华为交换机安全维护指南(三)
华为交换机安全维护指南(二)http://www.jiushuku.net/post-35.html
3.17、FTP安全策略介绍
FTP Server支持AAA认证,只有通过认证的用户才能登录设备,进行文件相关操作。当开启FTP Server服务器时,设备将开启Socket侦听,易被攻击者扫描。当不使用FTP Server时,可以关闭FTP Server和端口号。FTP Server默认关闭。FTP Server 21号端口属于知名端口号,易被扫描和攻击。可以修改FTP Server的端口为私有端口,减小被扫描攻击的概率。
支持ACL,在系统视图可以配置FTP
Server的ACL过滤规则,通过ACL控制允许登录的客户端IP。可以配置FTP Server支持的源接口,仅允许用户通过此接口的IP登录设备,限制访问范围,提高设备安全性。
3.18、FTP攻击方法介绍
暴力破解密码,攻击者在侦听到FTP端口后,尝试进行连接,设备提示认证,则其会进行暴力破解尝试通过认证,获取访问权限。
拒绝服务式攻击,FTP Server支持的用户数有限,在用户登录达到上限后,其他用户将无法登录。这个可能是正常使用造成,也可能是攻击者造成。
3.19、FTP配置维护方法
3.19.1、关闭FTP服务
[Huawei] undo ftp server
Info: Succeeded
in closing the FTP server.
3.19.2、变更FTP端口号
[Huawei] ftp
server port 5553
Info: Port
change successful. Please execute ftp server enable to start ftp service.
3.19.3、配置访问FTP ACL
[Huawei] acl
2000
[Huawei-acl-basic-2000]
display this
#
acl number 2000
rule 15 permit source 100.1.1.1 0
rule 20 deny
#
return
[Huawei-acl-basic-2000]
quit
[Huawei] ftp acl
2000
3.19.4、访问FTP源接口配置
[Huawei]
interface loopback 0
[Huawei-LoopBack0]
display this
#
interface
LoopBack0
ip binding vpn-instance vpn1
ipv6 enable
ip address 1.2.3.4 255.255.255.255
#
return
[Huawei-LoopBack0]
quit
[Huawei] ftp
server-source -i loopback 0
configuration
take effect, the FTP server will be restarted. Continue? (y/n)[n]:y
Info: Succeeded
in setting the source interface of the FTP server to LoopBack0
[Huawei]
3.20、FTP配置维护建议
当不使用FTP Server的时候,将该服务关闭。当使用FTP Server时,修改其端口号。配置ACL访问控制策略。
3.21、SNMP安全策略介绍
SNMP是用于管理网络设备的协议。网络管理员需要从设备获取数据或向设备执行设置操作,都可以通过SNMP来完成。SNMP还提供了Trap操作,当设备的重要状态发生改变时,可以向网管通报事件的发生。
对于SNMPv1、v2v、v3,SNMP有不同的安全策略。
SNMPv1、v2为不安全协议,支持ACL和VACM(基于视图的访问控制)。通过给团体名关联acl和mib-view,将允许访问设备的网管和允许访问的节点限定在一定范围内。从而在一定程度上提供了系统安全的保护。
对于SNMPV3,增加了支持USM(基于用户的安全模型)的安全机制,目前支持md5/sha鉴权、DES、和AES加密算法。通过对通信的数据进行鉴别和加密,解决消息被伪装、篡改、泄密等安全问题。
3.22、SNMP攻击方法介绍
SNMP常见的攻击,一般有:
攻击者通过改变发送报文的源IP,获取到授权用户的权限,从而执行未经授权的管理操作。拦截管理站和SNMP代理间的通信,获取到用户名、密码,团体名等信息,获取非法授权。拦截SNMP消息,进行重排序、延迟、重发,从而影响正常操作,直到攻击者获得非法的未授权访问权限。
SNMP的USM安全模型中对数据的鉴别和加密,可以有效的降低或防御这种攻击。
鉴权:对数据整体性和数据发送源鉴别,保证消息是由该发送源发送的,不是别人伪造的数据包、传输过程中没有被篡改过。使用MD5、SHA这些算法对数据进行摘要,从而鉴别数据有没有被篡改。
加密:对数据进行加密,保证不能使用网络数据包截获技术将包拦截而直接解读。使用DES或AES来加密数据,即保证了加解密的功率,又保证了足够的强度。
3.23、SNMP配置维护方法
出于安全考虑,建议配置鉴权加密的v3用户,并使用v3鉴权加密方式来管理设备,并通过给用户关联ACL,mib-view限制用户的访问权限。
3.23.1、配置ACL规则ACL 2001,允许或拒绝某些IP。
<HUAWEI>
system-view
[HUAWEI] acl
2001
[HUAWEI-acl-basic-2001]
rule 5 deny source 10.138.20.123 0
[HUAWEI-acl-basic-2001]
rule 10 permit source 10.138.90.111 0
[HUAWEI-acl-basic-2001]
quit
3.23.2、配置SNMP的访问控制列表,基于SNMP Agent对用户进行过滤,限制访问设备的网管,从而提高安全性。
[HUAWEI]
snmp-agent acl 2001
3.23.3、配置mib-view,view名是iso-view,可访问iso为根的子树下的节点。
[HUAWEI]
snmp-agent mib-view included iso-view iso
3.23.4、配置v3组,组名是v3group,关联的读视图、写视图、通知视图都为iso-view,并关联ACL 2001,基于用户组进行过滤。
[HUAWEI]
snmp-agent group v3 v3group privacy read-view iso-view write-view iso-view
notify-view iso-view acl 2001
