HC交换机设备安全基线

1、H3c设备平安配置基线目录第1章概述1.1 目的1.2 适用范围1.3 适用版本第2章帐号治理、认证授权平安要求 2.1 帐号治理2.1.1 用户帐号分配* 2.1.2 删除无关的帐号* 2.2 口令2.2.1 静态口令以密文形式存放 2.2.2 帐号、口令和授权 2.2.3 密码复杂度2.3 授权2.3.1 用IP协议进行远程维护的设备使用SSH加密协议 第3章日志平安要求3.1 日志平安3.1.1 启用信息中央3.1.2 开启NTP效劳保证记录的时间的准确性 3.1.3 远程日志功能* 第4章第协议平安要求41 IP协议4.1.1 VRRPA 证4.1.2 系统远程效劳只允许特定地址访问

2、42 功能配置4.2.1 SNMP勺Community默认通行字口令强度4.2.2 只与特定主机进行 SNMP1、议交互 4.2.3 配置SNMPV或以上版本4.2.4 关闭未使用的 SNMP1、议及未使用 write 权PB 第5章 第协议平安要求 5.1 其他平安配置5.1.1 关闭未使用的接口 5.1.2 修改设备缺省 BANNED5.1.3 配置定时账户自动登出 5.1.4 配置 console 口密码保护功能 5.1.5 端口与实际应用相符 第1章概述1.1 目的标准配置H3c路由器、交换机设备,保证设备根本平安.1.2 适用范围本配置标准的使用者包括：网络治理员、网络平安治理员、网

3、络监控人 员.1.3 适用版本comwareV7版本交换机、路由器.第2章帐号治理、认证授权平安要求2.1 帐号治理2.1.1 用户帐号分配*1、平安基线名称：用户帐号分配平安2、平安基线编号：SBL-H3C-02-01-013、平安基线说明：应根据用户分配帐号,预防不同用户间共享帐号,预防用户帐 号和设备间通信使用的帐号共享.4、参考配置操作： H3C local-user adminH3C-luser-manage-admin password hash adminmmu2H3C-luser-manage-admin authorization-attribute user-role le

4、vel-15H3C local-user userH3C-luser-network-user password hash usernhesaH3C-luser-network-user authorization-attribute user-role network-operator5、平安判定条件:(1)配置文件中,存在不同的账号分配(2)网络治理员确认用户与账号分配关系明确6、检测操作:使用命令dis cur命令查看:password hash $h$6$mmu2MlqLkGMnNyKy$9R21M4uRDsxuoWQ=service-type sshauthorization-att

5、ribute user-role level-15#local-user user class networkpassword hash $h$6$mmu2MlqLkGMnNyservice-type sshauthorization-attribute user-role network-operator#比照命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,说明 符合平安要求.2.1.2删除无关的帐号*1、平安基线名称：删除无关的账号2、平安基线编号：SBL-H3C-02-01-023、平安基线说明：应删除与设备运行、维护等工作无关的账号.4、参考配置操作：H3Cundo loc

6、al-user user class network5、平安判定条件：(1)配置文件存在多个账号(2)网络治理员确认账号与设备运行、维护等工作无关6、检测操作：使用 dis cur | include local-use喻令查看：H3Cdis cur | include local-userlocal-user useri class manage假设不存在无用账号那么说明符合平安要求.2.2 口令2.2.1 静态口令以密文形式存放1、平安基线名称：静态口令以密文形式存放2、平安基线编号：SBL-H3C-02-02-013、平安基线说明：配置本地用户和 super口令使用密文密码.4、参考配置

7、操作：H3Clocal-user adminH3C-luser-manage-adminpassword hash 密文 password> /酉己置本地用户密文密码H3Csuper password hash钠文password> /酉己置super密码使用密文加密5、平安判定条件：配置文件中没有明文密码字段.6、检测操作：使用dis cur显示本地用户账号和super密码为密文密码#local-user admin class managepassword hash$h$6$mmu2MlqLkGMnNyKy$9R21M4uRDoZlLwO/4Jn/G1OXExEKsv+c2lN

8、RICxCEUU13fGSGCqkVojcHvn8a6u8gcHLXVWaCgq4/VI0sxuoWQ=service-type ssh telnet authorization-attribute user-role level-15#local-user useri class managepassword hash$h$6$Vq2YRqXUGH5+Rb7H$gXyN9RI9CPidNbbabnP8Ul6RvR9P8+AchsO5MmNV+ ePgOJ6z8/mZTL1hlnQV14oDAbvP5uHhG7gP1/U0pwHGFQ=authorization-attribute user-

