关于安全运维中,网络及安全设备基线设置的方法和必要性。
企业网络建设过程中,随着业务项目的增加,网络的拓展组网网络的设备会
为灵石等地区用户提供了全套网页设计制作服务,及灵石网站建设行业解决方案。主营业务为成都网站设计、成都网站制作、灵石网站设计,以传统方式定制建设网站,并提供域名空间备案等一条龙服务,秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求,就会得到认可,从而选择与我们长期合作。这样,我们也可以走得更远!
随着规模不断增加。今天分享给大家的就是在增加的设备中,一个好的运维习惯可以提高企业内部安全网络属性,
从大多网络设备及安全设备受***被***漫游都是因为操作人员的配置部当导致。所以对于一个合格的网络安全
运维者应当有一套针对自己网络环境的安全基线。这样有效的控制内网安全其中的部分工作,以下我就分享一下
我在安全运维工作中制定安全基线的方法:
1、Cisco路由器检查配置表
NO | 检查类别 | 检查项目 | 检查要点 | 检查对象 | 检查方法 | 判断条件 |
1 | 设备访问控制 | 用户认证方式 | 启用本地或AAA认证,查看登录认证方式,如本地帐户口令、认证服务器等。 | 核心域 | 使用show running-config查看相关信息 | 符合:检查配置文件中 [hostname]#show running-config … aaa authentication login $(AAA_LIST_NAME) local aaa authentication enable default enable 或 username $(LOCAL_USERNAME) privilege (ID)password或同等配置信息 不符合:无相关信息 |
2 | 定义会话超时时间 | 配置定时帐户自动登出,会话空闲一定时间后自动登出。(建议超时设置为5分钟) | 核心域 | 参考配置操作 user-interface vty 0 4 idle-timeout 5 0 user-interface con 0 idle-timeout 5 0 | 符合:参考配置操作 user-interface vty 0 4 idle-timeout 5 0 user-interface con 0 idle-timeout 5 0 或同等配置信息 不符合:未配置帐号自动登出 | |
3 | 远程安全管理方式访问设备 | 启用了SSH,建议禁用TELNET(根据实际情况酌情考虑),且远程管理(VTY)的登录源地址必须采取ACL进行限制或指定固定管理IP。针对不支持的设备请说明品牌、型号、软件版本。 | 核心域 | 使用show running-configuration命令或相关命令查看相关信息 | 符合:查看配置中VTY访问是否有ACL控制措施: [hostname]display current-configuration … user-interface vty 0 4 acl XXXX inbound或同等配置信息 不符合:无相关信息 | |
4 | 账户管理 | 检查无用帐号和权限分配 | 1、应删除或锁定与设备运行、维护等工作无关的帐号。 2、不同等级管理维护人员,分配不同帐号,避免帐号混用。 | 核心域 | 检查配置文件中 [hostname]#show running-config username $(LOCAL_USERNAME) privilege password LOCAL_PASSWORD字段或相关命令查看相关信息 | 符合:抽查资产表中的3台网络设备,登录4A系统及设备进行帐号比对,分析是否有无用帐号(未分配给任何自然人的从帐号)。或同等配置信息 不符合:无相关信息 |
5 | 密码管理 | 口令加密并定期更换 | 开启密码加密服务,并定期更新 | 核心域 | 查看配置文件是否采用了相应的鉴别信息保护措施: [hostname]show running-config service password-encryption epassword +WumoGDbE75GFYyp+R47Mg==,或相关命令查看相关信息 | 符合:查看配置文件是否采用了相应的鉴别信息保护措施 [hostname]show running-config service password-encryption 不符合:无相关信息 |
6 | 日志管理 | log服务 | 指定日志服务器 | 核心域 | 查看配置文件中logging on(enable)、logging [ip add] 或相关命令查看相关信息 | 符合:查看配置文件中logging on(enable)、logging [ip add] 或同等配置信息 不符合:无相关信息 |
7 | 系统设置日志的时间戳 | 应为日志打上时间戳 | 核心域 | 查看配置文件中logging timestamp项 [hostname]#show running-config logging timestamp 或相关命令查看相关信息 | 符合:查看配置文件中logging timestamp项 [hostname]#show running-config logging timestamp或同等配置信息 不符合:无时间戳 | |
8 | 系统配置日志级别 | LOG应定义级别 | 核心域 | 查看配置文件中logging facility [20]项或相关命令查看相关信息 | 符合:查看配置文件中logging facility [20]项或同等配置信息 不符合:无相关配置 | |
9 | 服务管理 | 修改SNMP只读字串或可写字串 | SNMP规则匹配snmp-server community **** RO | 核心域 | 查看配置文件中 [hostname]#show running-config snmp-server community **** RO/RW或相关命令查看相关信息 | 符合:查看配置文件中 [hostname]#show running-config snmp-server community **** RO/RW或同等配置信息 不符合:无相关信息 |
10 | NTP服务或本地时间管理 | 指定NTP服务器或校对本地时间 | 核心域 | 查看配置文件: [hostname]#show running-config ntp server *.*.*.* [hostname]#show clock 检查是否与当前时间一致或相关命令查看相关信息 | 符合:查看配置文件: [hostname]#show running-config ntp server *.*.*.* [hostname]#show clock 检查是否与当前时间一致或同等配置信息 不符合:无相关信息 | |
