分级配置用户口令
将网络交换机的登录口令分为4级:参观级、监控级、配置级、管理级,不同的级别所能做的操作都不相同。
参观级:网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(包括:Telnet客户端、SSH客户端、 RLOGIN)等,该级别命令不允许进行配置文件保存的操作。
监控级:用于系统维护、业务故障诊断等,包括display、debugging命令,该级别命令不允许进行配置文件保存的操作。
配置级:业务配置命令,包括路由、各个网络层次的命令,这些用于向用户提供直接网络服务。
管理级:关系到系统基本运行,系统支撑模块的命令,这些命令对业务提供支撑作用,包括文件系统、FTP、TFTP、Xmodem下载、配置文件切换 命令、电源控制命令、备板控制命令、用户管理命令、级别设置命令、系统内部参数设置命令(非协议规定、非RFC规定)等。
建议分级设置登录口令,以便于对于不同的维护人员提供不同的口令。
对任何方式登陆的用户都要认证,也可采用SSH
建议对于各种登录设备的方式(通过TELNET、CONSOLE口、AUX口)都进行认证。
在默认的情况下,CONSOLE口不进行认证,在使用时建议对于CONSOLE口登录配置上认证。
对于安全级别一般的设备,建议认证方式采用本地认证,认证的时候要求对用户名和密码都进行认证,配置密码的时候要采用密文方式。用户名和密码要求足 够的强壮。
对于安全级别比较高的设备,建议采用AAA方式到RADIUS去认证。
对网络上已知病毒使用的端口进行过滤
现在网络上的很多病毒发作时,对网络上的主机进行扫描搜索,该***虽然不是针对设备本身,但是在***过程中会涉及到发ARP探询主机位置等操作,某 些时候对于网络设备的资源消耗十分大,同时会占用大量的带宽。对于这些常见的病毒,通过分析它们的工作方式,可知道他们所使用的端口号。
为了避免这些病毒对于设备运行的影响,建议在设备上配置ACL,对已知的病毒所使用的TCP、UDP端口号进行过滤。一方面保证了设备资源不被病毒 消耗,另一方面阻止了病毒的传播,保护了网络中的主机设备。
关闭危险的服务
如果在不使用以下服务的时候,建议将这些服务关闭,防止那些通过这些服务的***对设备的影响。
1、禁止HDP(Huawei Discovery Protocol)。
2、禁止其他的TCP、UDP Small服务。路由器提供一些基于TCP和UDP协议的小服务如:echo、chargen和discard。这些小服务很少被使用,而且容易被***者 利用来越过包过滤机制。
3、禁止Finger、NTP服务。Finger服务可能被***者利用查找用户和口令***。NTP不是十分危险的,但是如果没有一个很好的认证,则 会影响路由器正确时间,导致日志和其他任务出错。
4、建议禁止HTTP服务。路由器操作系统支持Http协议进行远端配置和监视,而针对Http的认证就相当于在网络上发送明文且对于Http没有 有效的基于挑战或一次性的口令保护,这使得用Http进行管理相当危险。
5、禁止BOOTp服务。
6、禁止IP Source Routing。
7、明确的禁止IP Directed Broadcast。
8、禁止IP Classless。
9、禁止ICMP协议的IP Unreachables,Redirects,Mask-Replies。
10、如果没必要则禁止WINS和DNS服务。
11、禁止从网络启动和自动从网络下载初始配置文件。
12、禁止FTP服务,网络上存在大量的FTP服务,使用不同的用户名和密码进行尝试登录设备,一旦成功登录,就可以对设备的文件系统操作,十分危 险。
使用SNMP协议的建议
在不使用网管的时候,建议关闭SNMP协议。
出于SNMPv1/v2协议自身不安全性的考虑,建议尽量使用SNMPv3,除非网管不支持SNMPv3,只能用SNMPv1/v2。
在配置SNMPv3时,最好既鉴别又加密,以更有效地加强安全。鉴别协议可通过MD5或SHA,加密协议可通过DES。
在SNMP服务中,提供了ACL过滤机制,该机制适用于SNMPv1/v2/v3三个版本,建议通过访问控制列表来限制SNMP的客户端。
SNMP服务还提供了视图控制,可用于SNMPv1/v2/v3。建议使用视图来限制用户的访问权限。
