H3C三层交换机安全配置规范

viclniz

H3C三层交换机安全配置规范

4.1　管理平面安全配置
4.1.1　管理口防护
4.1.1.1　关闭未使用的管理口
项目编号        NOMD-2013-SC-H3C(L3SW)-01-01-01-v1
配置说明        设备应关闭未使用的管理口（AUX、或者没开启业务的端口）。
重要等级        高
配置指南        1、参考配置操作
#              
interface Ten-GigabitEthernet0/1  //进入端口视图
shutdown   //实行shutdown命令，关闭端口
#

检测方法
及
判定依据        1、符合性判定依据
端口关闭，不能使用。
2、参考检测方法
通过网线或光纤（视具体接口不同），将此端口与PC或其他设备未关闭的端口互连，该端口指示灯灭，且PC或其他设备没有网卡UP的提示信息。

备注       

4.1.1.2　配置console口密码保护
项目编号        NOMD-2013-SC-H3C(L3SW)-01-01-02-v1
配置说明        设备应配置console口密码保护
重要等级        高
配置指南        1、参考配置操作
[H3C]user-interface console 0
[ H3C-ui-console0] authentication-mode password
[ H3C-ui-console0] set authentication password cipher xxxxxxxx
检测方法
及
判定依据        1、        符合性判定依据
通过console口，只有输入正确密码才能进入配置试图
2、        参考检测方法
PC用Console线连接设备Console口，通过超级终端等配置App，在进入设备配置视图时，提示要求输入密码。

备注       

4.1.2　账号与口令
4.1.2.1　避免共享账号
项目编号        NOMD-2013-SC-H3C(L3SW)-01-02-01-v1
配置说明        应对不同的用户分配不同的账号，避免不同用户间账号共享。
重要等级        中
配置指南        1、参考配置操作
#
local-user user1
service-type telnet     
user privilede level 2
#
local-user user2
service-type ftp     
user privilede level 3
#
2、补充操作说明
1、user1和user2是两个不同的账号名称，可根据不同用户，取不同的名称，建议使用：姓名的简写＋手机号码；
2、避免使用h3c、admin等简单易猜的账号名称；
检测方法
及
判定依据        1、符合性判定依据
各账号都可以正常使用，不同用户有不同的账号。
2、参考检测方法
（1）用display current-configuration configuration luser命令查看配置是否正确
（2）使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用
（3）使用配置中没有的账号无法登录
3、补充说明
每个账号都有对应的使用人员，确保没有多余账号
备注       

4.1.2.2　禁止无关账号
项目编号        NOMD-2013-SC-H3C(L3SW)-01-02-02-v1
配置说明        应禁止配置与设备运行、维护等工作无关的账号；
重要等级        高
配置指南        如有无关账号，参考如下配置进行删除
#
undo local-user username
#
检测方法
及
判定依据        1、        符合性判定依据
不存在工作无关账号
2、        参考检测方法
通过display local-user来查看是否存在无关账号
备注       

4.1.2.3　管理默认账号与口令
项目编号        NOMD-2013-SC-H3C(L3SW)-01-02-03-v1
配置说明        应删除或锁定默认或缺省账号与口令。
重要等级        高
配置指南        #
undo local-user username
#
检测方法
及
判定依据        1、        符合性判定依据
密码强度和策略符合安全要求
2、        参考检测方法
通过display password来看密码策略
通过telnet方式登录设备，输入密码来检测密码安全性
备注       

4.1.2.4　口令长度和复杂度
项目编号        NOMD-2013-SC-H3C(L3SW)-01-02-04-v1
配置说明        对于采用静态口令认证技术的设备：应支撑口令长度及复杂度验证机制（强制要求口令应由数字、大写字母、小写字母和特殊符号4类字符构成，自动拒绝用户设置不符合复杂度要求的口令。）；
重要等级        高
配置指南        1、参考配置操作
对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类，每类多余4个。
password-control enable
password-control length 8
password-control composition type-number 3 type-length 4
检测方法
及
判定依据        1、        符合性判定依据
密码强度和策略符合安全要求
2、        参考检测方法
通过display password来看密码策略
通过telnet方式登录设备，输入密码来检测密码安全性
备注       

4.1.2.5　口令加密
项目编号        NOMD-2013-SC-H3C(L3SW)-01-02-05-v1
配置说明        静态口令应采用安全可靠的单向散列加密算法（如md5、sha1等）进行加密，并以密文形式存放。如使用enable secret配置Enable密码，不使用enable password配置Enable密码。
重要等级        高
配置指南        1、参考配置操作
#
local-user admin
password cipher $c$3$91+quQroSJWHM4sAJOker3sBNmMjwUEU
#

