06、华为_H3C交换机安全加固
Categories:
3 分钟阅读
PC远程备份配置文件
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称。它提供对用户进行认证、授权和计费三种功能。具体如下:
认证(Authentication):验证用户是否可以获得访问权,确定哪些用户可以访问网络。
授权(Authorization):授权用户可以使用哪些服务。
计费(Accounting):记录用户使用网络资源的情况。
1.配置用户密码
display local-user查看本地用户
system-view进入系统视图
aaa进入AAA视图
local-user user1 password irreversible-cipher _123456_配置用户名密码(irreversible-cipher为加密方式,各版本字段不同)
save 退出系统视图保存
验证display cur
1.1.新建用户
system-view进入系统视图
aaa进入AAA视图
local-user admin123 password cipher 123456新建用户admin123,登陆密码为123456,同时密码采用cipher进行加密
local-user admin123 service-type ssh用户admin123仅允许使用ssh方式进行登陆(如需要设置其他登陆方式,编写格式为:ssh | http | telnet | https等)
local-user admin123 privilege level 3设置账户admin123用户权限为3
local-user admin123 idle-timeout 5 0设置用户admin123登陆超时时间为5分0秒
local-user admin123 expire-date 90设置用户admin123账户有效期为90天(待验证,S5700无法运行该命令)
save保存
验证display cur
2.配置console口密码
system-view进入系统视图
user-interface console 0 进入console口管理
authentication-mode password 进入身份验证模块
set authentication password cipher _Huawei@123 _设置console口密码
return 回退至用户模式
save 保存
验证display cur
3.关闭telnet服务
system-view 进入系统视图
undo telnet server enable 关闭telnet服务
undo telnet ipv6 server enable 关闭ipv6服务
return 回退至用户模式
save 保存
验证
display telnet server status
4.关闭FTP服务
display network status tcp 查询FTP服务是否开启
system-view 进入系统视图
undo ftp server 关闭FTP服务
验证
display ftp-server 再次查询验证FTP服务是否关闭
5.设置超时策略
system-view进入系统视图
[HUAWEI] aaa
[HUAWEI-aaa]local-user admin idle-timeout 5 0
验证display cur
6.同步时间
clock datetime 0:0:0 2012-01-01 设置设备当前日期和时间为2012年1月1日0时0分0秒
验证display clock
7.远程登陆源地址限制/ACL访问控制(待验证)
system-view进入系统视图
acl 2005 //2005为编号
2000-2999基本规则,3000-3999高级规则,4000-4999二层规则
rule permit source 192.168.1.5 0 //允许IP地址为192.168.1.5的用户登录设备。
rule permit source 10.10.5.0 0.0.0.255 //允许10.10.5.0/24网段的用户登录设备。
rule deny source 192.168.1.0 0.0.0.255 //拒绝源IP地址是192.168.1.0/24网段其他地址的报文通过
description Permit only 192.168.1.5 through //仅允许192.168.1.5通过
user-interface vty 0 4
acl 2005 inbound
return 退出至用户视图
save 保存
验证display cur
8.开启日志功能(虚拟交换机无法保存日志,无法验证)
1.设置日志服务器
system-view进入系统视图
info-center loghost 127.0.0.2 channel 3 language English 配置日志服务器地址和通道
info-center loghost source g0/0/1 配置日志输出口
9.删除用户
display local-user查看本地用户,确实要删除的用户名称,例:admin123
system-view进入系统视图
aaa进入AAA视图
undo local-user admin123删除admin123用户
save保存
验证display local-user
10.禁止未使用或空闲的端口
display interface Ethernet brief查看详细端口信息,确认需要关闭的端口
system-view进入系统视图
interface GigabitEthernet 0/0/2进入0/0/2号端口(各版本交换机端口名称“GigabitEthernet”不一致,此为华为S5700交换机端口名称)
shutdown关闭交换机端口(如需打开交换机端口,重复上述命令进入指定端口,执行命令undo shutdown打开端口)
save保存
验证display interface Ethernet brief_ 交换机端口PHY值显示*down为人为执行shutdown操作_
华为网络设备密码策略、登录失败处理加固
一、配置密码认证或者RSA认证
密码认证:配置用户testuser的认证方式为密码认证
[HUAWEI] ssh user testuser
[HUAWEI] ssh user testuser authentication-type password
RSA认证:配置用户testuser的认证方式为RSA认证(RSA要采用2048位及以上算法)
[HUAWEI] ssh user testuser
[HUAWEI] ssh user testuser authentication-type rsa
二、密码策略和登录失败处理配置。
[HUAWEI]undo user-interface password complexity-check disable #开启全局密码复杂度检测,此规则默认开启。
[HUAWEI]set password min-length 12 #配置密码长度最短为12位
[HUAWEI]aaa
[HUAWEI-aaa]local-user admin idle-timeout 10 #配置本地管理员admin的闲置超时时间为为10分钟
[HUAWEI-aaa]user-password complexity-check #开启本地账号密码复杂度检测
[HUAWEI-aaa]local-aaa-user wrong-password retry-interval 5 retry-time 5 block-time 5 #本地账号用户的重试时间间隔为5分钟,本地帐号连续输入错误密码的限制次数为5次,本地帐号锁定时间为5分钟
