Juniper網(wǎng)絡(luò)設(shè)備安全加固規(guī)范.doc

Juniper網(wǎng)絡(luò)設(shè)備安全基線規(guī)范 2019 年 10 月 第 2 頁(yè) 共 25 頁(yè) 目錄 1. 賬號(hào)管理、認(rèn)證授權(quán) .3 1.1. 賬號(hào) .3 1.1.1. ELK-Juniper-01-01-013 1.1.2. ELK-Juniper-01-01-023 1.1.3. ELK-Juniper-01-01-034 1.2. 口令 .5 1.2.1. ELK-Juniper-01-02-015 1.2.2. ELK-Juniper-01-02-026 1.2.3. ELK-Juniper-01-02-038 1.3. 認(rèn)證 .9 1.3.1. ELK-Juniper-01-03-019 2. 日志配置 .10 2.1.1. ELK-JUNIPER-02-01-01.10 2.1.2. ELK-JUNIPER-02-01-02.11 2.1.3. ELK-JUNIPER-02-01-03.12 2.1.4. ELK-JUNIPER-02-01-04.12 2.1.5. ELK-JUNIPER-02-01-05.13 2.1.6. ELK-JUNIPER-02-01-06.14 3. 通信協(xié)議 .15 3.1.1. ELK-JUNIPER-03-01-01.15 3.1.2. ELK-JUNIPER-03-01-02.16 3.1.3. ELK-JUNIPER-03-01-03.17 3.1.4. ELK-JUNIPER-03-01-04.18 3.1.5. ELK-JUNIPER-03-01-05.19 3.1.6. ELK-JUNIPER-03-01-06.20 4. 設(shè)備其他安全要求 .20 4.1.1. ELK-JUNIPER-04-01-01.20 4.1.2. ELK-JUNIPER-04-01-02.21 4.1.3. ELK-JUNIPER-04-01-03.22 4.1.4. ELK-JUNIPER-04-01-04.23 4.1.5. ELK-JUNIPER-04-01-05.24 第 3 頁(yè) 共 25 頁(yè) 1. 賬號(hào)管理、認(rèn)證授權(quán) 1.1. 賬號(hào) 1.1.1. ELK-Juniper-01-01-01 編號(hào)： ELK-Juniper-01-01-01 名稱： 按照用戶類型分配賬號(hào) 實(shí)施目的： 按照不同的用戶分配不同的賬號(hào)，避免不同用戶間共享賬號(hào)，避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。 問(wèn)題影響： 權(quán)限不明確，存在用戶越權(quán)使用的可能。 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system login 查看當(dāng)前配置 實(shí)施方案： 1、參考配置操作 set system login user abc1 set system login user abc2 2、補(bǔ)充操作說(shuō)明 1、 abc1 和 abc2 是兩個(gè)不同的賬號(hào)名稱，可根據(jù)不同用戶， 取不同的名稱； 2、賬號(hào)取名，建議使用：姓名的簡(jiǎn)寫(xiě)手機(jī)號(hào)碼。 回退方案： 刪除新增加用戶 判斷依據(jù)： 標(biāo)記用戶用途，定期建立用戶列表，比較是否有非法用戶 實(shí)施風(fēng)險(xiǎn)： 低 重要等級(jí)： 1.1.2. ELK-Juniper-01-01-02 編號(hào)： ELK-Juniper-01-01-02 第 4 頁(yè) 共 25 頁(yè) 名稱： 刪除無(wú)效賬號(hào) 實(shí)施目的： 按照不同的用戶分配不同的賬號(hào)，避免不同用戶間共享賬號(hào)，避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。 問(wèn)題影響： 非法利用系統(tǒng)默認(rèn)賬號(hào) 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system login 查看當(dāng)前配置 實(shí)施方案： 1、參考配置操作 delete system login user abc3 2、補(bǔ)充操作說(shuō)明 abc3 是與工作無(wú)關(guān)的賬號(hào)。 回退方案： 增加被刪除的用戶 判斷依據(jù)： 查看配置文件，核對(duì)用戶列表。 實(shí)施風(fēng)險(xiǎn)： 低 重要等級(jí)： 1.1.3. ELK-Juniper-01-01-03 編號(hào)： ELK-Juniper-01-01-03 名稱： 建立分配系統(tǒng)用戶組 實(shí)施目的： 為了控制不同用戶的訪問(wèn)級(jí)別，建立多用戶級(jí)別，根據(jù)用戶的業(yè)務(wù)需求，將用戶賬號(hào)分配到相應(yīng)的用戶級(jí)別。 問(wèn)題影響： 賬號(hào)越權(quán)使用 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system login 查看當(dāng)前配置 實(shí)施方案： 1、參考配置操作 創(chuàng)建用戶級(jí)別： set system login class ABC1 permissions view view-configuration 將用戶賬號(hào)分配到相應(yīng)的用戶級(jí)別： set system login user abc1 class read-only set system login user abc2 class ABC1 第 5 頁(yè) 共 25 頁(yè) set system login user abc3 class super-user 2、補(bǔ)充操作說(shuō)明 （1） 、ABC1 是手工創(chuàng)建的組，該組具有的權(quán)限：查看設(shè) 備運(yùn)行狀態(tài)（如接口狀態(tài)、設(shè)備硬件狀態(tài)、路由狀態(tài)等） ， 并且可以查看設(shè)備的配置； （2） 、read-only 組具有的權(quán)限：查看設(shè)備運(yùn)行狀態(tài)， 但不能查看設(shè)備的配置； （3） 、super-user 是超級(jí)用戶組，具有的權(quán)限：所有權(quán) 限； （4） 、read-only 和 super-user 是路由器已經(jīng)創(chuàng)建的組， 不需要手工創(chuàng)建； （5） 、abc1、abc2、abc3 是不同的用戶，它們分別分配到 相應(yīng)的用戶級(jí)別。