检测方法
及
判定依据        1、        符合性判定依据
密码以密文形式存在设备配置中
2、        参考检测方法
通过display current-configuration命令查看账号密码以密文形式显示
备注       

4.1.2.6　口令变更周期
项目编号        NOMD-2013-SC-H3C(L3SW)-01-02-06-v1
配置说明        口令定期更改，最长不得超过90天。
重要等级        高
配置指南        1、参考配置操作
对于采用静态口令认证技术的设备，账户口令的生存期不长于90天，提前7天告警。
password-control enable
password-control aging 90
password-control alert-before-expire 7
检测方法
及
判定依据        1、        符合性判定依据
口令更改周期为90天，提前7天会自动告警
2、        参考检测方法
通过display password-control来查看密码策略
备注       

4.1.2.7　账户锁定策略
项目编号        NOMD-2013-SC-H3C(L3SW)-01-02-07-v1
配置说明        应为设备配置用户 连续认证失败次数上限，当用户连续认证失败次数超过上限时，设备自动断开该用户账号的连接，并在一定时间内禁止该用户账号重新认证。
重要等级        高
配置指南        1、参考配置操作
password-control login-attempt 5 exceed lock-time 60
一般设置为5次。
检测方法
及
判定依据        1、        符合性判定依据
账号密码输入连续多次错误，账号被锁定。
2、        参考检测方法
模拟登录测试，连续输5次密码，该账号被锁定。

备注       

4.1.3　认证
4.1.3.1　使用认证服务器认证
项目编号        NOMD-2013-SC-H3C(L3SW)-01-03-01-v1
配置说明        设备通过相关参数配置，通过与认证服务器（RADIUS或TACACS服务器）联动的方式实现对用户的认证，满足账号、口令和授权的要求。
重要等级        中
配置指南        1、参考配置操作
[FW] radius scheme rad
# 配置主、备认证服务器的IP地址为10.1.1.1，认证端口号为1812。
[FW-radius-rad] primary authentication 10.1.1.1 1812
[FW-radius-rad] secondary authentication 10.1.1.2 1812
# 配置与认证服务器交互报文时的共享密钥为expert。
[FW-radius-rad] key authentication expert
# 配置向RADIUS服务器发送的用户名携带域名。
[FW-radius-rad] user-name-format with-domain
# 配置RADIUS服务器的服务类型。使用CAMS/iMC服务器时，RADIUS服务器类型应选择extended。
[FW-radius-rad] server-type extended
[FW-radius-rad] quit
# 配置ISP域的AAA方法。
[FW] domain bbb
[FW-isp-bbb] authentication login radius-scheme rad
[FW-isp-bbb] quit
2、补充操作说明
（1）、配置认证方式，可通过radius和本地认证；
（2）、10.1.1.10和10.1.1.2是radius认证服务器的IP地址，建议建立两个radius认证服务器作为互备；
（3）、port 1812是radius认证开启的端口号，可根据本地radius认证服务器开启的端口号进行配置；
（4）、abc123是与radius认证系统建立连接所设定的密码，建议：与radius认证服务器建立连接时，使用密码认证建立连接。
检测方法
及
判定依据        1、符合性判定依据
（1）、可以正常ping通 Radius服务器的IP地址；
（2）、用户可以登录为正常；
（3）、如果要让Radius服务器向发送用户授权信息，需要在Radius服务器上装的字典文件并做相应配置。
2、参考检测方法
用户发起TELNET连接，在TELNET客户端按照提示输入用户名hello@bbb及正确的密码后，可成功进入用户界面，并可以使用级别为0、1、2、3的命令。
# 可以通过如下命令查看到AAA用户的连接信息。
[FW] display connection
Index=1   ,Username=hello@bbb
IP=192.168.1.58
IPv6=N/A
Total 1 connection(s) matched.