[HUAWEI-aaa]local-aaa-user password policy administrator #进入administrator密码策略视图。
[HUAWEI-aaa-lupp-admin]password expire 90 #配置administrator密码策略的密码失效时间为90天。
[HUAWEI-aaa-lupp-admin]password alert before-expire 30 #配置administrator密码策略的密码过期前30天提醒。
[HUAWEI-aaa-lupp-admin]password history record number 5 #配置administrator密码策略的历史密码记录为5条。
H3C网络设备密码策略、登录失败处理加固
01、配置全局的密码老化时间为80天。
[Sysname] password-control aging 80
02、配置用户组test的密码老化时间为90天。
[Sysname] user-group test
[Sysname-ugroup-test] password-control aging 90
[Sysname-ugroup-test] quit
03、配置设备管理类本地用户abc的密码老化时间为100天。
[Sysname] local-user abc class manage
[Sysname-luser-manage-abc] password-control aging 100
04、显示super密码管理的配置信息。
Super password control configurations:
Password aging: Enabled (90 days)
Password length: Enabled (10 characters)
Password composition: Enabled (1 types, 1 characters per type)
05、配置全局的密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。
[Sysname] password-control composition type-number 4 type-length 5
06、 配置用户组test的密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。
[Sysname] user-group test
[Sysname-ugroup-test] password-control composition type-number 4 type-length 5
[Sysname-ugroup-test] quit
07、 配置设备管理类本地用户abc的密码元素的最少组合类型为4种,至少要包含每种元素的个数为****5个。
[Sysname] local-user abc class manage
[Sysname-luser-manage-abc] password-control composition type-number 4 type-length 5
08、配置全局的密码最小长度为16个字符。
[Sysname] password-control length 16
09、配置用户组test的密码最小长度为16个字符。
[Sysname] user-group test
[Sysname-ugroup-test] password-control length 16
[Sysname-ugroup-test] quit
10、配置设备管理类本地用户abc的密码最小长度为16个字符。
[Sysname] local-user abc class manage
[Sysname-luser-manage-abc] password-control length 16
11、管理员设定用户登录尝试次数为4次,并且永久禁止该用户登录。
[Sysname] password-control login-attempt 4 exceed lock
之后,若有用户连续尝试认证的失败累加次数达到4次,管理员可通过命令查看到被加入密码管理黑名单中的用户锁定状态由之前的unlock切换为lock,且该用户无法再次成功登录。
[Sysname] display password-control blacklist
Username: test
IP: 192.168.44.1 Login failures: 4 Lock flag: lock
Blacklist items matched: 1.
12、管理员设定用户登录尝试次数为2次,并且限制该用户在3分钟后才能重新登录。
[Sysname] password-control login-attempt 2 exceed lock-time 3
之后,若有用户连续尝试认证的失败累加次数达到2次,管理员可通过命令查看到被加入密码管理黑名单中的用户锁定状态由之前的unlock切换为lock。
[Sysname] display password-control blacklist
Username: test
IP: 192.168.44.1 Login failures: 2 Lock flag: lock
Blacklist items matched: 1.
用户被禁止登录3分钟后,将被从密码管理黑名单中删除,且可以重新登录。
13、查询全局密码管理的配置信息。
Global password control configurations:
Password control: Disabled
Password aging: Enabled (90 days)
Password length: Enabled (10 characters)
Password composition: Enabled (1 types, 1 characters per type)
Password history: Enabled (max history records:4)
Early notice on password expiration: 7 days
Maximum login attempts: 3
Action for exceeding login attempts: Lock user for 1 minutes
Minimum interval between two updates: 24 hours
User account idle time: 90 days
Logins with aged password: 3 times in 30 days
Password complexity: Disabled (username checking)
Disabled (repeated characters checking)
安全评估安全要求
1)密码认证登陆(配置用户密码已同步设置)
2)口令密文存储(配置用户密码已同步设置)
3)远程管理使用ssh代替telnet(配置用户密码已同步设置)
4)远程登录加密传输(配置用户密码已同步设置)
5)关闭不必要的服务(上述操作已关闭FTP、TELNET服务,华为交换机暂定必须关闭该服务)
6).使用明细路由代替默认路由
7).进行静态MAC绑定
8).开启NTP服务,建立统一时钟,保证日志功能记录的时间的准确性
9).设备版本升级为最新稳定版本
10).使用不安全的snmp(SNMP协议应配置V2及以上版本)
11).snmp团体名,修改 SNMP默认的通信字符串,字符串长度不能小于8位,要求是数字、字母或特殊字符的混合,不得与用户名相同