Juniper網(wǎng)絡設備安全加固規(guī)范.doc
《Juniper網(wǎng)絡設備安全加固規(guī)范.doc》由會員分享,可在線閱讀,更多相關《Juniper網(wǎng)絡設備安全加固規(guī)范.doc(25頁珍藏版)》請在裝配圖網(wǎng)上搜索。
Juniper網(wǎng)絡設備安全基線規(guī)范 2019 年 10 月 第 2 頁 共 25 頁 目錄 1. 賬號管理、認證授權 .3 1.1. 賬號 .3 1.1.1. ELK-Juniper-01-01-013 1.1.2. ELK-Juniper-01-01-023 1.1.3. ELK-Juniper-01-01-034 1.2. 口令 .5 1.2.1. ELK-Juniper-01-02-015 1.2.2. ELK-Juniper-01-02-026 1.2.3. ELK-Juniper-01-02-038 1.3. 認證 .9 1.3.1. ELK-Juniper-01-03-019 2. 日志配置 .10 2.1.1. ELK-JUNIPER-02-01-01.10 2.1.2. ELK-JUNIPER-02-01-02.11 2.1.3. ELK-JUNIPER-02-01-03.12 2.1.4. ELK-JUNIPER-02-01-04.12 2.1.5. ELK-JUNIPER-02-01-05.13 2.1.6. ELK-JUNIPER-02-01-06.14 3. 通信協(xié)議 .15 3.1.1. ELK-JUNIPER-03-01-01.15 3.1.2. ELK-JUNIPER-03-01-02.16 3.1.3. ELK-JUNIPER-03-01-03.17 3.1.4. ELK-JUNIPER-03-01-04.18 3.1.5. ELK-JUNIPER-03-01-05.19 3.1.6. ELK-JUNIPER-03-01-06.20 4. 設備其他安全要求 .20 4.1.1. ELK-JUNIPER-04-01-01.20 4.1.2. ELK-JUNIPER-04-01-02.21 4.1.3. ELK-JUNIPER-04-01-03.22 4.1.4. ELK-JUNIPER-04-01-04.23 4.1.5. ELK-JUNIPER-04-01-05.24 第 3 頁 共 25 頁 1. 賬號管理、認證授權 1.1. 賬號 1.1.1. ELK-Juniper-01-01-01 編號: ELK-Juniper-01-01-01 名稱: 按照用戶類型分配賬號 實施目的: 按照不同的用戶分配不同的賬號,避免不同用戶間共享賬號,避免用戶賬號和設備間通信使用的賬號共享。 問題影響: 權限不明確,存在用戶越權使用的可能。 系統(tǒng)當前狀態(tài): 使用 show configuration system login 查看當前配置 實施方案: 1、參考配置操作 set system login user abc1 set system login user abc2 2、補充操作說明 1、 abc1 和 abc2 是兩個不同的賬號名稱,可根據(jù)不同用戶, 取不同的名稱; 2、賬號取名,建議使用:姓名的簡寫+手機號碼。 回退方案: 刪除新增加用戶 判斷依據(jù): 標記用戶用途,定期建立用戶列表,比較是否有非法用戶 實施風險: 低 重要等級: ★★★ 1.1.2. ELK-Juniper-01-01-02 編號: ELK-Juniper-01-01-02 第 4 頁 共 25 頁 名稱: 刪除無效賬號 實施目的: 按照不同的用戶分配不同的賬號,避免不同用戶間共享賬號,避免用戶賬號和設備間通信使用的賬號共享。 問題影響: 非法利用系統(tǒng)默認賬號 系統(tǒng)當前狀態(tài): 使用 show configuration system login 查看當前配置 實施方案: 1、參考配置操作 delete system login user abc3 2、補充操作說明 abc3 是與工作無關的賬號。 回退方案: 增加被刪除的用戶 判斷依據(jù): 查看配置文件,核對用戶列表。 實施風險: 低 重要等級: ★★★ 1.1.3. ELK-Juniper-01-01-03 編號: ELK-Juniper-01-01-03 名稱: 建立分配系統(tǒng)用戶組 實施目的: 為了控制不同用戶的訪問級別,建立多用戶級別,根據(jù)用戶的業(yè)務需求,將用戶賬號分配到相應的用戶級別。 問題影響: 賬號越權使用 系統(tǒng)當前狀態(tài): 使用 show configuration system login 查看當前配置 實施方案: 1、參考配置操作 創(chuàng)建用戶級別: set system login class ABC1 permissions [ view view-configuration ] 將用戶賬號分配到相應的用戶級別: set system login user abc1 class read-only set system login user abc2 class ABC1 第 5 頁 共 25 頁 set system login user abc3 class super-user 2、補充操作說明 (1) 、ABC1 是手工創(chuàng)建的組,該組具有的權限:查看設 備運行狀態(tài)(如接口狀態(tài)、設備硬件狀態(tài)、路由狀態(tài)等) , 并且可以查看設備的配置; (2) 、read-only 組具有的權限:查看設備運行狀態(tài), 但不能查看設備的配置; (3) 、super-user 是超級用戶組,具有的權限:所有權 限; (4) 、read-only 和 super-user 是路由器已經(jīng)創(chuàng)建的組, 不需要手工創(chuàng)建; (5) 、abc1、abc2、abc3 是不同的用戶,它們分別分配到 相應的用戶級別。