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration system login 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn)： 高 重要等級(jí)： 1.2. 口令 1.2.1. ELK-Juniper-01-02-01 編號(hào)： ELK-Juniper-01-02-01 名稱： 提高口令強(qiáng)度 實(shí)施目的： 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少 6 位， 并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào) 4 類中至少 2 類。 問(wèn)題影響： 增加密碼被暴力破解的成功率 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system login 查看當(dāng)前配置 第 6 頁(yè) 共 25 頁(yè) 實(shí)施方案： 1、參考配置操作 set system login user abc1 authentication plain- text-password 2、補(bǔ)充操作說(shuō)明 （1） 、輸入指令回車后，將兩次提示輸入新口令（New password:和 Retype new password:） 。 （2） 、口令要求：長(zhǎng)度至少 6 位，并包括數(shù)字、小寫(xiě)字母、 大寫(xiě)字母和特殊符號(hào) 4 類中至少 2 類。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration system login 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn)： 低 重要等級(jí)： 1.2.2. ELK-Juniper-01-02-02 編號(hào)： ELK-Juniper-01-02-02 名稱： 根據(jù)用戶的業(yè)務(wù)需要配置其所需的最小權(quán)限 實(shí)施目的： 在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。 問(wèn)題影響： 越權(quán)使用，非法訪問(wèn)。 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system login 查看當(dāng)前配置 實(shí)施方案： （1） 、用 show configuration system login class ABC1 命令查 看配置 （2） 、用 show configuration system login class ABC2 命令查 看配置 （3） 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc1 和密碼 成功登錄路由器后，用 configure 命令進(jìn)入配置模式。 使用以下命令檢測(cè)： set routing-可選 ions static 第 7 頁(yè) 共 25 頁(yè) set interfaces set chassis fpc 使用其它 set 命令 （4） 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc2 和密碼成功登錄路由器后，用 configure 命令進(jìn)入配置模式。 使用以下命令檢測(cè)： set policy-可選 ions set protocols set routing-instances set routing-可選 ions 使用其它 set 命令 （5） 、在終端上用 telnet 方式登錄路由器,輸入用戶名 abc3 和密碼成功登錄路由器后，用 configure 命令進(jìn)入配置模式。 使用 set 命令以及其它命令檢測(cè)。 回退方案： 使用 show configuration system login 查看當(dāng)前配置。還原系統(tǒng)配置文件。 判斷依據(jù)： （1） 、賬號(hào) abc1 屬于組 ABC1，該組只能配置 routing-可選 ions static、interfaces、 Chassis fpc 項(xiàng)里的內(nèi)容。不能做其 它未授權(quán)的配置； （2） 、賬號(hào) abc2 屬于組 ABC2，該組只能配置關(guān)于路由的 所有配置，包括 routing-可選 ions、protocols、policy-可選 ions、 routing-instances 等，不能做其它未授權(quán)的配置； （3） 、賬號(hào) abc3 屬于組 super-user，擁有全部配置權(quán)限。 