編號(hào): ELK-Juniper-04-01-03 名稱: 限制遠(yuǎn)程管理 IP 實(shí)施目的: 系統(tǒng)遠(yuǎn)程管理服務(wù) TELNET、SSH 默認(rèn)可以接受任何地址的連接,出于安全考慮,應(yīng)該只允許特定地址訪問(wèn)。 問(wèn)題影響: 非法登陸。 第 23 頁(yè) 共 25 頁(yè) 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration firewall filter 查看當(dāng)前配置 實(shí)施方案: 1、參考配置操作 set firewall filter abc term a from source-address 10.1.1.1/32 set firewall filter abc term a from source-address 10.1.1.2/32 set firewall filter abc term a then accept set firewall filter abc term b from protocol tcp port telnet set firewall filter abc term b then reject set firewall filter abc term c then accept 2、補(bǔ)充操作說(shuō)明 1) 、 abc 為 filter 名稱,可自定義; 2) 、10.1.1.1/32 和 10.1.1.2/32 上允許 telnet 的主機(jī) IP 地址; 3) 、term a 實(shí)現(xiàn)的功能為:允許特定地址訪問(wèn); 4) 、term b 實(shí)現(xiàn)的功能為:除了允許特定地址訪問(wèn)之外, 不允許其它地址訪問(wèn) telnet 端口。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration firewall filter 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn): 高 重要等級(jí): ★★★ 4.1.4. ELK-Juniper-04-01-04 編號(hào): ELK-Juniper-04-01-04 名稱: 限制 telnet 并發(fā)連接數(shù) 實(shí)施目的: TELNET 默認(rèn)可以接受 250 個(gè)同時(shí)連接。配置 TELNET 等遠(yuǎn)程 維護(hù)方式時(shí),應(yīng)配置連接最大數(shù)量限制為 10 個(gè),并且每分 鐘最多有 5 個(gè)可以連接,可以防止在 TELNET 端口上的 SYN flood DoS 攻擊。 問(wèn)題影響: 非法登陸。 第 24 頁(yè) 共 25 頁(yè) 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration system services telnet 查看當(dāng)前配置 實(shí)施方案: 1、參考配置操作 set system services telnet connection-limit 10 set system services telnet rate-limit 5 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration system services telnet 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn): 高 重要等級(jí): ★★★ 4.1.5. ELK-Juniper-04-01-05 編號(hào): ELK-Juniper-04-01-05 名稱: 定時(shí)賬戶自動(dòng)登出安全 實(shí)施目的: 對(duì)于 Juniper 路由器,應(yīng)配置定時(shí)賬戶自動(dòng)登出,防止被非法利用。 問(wèn)題影響: 非法利用。 系統(tǒng)當(dāng)前狀態(tài): 使用 show configuration system services telnet 查看當(dāng)前配置 實(shí)施方案: set cli idle-timeout 15 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 當(dāng)時(shí)間超時(shí),用戶會(huì)自動(dòng)退出路由器 實(shí)施風(fēng)險(xiǎn): 低 第 25 頁(yè) 共 25 頁(yè) 重要等級(jí): ★★★- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來(lái)的問(wèn)題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
32 積分
下載 |
- 配套講稿:
如PPT文件的首頁(yè)顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開(kāi)word文檔。
- 特殊限制:
部分文檔作品中含有的國(guó)旗、國(guó)徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- Juniper 網(wǎng)絡(luò)設(shè)備 安全 加固 規(guī)范
鏈接地址:http://www.3dchina-expo.com/p-1544652.html