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration system login 查看當前配置 實施風險: 高 重要等級: ★★★ 1.2. 口令 1.2.1. ELK-Juniper-01-02-01 編號: ELK-Juniper-01-02-01 名稱: 提高口令強度 實施目的: 對于采用靜態(tài)口令認證技術的設備,口令長度至少 6 位, 并包括數(shù)字、小寫字母、大寫字母和特殊符號 4 類中至少 2 類。 問題影響: 增加密碼被暴力破解的成功率 系統(tǒng)當前狀態(tài): 使用 show configuration system login 查看當前配置 第 6 頁 共 25 頁 實施方案: 1、參考配置操作 set system login user abc1 authentication plain- text-password 2、補充操作說明 (1) 、輸入指令回車后,將兩次提示輸入新口令(New password:和 Retype new password:) 。 (2) 、口令要求:長度至少 6 位,并包括數(shù)字、小寫字母、 大寫字母和特殊符號 4 類中至少 2 類。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration system login 查看當前配置 實施風險: 低 重要等級: ★★★ 1.2.2. ELK-Juniper-01-02-02 編號: ELK-Juniper-01-02-02 名稱: 根據(jù)用戶的業(yè)務需要配置其所需的最小權限 實施目的: 在設備權限配置能力內(nèi),根據(jù)用戶的業(yè)務需要,配置其所需的最小權限。 問題影響: 越權使用,非法訪問。 系統(tǒng)當前狀態(tài): 使用 show configuration system login 查看當前配置 實施方案: (1) 、用 show configuration system login class ABC1 命令查 看配置 (2) 、用 show configuration system login class ABC2 命令查 看配置 (3) 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc1 和密碼 成功登錄路由器后,用 configure 命令進入配置模式。 使用以下命令檢測: set routing-可選 ions static 第 7 頁 共 25 頁 set interfaces set chassis fpc 使用其它 set 命令 (4) 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc2 和密碼成功登錄路由器后,用 configure 命令進入配置模式。 使用以下命令檢測: set policy-可選 ions set protocols set routing-instances set routing-可選 ions 使用其它 set 命令 (5) 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc3 和密碼成功登錄路由器后,用 configure 命令進入配置模式。 使用 set 命令以及其它命令檢測。 回退方案: 使用 show configuration system login 查看當前配置。還原系統(tǒng)配置文件。 判斷依據(jù): (1) 、賬號 abc1 屬于組 ABC1,該組只能配置 routing-可選 ions static、interfaces、 Chassis fpc 項里的內(nèi)容。不能做其 它未授權的配置; (2) 、賬號 abc2 屬于組 ABC2,該組只能配置關于路由的 所有配置,包括 routing-可選 ions、protocols、policy-可選 ions、 routing-instances 等,不能做其它未授權的配置; (3) 、賬號 abc3 屬于組 super-user,擁有全部配置權限。 