備注： 創(chuàng)建用戶級(jí)別，即創(chuàng)建用戶的配置權(quán)限： set system login class ABC1 permissions configure set system login class ABC1 allow-configuration “routing-可選 ions static|interfaces|chassis fpc“ set system login class ABC2 permissions configure routing- 第 8 頁(yè) 共 25 頁(yè) control 將用戶賬號(hào)分配到相應(yīng)的用戶級(jí)別： set system login user abc1 class ABC1 set system login user abc2 class ABC2 set system login user abc3 class super-user 2、補(bǔ)充操作說(shuō)明 （1） 、ABC1 組具有的權(quán)限：可配置 interfaces，可配置 routing-可選 ions 中的 static，可配置 chassis 中的 fpc； （2） 、ABC2 組具有的權(quán)限：可配置有關(guān)于路由的所有配置， 包括 routing-可選 ions、protocols、policy- 可選 ions、 routing-instances 等； （3） 、allow-configuration 參數(shù)是以等級(jí)來(lái)限制，可以限制 各個(gè)等級(jí)的配置，可以細(xì)化到各個(gè)小等級(jí)； （4） 、permissions 參數(shù)是以功能來(lái)限制，限制的范圍較大； （5） 、allow-commands 參數(shù)是以具體的指令來(lái)限制，allow- comands 參數(shù)需要設(shè)定具體指令,不建議使用。 實(shí)施風(fēng)險(xiǎn)： 低 重要等級(jí)： 1.2.3. ELK-Juniper-01-02-03 編號(hào)： ELK-Juniper-01-02-03 名稱： 提高 ROOT 用戶口令強(qiáng)度 實(shí)施目的： 修改 root 密碼。root 的默認(rèn)密碼是空，修改 root 密碼，避免非管理員使用 root 賬號(hào)登錄。 問(wèn)題影響： 增加密碼被暴力破解的成功率 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system login 查看當(dāng)前配置 第 9 頁(yè) 共 25 頁(yè) 實(shí)施方案： 1、參考配置操作 （1） 、用 show configuration system login 命令查看配置是否 正確； （2） 、通過(guò) console 口方式登錄路由器,輸入 root 用戶名和 密碼； （3） 、通過(guò) console 口方式登錄路由器，輸入 root 用戶和空 密碼。 2、補(bǔ)充操作說(shuō)明 （1） 、輸入指令回車后，將兩次提示輸入新口令（New password:和 Retype new password:） 。 （2） 、口令要求：長(zhǎng)度至少 6 位，并包括數(shù)字、小寫(xiě)字母、 大寫(xiě)字母和特殊符號(hào) 4 類中至少 2 類。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： （1） 、輸入 root 用戶和正確密碼可以正常登錄路由器； （2） 、輸入 root 用戶和空密碼無(wú)法登錄路由器。 實(shí)施風(fēng)險(xiǎn)： 低 重要等級(jí)： 1.3. 認(rèn)證 1.3.1. ELK-Juniper-01-03-01 編號(hào)： ELK-Juniper-01-03-01 名稱： 設(shè)置認(rèn)證系統(tǒng)聯(lián)動(dòng) 實(shí)施目的： 設(shè)備通過(guò)相關(guān)參數(shù)配置，與認(rèn)證系統(tǒng)聯(lián)動(dòng)，滿足帳號(hào)、口令和授權(quán)的強(qiáng)制要求。 問(wèn)題影響： 密碼泄露。 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system login 查看當(dāng)前配置 并查看 Radius 服務(wù)器配置 第 10 頁(yè) 共 25 頁(yè) 實(shí)施方案： 1、參考配置操作 set system authentication-order radius set system authentication-order password set system radius-server 10.1.1.1 set system radius-server 10.1.1.2 set system radius-server 10.1.1.1 port 1645 set system radius-server 10.1.1.2 port 1645 set system radius-server 10.1.1.1 secret abc123 set system radius-server 10.1.1.2 secret abc123 2、補(bǔ)充操作說(shuō)明 （1） 、配置認(rèn)證方式，可通過(guò) radius 和本地認(rèn)證； （2） 、 10.1.1.1 和 10.1.1.2 是 radius 認(rèn)證服務(wù)器的 IP 地 址，建議建立兩個(gè) radius 認(rèn)證服務(wù)器作為互備； （3） 、port 1645 是 radius 認(rèn)證開(kāi)啟的端口號(hào)，可根據(jù)本 地 radius 認(rèn)證服務(wù)器開(kāi)啟的端口號(hào)進(jìn)行配置； （4） 、 abc123 是與 radius 認(rèn)證系統(tǒng)建立連接所設(shè)定的密碼， 建議：與 radius 認(rèn)證服務(wù)器建立連接時(shí)，使用密碼認(rèn)證建 立連接。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration system login 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn)： 低 重要等級(jí)： 2. 