华为交换机安全维护指南(一)
1、安全维护的目的
企业用户需要建立安全维护机制来保障应用系统在安全环境下正常运行。
目前,应用系统面临日趋严重的安全威胁,一旦出现问题,将面临业务中断、收益减少,甚至系统崩溃的危险。因此,企业用户需要从多个层次构建、维护整个应用系统的安全屏障,提前发现并处理各种可能存在的安全问题。
另外,由于安全隐患层出不穷,完全依赖技术很难全面保证应用系统的安全。因此,企业用户需要根据安全维护建议和日常发现的问题,建立安全管理的制度,来保障应用系统安全、正常地运行。
2、什么是分层的安全维护
对IP设备来说,通常划分为数据平面,控制平面,管理平面三个平面,网络的攻击方法也从这三个平面来进行,一般来说,网络攻击的方法有:远程攻击:跨越多跳设备对某些目的IP进行攻击;近端攻击:和被攻击设备物理直连时,通过直连进行单跳攻击;中间人攻击:通过内嵌工具修改链路上的报文。
常见的典型攻击方法有:
1、未鉴权的接入,例如telnet,ssh,https,snmp等。
2、包欺骗:通过模仿有效的协议包进行欺骗。
3、未鉴权的路由引入。
4、缓冲区溢出:这种情况下往往攻击者已经知道了协议或者代码上的漏洞。
5、ICMP攻击:例如不可达报文攻击,重定向报文攻击,subnet ping等。
6、Ping Of Death:使用大于64K的报文进行ping。
7、TCP SYS Flood。
8、字典攻击。
9、SNMP攻击。
10、TTL攻击。
还有不少其他类型的攻击,不一一列举。所有攻击的目标基本是占用设备资源或者重定向数据流。
由于不同的数据流的重要程度不同、受到的安全威胁不同、对企业用户的影响不同,为避免数据流相互影响,交换机划分为三个不同的安全平面。三个安全平面分别为:
1、转发平面
信息流的转发主要通过IP报文的目的MAC地址、目的IP地址来查找路径转发;相关安全性主要针对转发路径上如何避免对设备自身的恶意攻击行为,以及预防某些攻击流量在IP网络中的扩散。
2、控制平面
IP设备需要运行各种各样的协议来达成业务,这些协议自身需要考虑安全性,避免被攻击或者仿冒。
3、管理平面
关注管理用户的应用和业务数据的安全,即管理信息的安全,包括操作、维护和管理信息。
IP设备在管理、控制、转发平面三个层次分别采用不同的安全策略来避免网络攻击。在后续的章节逐一进行介绍。
3、管理平面安全
本章重点描述管理层面的安全策略,如何避免未鉴权的接入,SNMP攻击的网络攻击以及安全的管理设备上信息。
3.1、Console安全策略介绍
串口(Console口)属于物理接口,在设备部署、组网上通过物理隔离,可防止恶意用户通过串口登录设备。串口登录支持密码认证和AAA认证和不认证三种方式。当设备第一次启用时,需要通过串口进行第一次配置:
插入串口,在设备启动过程中,通过“CTRL+B”组合键,利用默认密码进入BIOS菜单,修改密码。设备生成配置,将串口用户界面修改为密码认证方式,并记录配置的密码。
华为交换机出厂时,bootrom已有默认密码,请输入初始密码“Admin@huawei.com”进入系统,但此密码不是安全密码,请及时修改。
由于设备密码采用密文保存,用户需要记录此时配置的密码,以便日后管理登录串口使用。
3.2、Console攻击方法介绍
在没有串口服务器的情况下,攻击者尝试突破物理隔离。接触到串口后,设备将暴露给攻击者,设备将无法保障安全。即使该攻击者没有破解用户名和密码,其也能够对设备造成损害。
在使用串口服务器的情况下,可能有潜在的攻击者通过网络连接尝试破解用户名和密码,获取系统管理权限。
3.3、Console配置维护方法
3.3.1、修改BIOS密码:
设备启动过程中,出现以下提示信息时,表示设备启动了BootLoad程序。当出现“Press Ctrl+B to enter boot menu ...”时,及时(3秒内)按下快捷键Ctrl+B,进入BootROM主菜单。
****************************************************
* *
* Ethernet Switch BootLoad *
* *
****************************************************
Copyright (C) 2000-2015 HUAWEI TECH CO., LTD
Version : 121 Compiled at May 10 2013, 10:28:41
PCB Version : LE02SRUA VER.D
CPU L2 Cache : 128KB
CPU Clock Speed : 700MHz
BUS Clock Speed : 133MHz
Memory Type : DDR2 SDRAM
Memory Size : 1024MB
Memory Speed : 667MHz
cfcard:/ - Volume is OK
Initializing CFcard ....................................................... done
Description data is vaild in nvram area
Press Ctrl+B to enter boot menu ... 1
Password: //输入BootROM密码,出厂默认为“Admin@huawei.com”
输入正确的BootROM密码后,显示的BootROM主菜单如下:
MAIN MENU
1. Boot with default mode
2. Boot from Flash
3. Boot from CFCard
4. Enter serial submenu
5. Enter ethernet submenu
6. Enter file system submenu
7. Enter test submenu
8. Modify BootROM password
9. Modify Flash description area
10. Clear password for console user
11. Reboot
Enter your choice(1-11):
Modify password
Old password: //输入原密码
New password: //输入新密码
Verify: //再次输入新密码
3.3.2、设置串口验证方式为AAA验证
执行命令system-view,进入系统视图。
执行命令user-interface console interface-number,进入Console用户界面视图。
执行命令authentication-mode aaa,设置用户验证方式为AAA验证。
执行命令quit,退出Console用户界面视图。
执行命令aaa,进入AAA视图。
执行命令local-user user-name password cipher password,配置本地用户名和密码。
执行命令local-user user-name service-type terminal,配置本地用户的接入类型为Console用户。
执行命令quit,退出AAA视图。
3.4、配置维护建议
为保证串口安全,建议正确配置串口的认证方式:
串口认证支持密码认证和AAA认证,建议用户使用AAA认证,通过用户名和密码验证用户。
在串口没有认证配置的情况下,设备允许用户登录并配置密码,建议用户此时,将Console用户界面的认证方式修改为AAA认证,并在AAA视图下配置正确的用户名和密码。
华为交换机安全维护指南(二)http://www.jiushuku.net/post-35.html