在配置SNMPv1/v2的community名字时,建议避免使用public、private这样公用的名字。并且在配置community 时,将RO和RW的community分开,不要配置成相同的名字。如果不需要RW的权限,则建议不要配置RW的community。
关闭不使用的物理端口
为了防止误接设备而引起网络的异常,建议对于不使用的物理端口在配置上将其关闭,防止误接。
保持系统日志打开
网络设备的系统日志会记录设备的运行信息,维护人员做了哪些操作,执行了哪些命令。系统日志建议一直打开,以便于网络异常的时候,查找相关的记录。
系统日志缺省向console口、日志缓冲区输出。
系统日志可以向Telnet终端和哑终端(monitor)、日志主机(loghost)输出,但需要配置。
注意检查设备的系统时间是否正确
为了保证日志时间的准确性,建议定期(每月一次)检查设备的系统时间是否准确,和实际时间误差不超过1分钟。
在设备上开启URPF功能
URPF通过获取报文的源地址和入接口,以源地址为目的地址,在转发表中查找源地址对应的接口是否与入接口匹配,如果不匹配,认为源地址是伪装的, 丢弃该报文。通过这种方式,URPF就能有效地防范网络中通过修改源地址而进行的恶意***行为的发生。通过URPF,可以防止基于源地址欺骗的网络***行 为。
防***的措施
这类防范措施请根据实际网络和遭受***的情况进行。配置会对网络造成一定影响,请慎重实施。
目前,网络上最大也是最难解决的***是DOS***。大多数的Dos***都是通过发送大量的无用包,从而占用路由器和带宽的资源,导致网络和设备过 载,这种***也称为”洪泛***”。对于这种***的防范首先要明确瓶颈在哪里。
ICMP协议的安全配置:
ICMP协议很多具有一些安全隐患,因此在骨干网络上,如果没有特别需要建议禁止一些ICMP协议报文:ECHO、Redirect、Mask request。同时禁止TraceRoute命令的探测。对于流出的ICMP流,可以允许ECHO、Parameter Problem、Packet too big。还有TraceRoute命令的使用。这些的措施通过ACL功能都可以实现。
DDOS***的防范:
DDoS(分布式拒绝服务),它的英文全称为Distributed Denial of Service,它是一种基于DoS的特殊形式的拒绝服务***,是一种分布、协作的大规模***方式,主要瞄准比较大的站点,比如商业公司,搜索引擎和政府 部门的站点。
该***需要在发现问题后接入层面实施,先探测到DDOS***源和***使用的端口(这个功能可以通过端口镜像,将数据流镜像到专门的设备上进行分析, 以获取***源和***使用的端口),然后对***源的通信进行限制,这类防范手段也可以通过ACL来实现。
Smurf***的防范:
Smurf***是向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要***的主机地址。子网上所有主机都回 应广播包请求而向被***主机发包,使该主机受到***。
该***需要在发现问题后接入层面实施,先探测到Smurf***源和***使用的端口(这个功能可以通过端口镜像,将数据流镜像到专门的设备上进行分 析,以获取***源和***使用的端口),然后对***源的通信进行限制,这类防范手段也可以通过ACL来实现。
TCP SYN***的防范:
利用TCP连接机制的***。Synflood: 该***以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请 求提供服务。
该***需要在发现问题后接入层面实施,先探测到TCP SYN***源和***使用的端口(这个功能可以通过端口镜像,将数据流镜像到专门的设备上进行分析,以获取***源和***使用的端口),然后对***源的通信进 行限制,这类防范手段也可以通过ACL来实现。
LAND.C***的防范:
***者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被***主机,这种包可以造成被***主机因试图与自己 建立连接而陷入死循环,从而很大程度地降低了系统性能。
该***需要在发现问题后接入层面实施,先探测到LAND.C***源和***使用的端口(这个功能可以通过端口镜像,将数据流镜像到专门的设备上进行分 析,以获取***源和***使用的端口),然后对***源的通信进行限制,这类防范手段也可以通过ACL来实现。