日志配置 本部分對(duì) JUNIPER 設(shè)備的日志功能提出建議，主要加強(qiáng)設(shè)備所具備的日 志功能，確保發(fā)生安全事件后，設(shè)備日志能提供充足的信息進(jìn)行安全事件定位。 根據(jù)這些要求，設(shè)備日志應(yīng)能支持記錄與設(shè)備相關(guān)的重要事件，包括違反安全 策略的事件、設(shè)備部件發(fā)生故障或其存在環(huán)境異常等，以便通過(guò)審計(jì)分析工具， 發(fā)現(xiàn)安全隱患。如出現(xiàn)大量違反 ACL 規(guī)則的事件時(shí)，通過(guò)對(duì)日志的審計(jì)分析， 第 11 頁(yè) 共 25 頁(yè) 能發(fā)現(xiàn)隱患，提高設(shè)備維護(hù)人員的警惕性，防止惡化。 2.1.1. ELK-Juniper-02-01-01 編號(hào)： ELK-Juniper-02-01-01 名稱： 開(kāi)啟系統(tǒng)日志功能 實(shí)施目的： 設(shè)備應(yīng)配置日志功能，記錄用戶對(duì)設(shè)備的操作，比如：賬 號(hào)創(chuàng)建、刪除和權(quán)限修改，口令修改，讀取和修改設(shè)備配 置，涉及通信隱私數(shù)據(jù)。記錄需要包含用戶賬號(hào)，操作時(shí) 間，操作內(nèi)容以及操作結(jié)果。 問(wèn)題影響： 無(wú)法對(duì)用戶的登陸進(jìn)行日志記錄。 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system syslog 查看當(dāng)前配置 實(shí)施方案： 1、參考配置操作 set system syslog file author.log authorization info 2、補(bǔ)充操作說(shuō)明 （1） 、author.log 是記錄登錄信息的 log 文件，該文件名 稱可手工定義； （2） 、author.log 文件保存在 juniper 路由器的存儲(chǔ)上。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration system syslog 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn)： 低 重要等級(jí)： 2.1.2. ELK-Juniper-02-01-02 編號(hào)： ELK-Juniper-02-01-02 名稱： 開(kāi)啟系統(tǒng)安全日志功能 實(shí)施目的： 設(shè)備應(yīng)配置日志功能，記錄對(duì)與設(shè)備相關(guān)的安全事件，比如：記錄路由協(xié)議事件和錯(cuò)誤。 問(wèn)題影響： 無(wú)法記錄路由協(xié)議事件和錯(cuò)誤。 第 12 頁(yè) 共 25 頁(yè) 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration 查看當(dāng)前配置 實(shí)施方案： 1、參考配置操作 set system syslog file daemon.log daemon warning set system syslog file firewall.log firewall warning 2、補(bǔ)充操作說(shuō)明 （1） 、daemon.log 是記錄路由協(xié)議事件的文件，該文件名 稱可手工定義； （2） 、firewall.log 是記錄安全事件的文件，該文件名稱 可手工定義； （3） 、daemon 和 firewall 可定義有九個(gè)等級(jí)，建議將其設(shè) 定為 warning 等級(jí)，即僅記錄 warning 等級(jí)以上的安全 事件。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn)： 中 重要等級(jí)： 2.1.3. ELK-Juniper-02-01-03 編號(hào)： ELK-Juniper-02-01-03 名稱： 設(shè)置配置更改日志路徑 實(shí)施目的： 設(shè)置系統(tǒng)的配置更改信息保存到單獨(dú)的 change.log 文件內(nèi)。 問(wèn)題影響： 暴露系統(tǒng)日志。 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system syslog 查看當(dāng)前配置 實(shí)施方案： 1、參考配置操作 set system syslog file change.log change-log info 2、補(bǔ)充操作說(shuō)明 （1） 、change.log 是記錄配置更改的文件，該文件名稱可 手工定義； （2） 、change.log 文件保存在 juniper 路由器的存儲(chǔ)上。 第 13 頁(yè) 共 25 頁(yè) 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration system syslog 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn)： 中 重要等級(jí)： 2.1.4. ELK-Juniper-02-01-04 編號(hào)： ELK-Juniper-02-01-04 名稱： 設(shè)置配置遠(yuǎn)程日志功能 實(shí)施目的： 設(shè)備配置遠(yuǎn)程日志功能，將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。 問(wèn)題影響： 丟失重要日志。 