H3C路由器安全配置基线.docx

H3C路由器平安配置基线(Version 1.0)2011年12月H3C路由器平安配置基线远程日志功能平安基线编号SB?- Router- H3C-04-03平安基线名称远程日志功能平安基线要求项平安基线要求配置远程日志功能，使设备日志能通过远程日志功能传输到日志服务器检测操作参考Routerdis current | i info-center loghost平安判定依据如果显示类似：info-center loghost <Logging host IP>说明符合平安要求。基线配置项重要度高 因中 口低操作风险评估口高 口中 因低日志记录时间准确性平安基线编号SBL- Router- H3C-04-04平安基线名称口志记录时间准确性平安基线要求项平安基线要求开启NTP服务，保证日志功能记录的时间的准确性检测操作参考Routerdis current | i ntp-service unicast-server平安判定依据如果显示类似：ntp-service unicast-server <IP> source-interface v接口,说明符合平安要求。备注集团NTP服务器地址详见附录Co基线配置项重要度口高团中 口低操作风险评估口高 口中 国低7.5 协议平安7.5.1 BGP 认证7平安基线编号SBL- Router- H3C-05-01平安基线名称BGP认证平安基线要求项平安基线要求BGP启用认证，确保不可信方进行通信检测操作参考Routerdis current | b bgp <AS>平安判定依据如果显示类似：H3C路由器平安配置基线bgp <AS>peer <x.x.x.x> password cipher v密文 password>说明符合平安要求。基线配置项重要度团高 口中 低操作风险评估口高回中 低7.5.2 OSPF 认证平安基线编号SBL- Router- H3C-05-02平安基线名称OSPF认证平安基线要求项平安基线要求OSPF启用认证，确保不可信方进行通信检测操作参考1) Routerdis current | b ospf <pid>2) Routerdis current interface v接口平安判定依据如果显示类似：1) ospf <pid> router-id <rid>area <area-id>authentication-mode md52) interface v接口ospf authentication-mode md5 <key-id> cipher v 密文 pass wo rd >说明符合平安要求。基线配置项重要度回高 口中 低操作风险评估口高团中 低7.5.3 LDP认证（可选）8平安基线编号SBL- Router- H3C-05-03平安基线名称LDP认证平安基线要求项平安基线要求配置MPLS时，LDP启用认证，确保不可彳言方进行交互检测操作参考Routerdis current | b mpls Idp平安判定依据如果显示类似：mpls Idpmd5-password cipher <peer-lsr-id> v密文 password>H3C路由器平安配置基线说明符合平安要求。备注假设网络中没有应用MPLS,此平安基线要求项开适用。基线配置项重要度回高口中口低操作风险评估高团中低7.6 网络管理7.6.1 SNMP协议版本平安基线编号SBL- Router- H3C-06-01平安基线名称SNMP协议版本平安基线要求项平安基线要求网络设备需要配置SNMP V2c以上版本检测操作参考Routerdis snmp-agent sys-info version平安判定依据如果显示类似：SNMP version running in the system:SNMPv3说明符合平安要求。备注1）启用snmp-agent服务后，默认版本为V3。2）通过命令 snmp-agent sys-info version all | v2c | v3 可以配置 SNMP 版本。基线配置项重要度因高 口中 口低操作风险评估口高 口中 回低7.6.2 修改SNMP默认密码9平安基线编号SBL- Router- H3C-06-02平安基线名称SNMP默认密码平安基线要求项平安基线要求启用 SNMP V2C 需要修改默认 SNMP Community String检测操作参考Routerdis current | i snmp-agent community平安判定依据如果显示类似：snmp-agent community read <community-string>开且：1） community string 7T为 public 和 private2）权限仅为只读“read”H3C路由器平安配置基线说明符合平安要求。基线配置项重要度回高口中低操作风险评估高口中回低7.6.3 SNMP通信平安（可选）平安基线编号SBL- Router- H3C-06-03平安基线名称SNMP通信平安基线要求项平安基线要求路由器只不特定主机进行SNMP协议通信检测操作参考Routerdis current | i snmp-agent平安判定依据如果显示类似：snmp-agent community read <community-string> acl <acl-num>或snmp-agent group v3 <group-name> acl <acl-num>说明符合平安要求。基线配置项重要度回高 口中 低操作风险评估口高 口中 因低7.7 设备管理7.7.1 路由器带内管理方式10平安基线编号SBL- Router- H3C-07-01平安基线名称路由器带内管理方式平安基线要求项平安基线要求采用SSH方式远程管理路由器，而开是Telnet检测操作参考1) Routerdis ssh server status2) Routerdis current | b user-interface vty3) Routerdis current | b local-user平安判定依据如果显示类似：1) SSH server: Enable2) user-interface vty 0 4 protocol inbound ssh3) local-user<name>H3C路由器平安配置基线service-type ssh4）通过SSH客户端以用户vname>登陆路由器成功。说明符合平安要求。基线配置项重要度团高 口中 口低操作风险评估口高 口中 因低7.7.2 路由器带内管理通信平安基线编号SBL- Router- H3C-07-02平安基线名称路由器带内管理通信平安基线要求项平安基线要求带内管理设置限制可以访问路由器的网段检测操作参考Routerdis current | b user-interface vty平安判定依据如果显示类似：user-interface vty 0 4 acl <acl-num> inbound 说明符合平安要求。