備注: 創(chuàng)建用戶級別,即創(chuàng)建用戶的配置權限: set system login class ABC1 permissions configure set system login class ABC1 allow-configuration “routing-可選 ions static|interfaces|chassis fpc“ set system login class ABC2 permissions [ configure routing- 第 8 頁 共 25 頁 control ] 將用戶賬號分配到相應的用戶級別: set system login user abc1 class ABC1 set system login user abc2 class ABC2 set system login user abc3 class super-user 2、補充操作說明 (1) 、ABC1 組具有的權限:可配置 interfaces,可配置 routing-可選 ions 中的 static,可配置 chassis 中的 fpc; (2) 、ABC2 組具有的權限:可配置有關于路由的所有配置, 包括 routing-可選 ions、protocols、policy- 可選 ions、 routing-instances 等; (3) 、allow-configuration 參數(shù)是以等級來限制,可以限制 各個等級的配置,可以細化到各個小等級; (4) 、permissions 參數(shù)是以功能來限制,限制的范圍較大; (5) 、allow-commands 參數(shù)是以具體的指令來限制,allow- comands 參數(shù)需要設定具體指令,不建議使用。 實施風險: 低 重要等級: ★★★ 1.2.3. ELK-Juniper-01-02-03 編號: ELK-Juniper-01-02-03 名稱: 提高 ROOT 用戶口令強度 實施目的: 修改 root 密碼。root 的默認密碼是空,修改 root 密碼,避免非管理員使用 root 賬號登錄。 問題影響: 增加密碼被暴力破解的成功率 系統(tǒng)當前狀態(tài): 使用 show configuration system login 查看當前配置 第 9 頁 共 25 頁 實施方案: 1、參考配置操作 (1) 、用 show configuration system login 命令查看配置是否 正確; (2) 、通過 console 口方式登錄路由器,輸入 root 用戶名和 密碼; (3) 、通過 console 口方式登錄路由器,輸入 root 用戶和空 密碼。 2、補充操作說明 (1) 、輸入指令回車后,將兩次提示輸入新口令(New password:和 Retype new password:) 。 (2) 、口令要求:長度至少 6 位,并包括數(shù)字、小寫字母、 大寫字母和特殊符號 4 類中至少 2 類。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): (1) 、輸入 root 用戶和正確密碼可以正常登錄路由器; (2) 、輸入 root 用戶和空密碼無法登錄路由器。 實施風險: 低 重要等級: ★★★ 1.3. 認證 1.3.1. ELK-Juniper-01-03-01 編號: ELK-Juniper-01-03-01 名稱: 設置認證系統(tǒng)聯(lián)動 實施目的: 設備通過相關參數(shù)配置,與認證系統(tǒng)聯(lián)動,滿足帳號、口令和授權的強制要求。 問題影響: 密碼泄露。 系統(tǒng)當前狀態(tài): 使用 show configuration system login 查看當前配置 并查看 Radius 服務器配置 第 10 頁 共 25 頁 實施方案: 1、參考配置操作 set system authentication-order radius set system authentication-order password set system radius-server 10.1.1.1 set system radius-server 10.1.1.2 set system radius-server 10.1.1.1 port 1645 set system radius-server 10.1.1.2 port 1645 set system radius-server 10.1.1.1 secret abc123 set system radius-server 10.1.1.2 secret abc123 2、補充操作說明 (1) 、配置認證方式,可通過 radius 和本地認證; (2) 、 10.1.1.1 和 10.1.1.2 是 radius 認證服務器的 IP 地 址,建議建立兩個 radius 認證服務器作為互備; (3) 、port 1645 是 radius 認證開啟的端口號,可根據(jù)本 地 radius 認證服務器開啟的端口號進行配置; (4) 、 abc123 是與 radius 認證系統(tǒng)建立連接所設定的密碼, 建議:與 radius 認證服務器建立連接時,使用密碼認證建 立連接。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration system login 查看當前配置 實施風險: 低 重要等級: ★ 2. 日志配置 本部分對 JUNIPER 設備的日志功能提出建議,主要加強設備所具備的日 志功能,確保發(fā)生安全事件后,設備日志能提供充足的信息進行安全事件定位。 