备注       

4.1.3.2　会话超时配置
项目编号        NOMD-2013-SC-H3C(L3SW)-01-03-02-v1
配置说明        配置定时账户自动登出。如TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接等。
重要等级        高
配置指南        1、参考配置操作
#
user-interface con 0
idle-timeout 5 0
user-interface aux 0
idle-timeout 5 0
user-interface vty 0 4
idle-timeout 5 0
#
save
2、补充操作说明
以上配置是系统在5分钟没有管理流量就让用户自动退出。
超时时间一般设置为5-10分钟。
检测方法
及
判定依据        1、符合性判定依据
当闲置时间超时（这里设了5分钟），用户会自动退出设备
2、参考检测方法
1)、使用display current-configuration configuration user-interface查看配置结果
2)、在终端上用telnet方式登录,输入用户名密码
3)、让用户处于空闲状态，查看当时间超时是否自动登出

备注       

4.1.4　授权
4.1.4.1　分级权限控制
项目编号        NOMD-2013-SC-H3C(L3SW)-01-04-01-v1
配置说明        原则上应采用预定义级别的授权方法，实现对不同用户权限的控制，满足用户最小授权的要求。
重要等级        中
配置指南        1、参考配置操作
#
local-user user1
service-type telnet     
user privilede level 2
#
local-user user2
service-type ftp     
user privilede level 3
#
检测方法
及
判定依据        1、符合性判定依据
各账号都可以正常使用，且能够输入的命令权限不同
2、参考检测方法
（1）用display current-configuration configuration luser命令查看配置是否正确
（2）使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用以及可以配置的命令

备注       

4.1.4.2　利用认证服务器进行权限控制
项目编号        NOMD-2013-SC-H3C(L3SW)-01-04-02-v1
配置说明        除本地采用预定义级别进行外，设备可通过与认证服务器（RADIUS服务器或TACACS服务器）联动的方式实现对用户的授权。并建议采用逐条授权的方式，尽量避免或减少使用一次性授权的方式。
重要等级        中
配置指南        1、参考配置操作
[FW] radius scheme rad
# 配置主、备授权服务器的IP地址为10.1.1.1，认证端口号为1812。
[FW-radius-rad] primary authentication 10.1.1.1 1812
[FW-radius-rad] secondary authentication 10.1.1.2 1812
# 配置与授权服务器交互报文时的共享密钥为expert。
[FW-radius-rad] key authentication expert
# 配置向RADIUS服务器发送的用户名携带域名。
[FW-radius-rad] user-name-format with-domain
# 配置RADIUS服务器的服务类型。使用CAMS/iMC服务器时，RADIUS服务器类型应选择extended。
[FW-radius-rad] server-type extended
[FW-radius-rad] quit
# 配置ISP域的AAA方法。
[FW] domain bbb
[FW-isp-bbb] authorization login radius-scheme rad
[FW-isp-bbb] quit
2、Radius服务器向发送用户授权信息，需要在Radius服务器上装字典文件并做相应配置。
检测方法
及
判定依据        1、符合性判定依据
（1）、用户可以登录为正常；
（2）、用户只能够配置Radius服务器规定的命令
2、参考检测方法
用户发起TELNET连接，在TELNET客户端按照提示输入用户名hello@bbb及正确的密码后，可成功进入用户界面，并可以使用级别为0、1、2、3的命令。
# 可以通过如下命令查看到AAA用户的连接信息。
[FW] display connection
Index=1   ,Username=hello@bbb
IP=192.168.1.58
IPv6=N/A
Total 1 connection(s) matched.

备注       


4.1.4.3　授权粒度控制
项目编号        NOMD-2013-SC-H3C(L3SW)-01-04-03-v1
配置说明        原则上应采用对命令组或命令进行授权的方法，实现对用户权限细粒度的控制的能力，满足用户最小授权的要求。
重要等级        中
配置指南        1、参考配置操作
[FW] radius scheme rad
# 配置主、备授权服务器的IP地址为10.1.1.1，认证端口号为1812。
[FW-radius-rad] primary authentication 10.1.1.1 1812
[FW-radius-rad] secondary authentication 10.1.1.2 1812
# 配置与授权服务器交互报文时的共享密钥为expert。
[FW-radius-rad] key authentication expert
# 配置向RADIUS服务器发送的用户名携带域名。
[FW-radius-rad] user-name-format with-domain
# 配置RADIUS服务器的服务类型。使用CAMS/iMC服务器时，RADIUS服务器类型应选择extended。
[FW-radius-rad] server-type extended
[FW-radius-rad] quit
# 配置ISP域的AAA方法。
[FW] domain bbb
[FW-isp-bbb] authorization login radius-scheme rad
[FW-isp-bbb] quit
2、Radius服务器向发送用户授权信息，需要在Radius服务器上装的字典文件并做相应配置。
检测方法
及
判定依据        1、        符合性判定依据
通过账号登录测试，每个账号的权限不同
2、        参考检测方法
通过radius服务器，查看每个账号的权限
备注       

