1 帐号管理、认证授权
1.1 账号管理
1.1.1 ELK-Huawei-01-01-01
编号:
|
ELK-Huawei- 01-01-01
—|—
名称:
|
无效帐户清理
实施目的:
|
删除与设备运行、维护等工作无关的账号
问题影响:
|
账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态:
|
查看备份的系统配置文件中帐号信息。
实施方案:
|
参考配置操作
aaa
undo local-user test
回退方案:
|
还原系统配置文件。
判断依据:
|
标记用户用途,定期建立用户列表,比较是否有非法用户
实施风险:
|
低
重要等级:
|
★★★
实施风险:
|
低
重要等级:
|
★★★
1.2 登录要求
1.2.1 ELK-Huawei-01-02-01
编号:
|
Huawie-01-02-01
—|—
名称:
|
远程登录加密传输
实施目的:
|
远程登陆采用加密传输
问题影响:
|
泄露密码
系统当前状态:
|
查看备份的系统配置文件中远程登陆的配置状态。
实施方案:
|
参考配置操作
全局模式下配置如下命令:
(1)R36xxE系列、R2631E系列
#protocol inbound ssh x [acl xxxx];
#ssh user xxxx assign rsa-key xxxxxx;
#ssh user xxxx authentication-type [ password | RSA | all ]
(2)NE系列
#local-user username password [simple | cipher] password
#aaa enable
ssh user username authentication-type password
#user-interface vty x
#authentication-mode scheme default
#protocol inbound ssh
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中远程登陆的配置状态。
实施风险:
|
高
重要等级:
|
★
1.2.2 ELK-Huawei-01-02-02
编号:
|
ELK-Huawei- 01-02-02
—|—
名称:
|
加固AUX端口的管理
实施目的:
|
除非使用拨号接入时使用AUX端口,否则禁止这个端口。
问题影响:
|
用户非法登陆
系统当前状态:
|
查看备份的系统配置文件中关于CON配置状态。
实施方案:
|
参考配置操作
undo modem
设置完成后无法通过AUX拨号接入路由器
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中关于CON配置状态。
实施风险:
|
中
重要等级:
|
★
1.2.3 ELK-Huawei-01-02-03
编号:
|
ELK-Huawei- 01-02-03
—|—
名称:
|
远程登陆源地址限制
实施目的:
|
对登录用户的源IP地址进行过滤,防止某些获得登录密码的用户从非法的地址登录到设备上。
问题影响:
|
非法登陆。
系统当前状态:
|
查看备份的系统配置文件中关于登录配置状态。
实施方案:
|
参考配置操作
全局模式下配置如下命令:
acl acl-number [match [config | auto]];
rule {normal |special} {permit | deny} [ source xxx xxx] [
destination xxx xxx] ….
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中关于登录配置状态。
实施风险:
|
中
重要等级:
|
★
1.3 认证和授权
1.3.1 ELK-Huawei-01-03-01
编号:
|
ELK-Huawei- 01-03-01
—|—
名称:
|
认证和授权设置
实施目的:
|
设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。
问题影响:
|
非法登陆。
系统当前状态:
|
查看备份的系统配置文件中相关配置。
实施方案:
|
参考配置操作
#对远程登录用户先用RADIUS服务器进行认证,如果没有响应,则不认证。
#认证服务器IP地址为129.7.66.66,无备用服务器,端口号为默认值1812。
配置RADIUS服务器模板。
[Router] radius-server template shiva
配置RADIUS认证服务器IP地址和端口。
Router-radius-shiva]radius-server authentication 129.7.66.66 1812
配置RADIUS服务器密钥、重传次数。
[Router-radius-shiva] radius-server shared-key it-is-my-secret
[Router-radius-shiva] radius-server retransmit 2
[Router-radius-shiva] quit
进入AAA视图。
[Router] aaa
配置认证方案r-n,认证方法为先RADIUS,如果没有响应,则不认证。
[Router–aaa] authentication-scheme r-n
[Router-aaa-authen-r-n] authentication-mode radius none
[Router-aaa-authen-r-n] quit
配置default域,在域下采用r-n认证方案、缺省的计费方案(不计费),shiva的RADIUS模板。
[Router-aaa] domain default
[Router-aaa-domain-default] authentication-scheme r-n
[Router-aaa-domain-default] radius-server shiva
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中相关配置。
实施风险:
|
低
重要等级:
|
★
2 日志配置
2.1 ELK-Huawei-02-01-01
编号:
|
ELK-Huawei- 02-01-01
—|—
名称:
|
开启日志功能
实施目的:
|
支持数据日志,可以记录系统日志与用户日志。系统日志指系统运行过程中记录的相关信息,用以对运行情况、故障进行分析和定位,日志文件可以通过XModem、FTP、TFTP协议,远程传送到网管中心。
判断依据:
|
无法对用户的登陆进行日志记录。
系统当前状态:
|
查看备份的系统配置文件中关于日志功能的配置。
实施方案:
|
参考配置操作
#info-center enable; 默认已启动
#info-center console; 向控制台输出日志
#info-center logbuffer; 向路由器内部缓冲器输出日志
#info-center loghost; 向日志主机输出日志
#info-center monitor; 向telnet终端或哑终端输出日志