根據(jù)這些要求,設備日志應能支持記錄與設備相關的重要事件,包括違反安全 策略的事件、設備部件發(fā)生故障或其存在環(huán)境異常等,以便通過審計分析工具, 發(fā)現(xiàn)安全隱患。如出現(xiàn)大量違反 ACL 規(guī)則的事件時,通過對日志的審計分析, 第 11 頁 共 25 頁 能發(fā)現(xiàn)隱患,提高設備維護人員的警惕性,防止惡化。 2.1.1. ELK-Juniper-02-01-01 編號: ELK-Juniper-02-01-01 名稱: 開啟系統(tǒng)日志功能 實施目的: 設備應配置日志功能,記錄用戶對設備的操作,比如:賬 號創(chuàng)建、刪除和權限修改,口令修改,讀取和修改設備配 置,涉及通信隱私數(shù)據(jù)。記錄需要包含用戶賬號,操作時 間,操作內(nèi)容以及操作結果。 問題影響: 無法對用戶的登陸進行日志記錄。 系統(tǒng)當前狀態(tài): 使用 show configuration system syslog 查看當前配置 實施方案: 1、參考配置操作 set system syslog file author.log authorization info 2、補充操作說明 (1) 、author.log 是記錄登錄信息的 log 文件,該文件名 稱可手工定義; (2) 、author.log 文件保存在 juniper 路由器的存儲上。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration system syslog 查看當前配置 實施風險: 低 重要等級: ★★★ 2.1.2. ELK-Juniper-02-01-02 編號: ELK-Juniper-02-01-02 名稱: 開啟系統(tǒng)安全日志功能 實施目的: 設備應配置日志功能,記錄對與設備相關的安全事件,比如:記錄路由協(xié)議事件和錯誤。 問題影響: 無法記錄路由協(xié)議事件和錯誤。 第 12 頁 共 25 頁 系統(tǒng)當前狀態(tài): 使用 show configuration 查看當前配置 實施方案: 1、參考配置操作 set system syslog file daemon.log daemon warning set system syslog file firewall.log firewall warning 2、補充操作說明 (1) 、daemon.log 是記錄路由協(xié)議事件的文件,該文件名 稱可手工定義; (2) 、firewall.log 是記錄安全事件的文件,該文件名稱 可手工定義; (3) 、daemon 和 firewall 可定義有九個等級,建議將其設 定為 warning 等級,即僅記錄 warning 等級以上的安全 事件。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration 查看當前配置 實施風險: 中 重要等級: ★★★ 2.1.3. ELK-Juniper-02-01-03 編號: ELK-Juniper-02-01-03 名稱: 設置配置更改日志路徑 實施目的: 設置系統(tǒng)的配置更改信息保存到單獨的 change.log 文件內(nèi)。 問題影響: 暴露系統(tǒng)日志。 系統(tǒng)當前狀態(tài): 使用 show configuration system syslog 查看當前配置 實施方案: 1、參考配置操作 set system syslog file change.log change-log info 2、補充操作說明 (1) 、change.log 是記錄配置更改的文件,該文件名稱可 手工定義; (2) 、change.log 文件保存在 juniper 路由器的存儲上。 第 13 頁 共 25 頁 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration system syslog 查看當前配置 實施風險: 中 重要等級: ★★ 2.1.4. ELK-Juniper-02-01-04 編號: ELK-Juniper-02-01-04 名稱: 設置配置遠程日志功能 實施目的: 設備配置遠程日志功能,將需要重點關注的日志內(nèi)容傳輸?shù)饺罩痉掌鳌?問題影響: 丟失重要日志。 系統(tǒng)當前狀態(tài): 使用 show configuration system syslog 命令查看配置 實施方案: set system syslog host 10.1.1.1 any notice set system syslog host 10.1.1.1 log-prefix Router1 set system syslog host 10.1.1.2 any notice set system syslog host 10.1.1.2 log-prefix Router2 補充操作說明 (1) 、10.1.1.1 和 10.1.1.2 是遠程日志服務器的 IP 地址,建 議建設兩個遠程日志服務器作為互備; (2) 、syslog 有九個等級的記錄信息,建議將 notice 等級以 上的信息傳送到遠程日志服務器; (3) 、Router1 為路由器的主機名稱。