4.1.5　记账
4.1.5.1　记录用户登录日志
项目编号        NOMD-2013-SC-H3C(L3SW)-01-05-01-v1
配置说明        采用本地或采用与认证服务器 (RADIUS或TACACS服务器)联动（优选方式）的方式，实现对用户登录日志的记录和审计。记录和审计范围应包括但不限于：用户登录的方式、使用的账号名、登录是否成功、登录时间、以及远程登录时用户使用的IP地址。
重要等级        高
配置指南        1、参考配置操作
设备缺省就对用户登录实施日志。如果修改了缺省配置不对用户登录实施日志的话，请增加以下配置：
#
info-center enable
info-center source default channel logbuffer log level informational state on
#
save

检测方法
及
判定依据        1、符合性判定依据
可以在informational级别日志中查看到用户名、登录时间和源IP等内容。
2、参考检测方法
（1）使用display current-configuration | begin info-center命令查看配置；
（2）在终端上使用tetlnet方式登录,输入用户名密码；
（3）使用display logbuffer 命令查看日志。

备注       

4.1.5.2　记录用户操作行为日志
项目编号        NOMD-2013-SC-H3C(L3SW)-01-05-02-v1
配置说明        采用本地或采用与认证服务器 (RADIUS或TACACS服务器)联动（优选方式）的方式，实现对用户操作行为的记录和审计，记录和审计范围应包括但不限于：账号创建、删除和权限修改，口令修改，设备配置修改，实行操作的行为和操作结果等。
重要等级        高
配置指南        1、参考配置操作
缺省就对用户修改配置实施日志。如果修改了缺省配置不对实施日志的话，请增加以下配置：
info-center source default channel console log level informational state on
save
2、补充操作说明
缺省方式日志输出
输出方向的缺省输出规则
输出方向        允许输出的模块        LOG        TRAP        DEBUG
                开关        级别        开关        级别        开关        级别
控制台        default（所有模块）        开        informational        开        debugging        开        debugging
监视终端        default（所有模块）        开        informational        开        debugging        开        debugging
日志主机        default（所有模块）        开        informational        开        debugging        关        debugging
告警缓冲区        default（所有模块）        关        informational        开        informational        关        debugging
日志缓冲区        default（所有模块）        开        informational        关        debugging        关        debugging
SNMP模块        default（所有模块）        关        debugging        开        informational        关        debugging
Web页面        default（所有模块）        开        debugging        开        debugging        关        debugging
日志文件        default（所有模块）        开        debugging        开        debugging        关        debugging

检测方法
及
判定依据        1、符合性判定依据
可以使用display logbuffer 命令查看日志。
2、检测操作
（1）使用display current-configuration | begin info-center命令查看配置；
（2）在终端上使用tetlnet方式登录,输入用户名密码；
（3）使用display logbuffer 命令查看日志。

备注       

4.1.6　远程管理
4.1.6.1　VTY端口防护策略
项目编号        NOMD-2013-SC-H3C(L3SW)-01-06-01-v1
配置说明        应限制VTY口的数量，通常情况下VTY口数量不超过16个。应设定VTY口的防护策略，避免由于恶意攻击或者错误操作等导致VTY口不可用情况的发生。（如：网管系统尽量采用snmp方式对设备进行操作，避免使用对设备CPU负载较大的telnet方式。）
重要等级        高
配置指南        1、        参考配置操作
user-interface vty 0 4
authentication-mode scheme
2、补充操作说明
设置访问密码，避免非法访问
检测方法
及
判定依据        1、符合性判定依据
对vty口的数量不超过5个，其对起进行了访问限制。
2、参考检测方法
1)        Display current-configuration
2)        通过登录测试，只有输入密码才能访问设备
超出在线用户数限制，则无法通过vty口访问设备
备注       

4.1.6.2　VTY端口访问的认证
项目编号        NOMD-2013-SC-H3C(L3SW)-01-06-02-v1
配置说明        对于VTY口访问的认证，应采用认证服务器认证或者本地认证的方式，避免使用VTY口下设置密码的方式认证。
重要等级        高
配置指南        1、参考配置操作
user-interface vty 0 4
authentication-mode scheme
#
2、补充操作说明
以上配置是对VTY口访问采用服务器认证或本地认证的方式。
检测方法
及
判定依据        1、        符合性判定依据
通过telnet登录，只能通过用户名、密码本地或远程登录。
2、        参考检测方法
登录设备，查看是否需要用户名、密码进行认证。

