H3C三层交换机安全配置规范
H3C三层交换机安全配置规范
4.1 管理平面安全配置
4.1.1 管理口防护
4.1.1.1 关闭未使用的管理口
项目编号 NOMD-2013-SC-H3C(L3SW)-01-01-01-v1
配置说明设备应关闭未使用的管理口(AUX、或者没开启业务的端口)。
重要等级高
配置指南 1、参考配置操作
#
interface Ten-GigabitEthernet0/1 //进入端口视图
shutdown //执行shutdown命令,关闭端口
#
检测方法
及
判定依据 1、符合性判定依据
端口关闭,不能使用。
2、参考检测方法
通过网线或光纤(视具体接口不同),将此端口与PC或其他设备未关闭的端口互连,该端口指示灯灭,且PC或其他设备没有网卡UP的提示信息。
备注
4.1.1.2 配置console口密码保护
项目编号 NOMD-2013-SC-H3C(L3SW)-01-01-02-v1
配置说明设备应配置console口密码保护
重要等级高
配置指南 1、参考配置操作
[H3C]user-interface console 0
[ H3C-ui-console0] authentication-mode password
[ H3C-ui-console0] set authentication password cipher xxxxxxxx
检测方法
及
判定依据 1、符合性判定依据
通过console口,只有输入正确密码才能进入配置试图
2、参考检测方法
PC用Console线连接设备Console口,通过超级终端等配置软件,在进入设备配置视图时,提示要求输入密码。
备注
4.1.2 账号与口令
4.1.2.1 避免共享账号
项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-01-v1
配置说明应对不同的用户分配不同的账号,避免不同用户间账号共享。
重要等级中
配置指南 1、参考配置操作
#
local-user user1
service-type telnet
user privilede level 2
#
local-user user2
service-type ftp
user privilede level 3
#
2、补充操作说明
1、user1和user2是两个不同的账号名称,可根据不同用户,取不同的名称,建议使用:姓名的简写+手机号码;
2、避免使用h3c、admin等简单易猜的账号名称;
检测方法
及
判定依据 1、符合性判定依据
各账号都可以正常使用,不同用户有不同的账号。
2、参考检测方法
(1)用display current-configuration configuration luser命令查看配置是否正确(2)使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用
(3)使用配置中没有的账号无法登录
3、补充说明
每个账号都有对应的使用人员,确保没有多余账号
备注
4.1.2.2 禁止无关账号
项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-02-v1
配置说明应禁止配置与设备运行、维护等工作无关的账号;
重要等级高
配置指南如有无关账号,参考如下配置进行删除
#
undo local-user username
#
检测方法
及
判定依据 1、符合性判定依据
不存在工作无关账号
2、参考检测方法
通过display local-user来查看是否存在无关账号
备注
4.1.2.3 管理默认账号与口令
项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-03-v1
配置说明应删除或锁定默认或缺省账号与口令。
重要等级高
配置指南 #
undo local-user username
#
检测方法
及
判定依据 1、符合性判定依据
密码强度和策略符合安全要求
2、参考检测方法
通过display password来看密码策略
通过telnet方式登录设备,输入密码来检测密码安全性
备注
4.1.2.4 口令长度和复杂度
项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-04-v1
配置说明对于采用静态口令认证技术的设备:应支持口令长度及复杂度验证机制(强制要求口令应由数字、大写字母、小写字母和特殊符号4类字符构成,自动拒绝用户设置不符合复杂度要求的口令。);
重要等级高
配置指南 1、参考配置操作
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类,每类多余4个。
password-control enable
password-control length 8
password-control composition type-number 3 type-length 4
检测方法
及
判定依据 1、符合性判定依据
密码强度和策略符合安全要求
2、参考检测方法
通过display password来看密码策略
通过telnet方式登录设备,输入密码来检测密码安全性
备注
4.1.2.5 口令加密
项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-05-v1
配置说明静态口令应采用安全可靠的单向散列加密算法(如md5、sha1等)进行加密,并以密文形式存放。如使用enable secret配置Enable密码,不使用enable password 配置Enable密码。
重要等级高
配置指南 1、参考配置操作
#
local-user admin
password cipher $c$3$91+quQroSJWHM4sAJOker3sBNmMjwUEU
#
检测方法
及
判定依据 1、符合性判定依据
密码以密文形式存在设备配置中
2、参考检测方法
通过display current-configuration命令查看账号密码以密文形式显示
备注
4.1.2.6 口令变更周期
项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-06-v1
配置说明口令定期更改,最长不得超过90天。
重要等级高
配置指南 1、参考配置操作
对于采用静态口令认证技术的设备,账户口令的生存期不长于90天,提前7天告警。password-control enable
password-control aging 90
password-control alert-before-expire 7
检测方法
及
判定依据 1、符合性判定依据
口令更改周期为90天,提前7天会自动告警
2、参考检测方法
通过display password-control来查看密码策略
备注
4.1.2.7 账户锁定策略
项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-07-v1
配置说明应为设备配置用户连续认证失败次数上限,当用户连续认证失败次数超过上限时,设备自动断开该用户账号的连接,并在一定时间内禁止该用户账号重新认证。重要等级高