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): (1) 、使用 show configuration system syslog 命令查看配置; (2) 、登錄遠程日志服務器查看日志。 實施風險: 中 第 14 頁 共 25 頁 重要等級: ★★ 2.1.5. ELK-Juniper-02-01-05 編號: ELK-Juniper-02-01-05 名稱: 設置系統(tǒng)的配置更改信息 實施目的: 設置系統(tǒng)的配置更改信息保存到單獨的 change.log 文件內(nèi) 問題影響: 丟失重要日志。 系統(tǒng)當前狀態(tài): 使用 show configuration system syslog 命令查看配置 實施方案: (1) 、使用 show configuration system syslog 命令查看配置; (2) 、在終端上以 telnet 方式登錄路由器,輸入用戶名密碼; (3) 、進行創(chuàng)建、刪除帳號和修改用戶密碼等修改設備配 置操作; (4) 、用 show log change.log 命令查看日志。 回退方案: 使用 show configuration system syslog 命令查看配置,恢復默認配置 判斷依據(jù): 可以在 change.log 中查看到用戶的操作內(nèi)容、操作時間 實施風險: 中 重要等級: ★★ 2.1.6. ELK-Juniper-02-01-06 編號: ELK-Juniper-02-01-06 名稱: 保證日志功能記錄的時間的準確性。 實施目的: 開啟 NTP 服務,保證日志功能記錄的時間的準確性。路由器與 NTP SERVER 之間開啟認證功能 。 問題影響: 丟失重要日志。 系統(tǒng)當前狀態(tài): 使用 show configuration system syslog 命令查看配置 第 15 頁 共 25 頁 實施方案: (1) 、使用 show configuration system ntp 命令查看配置; (2) 、使用 show system uptime 命令查看路由器時間與并與 北京時間對比; (3) 、使用 show ntp associations 查看路由器是否與 NTP 服 務器同步; (4) 、使用 show ntp status 查看路由器時間同步狀態(tài)。 回退方案: 使用 show configuration system syslog 命令查看配置,恢復默認配置 判斷依據(jù): (1) 、用 show ntp associations 命令查看,信息如下面所示: remote refid st t when poll ============================== * ROUTER1 10.1.1.1 2 u 641 1024 + ROUTER2 10.1.1.2 2 u 713 1024 reach delay offset jitter ============================== 377 0.964 -24.126 0.067 377 4.490 -12.013 0.457 ROUTER1 前面的(*)號表示 ROUTER1 是已和路由器時間 同步的 NTP 服務器,(+)號為備用的 NTP 服務器. (2) 、有 show ntp status 命令查看,信息如下: status=0644 leap_none, sync_ntp, 4 events, event_peer/strat_chg, version=“ntpd 4.1.0-a Wed Oct 5 18:44:40 GMT 2005 (1)“, processor=“i386“, system=“JUNOS7.3R2.7“, leap=00, stratum=3, precision=-28, rootdelay=9.814, rootdispersion=102.250, peer=42484, refid=ROUTER , reftime=ca227da4.4b3ffac1 Wed, Jun 20 2007 0:07:00.293, poll=10, clock=ca2280ce.02849cb2 Wed, Jun 20 2007 0:20:30.009, state=4, offset=-17.830, frequency=85.438, jitter=28.377, stability=0.048 如上面信息的第一句第二部分顯示”sync_ntp” 表示路由 器時間已和 NTP 服務器同步,如果顯示”sync_unspec”即未 同步.。 實施風險: 中 重要等級: ★★ 第 16 頁 共 25 頁 3. 