关于安全运维中,网络及安全设备基线设置的方法和必要性。

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了关于安全运维中,网络及安全设备基线设置的方法和必要性。相关的知识,希望对你有一定的参考价值。

    企业网络建设过程中,随着业务项目的增加,网络的拓展组网网络的设备会

随着规模不断增加。今天分享给大家的就是在增加的设备中,一个好的运维习惯可以提高企业内部安全网络属性,

从大多网络设备及安全设备受攻击被黑客漫游都是因为操作人员的配置部当导致。所以对于一个合格的网络安全

运维者应当有一套针对自己网络环境的安全基线。这样有效的控制内网安全其中的部分工作,以下我就分享一下

我在安全运维工作中制定安全基线的方法:

1、Cisco路由器检查配置表

NO

检查类别

检查项目

检查要点

检查对象

检查方法

判断条件

1

设备访问控制

用户认证方式

启用本地或AAA认证,查看登录认证方式,如本地帐户口令、认证服务器等。

核心域

使用show running-config 查看相关信息

符合:检查配置文件中

[hostname]#show running-config 

 aaa authentication login $(AAA_LIST_NAME) local

aaa authentication enable default enable

username $(LOCAL_USERNAME)  privilege (ID)password或同等配置信息

不符合:无相关信息 

2

定义会话超时时间

配置定时帐户自动登出,会话空闲一定时间后自动登出。(建议超时设置为5分钟)

核心域

参考配置操作

user-interface vty 0 4

idle-timeout 5 0

user-interface con 0

idle-timeout 5 0

符合:参考配置操作

user-interface vty 0 4

idle-timeout 5 0

user-interface con 0

idle-timeout 5 0

或同等配置信息

不符合:未配置帐号自动登出

3

远程安全管理方式访问设备

启用了SSH,建议禁用TELNET(根据实际情况酌情考虑),且远程管理(VTY)的登录源地址必须采取ACL进行限制或指定固定管理IP针对不支持的设备请说明品牌、型号、软件版本。

核心域

使用show running-configuration命令或相关命令查看相关信息

符合:查看配置中VTY访问是否有ACL控制措施:

[hostname]display current-configuration 

user-interface vty 0 4

acl XXXX inbound或同等配置信息

不符合:无相关信息

4

账户管理

检查无用帐号和权限分配

1、应删除或锁定与设备运行、维护等工作无关的帐号。

2、不同等级管理维护人员,分配不同帐号,避免帐号混用。

核心域

检查配置文件中

[hostname]#show running-config 

username $(LOCAL_USERNAME) privilege password LOCAL_PASSWORD字段或相关命令查看相关信息

符合:抽查资产表中的3台网络设备,登录4A系统及设备进行帐号比对,分析是否有无用帐号(未分配给任何自然人的从帐号)。或同等配置信息

不符合:无相关信息

5

密码管理

口令加密并定期更换

开启密码加密服务,并定期更新

核心域

查看配置文件是否采用了相应的鉴别信息保护措施:

[hostname]show running-config

service password-encryption

 epassword +WumoGDbE75GFYyp+R47Mg==,或相关命令查看相关信息

符合:查看配置文件是否采用了相应的鉴别信息保护措施

[hostname]show running-config

service password-encryption

不符合:无相关信息

6

日志管理

log服务

指定日志服务器

核心域

查看配置文件中logging on(enable) logging [ip add]

或相关命令查看相关信息

符合:查看配置文件中logging on(enable) logging [ip add]

或同等配置信息

不符合:无相关信息

7

系统设置日志的时间戳

应为日志打上时间戳

核心域

查看配置文件中logging timestamp

[hostname]#show running-config 

logging timestamp

或相关命令查看相关信息

符合:查看配置文件中logging timestamp

[hostname]#show running-config 

logging timestamp或同等配置信息

不符合:无时间戳

8

系统配置日志级别

LOG应定义级别

核心域

查看配置文件中logging facility [20] 项或相关命令查看相关信息

符合:查看配置文件中logging facility [20] 项或同等配置信息

不符合:无相关配置

9

服务管理

修改SNMP只读字串或可写字串

SNMP 规则匹配snmp-server community **** RO

核心域

查看配置文件中

[hostname]#show running-config

snmp-server community **** RO/RW或相关命令查看相关信息

符合:查看配置文件中

[hostname]#show running-config

snmp-server community **** RO/RW或同等配置信息

不符合:无相关信息

10

NTP服务或本地时间管理

指定NTP服务器或校对本地时间

核心域

查看配置文件:

[hostname]#show running-config

ntp server *.*.*.*

[hostname]#show clock

检查是否与当前时间一致或相关命令查看相关信息

符合:查看配置文件:

[hostname]#show running-config

ntp server *.*.*.*

[hostname]#show clock

检查是否与当前时间一致或同等配置信息

不符合:无相关信息

11

http服务

http关闭

核心域

查看配置文件不能出现:

[hostname]#show running-config 

ip http server或相关命令查看相关信息

符合:查看配置文件中是否有no ip http server字段

[hostname]#show running-config 

no ip http server或同等配置信息

不符合:开启了http服务

12

FTPTFTP服务

FTPTFTP服务关闭

核心域

查看配置文件不能出现:

[hostname]#show running-config 

ip ftp-server

ip tftp-server或相关命令查看相关信息

符合:查看配置文件中不包括ip ftp-server enableip tftp-server或同等配置信息

不符合:配置文件中包括ip ftp-server enableip tftp-server

13

DNS服务

禁用DNS解析服务

核心域

查看配置文件不能出现:

[hostname]#show running-config 

ip domain-lookup或相关命令查看相关信息

符合:检查配置文件中是否有

[hostname]#show running-config 

no ip domain-lookup或同等配置信息

不符合:开启DNS解析服务

14

small tcpudp服务

禁用small tcp and udp service,,针对不满足的设备应进行原因说明

核心域

查看配置文件不能出现:

[hostname]#show running-config 

service tcp-small-servers

service udp-smail-servers或相关命令查看相关信息

符合:查看配置文件是否有

[hostname]#show running-config 

no service tcp-small-servers

no service udp-smail-servers或同等配置信息

不符合:开启了small tcpudp服务

15

finger服务

禁用finger服务,针对不满足的设备应进行原因说明

核心域

查看配置文件不能出现:

[hostname]#show running-config

finger或相关命令查看相关信息

符合:查看配置文件中是否有

[hostname]#show running-config

no finger或同等配置信息

不符合:开启finger

16

bootp服务

禁用bootp服务,针对不满足的设备应进行原因说明

核心域

查看配置文件不能出现:

[hostname]#show running-config

ip bootp server或相关命令查看相关信息

符合:查看配置文件中是否有

[hostname]#show running-config

no ip bootp server或同等配置信息

不符合:开启bootp服务

17

关闭IP源路由协议

IP源路由协议应关闭,针对不满足的设备应进行原因说明

核心域

查看配置文件不能出现:

[hostname]#show running-config 

ip source-route或相关命令查看相关信息

符合:查看配置文件中

[hostname]#show running-config 

no ip source-route或同等配置信息

不符合:开启IP源路由协议

18

禁止arp-proxy

ARP代理禁用,针对不满足的设备应进行原因说明。

核心域

查看配置文件中不能出现:

[hostname]#show running-config 

ip arp-proxy或相关命令查看相关信息

符合:查看配置文件中no arp-proxy

[hostname]#show running-config 

no ip arp-proxy

不符合:开启ARP代理

19

关闭IP Directed Broadcast

IP Directed Broadcast应关闭,针对不满足的设备应进行原因说明

核心域

查看配置文件中不能出现:

[hostname]#show running-config 

ip directed-broadcast或相关命令查看相关信息

符合:查看配置文件中IP Directed Broadcast

[hostname]#show running-config 

no ip directed-broadcast或同等配置信息

不符合:IP Directed Broadcast

20

端口管理

shutdown未使用的网络接口

明确关闭不使用的网络接口,如路由器的AUX口、及其它网络接口等,但不包含管理口等特殊接口。

核心域

使用show running-config 或相关命令查看相关信息查看相关信息

符合:使用show running-config命令,如下例:

router#show running-config

Building configuration...

Current configuration:

!

line aux 0

no exec

transport input none

exit或同等配置信息

不符合:未使用的接口未关闭

       主要是以这些方面做基础设备的安全基线,如需要更详细的多厂家的朋友可以留言留下联系方式,我可和大家共享相关信息。建议大家有开发能力的小

伙伴可以根据主类,建立特征库,根据判断条件批量去核查企业内部基础设施配置。安全运维工作不只是维护安全设备和网络设备的安全策略,安全策略只是

防止网络层的非授权访问,解决因为配置过失带来的安全风险,也是提高基础网络健壮性的唯一途径。


谢谢大家,我会在有时间的时候,将我工作经验分享给大家,还希望大家看到后,不嫌弃的话关注下,这样文章更新文章会推送。


以上是关于关于安全运维中,网络及安全设备基线设置的方法和必要性。的主要内容,如果未能解决你的问题,请参考以下文章

运维小白学习资料推荐

行云管家堡垒机使用方法之三——敏感指令审计

远离“人祸”,关于安全运维,我们建了个系统……

linux安全运维

话题讨论 | 也谈安全运维工作

安全运维