9、role network-operator#super password role network-admin hash$h$6$5hCfLSGRV20XIu31$CMRoTM2axjYWGsOuwnhH7jdyczUUTGupjH0RinySG Yft6k9RDySQS29QyciznpJoVS/thfJHRWEmiPQG7c13WQ=#2.2.2帐号、口令和授权1、平安基线名称：账号、口令和授权平安基线2、平安基线编号：SBL-H3C-02-02-023、平安基线说明：通过认证系统,确认远程用户身份,判断是否为合法的网络用 户.4、参考配置操作：H3Clocal-user adminH3C

10、-luser-manage-adminpassword hash pipaxingxiangyunH3C-luser-manage-admin authorization-attribute user-role level-15H3Cdomain adminH3C-isp-adminauthentication default local5、平安判定条件：账号和口令的配置,指定了认证的系统.6、检测操作：H3Cdis cur #domain admin#domain system#domain default enable system#2.2.3密码复杂度1、平安基线名称：密码复杂度2、平安

11、基线编号：SBL-H3C-02-02-033、平安基线说明：对于采用静态口令认证技术的设备,口令长度至少 8位,并包 括数字、小写字母、大写字母和特殊符号四类中至少两类.且 5次以内不得设置相 同的口令.密码应至少每90天进行更换.4、参考配置操作：H3Clocal-user adminH3C-luser-manage-adminpassword pipaxingxiangyun5、平安判定条件：密码强度符合要求,密码至少 90天进行更换.2.3授权2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议1、平安基线名称：用IP协议进行远程维护设备2、平安基线编号：SBL-H3C-02-0

12、3-013、平安基线说明：使用IP协议进行远程维护设备,应配置使用 SSH等加密协议 连接.4、参考配置操作：H3Cssh server enableH3Clocal-user adminH3C-luser-manage-admin service-type ssh5、平安判定条件：配置文件中只允许SSH等加密协议连接.6、检测操作：使用 dis cur | include ssh令：H3Cdis cur | include sshssh server enableservice-type sshssh效劳为enable状态说明符合平安要求.第3章 日志平安要求3.1 日志平安3.1.1 启用

13、信息中央1、平安基线名称：启用信息中央2、平安基线编号：SBL-H3C-03-01-013、平安基线说明：启用信息中央,记录与设备相关的事件.4、参考配置操作：H3Cinfo-center enable5、平安判定条件：(1)设备应配置日志功能,能对用户登录进行记录,记录内容包括用户登录使用 的账号,登录是否成功,登录时间,以及远程登录使用的IP地址.(2)记录用户登录设备后所进行的所有操作.6、检测操作：使用 dis info-center有显示 Information Center: Enabled类似信息,如：H3Cdis info-centerInformation Center: E

14、nabledConsole: EnabledMonitor: EnabledLog host: Enabledport number: 514, host facility: local7port number: 514, host facility: local7port number: 514, host facility: local7Log buffer: EnabledMax buffer size 1024, current buffer size 512Current messages 512, dropped messages 0, overwritten messages 3

15、736Log file: EnabledSecurity log file: DisabledInformation timestamp format:Log host: DateOther output destination: Date3.1.2 开启NTP效劳保证记录的时间的准确性1、平安基线名称：日志记录时间准确性2、平安基线编号：SBL-H3C-03-01-023、平安基线说明：开启NTP效劳,保证日志功能记录的时间的准确性.4、参考配置操作：配置ntp客户端,效劳器地址为：H3Cntp-service enableH3Cntp-service unicast-server5、平安判

16、定条件：日志记录时间准确.6、检测操作：H3Cdis cur | include ntpntp-service enablentp-service unicast-server 13.1.3 远程日志功能*1、平安基线名称：远程日志功能2、平安基线编号：SBL-H3C-03-01-033、平安基线说明：配置远程日志功能,使设备能通过远程日志功能传输到日志服 务器.4、参考配置操作：H3Cinfo-center loghost *.*.*.*/配置接收日志的效劳器地址H3Cinfo-center source default loghost level emergency /£ 置发送

17、的日志级别5、平安判定条件：日志效劳器能够正确接收网络设备发送的日志.6、检测操作：使用命令 dis cur | include info-center查看： H3Cdis cur | include info-centerundo copyright-info enableinfo-center source default loghost level emergency4.1 IP协议4.1.1 VRRP 认证1、平安基线名称：VRRP认证2、平安基线编号：SBL-H3C-04-01-013、平安基线说明：VRRP启用认证,预防非法设备参加到 VRRP组中.4、平安判定条件：查看VRRP组

18、,只存在正确的设备.5、检测操作：使用命令dis vrrp4.1.2 系统远程效劳只允许特定地址访问1、平安基线名称：系统远程效劳只允许特定地址访问2、平安基线编号：SBL-H3C-04-01-023、平安基线说明：设备以UDP/TCP*议对外提供效劳,供外部主机进行访问,如 作为NTP效劳器、TELNET!务器、TFTP效劳器、FTP效劳器、SSH®务器等,应配 置设备,只允许特定主机访问.4、参考配置操作：通过配置访问限制列表 ACL,只允许特定的地址访问设备的效劳,如：H3Cacl advanced 3000H3C-acl-ipv4-adv-3000 rule 0 destin