通信協(xié)議 3.1.1. ELK-Juniper-03-01-01 編號: ELK-Juniper-03-01-01 名稱: OSPF 協(xié)議安全 實施目的: 對于非點到點的 OSPF 協(xié)議配置,應配置 MD5 加密認證,通過 MD5 加密認證建立 neighbor 問題影響: 惡意攻擊 系統(tǒng)當前狀態(tài): 使用 show configuration protocols rsvp 查看當前配置 實施方案: 1) 、使用 show configuration 命令查看配置 2) 、使用 show ospf neighbor 命令查看 OSPF 鄰居狀態(tài) 3) 、使用 show route protocol ospf brief 命令查看 OSPF 路由 表 4) 、使用 ping 檢查路由連通性 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 1) 、OSPF 鄰居處于 full 狀態(tài)為正常 ,能學到鄰居的路由為正 常 2) 、路由能連通為正常 實施風險: 低 重要等級: ★ 3.1.2. ELK-Juniper-03-01-02 編號: ELK-Juniper-03-01-02 名稱: 啟用帶加密方式的身份驗證 實施目的: 配置動態(tài)路由協(xié)議(BGP/ MP-BGP /OSPF 等)時必須啟用 帶加密方式的身份驗證功能,相鄰路由器只有在身份驗證 通過后,才能互相通告路由信息。 問題影響: 非法訪問, 第 17 頁 共 25 頁 系統(tǒng)當前狀態(tài): 使用 show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor 查看當前配置 實施方案: (1) 、使用 show configuration protocol 命令查看配置; (2) 、使用 show bgp neighbor 命令查看 BGP 鄰居狀態(tài); (3) 、使用 show route protocol bgp brief 命令查看 BGP 路由 表; (4) 、使用 show ospf neighbor 命令查看 OSPF 鄰居狀態(tài); (5) 、使用 show route protocol ospf brief 命令查看 OSPF 路 由表; (6) 、使用 ping 命令檢查路由連通性。 回退方案: 使用 show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor 查看當前配置, 還原給原始狀態(tài)。 判斷依據(jù): 1) 、確定配置已經(jīng)啟用加密的身份認證; 2) 、BGP 鄰居處于 establish 狀態(tài)為正常,能學到鄰居的路 由為正常; 3) 、OSPF 鄰居處于 full 狀態(tài)為正常 ,能學到鄰居的路由為正 常; 4) 、路由能連通為正常。 實施風險: 中 重要等級: ★★ 3.1.3. ELK-Juniper-03-01-03 編號: ELK-Juniper-03-01-03 名稱: 過濾所有和業(yè)務不相關的流量 實施目的: 對于具備 TCP/UDP 協(xié)議功能的設備,設備應根據(jù)業(yè)務需要, 配置基于源 IP 地址、通信協(xié)議 TCP 或 UDP、目的 IP 地址、 源端口、目的端口的流量過濾,過濾所有和業(yè)務不相關的 流量。 問題影響: 惡意攻擊。 系統(tǒng)當前狀態(tài): 使用 show configuration firewall filter abc 查看配置 第 18 頁 共 25 頁 實施方案: (1) 、使用 show configuration firewall filter abc 查看配置 (2) 、將終端的 IP 地址設為: 10.1.1.1 (3) 、在終端上安裝 Nmap 端口掃描工具(本例基于 windowsXP2 系統(tǒng)) (4) 、在 DOS 下輸入:nmap -sS -g 445 10.1.2.1 –p 145 這 指令的意思是以源端口為 445 來訪問主機 IP 為 10.1.2.1 的 TCP145 端口。 (5) 、用 namp 訪問其它非業(yè)務端口,如訪問 80 端口,在 DOS 下輸入: nmap –sS 10.1.2.1 –p 80 這指令的意思是以任何端口訪問 10.1.2.1 的 TCP80 端口 (6) 、運行真實業(yè)務測試業(yè)務流量和非業(yè)務流量。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration firewall filter abc 查看配置,還原為原始狀態(tài)。 實施風險: 中 重要等級: ★★ 3.1.4. ELK-Juniper-03-01-04 編號: ELK-Juniper-03-01-04 名稱: 配置 MP-BGP 的 MD5 加密認 實施目的: 配置 MP-BGP 路由協(xié)議,應配置 MD5 加密認證,通過 MD5 加密認證建立 peer。 問題影響: 信息泄露。 系統(tǒng)當前狀態(tài): 使用 show configuration protocol bgp 查看當前配置 第 19 頁 共 25 頁 實施方案: 1、參考配置操作 set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123 2、補充操作說明 1) 、 abc 為 group 的名稱,可自行設定; 2) 、 10.1.1.1 為對端 peer 的 IP 地址,可根據(jù)需求設定; 3) 、 abc123 為 MD5 加密認證的認證密碼,該密碼和對端 peer 的密碼要一致。