配置指南 1、参考配置操作
password-control login-attempt 5 exceed lock-time 60
一般设置为5次。
检测方法
及
判定依据 1、符合性判定依据
账号密码输入连续多次错误,账号被锁定。
2、参考检测方法
模拟登录测试,连续输5次密码,该账号被锁定。
备注
4.1.3 认证
4.1.3.1 使用认证服务器认证
项目编号 NOMD-2013-SC-H3C(L3SW)-01-03-01-v1
配置说明设备通过相关参数配置,通过与认证服务器(RADIUS或TACACS服务器)联动的方式实现对用户的认证,满足账号、口令和授权的要求。
重要等级中
配置指南 1、参考配置操作
[FW] radius scheme rad
# 配置主、备认证服务器的IP地址为10.1.1.1,认证端口号为1812。
[FW-radius-rad] primary authentication 10.1.1.1 1812
[FW-radius-rad] secondary authentication 10.1.1.2 1812
# 配置与认证服务器交互报文时的共享密钥为expert。
[FW-radius-rad] key authentication expert
# 配置向RADIUS服务器发送的用户名携带域名。
[FW-radius-rad] user-name-format with-domain
# 配置RADIUS服务器的服务类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。
[FW-radius-rad] server-type extended
[FW-radius-rad] quit
# 配置ISP域的AAA方法。
[FW] domain bbb
[FW-isp-bbb] authentication login radius-scheme rad
[FW-isp-bbb] quit
2、补充操作说明
(1)、配置认证方式,可通过radius和本地认证;
(2)、10.1.1.10和10.1.1.2是radius认证服务器的IP地址,建议建立两个radius认证服务器作为互备;
(3)、port 1812是radius认证开启的端口号,可根据本地radius认证服务器开启的端口号进行配置;
(4)、abc123是与radius认证系统建立连接所设定的密码,建议:与radius认证服务器建立连接时,使用密码认证建立连接。
检测方法
及
判定依据 1、符合性判定依据
(1)、可以正常ping通 Radius服务器的IP地址;
(2)、用户可以登录为正常;
(3)、如果要让Radius服务器向发送用户授权信息,需要在Radius服务器上装的字典文件并做相应配置。
2、参考检测方法
用户发起TELNET连接,在TELNET客户端按照提示输入用户名hello@bbb及正确的密码后,
可成功进入用户界面,并可以使用级别为0、1、2、3的命令。
# 可以通过如下命令查看到AAA用户的连接信息。
[FW] display connection
Index=1 ,Username=hello@bbb
IP=192.168.1.58
IPv6=N/A
Total 1 connection(s) matched.
备注
4.1.3.2 会话超时配置
项目编号 NOMD-2013-SC-H3C(L3SW)-01-03-02-v1
配置说明配置定时账户自动登出。如TELNET、SSH、HTTP等管理连接和CONSOLE 口登录连接等。
重要等级高
配置指南 1、参考配置操作
#
user-interface con 0
idle-timeout 5 0
user-interface aux 0
idle-timeout 5 0
user-interface vty 0 4
idle-timeout 5 0
#
save
2、补充操作说明
以上配置是系统在5分钟没有管理流量就让用户自动退出。
超时时间一般设置为5-10分钟。
检测方法
及
判定依据 1、符合性判定依据
当闲置时间超时(这里设了5分钟),用户会自动退出设备
2、参考检测方法
1)、使用display current-configuration configuration user-interface查看配置结果
2)、在终端上用telnet方式登录,输入用户名密码
3)、让用户处于空闲状态,查看当时间超时是否自动登出
备注
4.1.4 授权
4.1.4.1 分级权限控制
项目编号 NOMD-2013-SC-H3C(L3SW)-01-04-01-v1
配置说明原则上应采用预定义级别的授权方法,实现对不同用户权限的控制,满足用户最小授权的要求。
重要等级中
配置指南 1、参考配置操作
#
local-user user1
service-type telnet
user privilede level 2
#
local-user user2
service-type ftp
user privilede level 3
#
检测方法
及
判定依据 1、符合性判定依据
各账号都可以正常使用,且能够输入的命令权限不同
2、参考检测方法
(1)用display current-configuration configuration luser命令查看配置是否正确(2)使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用以及可以配置的命令
备注
4.1.4.2 利用认证服务器进行权限控制
项目编号 NOMD-2013-SC-H3C(L3SW)-01-04-02-v1
配置说明除本地采用预定义级别进行外,设备可通过与认证服务器(RADIUS服务器或TACACS服务器)联动的方式实现对用户的授权。并建议采用逐条授权的方式,尽量避免或减少使用一次性授权的方式。
重要等级中
配置指南 1、参考配置操作
[FW] radius scheme rad
# 配置主、备授权服务器的IP地址为10.1.1.1,认证端口号为1812。
[FW-radius-rad] primary authentication 10.1.1.1 1812
[FW-radius-rad] secondary authentication 10.1.1.2 1812
# 配置与授权服务器交互报文时的共享密钥为expert。
[FW-radius-rad] key authentication expert
# 配置向RADIUS服务器发送的用户名携带域名。
[FW-radius-rad] user-name-format with-domain
# 配置RADIUS服务器的服务类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。
[FW-radius-rad] server-type extended
[FW-radius-rad] quit
# 配置ISP域的AAA方法。
[FW] domain bbb
[FW-isp-bbb] authorization login radius-scheme rad
[FW-isp-bbb] quit