3.23.5、配置一个snmp v3用户,用户名为v3user,归属于v3group组。该用户的鉴权方式为sha,密码为hello1234,加密方式为aes128,密码为hello2012,关联ACL 2001,基于用户和用户组进行过滤。
[HUAWEI]
snmp-agent usm-user v3 v3user group v3group
[HUAWEI]
snmp-agent usm-user v3 v3user group v3group acl 2001
[HUAWEI]
snmp-agent usm-user v3 v3user authentication-mode sha
Please configure
the authentication password (8-64)
Enter
Password:
Confirm
Password:
[HUAWEI]
snmp-agent usm-user v3 v3user privacy-mode aes256
Please configure
the privacy password (8-64)
Enter
Password:
Confirm
Password:
3.23.6、查看当前的SNMP配置。
[HUAWEI] display
current-configuration | include snmp
snmp-agent
snmp-agent acl
2001
snmp-agent
local-engineid 800007DB03781DBACA875F
snmp-agent
sys-info version v3
snmp-agent group
v3 v3group privacy read-view iso-view write-view iso-view notify-view iso-view
acl 2001
snmp-agent
mib-view included iso-view iso
snmp-agent
usm-user v3 v3user
snmp-agent
usm-user v3 v3user group v3group
snmp-agent
usm-user v3 v3user authentication-mode sha cipher
@%@%)`lOUdruj4iFhHD9.IF!.'9V@%@%
snmp-agent
usm-user v3 v3user privacy-mode aes256 cipher @%@%&riTIN!,(!ZIr8S]LwsL.'w\@%@%
snmp-agent
usm-user v3 v3user acl 2001
3.24、SNMP配置维护建议
对于SNMPv1、v2c团体字配置,采用了加密存储的方式。对于SNMPv3用户,配置用户鉴权、加密密码时,采用密码二次确认的方式,配置的密码不进行回显,且密文存储。团体名、用户密码的密文存储,有效的从配置上防止配置团体名、用户密码泄漏。
3.25、AAA用户管理安全策略介绍
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称。它提供对用户进行认证、授权和计费三种功能。具体如下:
认证(Authentication):验证用户是否可以获得访问权,确定哪些用户可以访问网络。授权(Authorization):授权用户可以使用哪些服务。计费(Accounting):记录用户使用网络资源的情况。由于涉及到用户的认证、授权和计费,和业务强相关,配置也是非常灵活的。
远端认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在认证服务器上。支持通过RADIUS(Remote Authentication Dial In User Service)协议或HWTACACS (HUAWEI
Terminal Access Controller Access Control System,是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议)协议进行远端认证;
授权:RADIUS/HWTACACS认证成功后授权。
对某些管理用户,可以采用先本地后Radius认证的方式;当管理员用户通过Telnet或者SSH等方式登录设备时,如果认证时输入的用户名中未包含域名,则设备默认该管理员用户属于一个缺省管理域。
3.26、AAA用户管理攻击方法介绍
黑客可以通过用户名、密码等关键信息进行遍历尝试来获取系统管理员的登录权限。
3.27、AAA用户管理配置维护方法
针对这种常见的用户名、密码攻击和破解尝试,可配置用户可认证失败次数和可再次进行认证的时间间隔的参数来防止非法用户登录。配置了这两个参数后,在用户登录失败N次后,会暂时将用户阻塞一段时间,降低试探成功的机率,增强设备的安全性。
local-aaa-user
wrong-password retry-interval retry-interval retry-time retry-time block-time
block-time,使能本地帐号锁定功能并配置用户的重试时间间隔、连续认证失败的限制次数及帐号锁定时间。缺省情况下,本地帐号锁定功能处于使能状态,用户的重试时间间隔为5分钟、连续认证失败的限制次数为3次,帐号锁定时间为5分钟。
3.28、AAA用户管理配置维护建议
配置管理员密码时,选择不可逆加密算法。每个用户都配置服务类型,避免管理用户和普通用户混用。
3.29、HWTATACS用户管理安全策略介绍
HWTACACS是在TACACS+基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似,主要是通过“客户端—服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能,可用于PPP和Login用户的认证、授权和计费。
HWTACACS使用TCP协议传输,相对于采用UDP的RADIUS传输更可靠;同时除了对标准的HWTACACS报文头外,对报文主体全部进行MD5加密,保证了传输过程中高安全性,支持对报文加密的共享密钥可以由用户配置。
3.30、HWTATACS用户管理配置维护方法
对每个HWTACACS组,通过命令hwtacacs-server
shared-key cipher key-string配置共享密钥,该密钥用于对HWTACACS传输的报文进行MD5加密,增加传输安全性。同时配置密钥的时候采用cipher关键字,查看配置的时候显示的是经过加密以后的密钥,增加密钥的安全性。
3.31、HWTATACS用户管理配置维护建议
hwtacacs-server
shared-key cipher key-string配置对报文体加密的密钥。