现在位置:首页 > 文学管理 > 华为交换机安全维护指南(二)

华为交换机安全维护指南(二)

作者:旧书库 分类: 时间:06-22

华为交换机安全维护指南(二)

华为交换机安全维护指南(一) http://www.jiushuku.net/post-34.html


3.5Telnet安全策略介绍

华为交换机Telnet Server支持密码认证、AAA认证和不认证三种方式。当配置了认证后,只有通过认证的用户才能登录设备,进入命令行界面。为了保证更好的安全性,建议不要使用不认证方式。

当开启Telnet Server服务器时,设备将开启Socket服务,易被攻击者扫描。当不使用Telnet Server时,可以关闭Telnet Server

Telnet Server 23号端口属于知名端口号,易被扫描和攻击。可以修改Telent Server的端口为私有端口,减小被扫描攻击的概率。

在用户界面视图(user-interface)可以配置各个VTY通道的ACL过滤规则,通过ACL控制允许登录的客户端IP

可以配置允许客户端连接的源接口,在系统视图下,支持通过Loopback口为允许客户端接入的源接口。


3.6Telnet攻击方法介绍

3.6.1、端口扫描

针对设备网端的网络扫描和侦听,尝试获取用户交互报文,由于Telnet是明文交互,设备的信息会被窃取。

3.6.2、暴力破解密码

攻击者在侦听到Telnet端口后,尝试进行连接,设备提示认证,则其会进行暴力破解尝试通过认证,获取访问权限。

3.6.3、拒绝服务式攻击

Telnet Server支持的用户数有限,在用户登录达到上限后,其他用户将无法登录。这个可能是正常使用造成,也可能是攻击者造成。


3.7Telnet配置维护方法

3.7.1、配置认证方式为AAA认证。验证方式配置为AAA验证时,必须指定本地用户的接入类型。

执行命令system-view,进入系统视图。

执行命令aaa,进入AAA视图。

执行命令local-user user-name password irreversible-cipher password,配置本地用户名和密码。

执行命令local-user user-name service-type Telnet,配置本地用户的接入类型为Telnet

执行命令quit,退出AAA视图。

执行命令user-interface vty first-ui-number [ last-ui-number ],进入VTY用户界面视图。

执行命令authentication-mode aaa,设置用户验证方式为AAA验证。

3.7.2、配置关闭Telnet服务(Telnet服务默认开启)

执行命令system-view,进入系统视图。

执行命令undo telnet server enable,关闭Telnet服务。

3.7.3、配置变更端口号为53555

执行命令system-view,进入系统视图。

执行命令telnet server port 53555,调整端口号为53555

3.7.4、配置通过ACL设置呼入呼出权限限制

执行命令system-view,进入系统视图。

执行命令acl [ number ] acl-number [ match-order { auto | config } ],使用编号创建一个数字型的高级ACL,并进入高级ACL视图。

执行命令rule [ rule-id ] { deny | permit } protocol [ destination { destination-ip-address destination-wildcard | any } | fragment | source { source-ip-address source-wildcard | any } | time-range time-name | dscp dscp ],配置ACL规则。

执行命令quit,退出ACL视图。

执行命令user-interface vty first-ui-number [ last-ui-number ],进入VTY用户界面视图。

执行命令acl acl-number { inbound | outbound },配置VTY类型用户界面的呼入呼出限制。

当需要限制某个地址或地址段的用户登录到交换机时,使用inbound。当需要限制已经登录的用户登录到其它交换机时,使用outbound

3.7.5、支持配置允许客户端连接的源接口。

执行命令telnet server-source -i loopback interface-number,配置允许客户端连接的源接口。源接口必须是Loopback口。


3.8Telnet配置维护建议

单独规划设备管理的网络IP,防止设备被扫描和窃听。修改Telent Server端口号。配置ACL策略,限定Telnet允许访问的IP。建议使用SSH替换Telnet,提供安全的管理通道。


3.9SSH安全策略介绍

SSH Server支持密码认证和Public-Key认证,只有通过认证的用户才能登录设备,进入命令行界面。

当开启SSH Server服务器时,设备将开启Socket服务,易被攻击者扫描。当不使用SSH Server时,可以关闭SSH Server

SSH Server 22号端口属于知名端口号,易被扫描和攻击。可以修改SSH Server的端口为私有端口,减小被扫描攻击的概率。

在用户界面视图(user-interface)可以配置各个VTY通道的ACL过滤规则,通过ACL控制允许登录的客户端IP

支持配置SSH服务器源端口。缺省情况下,SSH服务器端接收来自所有接口登录连接请求,系统安全性比较低。为了提高系统安全性,可通过本命令指定SSH服务器端的源接口,增加登录受限功能,仅授权客户可以登录服务器。

成功指定SSH服务器端的源接口后,系统只允许SSH用户通过指定的源接口登录服务器,通过其他接口登录的SSH用户都将被拒绝。但对于已登录到服务器的SSH用户不会产生影响,只限制后续登录的SSH用户。