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system syslog 命令查看配置 實(shí)施方案： set system syslog host 10.1.1.1 any notice set system syslog host 10.1.1.1 log-prefix Router1 set system syslog host 10.1.1.2 any notice set system syslog host 10.1.1.2 log-prefix Router2 補(bǔ)充操作說(shuō)明 （1） 、10.1.1.1 和 10.1.1.2 是遠(yuǎn)程日志服務(wù)器的 IP 地址，建 議建設(shè)兩個(gè)遠(yuǎn)程日志服務(wù)器作為互備； （2） 、syslog 有九個(gè)等級(jí)的記錄信息，建議將 notice 等級(jí)以 上的信息傳送到遠(yuǎn)程日志服務(wù)器； （3） 、Router1 為路由器的主機(jī)名稱。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： （1） 、使用 show configuration system syslog 命令查看配置； （2） 、登錄遠(yuǎn)程日志服務(wù)器查看日志。 實(shí)施風(fēng)險(xiǎn)： 中 第 14 頁(yè) 共 25 頁(yè) 重要等級(jí)： 2.1.5. ELK-Juniper-02-01-05 編號(hào)： ELK-Juniper-02-01-05 名稱： 設(shè)置系統(tǒng)的配置更改信息 實(shí)施目的： 設(shè)置系統(tǒng)的配置更改信息保存到單獨(dú)的 change.log 文件內(nèi) 問(wèn)題影響： 丟失重要日志。 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system syslog 命令查看配置 實(shí)施方案： （1） 、使用 show configuration system syslog 命令查看配置； （2） 、在終端上以 telnet 方式登錄路由器,輸入用戶名密碼； （3） 、進(jìn)行創(chuàng)建、刪除帳號(hào)和修改用戶密碼等修改設(shè)備配 置操作； （4） 、用 show log change.log 命令查看日志。 回退方案： 使用 show configuration system syslog 命令查看配置，恢復(fù)默認(rèn)配置 判斷依據(jù)： 可以在 change.log 中查看到用戶的操作內(nèi)容、操作時(shí)間 實(shí)施風(fēng)險(xiǎn)： 中 重要等級(jí)： 2.1.6. ELK-Juniper-02-01-06 編號(hào)： ELK-Juniper-02-01-06 名稱： 保證日志功能記錄的時(shí)間的準(zhǔn)確性。 實(shí)施目的： 開(kāi)啟 NTP 服務(wù)，保證日志功能記錄的時(shí)間的準(zhǔn)確性。路由器與 NTP SERVER 之間開(kāi)啟認(rèn)證功能 。 問(wèn)題影響： 丟失重要日志。 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system syslog 命令查看配置 第 15 頁(yè) 共 25 頁(yè) 實(shí)施方案： （1） 、使用 show configuration system ntp 命令查看配置； （2） 、使用 show system uptime 命令查看路由器時(shí)間與并與 北京時(shí)間對(duì)比； （3） 、使用 show ntp associations 查看路由器是否與 NTP 服 務(wù)器同步； （4） 、使用 show ntp status 查看路由器時(shí)間同步狀態(tài)。 回退方案： 使用 show configuration system syslog 命令查看配置，恢復(fù)默認(rèn)配置 判斷依據(jù)： （1） 、用 show ntp associations 命令查看，信息如下面所示: remote refid st t when poll = * ROUTER1 10.1.1.1 2 u 641 1024 + ROUTER2 10.1.1.2 2 u 713 1024 reach delay offset jitter = 377 0.964 -24.126 0.067 377 4.490 -12.013 0.457 ROUTER1 前面的(*)號(hào)表示 ROUTER1 是已和路由器時(shí)間 同步的 NTP 服務(wù)器,(+)號(hào)為備用的 NTP 服務(wù)器. （2） 、有 show ntp status 命令查看，信息如下: status=0644 leap_none, sync_ntp, 4 events, event_peer/strat_chg, version=“ntpd 4.1.0-a Wed Oct 5 18:44:40 GMT 2005 (1)“, processor=“i386“, system=“JUNOS7.3R2.7“, leap=00, stratum=3, precision=-28, rootdelay=9.814, rootdispersion=102.250, peer=42484, refid=ROUTER , reftime=ca227da4.4b3ffac1 Wed, Jun 20 2007 0:07:00.293, poll=10, clock=ca2280ce.02849cb2 Wed, Jun 20 2007 0:20:30.009, state=4, offset=-17.830, frequency=85.438, jitter=28.377, stability=0.048 如上面信息的第一句第二部分顯示”sync_ntp” 表示路由 器時(shí)間已和 NTP 服務(wù)器同步,如果顯示”sync_unspec”即未 同步.。 實(shí)施風(fēng)險(xiǎn)： 中 重要等級(jí)： 第 16 頁(yè) 共 25 頁(yè) 3. 