关于安全运维中,网络及安全设备基线设置的方法和必要性。

    企业网络建设过程中,随着业务项目的增加,网络的拓展组网网络的设备会

为灵石等地区用户提供了全套网页设计制作服务,及灵石网站建设行业解决方案。主营业务为成都网站设计、成都网站制作、灵石网站设计,以传统方式定制建设网站,并提供域名空间备案等一条龙服务,秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求,就会得到认可,从而选择与我们长期合作。这样,我们也可以走得更远!

随着规模不断增加。今天分享给大家的就是在增加的设备中,一个好的运维习惯可以提高企业内部安全网络属性,

从大多网络设备及安全设备受***被***漫游都是因为操作人员的配置部当导致。所以对于一个合格的网络安全

运维者应当有一套针对自己网络环境的安全基线。这样有效的控制内网安全其中的部分工作,以下我就分享一下

我在安全运维工作中制定安全基线的方法:

1、Cisco路由器检查配置表

NO

检查类别

检查项目

检查要点

检查对象

检查方法

判断条件

1

设备访问控制

用户认证方式

启用本地或AAA认证,查看登录认证方式,如本地帐户口令、认证服务器等。

核心域

使用show running-config查看相关信息

符合:检查配置文件中

[hostname]#show running-config 

 aaa authentication login $(AAA_LIST_NAME) local

aaa authentication enable default enable

username $(LOCAL_USERNAME)  privilege (ID)password或同等配置信息

不符合:无相关信息 

2

定义会话超时时间

配置定时帐户自动登出,会话空闲一定时间后自动登出。(建议超时设置为5分钟)

核心域

参考配置操作

user-interface vty 0 4

idle-timeout 5 0

user-interface con 0

idle-timeout 5 0

符合:参考配置操作

user-interface vty 0 4

idle-timeout 5 0

user-interface con 0

idle-timeout 5 0

或同等配置信息

不符合:未配置帐号自动登出

3

远程安全管理方式访问设备

启用了SSH,建议禁用TELNET(根据实际情况酌情考虑),且远程管理(VTY)的登录源地址必须采取ACL进行限制或指定固定管理IP。针对不支持的设备请说明品牌、型号、软件版本。

核心域

使用show running-configuration命令或相关命令查看相关信息

符合:查看配置中VTY访问是否有ACL控制措施:

[hostname]display current-configuration 

user-interface vty 0 4

acl XXXX inbound或同等配置信息

不符合:无相关信息

4

账户管理

检查无用帐号和权限分配

1、应删除或锁定与设备运行、维护等工作无关的帐号。

2、不同等级管理维护人员,分配不同帐号,避免帐号混用。

核心域

检查配置文件中

[hostname]#show running-config 

username $(LOCAL_USERNAME) privilege password LOCAL_PASSWORD字段或相关命令查看相关信息

符合:抽查资产表中的3台网络设备,登录4A系统及设备进行帐号比对,分析是否有无用帐号(未分配给任何自然人的从帐号)。或同等配置信息

不符合:无相关信息

5

密码管理

口令加密并定期更换

开启密码加密服务,并定期更新

核心域

查看配置文件是否采用了相应的鉴别信息保护措施:

[hostname]show running-config

service password-encryption

 epassword +WumoGDbE75GFYyp+R47Mg==,或相关命令查看相关信息

符合:查看配置文件是否采用了相应的鉴别信息保护措施

[hostname]show running-config

service password-encryption

不符合:无相关信息

6

日志管理

log服务

指定日志服务器

核心域

查看配置文件中logging on(enable)、logging [ip add]

或相关命令查看相关信息

符合:查看配置文件中logging on(enable)、logging [ip add]

或同等配置信息

不符合:无相关信息

7

系统设置日志的时间戳

应为日志打上时间戳

核心域

查看配置文件中logging timestamp项

[hostname]#show running-config 

logging timestamp

或相关命令查看相关信息

符合:查看配置文件中logging timestamp项

[hostname]#show running-config 

logging timestamp或同等配置信息

不符合:无时间戳

8

系统配置日志级别

LOG应定义级别

核心域

查看配置文件中logging facility [20]项或相关命令查看相关信息

符合:查看配置文件中logging facility [20]项或同等配置信息

不符合:无相关配置

9

服务管理

修改SNMP只读字串或可写字串

SNMP规则匹配snmp-server community **** RO

核心域

查看配置文件中

[hostname]#show running-config

snmp-server community **** RO/RW或相关命令查看相关信息

符合:查看配置文件中

[hostname]#show running-config

snmp-server community **** RO/RW或同等配置信息

不符合:无相关信息

10

NTP服务或本地时间管理

指定NTP服务器或校对本地时间

核心域

查看配置文件:

[hostname]#show running-config

ntp server *.*.*.*

[hostname]#show clock

检查是否与当前时间一致或相关命令查看相关信息

符合:查看配置文件:

[hostname]#show running-config

ntp server *.*.*.*

[hostname]#show clock

检查是否与当前时间一致或同等配置信息

不符合:无相关信息

11

http服务

http关闭

核心域

查看配置文件不能出现:

[hostname]#show running-config 

ip http server或相关命令查看相关信息

符合:查看配置文件中是否有no ip http server字段

[hostname]#show running-config 

no ip http server或同等配置信息

不符合:开启了http服务

12

FTP、TFTP服务

FTP、TFTP服务关闭

核心域

查看配置文件不能出现:

[hostname]#show running-config 

ip ftp-server

ip tftp-server或相关命令查看相关信息

符合:查看配置文件中不包括ip ftp-server enable或ip tftp-server或同等配置信息

不符合:配置文件中包括ip ftp-server enable或ip tftp-server

13

DNS服务

禁用DNS解析服务

核心域

查看配置文件不能出现:

[hostname]#show running-config 

ip domain-lookup或相关命令查看相关信息

符合:检查配置文件中是否有

[hostname]#show running-config 

no ip domain-lookup或同等配置信息

不符合:开启DNS解析服务

14

small tcp和udp服务

禁用small tcp and udp service,,针对不满足的设备应进行原因说明

核心域

查看配置文件不能出现:

[hostname]#show running-config 

service tcp-small-servers

service udp-smail-servers或相关命令查看相关信息

符合:查看配置文件是否有

[hostname]#show running-config 

no service tcp-small-servers

no service udp-smail-servers或同等配置信息

不符合:开启了small tcp和udp服务

15

finger服务

禁用finger服务,针对不满足的设备应进行原因说明

核心域

查看配置文件不能出现:

[hostname]#show running-config

finger或相关命令查看相关信息

符合:查看配置文件中是否有

[hostname]#show running-config

no finger或同等配置信息

不符合:开启finger

16

bootp服务

禁用bootp服务,针对不满足的设备应进行原因说明

核心域

查看配置文件不能出现:

[hostname]#show running-config

ip bootp server或相关命令查看相关信息

符合:查看配置文件中是否有

[hostname]#show running-config

no ip bootp server或同等配置信息

不符合:开启bootp服务

17

关闭IP源路由协议

IP源路由协议应关闭,针对不满足的设备应进行原因说明

核心域

查看配置文件不能出现:

[hostname]#show running-config 

ip source-route或相关命令查看相关信息

符合:查看配置文件中

[hostname]#show running-config 

no ip source-route或同等配置信息

不符合:开启IP源路由协议

18

禁止arp-proxy

ARP代理禁用,针对不满足的设备应进行原因说明。

核心域

查看配置文件中不能出现:

[hostname]#show running-config 

ip arp-proxy或相关命令查看相关信息

符合:查看配置文件中no arp-proxy项

[hostname]#show running-config 

no ip arp-proxy

不符合:开启ARP代理

19

关闭IP Directed Broadcast

IP Directed Broadcast应关闭,针对不满足的设备应进行原因说明

核心域

查看配置文件中不能出现:

[hostname]#show running-config 

ip directed-broadcast或相关命令查看相关信息

符合:查看配置文件中IP Directed Broadcast项

[hostname]#show running-config 

no ip directed-broadcast或同等配置信息

不符合:IP Directed Broadcast

20

端口管理

shutdown未使用的网络接口

明确关闭不使用的网络接口,如路由器的AUX口、及其它网络接口等,但不包含管理口等特殊接口。

核心域

使用show running-config或相关命令查看相关信息查看相关信息

符合:使用show running-config命令,如下例:

router#show running-config

Building configuration...

Current configuration:

!

line aux 0

no exec

transport input none

exit或同等配置信息

不符合:未使用的接口未关闭

       主要是以这些方面做基础设备的安全基线,如需要更详细的多厂家的朋友可以留言留下联系方式,我可和大家共享相关信息。建议大家有开发能力的小

伙伴可以根据主类,建立特征库,根据判断条件批量去核查企业内部基础设施配置。安全运维工作不只是维护安全设备和网络设备的安全策略,安全策略只是

防止网络层的非授权访问,解决因为配置过失带来的安全风险,也是提高基础网络健壮性的唯一途径。

谢谢大家,我会在有时间的时候,将我工作经验分享给大家,还希望大家看到后,不嫌弃的话关注下,这样文章更新文章会推送。


网页名称:关于安全运维中,网络及安全设备基线设置的方法和必要性。
转载来于:http://ybzwz.com/article/jihhio.html