3.10SSH安全策略介绍

SSH Server支持密码认证和Public-Key认证,只有通过认证的用户才能登录设备,进入命令行界面。当开启SSH Server服务器时,设备将开启Socket获取,易被攻击者扫描。当不使用SSH Server时,可以关闭SSH Server和端口号获取功能。

SSH Server 22号端口属于知名端口号,易被扫描和攻击。可以修改SSH Server的端口为私有端口,减小被扫描攻击的概率。在用户界面视图(user-interface)可以配置各个VTY通道的ACL过滤规则,通过ACL控制允许登录SSH的客户端IP


3.11SSH攻击方法介绍

暴力破解密码,攻击者在获取到SSH端口后,尝试进行连接,设备提示认证,则其会进行暴力破解尝试通过认证,获取访问权限。拒绝服务式攻击,SSH Server支持的用户数有限,在用户登录达到上限后,其他用户将无法登录。这个可能是正常使用造成,也可能是攻击者造成。


3.12SSH配置维护方法

3.12.1、配置关闭SSH服务(SSH服务默认开启)

执行命令system-view,进入系统视图。

执行命令undo stelnet server enable,关闭STelnet服务。

3.12.2、配置变更端口号为53555

执行命令system-view,进入系统视图。

执行命令ssh server port 53555,调整端口号为53555

3.12.3、配置通过ACL设置呼入呼出权限限

执行命令system-view,进入系统视图。

执行命令acl [ number ] acl-number [ match-order { auto | config } ],使用编号创建一个数字型的高级ACL,并进入高级ACL视图。

执行命令rule [ rule-id ] { deny | permit } protocol [ destination { destination-ip-address destination-wildcard | any } | fragment | source { source-ip-address source-wildcard | any } | time-range time-name | dscp dscp ],配置ACL规则。

执行命令quit,退出ACL视图。

执行命令user-interface vty first-ui-number [ last-ui-number ],进入VTY用户界面视图。

执行命令acl acl-number { inbound | outbound },配置VTY类型用户界面的呼入呼出限制。

当需要限制某个地址或地址段的用户登录到路由器时,使用inbound。当需要限制已经登录的用户登录到其它路由器时,使用outbound


3.13SSH配置维护建议

单独规划设备管理的网络IP,防止设备被扫描和窃听。修改SSH Server端口号。配置ACL策略,限定SSH允许访问的IP。提供对SSH用户增加Public-key的认证。


3.14HTTP安全策略介绍

Web Server支持AAA认证,只有通过认证的用户才能登录设备,进入控制页面。用户在进行登录时,要求输入用户名、密码和随机生成的验证码,减小了帐号被破解的概率。

当开启Web Server服务器时,设备将开启Socket获取,易被攻击者扫描。当不使用Web Server时,可以关闭Web Server和端口号获取功能。

Web Server 80号端口属于知名端口号,易被扫描和攻击。可以修改Web Server的端口为私有端口,减小被扫描攻击的概率。

在系统视图可以配置Web ServerACL过滤规则,通过ACL控制允许HTTP登录的客户端IP

支持HTTP over SSL提供安全的传输服务,防止传输的数据被窃听获取。可以配置HTTP Server支持的源接口,仅允许用户通过此接口的IP访问设备,限制访问范围,提高设备安全性。


3.15HTTP配置维护方法

3.15.1、关闭HTTP服务

[Huawei] undo http server enable

Warning: The operation will stop HTTP service. Continue? [Y/N]:y

3.15.2、修改服务器端口号

[Huawei]  http server port 51100

Warning: This command closes the configurations of all online users. Continue? (y/n)[n]:y

3.15.3、配置ACL

[Huawei] acl 2000

[Huawei-acl-basic-2000] display this

#

acl number 2000

 rule 15 permit source 100.1.1.1 0

 rule 20 deny

#

return

[Huawei-acl-basic-2000]

[Huawei-acl-basic-2000] quit

[Huawei] http acl 2000

3.15.4、配置HTTP over SSL

# 配置SSL策略使用PKI缺省域default

[Huawei] ssl policy userserver type server

[Huawei-ssl-policy-userserver] pki-realm default

# 配置HTTPS服务器关联的SSL策略为userserver

[Huawei] http secure-server ssl-policy userserver

# 使能设备的HTTPS服务器功能。

[Huawei] http secure-server enable

Warning: The HTTP server has not configured with SSL policy. Continue starting HTTP secure server? [Y/N]: y

  This operation will take several minutes, please wait.........................................................

Info: Succeeded in starting the HTTPS server

[Huawei] quit


3.16HTTP配置维护建议

当不需要使用HTTP服务器时,将该服务关闭。修改HTTP服务器的端口号。配置ACL访问控制规则。



       华为交换机安全维护指南(三) http://www.jiushuku.net/post-37.html

评论列表
挤眼 亲亲 咆哮 开心 想想 可怜 糗大了 委屈 哈哈 小声点 右哼哼 左哼哼 疑问 坏笑 赚钱啦 悲伤 耍酷 勾引 厉害 握手 耶 嘻嘻 害羞 鼓掌 馋嘴 抓狂 抱抱 围观 威武 给力
提交评论

清空信息
关闭评论