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration protocol bgp 查看當前配置 實施風險: 中 重要等級: ★★ 3.1.5. ELK-Juniper-03-01-05 編號: ELK-Juniper-03-01-05 名稱: 設置 SNMP 訪問安全限制 實施目的: 設置 SNMP 訪問安全限制,只允許特定主機通過 SNMP 訪問網(wǎng)絡設備。 問題影響: 非法登陸。 系統(tǒng)當前狀態(tài): 使用 show configuration snmp 查看當前配置 實施方案: 1、參考配置操作 set snmp community abcd123 clients 10.1.1.1/32 set snmp community abcd123 clients 10.1.2.1/32 set snmp community abcd123 clients ready-only 2、補充操作說明 1) 、 abcd123 是 communtity 字符串,可自行定義,但必須 和 client 的主機一致; 2) 、 10.1.1.1 和 10.1.2.1 是主機 IP 地址,即允許 10.1.1.1.和 10.1.2.1 主機通過 SNMP 訪問網(wǎng)絡設備; 3) 、未在 client 列表中的主機,不允許通過 SNMP 訪問網(wǎng) 絡設備。 第 20 頁 共 25 頁 4) 、設置主機訪問網(wǎng)絡設備具有讀的權限,可根據(jù)需求設 置為具有讀寫的權限(read-write) 。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration snmp 查看當前配置 實施風險: 高 重要等級: ★★★ 3.1.6. ELK-Juniper-03-01-06 編號: ELK-Juniper-03-01-06 名稱: RSVP 標簽分發(fā)協(xié)議 實施目的: 啟用 RSVP 標簽分發(fā)協(xié)議時,打開 RSVP 協(xié)議認證功能,如MD5 加密,確保與可信方進行 RSVP 協(xié)議交互。 問題影響: 非法登陸。 系統(tǒng)當前狀態(tài): 使用 show configuration protocols rsvp 查看當前配置 實施方案: 1、參考配置操作 set protocols rsvp interface fe-0/0/0.0 authentication-key abc123 2、補充操作說明 abc123 為 MD5 加密密碼。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 各鄰居狀態(tài)為 UP 正常各 RSVP session 狀為 UP 正常 實施風險: 中 重要等級: ★★ 第 21 頁 共 25 頁 4. 設備其他安全要求 4.1.1. ELK-Juniper-04-01-01 編號: ELK-Juniper-04-01-01 名稱: 開啟配置定期備份 實施目的: 開啟配置文件定期備份功能,定期備份配置文件。 問題影響: 容易丟失數(shù)據(jù)。 系統(tǒng)當前狀態(tài): 使用 show configuration system archival 查看當前配置 實施方案: 1、參考配置操作 set system archival configuration transfer-interval 2880 set system archival configuration archive-sites ftp://juniper@10.1.1.1 password abc123 set system archival configuration archive-sites ftp://juniper@10.1.1.2 password abc123 2、補充操作說明 1) 、 2880 是時間間隔,單位是分鐘,時間間隔可設置的范 圍為 15-2880; 2) 、juniper 是 ftp 的用戶名稱, 10.1.1.1 和 10.1.1.2 是 ftp 服務器的 IP 地址, abc123 是登錄 frp 服務器的密 碼;建議設置兩個 IP 地址作為互備; 3) 、定期備份僅能通過 ftp 服務備份; 4) 、通過定期備份配置文件,時間間隔較短,即備份比較 頻繁,建議采用 transfer-on-commit 方式,即只要執(zhí) 行 commit 指令,配置將自動備份到 ftp 服務器,指令 為 set system archival configuration transfer-on- commit; 5) 、transfer-interval 和 transfer-on-commit 方式不能 共存。