通信協(xié)議 3.1.1. ELK-Juniper-03-01-01 編號(hào)： ELK-Juniper-03-01-01 名稱： OSPF 協(xié)議安全 實(shí)施目的： 對(duì)于非點(diǎn)到點(diǎn)的 OSPF 協(xié)議配置，應(yīng)配置 MD5 加密認(rèn)證，通過(guò) MD5 加密認(rèn)證建立 neighbor 問(wèn)題影響： 惡意攻擊 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration protocols rsvp 查看當(dāng)前配置 實(shí)施方案： 1） 、使用 show configuration 命令查看配置 2） 、使用 show ospf neighbor 命令查看 OSPF 鄰居狀態(tài) 3） 、使用 show route protocol ospf brief 命令查看 OSPF 路由 表 4） 、使用 ping 檢查路由連通性 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 1） 、OSPF 鄰居處于 full 狀態(tài)為正常 ,能學(xué)到鄰居的路由為正 常 2） 、路由能連通為正常 實(shí)施風(fēng)險(xiǎn)： 低 重要等級(jí)： 3.1.2. ELK-Juniper-03-01-02 編號(hào)： ELK-Juniper-03-01-02 名稱： 啟用帶加密方式的身份驗(yàn)證 實(shí)施目的： 配置動(dòng)態(tài)路由協(xié)議（BGP/ MP-BGP /OSPF 等）時(shí)必須啟用 帶加密方式的身份驗(yàn)證功能，相鄰路由器只有在身份驗(yàn)證 通過(guò)后，才能互相通告路由信息。 問(wèn)題影響： 非法訪問(wèn)， 第 17 頁(yè) 共 25 頁(yè) 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor 查看當(dāng)前配置 實(shí)施方案： （1） 、使用 show configuration protocol 命令查看配置； （2） 、使用 show bgp neighbor 命令查看 BGP 鄰居狀態(tài)； （3） 、使用 show route protocol bgp brief 命令查看 BGP 路由 表； （4） 、使用 show ospf neighbor 命令查看 OSPF 鄰居狀態(tài)； （5） 、使用 show route protocol ospf brief 命令查看 OSPF 路 由表； （6） 、使用 ping 命令檢查路由連通性。 回退方案： 使用 show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor 查看當(dāng)前配置， 還原給原始狀態(tài)。 判斷依據(jù)： 1） 、確定配置已經(jīng)啟用加密的身份認(rèn)證； 2） 、BGP 鄰居處于 establish 狀態(tài)為正常，能學(xué)到鄰居的路 由為正常； 3） 、OSPF 鄰居處于 full 狀態(tài)為正常 ,能學(xué)到鄰居的路由為正 常； 4） 、路由能連通為正常。 實(shí)施風(fēng)險(xiǎn)： 中 重要等級(jí)： 3.1.3. ELK-Juniper-03-01-03 編號(hào)： ELK-Juniper-03-01-03 名稱： 過(guò)濾所有和業(yè)務(wù)不相關(guān)的流量 實(shí)施目的： 對(duì)于具備 TCP/UDP 協(xié)議功能的設(shè)備，設(shè)備應(yīng)根據(jù)業(yè)務(wù)需要， 配置基于源 IP 地址、通信協(xié)議 TCP 或 UDP、目的 IP 地址、 源端口、目的端口的流量過(guò)濾，過(guò)濾所有和業(yè)務(wù)不相關(guān)的 流量。 問(wèn)題影響： 惡意攻擊。 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration firewall filter abc 查看配置 第 18 頁(yè) 共 25 頁(yè) 實(shí)施方案： （1） 、使用 show configuration firewall filter abc 查看配置 （2） 、將終端的 IP 地址設(shè)為: 10.1.1.1 （3） 、在終端上安裝 Nmap 端口掃描工具(本例基于 windowsXP2 系統(tǒng)) （4） 、在 DOS 下輸入：nmap -sS -g 445 10.1.2.1 p 145 這 指令的意思是以源端口為 445 來(lái)訪問(wèn)主機(jī) IP 為 10.1.2.1 的 TCP145 端口。 （5） 、用 namp 訪問(wèn)其它非業(yè)務(wù)端口，如訪問(wèn) 80 端口，在 DOS 下輸入： nmap sS 10.1.2.1 p 80 這指令的意思是以任何端口訪問(wèn) 10.1.2.1 的 TCP80 端口 （6） 、運(yùn)行真實(shí)業(yè)務(wù)測(cè)試業(yè)務(wù)流量和非業(yè)務(wù)流量。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration firewall filter abc 查看配置，還原為原始狀態(tài)。 實(shí)施風(fēng)險(xiǎn)： 中 重要等級(jí)： 3.1.4. ELK-Juniper-03-01-04 編號(hào)： ELK-Juniper-03-01-04 名稱： 配置 MP-BGP 的 MD5 加密認(rèn) 實(shí)施目的： 配置 MP-BGP 路由協(xié)議，應(yīng)配置 MD5 加密認(rèn)證，通過(guò) MD5 加密認(rèn)證建立 peer。 問(wèn)題影響： 信息泄露。 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration protocol bgp 查看當(dāng)前配置 第 19 頁(yè) 共 25 頁(yè) 實(shí)施方案： 1、參考配置操作 set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123 2、補(bǔ)充操作說(shuō)明 1） 、 abc 為 group 的名稱，可自行設(shè)定； 2） 、 10.1.1.1 為對(duì)端 peer 的 IP 地址，可根據(jù)需求設(shè)定； 3） 、 abc123 為 MD5 加密認(rèn)證的認(rèn)證密碼，該密碼和對(duì)端 peer 的密碼要一致。