19、ation-port eq 443H3C-acl-ipv4-adv-3000 rule 65534 deny ip5、平安判定条件：在相关端口上绑定相应的 ACL.6、检测操作：使用dis cur命令查看：#interface Vlan-interface10packet-filter 3000 inbound#4.2功能配置4.2.1 SNMP的Community 默认通行字口令强度1、平安基线名称：SNMP协议的community团体字2、平安基线编号：SBL-H3C-04-02-013、平安基线说明：修改SNMP的community默认团体字,字符串应符合口令强度 要求.4、参考配置操作

20、：H3Csnmp-agent community read <community 团体字 >H3C snmp-agent community write < community 团体字 >5、平安判定条件：Community非默认,口令长度至少8位,并包括数字、小写字母、大写字母和特殊 符号4类中至少2类.6、检测操作：使用命令 dis cur | include snmp查看:H3Cdis cur | include snmpsnmp-agentsnmp-agent community read xiangyun_readsnmp-agent community wr

21、ite xiangyun_writesnmp-agent sys-info version v3snmp-agent trap enable arpsnmp-agent trap enable radiussnmp-agent trap enable stp7、补充：假设设备不需要使用SNMP协议应关闭SNMP功能,假设需要用到应使用 V2版本以 上的SNMP协议.4.2.2 只与特定主机进行SNMP协议交互1、平安基线名称：只与特定主机进行 SNMP协议交互2、平安基线编号：SBL-H3C-04-02-023、平安基线说明：设备只与特定主机进行SNMP协议交互4、参考配置操作：使用ACL限制

22、只与特定主机进行 SNMP交互H3Cacl advanced name acl_snmpH3C-acl-ipv4-adv-acl_snmprule deny ip source anyH3Csnmp-agent community read xiangyun acl name acl_snmp5、平安判定条件：Snmp绑定了 acl6、检测操作：使用 dis cur | include snmp命令查看：H3Cdis cur | include snmpsnmp-agentsnmp-agent community read xiangyunsnmp-agent sys-info version

23、 3snmp-agent trap enable arpsnmp-agent trap enable radiussnmp-agent trap enable stpsnmp-agent community read xiangyun acl name acl_snmp4.2.3 配置SNMPV2或以上版本1、平安基线名称：配置SNMPv2或以上版本2、平安基线编号：SBL-H3C-04-02-033、平安基线说明：系统应配置 SNMPv2或以上版本4、参考配置操作：H3Csnmp-agent sys-info version v35、平安判定条件：系统可以成功使用snmpv2或v3版本协议.

24、6、检测操作：使用 dis cur | include snmp命令查看：H3Cdis cur | include snmp snmp-agent sys-info version 34.2.4 关闭未使用的SNMP协议及未使用 write权限1、平安基线名称：关闭未使用的 SNMP协议及未使用write权限2、平安基线编号：SBL-H3C-04-02-043、平安基线说明：系统应及时关闭未使用的SNMP协议及未使用write权限4、参考配置操作：H3Cundo snmp-agent community pipaxing5、平安判定条件：Snmp权限为read.6、检测操作：使用dis cur

25、 | include snmp命令查看,权限只有 read:H3Cdis cur | include snmp snmp-agent community read xiangyun第5章其他平安要求5.1 其他平安配置5.1.1 关闭未使用的接口1、平安基线名称：关闭未使用的接口2、平安基线编号：SBL-H3C-05-01-013、平安基线说明：关闭未使用的接口4、参考配置操作：H3Cint g1/0/10H3C-GigabitEthernet1/0/10shutdown5、平安判定条件：未使用接口应该治理员down.6、检测操作：H3Cdis cur.#interface GigabitEt

26、hernet1/0/10port link-mode bridgecombo enable fibershutdown#5.1.2 修改设备缺省 BANNER 语1、平安基线名称：修改设备缺省 BANNER语2、平安基线编号：SBL-H3C-05-01-023、平安基线说明：要修改设备缺省 BANNER!, BANNE最好不要有系统平台或地 址等有碍平安的信息.4、参考配置操作：H3Cheader loginPlease input banner content, and quit with the character '%'.5、平安判定条件：欢送界面、提示符等不包含敏感信息.6、检测操作：通过远程登录或console 口登录查看设备提示信息.5.1.3 配置定时账户自动登由1、平安基线名称：配置账号定时自动退出2、平安基线编号：SBL-H3C-05-01-033、平安基线说明：如Telnet、ssh console登录连接超时退出4、参考配置操作：配置vty登录3分钟无操作自动退出：H3C user-interface vty 0 4H3C-line-vty0-4idle-timeout 35、平安判定条件：每种登录方式均设备了