22239—2008的基本要求中,明确要求网络系统必须具备结构化的安全保护能力,具体要求包括: 网络设备防护(G3)
本项要求包括:
a) 应对登录网络设备的用户进行身份鉴别; b) 应对网络设备的管理员登录地址进行限制; c) 网络设备用户的标识应唯一;
d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
e) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
f) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
g) 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
h) 应实现设备特权用户的权限分离。
根据信息系统安全等级保护基本要求及测评结果,省公司信息网络中网络设备及技术在运维管理方面主要存在以下问题: 1)网络设备的远程管理采用明文的Telnet方式; 2)部分网络设备采用出厂时的默认用户名;
3)交换机、IPS等未开启日志审计功能,未配置相应的日志服务器; 4)IPS为B/S控制模式,管理服务器地址、登录等未作访问控制;
5)防火墙目前为网段级的访问控制,控制粒度较粗;
6)网络设备登录身份鉴别信息复杂度较低,口令简单并未定期更换;
7)未开启网络设备登录失败处理功能,未限制非法登录次数,当网络登录连接超时时未设置自动退出等措施;
8)缺少对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查与监测措施;
9)未限制网络最大流量数及网络连接数。
10)网络中透明模式的防火墙较多,当防火墙转发出现故障,但接口为UP时无法实现切换。
11)未对OSPF进行接口认证配置
针对以上问题,结合《信息安全技术信息安全等级保护基本要求》,整改方案如下:
1)关闭防火墙、交换机和IDS的telnet服务,启用安全的管理服务,如SSH和https。实施配置如下: 思科设备配置命令: Router#config terminal
Router(config)#access-list 101 permit tcp 10.52.xx.xx 0.0.0.0 eq 22 any(只允许10.52.xx.xx保垒机ssh登录)
Router(config)#line vty 0 4(配置端口0-4)
Router(Config-line)#Transport input ssh(开启ssh协议) Router(Config-line)#exec-timeout 5 0 Router(Config-line)#access-class 101 in
Router(Config-line)#end Router#config terminal Router(config)#line vty 5 15
Router(Config-line)#no login(建议vty开放5个即可,多余的可以关闭) Router(Config-line)#exit Router(Config)#exit Router#write
H3C设备配置命令 //生成1024位的rsa本地密钥对 [H3C]public-key local create rsa The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, It will take a few minutes. Press CTRL+C to abort. Input the bits in the modulus[default = 512]:1024 Generating keys... .......++++++ ........++++++ ...................++++++++ ............++++++++ [H3C] H3C设备配置命令 # //并发配置用户数量为5 configure-user count 5 # //用于登录的用户名client1、密码client1和登录类型SSH、登录优先级3 local-user client1 password simple client1 service-type ssh level 1 # //SSH服务器配置, ssh server enable //SSH用户client1的服务类型为stelnet,即安全Telnet,使用密码认证方式 ssh user client1 service-type stelnet authentication-type password # user-interface vty 0 4 //vty登录用户需要进行aaa认证 authentication-mode scheme # //关闭telnet登陆 undo telnet server enable # //设置允许登陆设备IP地址 acl number 3000 rule 1 permit tcp source 10.52.xx.xx 0 destination-port eq 22 //设置scheme认证及登陆访问控制 user-interface vty 0 4 authentication-mode scheme protocol inbound ssh acl 3000 inbound 2)修改网络设备出厂时的默认口令,且修改后的口令应满足长度大于等于8位、含字母数字和字符的强度要求,其它不满足此口令强度要求的,均需要进行修改。IDS验收后,需及时修改口令;交换机需修改其SNMP口令串;防火墙口令应满足口令强度要求。交换机SNMP口令串修改实施步骤如下: 思科设备配置命令: Router#config terminal
Router(config)# no snmp-server community COMMUNITY-NAME1 RO (删除原来具有RO权限的COMMUNITY-NAME1)
Router(config)# snmp-server community COMMUNITY-NAME RO
(如需要通过snmp进行管理,则创建一个具有读权限的COMMUNITY-NAME,若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW) Router(config)# snmp-server enable traps (允许发出Trap) Router(config)#exit Router#write
H3C设备配置命令 # //配置SNMP参数,不需要配置 snmp-agent //local-engineid是自动生成的,不需要配置 snmp-agent local-engineid 800007DB03000FE2000003 //配置SNMP读写属性,必须配置 snmp-agent community write private snmp-agent community read public //配置SNMP版本,缺省版本3 snmp-agent sys-info version all # 3)交换机、IDS和防火墙等应开启日志审计功能,并配置日志服务器保存交换机、IDS和防火墙的日志信息。日志审计和日志收集存储于服务器实施配置如下: 思科设备配置命令: Route#config terminal
Route(config)#logging on (启用日志审计)
Route(config)#logging console notification (设置控制等级为5级:notification) Route(config)#!Set a 16K log buffer at information level
Route(config)#logging buffered 16000 information (设置其大小为16K) Route(config)#!turn on time/date stamps in log messages
Route(config)#service timestamp log datetime msec local show-timezone Route(config)#!set monitor logging level to level 6 Route(config)#logging monitor information Route(config)#exit
Route#!make this session receive log messages Route#terminal monitor Route#config terminal