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration protocol bgp 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn)： 中 重要等級(jí)： 3.1.5. ELK-Juniper-03-01-05 編號(hào)： ELK-Juniper-03-01-05 名稱： 設(shè)置 SNMP 訪問(wèn)安全限制 實(shí)施目的： 設(shè)置 SNMP 訪問(wèn)安全限制，只允許特定主機(jī)通過(guò) SNMP 訪問(wèn)網(wǎng)絡(luò)設(shè)備。 問(wèn)題影響： 非法登陸。 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration snmp 查看當(dāng)前配置 實(shí)施方案： 1、參考配置操作 set snmp community abcd123 clients 10.1.1.1/32 set snmp community abcd123 clients 10.1.2.1/32 set snmp community abcd123 clients ready-only 2、補(bǔ)充操作說(shuō)明 1） 、 abcd123 是 communtity 字符串，可自行定義，但必須 和 client 的主機(jī)一致； 2） 、 10.1.1.1 和 10.1.2.1 是主機(jī) IP 地址，即允許 10.1.1.1.和 10.1.2.1 主機(jī)通過(guò) SNMP 訪問(wèn)網(wǎng)絡(luò)設(shè)備； 3） 、未在 client 列表中的主機(jī)，不允許通過(guò) SNMP 訪問(wèn)網(wǎng) 絡(luò)設(shè)備。 第 20 頁(yè) 共 25 頁(yè) 4） 、設(shè)置主機(jī)訪問(wèn)網(wǎng)絡(luò)設(shè)備具有讀的權(quán)限，可根據(jù)需求設(shè) 置為具有讀寫(xiě)的權(quán)限（read-write） 。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration snmp 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn)： 高 重要等級(jí)： 3.1.6. ELK-Juniper-03-01-06 編號(hào)： ELK-Juniper-03-01-06 名稱： RSVP 標(biāo)簽分發(fā)協(xié)議 實(shí)施目的： 啟用 RSVP 標(biāo)簽分發(fā)協(xié)議時(shí)，打開(kāi) RSVP 協(xié)議認(rèn)證功能，如MD5 加密，確保與可信方進(jìn)行 RSVP 協(xié)議交互。 問(wèn)題影響： 非法登陸。 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration protocols rsvp 查看當(dāng)前配置 實(shí)施方案： 1、參考配置操作 set protocols rsvp interface fe-0/0/0.0 authentication-key abc123 2、補(bǔ)充操作說(shuō)明 abc123 為 MD5 加密密碼。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 各鄰居狀態(tài)為 UP 正常各 RSVP session 狀為 UP 正常 實(shí)施風(fēng)險(xiǎn)： 中 重要等級(jí)： 第 21 頁(yè) 共 25 頁(yè) 4. 設(shè)備其他安全要求 4.1.1. ELK-Juniper-04-01-01 編號(hào)： ELK-Juniper-04-01-01 名稱： 開(kāi)啟配置定期備份 實(shí)施目的： 開(kāi)啟配置文件定期備份功能，定期備份配置文件。 問(wèn)題影響： 容易丟失數(shù)據(jù)。 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system archival 查看當(dāng)前配置 實(shí)施方案： 1、參考配置操作 set system archival configuration transfer-interval 2880 set system archival configuration archive-sites ftp:/juniper10.1.1.1 password abc123 set system archival configuration archive-sites ftp:/juniper10.1.1.2 password abc123 2、補(bǔ)充操作說(shuō)明 1） 、 2880 是時(shí)間間隔，單位是分鐘，時(shí)間間隔可設(shè)置的范 圍為 152880; 2） 、juniper 是 ftp 的用戶名稱， 10.1.1.1 和 10.1.1.2 是 ftp 服務(wù)器的 IP 地址， abc123 是登錄 frp 服務(wù)器的密 碼；建議設(shè)置兩個(gè) IP 地址作為互備； 3） 、定期備份僅能通過(guò) ftp 服務(wù)備份； 4） 、通過(guò)定期備份配置文件，時(shí)間間隔較短，即備份比較 頻繁，建議采用 transfer-on-commit 方式，即只要執(zhí) 行 commit 指令，配置將自動(dòng)備份到 ftp 服務(wù)器，指令 為 set system archival configuration transfer-on- commit； 5） 、transfer-interval 和 transfer-on-commit 方式不能 共存。