11 | http服务 | http关闭 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config ip http server或相关命令查看相关信息 | 符合:查看配置文件中是否有no ip http server字段 [hostname]#show running-config no ip http server或同等配置信息 不符合:开启了http服务 | |
12 | FTP、TFTP服务 | FTP、TFTP服务关闭 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config ip ftp-server ip tftp-server或相关命令查看相关信息 | 符合:查看配置文件中不包括ip ftp-server enable或ip tftp-server或同等配置信息 不符合:配置文件中包括ip ftp-server enable或ip tftp-server | |
13 | DNS服务 | 禁用DNS解析服务 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config ip domain-lookup或相关命令查看相关信息 | 符合:检查配置文件中是否有 [hostname]#show running-config no ip domain-lookup或同等配置信息 不符合:开启DNS解析服务 | |
14 | small tcp和udp服务 | 禁用small tcp and udp service,,针对不满足的设备应进行原因说明 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config service tcp-small-servers service udp-smail-servers或相关命令查看相关信息 | 符合:查看配置文件是否有 [hostname]#show running-config no service tcp-small-servers no service udp-smail-servers或同等配置信息 不符合:开启了small tcp和udp服务 | |
15 | finger服务 | 禁用finger服务,针对不满足的设备应进行原因说明 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config finger或相关命令查看相关信息 | 符合:查看配置文件中是否有 [hostname]#show running-config no finger或同等配置信息 不符合:开启finger | |
16 | bootp服务 | 禁用bootp服务,针对不满足的设备应进行原因说明 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config ip bootp server或相关命令查看相关信息 | 符合:查看配置文件中是否有 [hostname]#show running-config no ip bootp server或同等配置信息 不符合:开启bootp服务 | |
17 | 关闭IP源路由协议 | IP源路由协议应关闭,针对不满足的设备应进行原因说明 | 核心域 | 查看配置文件不能出现: [hostname]#show running-config ip source-route或相关命令查看相关信息 | 符合:查看配置文件中 [hostname]#show running-config no ip source-route或同等配置信息 不符合:开启IP源路由协议 | |
18 | 禁止arp-proxy | ARP代理禁用,针对不满足的设备应进行原因说明。 | 核心域 | 查看配置文件中不能出现: [hostname]#show running-config ip arp-proxy或相关命令查看相关信息 | 符合:查看配置文件中no arp-proxy项 [hostname]#show running-config no ip arp-proxy 不符合:开启ARP代理 | |
19 | 关闭IP Directed Broadcast | IP Directed Broadcast应关闭,针对不满足的设备应进行原因说明 | 核心域 | 查看配置文件中不能出现: [hostname]#show running-config ip directed-broadcast或相关命令查看相关信息 | 符合:查看配置文件中IP Directed Broadcast项 [hostname]#show running-config no ip directed-broadcast或同等配置信息 不符合:IP Directed Broadcast | |
20 | 端口管理 | shutdown未使用的网络接口 | 明确关闭不使用的网络接口,如路由器的AUX口、及其它网络接口等,但不包含管理口等特殊接口。 | 核心域 | 使用show running-config或相关命令查看相关信息查看相关信息 | 符合:使用show running-config命令,如下例: router#show running-config Building configuration... Current configuration: ! … line aux 0 no exec transport input none exit或同等配置信息 不符合:未使用的接口未关闭 |
主要是以这些方面做基础设备的安全基线,如需要更详细的多厂家的朋友可以留言留下联系方式,我可和大家共享相关信息。建议大家有开发能力的小
伙伴可以根据主类,建立特征库,根据判断条件批量去核查企业内部基础设施配置。安全运维工作不只是维护安全设备和网络设备的安全策略,安全策略只是
防止网络层的非授权访问,解决因为配置过失带来的安全风险,也是提高基础网络健壮性的唯一途径。
谢谢大家,我会在有时间的时候,将我工作经验分享给大家,还希望大家看到后,不嫌弃的话关注下,这样文章更新文章会推送。
网页名称:关于安全运维中,网络及安全设备基线设置的方法和必要性。
转载来于:http://ybzwz.com/article/jihhio.html