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中关于日志功能的配置。
实施风险:
|
中
重要等级:
|
★★★
3 通信协议
3.1 ELK-Huawei-03-01-01
编号:
|
ELK-Huawei- 03-01-01
—|—
名称:
|
SNMP服务配置
实施目的:
|
如不需要提供SNMP服务的,要求禁止SNMP协议服务,注意在禁止时删除一些SNMP服务的默认配置。
问题影响:
|
对系统造成不安全影响。
系统当前状态:
|
查看备份的系统配置文件中关于SNMP服务的配置。
实施方案:
|
****参考配置操作
全局模式下配置如下命令:
Undo snmp enable
undo snmp-agent community RWuser
关闭snmp的设备不能被网管检测到,关闭写权限的设备不能进行set操作。
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中关于SNMP服务的配置。
实施风险:
|
中
重要等级:
|
★
3.2 ELK-Huawei-03-01-02
编号:
|
ELK-Huawei- 03-01-02
—|—
名称:
|
更改SNMP TRAP协议端口;
实施目的:
|
如开启SNMP协议,要求更改SNMP trap协议的标准端口号,以增强其安全性。
问题影响:
|
容易引起拒绝服务攻击。
系统当前状态:
|
查看备份的系统配置文件中关于SNMP服务的配置。
实施方案:
|
参考配置操作
全局模式下配置如下命令:
R36xxE系列、R2631E系列
#snmp-agent
#snmp-agent target-host trap address xxx.xxx.xxx.xxx security xxx port xxx
#snmp-agent trap enable
NE系列
#snmp-agent
#snmp-agent target-host trap address udp-domain xxx.xxx.xxx.xxx securityname
xxx udp-port xxx
#snmp-agent trap enable
回退方案:
|
还原系统配置文件。
判断依据:
|
Show SNMP
实施风险:
|
高
重要等级:
|
★
3.3 ELK-Huawei-03-01-03
编号:
|
ELK-Huawei- 03-01-03
—|—
名称:
|
限制发起SNMP连接的源地址
实施目的:
|
如开启SNMP协议,要求更改SNMP 连接的源地址,以增强其安全性。
问题影响:
|
被非法攻击。
系统当前状态:
|
查看备份的系统配置文件中关于SNMP服务的配置。
实施方案:
|
参考配置操作
全局模式下配置如下命令:
#snmp-agent
snmp-agent community [read | write] XXXX acl xxxx
【影响】:只有指定的网管网段才能使用SNMP维护
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中关于SNMP服务的配置。
实施风险:
|
中
重要等级:
|
★
3.4 ELK-Huawei-03-01-04
编号:
|
ELK-Huawei- 03-01-04
—|—
名称:
|
设置SNMP密码
实施目的:
|
如开启SNMP协议,要求设置并定期更改SNMP Community(至少半年一次),以增强其安全性。
系统当前状态:
|
查看备份的系统配置文件中关于SNMP服务的配置。
问题影响:
|
泄露密码,引起非法登陆。
实施方案:
|
参考配置操作
全局模式下配置如下命令:
#snmp-agent
snmp-agent community [read | write] XXXX(不建议打开write特性)
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中关于SNMP服务的配置。
实施风险:
|
中
重要等级:
|
★
3.5 ELK-Huawei-03-01-05
编号:
|
ELK-Huawei- 03-01-05
—|—
名称:
|
SNMP访问安全限制
实施目的:
|
设置SNMP访问安全限制,只允许特定主机通过SNMP访问网络设备。
问题影响:
|
非法登陆。
系统当前状态:
|
查看备份的系统配置文件中关于SNMP服务的配置。
实施方案:
|
参考配置操作
#snmp-agent community read XXXX01 acl 2000
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中关于SNMP服务的配置。
实施风险:
|
中
重要等级:
|
★
3.6 ELK-Huawei-03-01-06
编号:
|
ELK-Huawei- 03-01-06
—|—
名称:
|
源地址路由检查
实施目的:
|
为了防止利用IP
Spoofing手段假冒源地址进行的攻击对整个网络造成的冲击,要求在所有的边缘路由设备(即直接与终端用户网络互连的路由设备)上,根据用户网段规划添加源路由检查。此外,该功能会对设备的转发性能造成影响,所以它更适用于网络接入层设备,汇聚层和核心层设备不建议使用。
问题影响:
|
会对设备负荷造成影响。
系统当前状态:
|
查看备份的系统配置文件中关于CEF 服务的配置。
实施方案:
|
参考配置操作
全局模式下配置如下命令:
#urpf enable
回退方案:
|
还原系统配置文件。
判断依据:
|
查看配置文件,核对参考配置操作
实施风险:
|
高
重要等级:
|
★
4 设备其它安全要求
4.1 ELK-Huawei-04-01-01
编号:
|
ELK-Huawei- 04-01-01
—|—
名称:
|
禁止未使用或空闲的端口
实施目的:
|
防止从空闲端口渗透到系统内部
问题影响:
|
从空闲端口渗透到系统内部
系统当前状态:
|
查看备份的系统配置文件中关于端口启用的配置。
实施方案:
|
参考配置操作
在不使用的端口启用如下命令:
shutdown
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中关于端口启用的配置。
实施风险:
|
中
重要等级:
|
★★★
4.2 ELK-Huawei-04-01-02
编号:
|
ELK-Huawei- 04-01-02
—|—
名称:
|
关闭不必要的服务
实施目的:
|
关闭网络设备不必要的服务,比如FTP、NTP、HGMP、Dhcp Server服务等
问题影响:
|
造成系统不安全性增加,难以管理。
系统当前状态:
|
查看备份的系统配置文件。
实施方案:
|
参考配置操作
全局模式下配置如下命令:
!FTP服务的关闭
#undo ftp server
回退方案:
|
还原系统配置文件。
判断依据:
|
查看配置文件,核对参考配置操作。
实施风险:
|
中
重要等级:
|
★
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。
760
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