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration system archival 查看當(dāng)前配置 第 22 頁(yè) 共 25 頁(yè) 實(shí)施風(fēng)險(xiǎn)： 高 重要等級(jí)： 4.1.2. ELK-Juniper-04-01-02 編號(hào)： ELK-Juniper-04-01-02 名稱： 關(guān)閉不必要服務(wù) 實(shí)施目的： 關(guān)閉網(wǎng)絡(luò)設(shè)備不必要的服務(wù)，比如 FTP、TFTP 服務(wù)等。 問(wèn)題影響： 對(duì)系統(tǒng)造成不穩(wěn)定。 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system services 查看當(dāng)前配置 實(shí)施方案： 1、參考配置操作 delete system services ftp 2、補(bǔ)充操作說(shuō)明 默認(rèn)是關(guān)閉 FTP 服務(wù) 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration system services 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn)： 低 重要等級(jí)： 4.1.3. ELK-Juniper-04-01-03 編號(hào)： ELK-Juniper-04-01-03 名稱： 限制遠(yuǎn)程管理 IP 實(shí)施目的： 系統(tǒng)遠(yuǎn)程管理服務(wù) TELNET、SSH 默認(rèn)可以接受任何地址的連接，出于安全考慮，應(yīng)該只允許特定地址訪問(wèn)。 問(wèn)題影響： 非法登陸。 第 23 頁(yè) 共 25 頁(yè) 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration firewall filter 查看當(dāng)前配置 實(shí)施方案： 1、參考配置操作 set firewall filter abc term a from source-address 10.1.1.1/32 set firewall filter abc term a from source-address 10.1.1.2/32 set firewall filter abc term a then accept set firewall filter abc term b from protocol tcp port telnet set firewall filter abc term b then reject set firewall filter abc term c then accept 2、補(bǔ)充操作說(shuō)明 1） 、 abc 為 filter 名稱，可自定義； 2） 、10.1.1.1/32 和 10.1.1.2/32 上允許 telnet 的主機(jī) IP 地址； 3） 、term a 實(shí)現(xiàn)的功能為：允許特定地址訪問(wèn)； 4） 、term b 實(shí)現(xiàn)的功能為：除了允許特定地址訪問(wèn)之外， 不允許其它地址訪問(wèn) telnet 端口。 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration firewall filter 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn)： 高 重要等級(jí)： 4.1.4. ELK-Juniper-04-01-04 編號(hào)： ELK-Juniper-04-01-04 名稱： 限制 telnet 并發(fā)連接數(shù) 實(shí)施目的： TELNET 默認(rèn)可以接受 250 個(gè)同時(shí)連接。配置 TELNET 等遠(yuǎn)程 維護(hù)方式時(shí)，應(yīng)配置連接最大數(shù)量限制為 10 個(gè)，并且每分 鐘最多有 5 個(gè)可以連接，可以防止在 TELNET 端口上的 SYN flood DoS 攻擊。 問(wèn)題影響： 非法登陸。 第 24 頁(yè) 共 25 頁(yè) 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system services telnet 查看當(dāng)前配置 實(shí)施方案： 1、參考配置操作 set system services telnet connection-limit 10 set system services telnet rate-limit 5 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 使用 show configuration system services telnet 查看當(dāng)前配置 實(shí)施風(fēng)險(xiǎn)： 高 重要等級(jí)： 4.1.5. ELK-Juniper-04-01-05 編號(hào)： ELK-Juniper-04-01-05 名稱： 定時(shí)賬戶自動(dòng)登出安全 實(shí)施目的： 對(duì)于 Juniper 路由器，應(yīng)配置定時(shí)賬戶自動(dòng)登出，防止被非法利用。 問(wèn)題影響： 非法利用。 系統(tǒng)當(dāng)前狀態(tài)： 使用 show configuration system services telnet 查看當(dāng)前配置 實(shí)施方案： set cli idle-timeout 15 回退方案： 還原系統(tǒng)配置文件 判斷依據(jù)： 當(dāng)時(shí)間超時(shí)，用戶會(huì)自動(dòng)退出路由器 實(shí)施風(fēng)險(xiǎn)： 低 第 25 頁(yè) 共 25 頁(yè) 重要等級(jí)：