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration system archival 查看當前配置 第 22 頁 共 25 頁 實施風險: 高 重要等級: ★★★ 4.1.2. ELK-Juniper-04-01-02 編號: ELK-Juniper-04-01-02 名稱: 關閉不必要服務 實施目的: 關閉網(wǎng)絡設備不必要的服務,比如 FTP、TFTP 服務等。 問題影響: 對系統(tǒng)造成不穩(wěn)定。 系統(tǒng)當前狀態(tài): 使用 show configuration system services 查看當前配置 實施方案: 1、參考配置操作 delete system services ftp 2、補充操作說明 默認是關閉 FTP 服務 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration system services 查看當前配置 實施風險: 低 重要等級: ★★★ 4.1.3. ELK-Juniper-04-01-03 編號: ELK-Juniper-04-01-03 名稱: 限制遠程管理 IP 實施目的: 系統(tǒng)遠程管理服務 TELNET、SSH 默認可以接受任何地址的連接,出于安全考慮,應該只允許特定地址訪問。 問題影響: 非法登陸。 第 23 頁 共 25 頁 系統(tǒng)當前狀態(tài): 使用 show configuration firewall filter 查看當前配置 實施方案: 1、參考配置操作 set firewall filter abc term a from source-address 10.1.1.1/32 set firewall filter abc term a from source-address 10.1.1.2/32 set firewall filter abc term a then accept set firewall filter abc term b from protocol tcp port telnet set firewall filter abc term b then reject set firewall filter abc term c then accept 2、補充操作說明 1) 、 abc 為 filter 名稱,可自定義; 2) 、10.1.1.1/32 和 10.1.1.2/32 上允許 telnet 的主機 IP 地址; 3) 、term a 實現(xiàn)的功能為:允許特定地址訪問; 4) 、term b 實現(xiàn)的功能為:除了允許特定地址訪問之外, 不允許其它地址訪問 telnet 端口。 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration firewall filter 查看當前配置 實施風險: 高 重要等級: ★★★ 4.1.4. ELK-Juniper-04-01-04 編號: ELK-Juniper-04-01-04 名稱: 限制 telnet 并發(fā)連接數(shù) 實施目的: TELNET 默認可以接受 250 個同時連接。配置 TELNET 等遠程 維護方式時,應配置連接最大數(shù)量限制為 10 個,并且每分 鐘最多有 5 個可以連接,可以防止在 TELNET 端口上的 SYN flood DoS 攻擊。 問題影響: 非法登陸。 第 24 頁 共 25 頁 系統(tǒng)當前狀態(tài): 使用 show configuration system services telnet 查看當前配置 實施方案: 1、參考配置操作 set system services telnet connection-limit 10 set system services telnet rate-limit 5 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 使用 show configuration system services telnet 查看當前配置 實施風險: 高 重要等級: ★★★ 4.1.5. ELK-Juniper-04-01-05 編號: ELK-Juniper-04-01-05 名稱: 定時賬戶自動登出安全 實施目的: 對于 Juniper 路由器,應配置定時賬戶自動登出,防止被非法利用。 問題影響: 非法利用。 系統(tǒng)當前狀態(tài): 使用 show configuration system services telnet 查看當前配置 實施方案: set cli idle-timeout 15 回退方案: 還原系統(tǒng)配置文件 判斷依據(jù): 當時間超時,用戶會自動退出路由器 實施風險: 低 第 25 頁 共 25 頁 重要等級: ★★★- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設計者僅對作品中獨創(chuàng)性部分享有著作權。
- 關 鍵 詞:
- Juniper 網(wǎng)絡設備 安全 加固 規(guī)范
裝配圖網(wǎng)所有資源均是用戶自行上傳分享,僅供網(wǎng)友學習交流,未經(jīng)上傳用戶書面授權,請勿作他用。
鏈接地址:http://ioszen.com/p-1544652.html