备注       

4.1.6.3　远程主机IP地址段限制
项目编号        NOMD-2013-SC-H3C(L3SW)-01-06-03-v1
配置说明        应通过ACL限制可远程管理设备的IP地址段
重要等级        高
配置指南        1、参考配置操作
Acl number 2000
rule 1 permit source 192.168.0.0 0.0.255.255
rule 2 permit source 2::1 0   //匹配某个地址的用户   --Ipv6
User-interface vty 0 4
acl 2000 inbound

检测方法
及
判定依据        1、        符合性判定依据
通过设定acl，成功过滤非法的访问。
2、        参考检测方法
display current-configuration
通过模拟账号登录设备，如果不是ACL所允许的IP地址，则无法登录。

备注       

4.1.6.4　远程管理通信安全
项目编号        NOMD-2013-SC-H3C(L3SW)-01-06-04-v1
配置说明        使用SSH或带SSH的telnet等加密的远程管理方式。
重要等级        高
配置指南        1、参考配置操作
# 设置用户界面VTY 0 到VTY 4 支撑SSH 协议。
<Sysname> system-view
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] authentication-mode scheme
[Sysname-ui-vty0-4] protocol inbound ssh
检测方法
及
判定依据        1、符合性判定依据
通过telnet无法登录，只能以SSH方式登录
2、参考检测方法
通过SSH方式登录设备，成功。Telnet登录，则失败。

备注       

4.1.7　SNMP安全
4.1.7.1　使用SNMP V3版本
项目编号        NOMD-2013-SC-H3C(L3SW)-01-07-01-v1
配置说明        对于支撑SNMP V3版本的设备，必须使用V3版本SNMP协议。
重要等级        高
配置指南        1、参考配置操作
snmp-agent sys-info version v3

检测方法
及
判定依据        1.        符合性判定依据
成功使能snmpv2c、和v3版本。
2.        参考检测操作
display current-configuration
备注       

4.1.7.2　访问IP地址范围限制
项目编号        NOMD-2013-SC-H3C(L3SW)-01-07-02-v1
配置说明        应对发起SNMP访问的源IP地址进行限制，并对设备接收端口进行限制。
重要等级        高
配置指南        1、参考配置操作
snmp-agent community read XXXX acl 2000

检测方法
及
判定依据        1.        符合性判定依据
通过设定acl来成功过滤特定的源才能进行访问。
2.        参考检测操作
display current-configuration
备注       

4.1.7.3　SNMP服务读写权限管理
项目编号        NOMD-2013-SC-H3C(L3SW)-01-07-03-v1
配置说明        应关闭未使用的SNMP协议，尽量不开启SNMP的RW权限。
重要等级        高
配置指南        1、参考配置操作
snmp-agent community read xxx
snmp-agent community write xxxx
检测方法
及
判定依据        1、符合性判定依据
开启了snmp READ权限，视情况配置write权限。
2、参考检测操作
display current-configuration
备注       

4.1.7.4　修改SNMP默认的Community字符串
项目编号        NOMD-2013-SC-H3C(L3SW)-01-07-04-v1
配置说明        应修改SNMP协议RO和RW的默认Community字符串，并设置复杂的字符串作为SNMP的Community。
重要等级        高
配置指南        1、参考配置操作
snmp-agent community read xxx
snmp-agent community write xxxx
检测方法
及
判定依据        1.        符合性判定依据
系统成功修改SNMP的Community为用户定义口令，非常规private或者public，并且符合口令强度要求。
2.        参考检测操作
display current-configuration

备注       

4.1.7.5　Community字符串加密
项目编号        NOMD-2013-SC-H3C(L3SW)-01-07-05-v1
配置说明        建议支撑对SNMP协议RO、RW的Community字符串的加密存放。
重要等级        高
配置指南        1、参考配置操作
SNMP V3支撑加密功能，例如配置使用的用户名为managev3user，认证方式为MD5，认证密码为authkey，加密算法为DES56，加密密码是prikey
[Sysname] snmp-agent group v3 managev3group read-view test write-view test
[Sysname] snmp-agent usm-user v3 managev3user managev3group authentication-mode md5 authkey privacy-mode des56 prikey

检测方法
及
判定依据        1、        符合性判定依据
Community字符串经过加密存储。
2、        参考检测方法
Community字符串在传输的过程中，进行加密处理。通过抓包方法可以检测。

备注