H3C评估加固全非官方.doc
- 文档编号:230694
- 上传时间:2022-10-07
- 格式:DOC
- 页数:7
- 大小:24.50KB
H3C评估加固全非官方.doc
《H3C评估加固全非官方.doc》由会员分享,可在线阅读,更多相关《H3C评估加固全非官方.doc(7页珍藏版)》请在冰豆网上搜索。
安全加固建议
VTY使用弱口令
设备的VTY端口使用弱口令使网络设备很容易被非法用户登录,并对网络设备的配置信息进行修改,甚至造成网络设备不可用。
加强VTY口令强度,符合口令复杂度要求。
[H3C]user-interfacevty0
[H3C-ui-vty0]authentication-modepassword
[H3C-ui-vty0]setauthenticationpasswordcipherPASSWORD
没有定义VTYACL
对VTY端口进行访问控制着可以限制登录到网络设备的IP地址,如果没有对登录VTY端口的IP地址进行限制,意味着所有网段都可以登录网络设备进行配置修改或者登录尝试,增加网络设备的威胁。
建立VTY访问控制列表,将平常用于管理设备的终端增加到VTY的访问控制列表。
建议将控制列表里的计算机做IP-MAC绑定。
[H3C]aclnumber2000match-orderconfig
[H3C-acl-basic-2000]rule1permitsource10.110.100.520
[H3C-acl-basic-2000]rule2permitsource10.110.100.460
[H3C-acl-basic-2000]rule3denysourceany
[H3C-acl-basic-2000]quit
[H3C]snmp-agentcommunityreadaaaacl2000
[H3C]snmp-agentgroupv2cgroupaacl2000
[H3C]snmp-agentusm-userv2cuseragroupaacl2000
没有禁用SNMP服务
开启不必要的SNMP(简单网管协议),如果配置不当会泄露网络设备的运行信息甚至配置信息。
如不需要SNMP服务系统网络管理,关闭SNMP服务。
undosnmp-agent
SNMPRO使用简单字串
SNMP(简单网管协议)RO字串简单会泄露网络设备的运行信息、配置文件信息,对网络安全造成很大威胁。
加强SNMPRO字串复杂度,使其符合口令复杂度要求。
snmp-agentcommunityreadsuperpassword
未禁用SNMPRW字串
SNMP(简单网管协议)RW字串不仅可以获取网络设备的运行信息配置文件信息还可以对网络配置进行修改、替换。
对网络安全造成很大威胁。
如不需要SNMP写功能,取消SNMPRW字串
undosnmp-agentcommunitywriteSuperpassword
SNMPRW使用简单字串
SNMP(简单网管协议)RW字串简单会泄露网络设备的运行信息、配置文件信息甚至还可以对网络配置进行修改、替换。
对网络安全造成很大威胁。
加强SNMPRW字串复杂度,使其符合口令复杂度要求。
snmp-agentcommunitywriteSuperpassword
未对SNMP协议进行地址访问控制
SNMP(简单网管协议)可以获取网络设备的运行信息甚至配置文件信息,对需获取SNMP信息的服务器地址进行访问控制,防止SNMP将设备信息泄露。
未授权访问设备信息。
在交换机上设置对接受SNMP的网络管理计算机的地址进行限制。
[H3C]aclnumber2000match-orderconfig
[H3C-acl-basic-2000]rule1permitsource10.110.100.520
[H3C-acl-basic-2000]rule2permitsource10.110.100.460
[H3C-acl-basic-2000]rule3denysourceany
[H3C-acl-basic-2000]quit
[H3C]snmp-agentcommunityreadaaaacl2000
[H3C]snmp-agentgroupv2cgroupaacl2000
[H3C]snmp-agentusm-userv2cuseragroupaacl2000
使用TELNET服务
Telnet服务使用的是非加密的传输方式,口令等只要信息容易被第三方截取利用。
建议更改登录方式为更安全的SSH,代替TELNET
[H3C]user-interfacevty04
[H3C-ui-vty0-4]authentication-modescheme
[H3C-ui-vty0-4]protocolinboundssh
[H3C]local-userclient001
[H3C-luser-client001]passwordsimpleabc
[H3C-luser-client001]service-typessh
[H3C-luser-client001]quit
[H3C]sshuserclient001authentication-typepassword
没有指定日志服务器
如果没有指定日志服务器,对网络设备的审计日志进行定期保存,对安全事件发生后的事件分析、追查和举证都会造成影响。
如果可能,建立日志服务器。
收集网络设备日志,统一存储,保存三个月以上日志,方便日后追查。
[H3C]info-centerenable[H3C]info-centerloghost*.*.*.*facilitylocal7languageenglish
[H3C]info-centersourcedefaultchannelloghostloglevelerrorsdebugstate
offtrapstateoff
没有指定时间服务器
如果没有指定时间服务器,统一网络设备时间,对以后发生安全事件的分析和追查会造成影响。
建议设置NTP服务器,启动NTP服务。
[S3600]ntp-serviceunicast-server1.0.1.11
口令加密服务未启动
口令加密服务未启动,一旦设备配置文件泄漏或被无意看见,或通过社会工程学方式窃取,使console及vty口令将被非法者获得。
登录网络设备并影响整个网络的可用性和机密性。
启用口令加密存储。
[H3C-ui-vty0]setauthenticationpasswordcipherPASSWORD
Console登录无验证机制
恶意用户通过Console直接接入到网络设备上,可以对设备信息进行、修改、删除等操作,导致严重安全问题。
建议设置Console登录验证,按照严格的帐户口令策略进行配置。
!
!
!
!
!
!
system-view
user-interface{first-num1[last-num1]|{aux|console|vty}first-num2[last-num2]}
authentication-modepassword
setauthenticationpassword{cipher|simple}password
或者采用authentication-modescheme[command-authorization]
local-useruser-name
password{cipher|simple}password
访问控制策略中无病毒防护策略
访问控制策中对端口无控制策略,对目前对网络有严重影响的蠕虫端口没有进行控制,存在严重的安全风险。
建议在访问控制策略中加入对网络蠕虫利用的端口进行控制的病毒防护策略。
!
!
!
!
!
!
!
!
!
!
!
没有专门的访问控制策略用于病毒防护,主要是配置ACL禁用网络蠕虫利用的端口。
aclnumberacl-number[match-order{config|auto}]
rule[rule-id]{permit|deny}protocol[rule-string]
启用了不安全的HTTP管理服务
不建议使用HTTP方式进行远程管理,WEB端口容易成为被攻击的主要端口,而导致网络不可用。
建议关闭HTTP管理功能。
undoiphttpshutdown
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- H3C 评估 加固 非官方