基线配置项重要度El高 中 口低操作风险评估口高 中 因低7.7.3 路由器带内管理超时11平安基线编号SBL- Router- H3C-07-03平安基线名称路由器带内管理超时平安基线要求项平安基线要求路由器带内管理设置登录超时检测操作参考Routerdis current | b user-interface vty平安判定依据如果显示类似：user-interface vty 0 4idle-timeout 5 0说明符合平安要求。备注超时时间开宜设置过长，参考值为5分钟。基线配置项重要度团高 口中 口低操作风险评估口高 口中 因低H3C路由器平安配置基线7.7.4 路由器带内管理验证平安基线编号SBL- Router- H3C-07-04平安基线名称路由器带内管理验证平安基线要求项平安基线要求路由器带内管理设置本地或远程登录验证检测操作参考Routerdis current | b user-interface vty平安判定依据如果显示类似：user-interface vty 0 4authentication-mode scheme说明符合平安要求。基线配置项重要度0高 口中 低操作风险评估口高 口中 因低7.7.5 路由器带内管理用户级别平安基线编号SBL- Router- H3C-07-05平安基线名称路由器带内管理用户级别平安基线要求项平安基线要求带内管理路由器时以默认用户级别（级别0）登录，通过验证后以super密码进行级别切换检测操作参考1) Routerdis current | b local-user2) Routerdis current | i super password平安判定依据如果显示类似：1) local-user <name>service-type ssh2) super password level <level> cipher v密文 passowrod>说明符合平安要求。备注配置super密码进行级别切换时，level取值范围为1-3。基线配置项重要度团高中口低操作风险评估高口中回低7.7.6 路由器带外管理超时12平安基线编号SBL- Router- H3C-07-06H3C路由器平安配置基线平安基线名称路由器带外管理超时平安基线要求项平安基线要求通过console管理路由器时设置超时检测操作参考Routerdis current | b user-interface console平安判定依据如果显示类似：user-interface console 0idle-timeout 5 0说明符合平安要求。备注超时时间开宜设置过长，参考值为5分钟。基线配置项重要度团高中口低操作风险评估口高中国低7.7.7 路由器带外管理验证平安基线编号SBL- Router- H3C-07-07平安基线名称路由器带外管理验证平安基线要求项平安基线要求通过console管理路由器时设置验证检测操作参考Routerdis current | b user-interface console平安判定依据如果显示类似：user-interface console 0authentication-mode password | scheme 说明符合平安要求。基线配置项重要度团高 口中 口低操作风险评估口高 中 0低7.8 其它7.8.1 路由器登录BANNER管理13平安基线编号SBL- Router- H3C-08-01平安基线名称路由器登录BANNER平安基线要求项平安基线要求配置登录终端界面前的BANNER,开要表达系统平台、IOS版本、IP地址等信息检测操作参考Routerdis current-configuration | b header motd平安判定依据如果显示类似：H3C路由器平安配置基线header motd %<ACCESS IS RESTRICTED TO AUTHORISED PERSONNEL ONLY>%说明符合平安要求。基线配置项重要度高 0中 口低操作风险评估高中因低7.8.2 路由器空闲端口管理平安基线编号SBL- Router- H3C-08-02平安基线名称路由器空闲端口管理平安基线要求项平安基线要求路由器上如果有端口处亍空闲状态需要通过命令将其关闭检测操作参考Routerdis curr interface v接口,平安判定依据如果显示类似：interface v接口,shutdown说明符合平安要求。基线配置项重要度高 因中 低操作风险评估高 回中 口低7.8.3 禁用版权信息显示14平安基线编号SBL- Router- H3C-08-03平安基线名称版权信息显示平安基线要求项平安基线要求禁用版权信息显示，防止泄露路由器品牌信息检测操作参考Routerdis current平安判定依据如果显示类似：1) undo copyright-info enable或2)通过带内或带外方式登录路由器时开再显示包含“H3C”字样的版权信息。说明符合平安要求。基线配置项重要度高 回中 口低操作风险评估高 口中 向低附录A平安基线配置项应用统计表16基线配置项分类明细编号平安基线配置项应用情况备注7.1账号管理应用 口局部应用口没有应用应用 口局部应用口没有应用7.2 口令管理应用 口局部应用口没有应用应用 局部应用口没有应用7.3认证管理应用 口局部应用口没有应用7.4日志审计应用 口局部应用口没有应用应用 口局部应用口没有应用应用 口局部应用口没有应用应用 口局部应用口没有应用7.5协议平安应用 口局部应用口没有应用应用 口局部应用口没有应用应用 口局部应用口没有应用7.6网络管理应用 口局部应用口没有应用应用 口局部应用口没有应用应用 口局部应用口没有应用7.7设备管理应用 口局部应用口没有应用应用 口局部应用口没有应用应用 口局部应用口没有应用应用 口局部应用口没有应用应用 口局部应用口没有应用应用 口局部应用口没有应用应用 口局部应用口没有应用7.8其它应用 口局部应用口没有应用应用 口局部应用口没有应用应用 口局部应用口没有应用H3C路由器平安配置基线附录B平安基线配置项应用问题记录表基线编号故障现象描述解决方法记录备注181引言 12适用范围 13缩略语 14平安基线要求项命名规那么 15文档使用说明 26考前须知 27平安配置要求 37.1 账号管理 37-1.1运维账号共享管理 3£）除不工作无天账号 37.2 口令管理 4部态口令加密 47.2.1 静态口令运维管理 47.3 认证管理 5RADIUS 认证（可选） 57.4 日志审计 5RADIUS 记账（可选） 57.4.1 启用信息中心 6远程日志功能 77.4.2 日志记录时间准确性 77.5 协议平安7BGP 认证77.5.1 OSPF 认证8LDP认证（可选）87.6 网络管理9SNMP协议版本97.6.1 修改SNMP默认密码9SNMP通信平安（可选）107.7 设备管理10路由器带内管理方式107.7.1 路由器带内管理通信11路由器带内管理超时117.7.2 路由器带内管理验证12路由器带内管理用户级别127.7.3 路由器带外管理超时12路由器带外管理验证137.8其它13路由器登录BANNER管理137.8.1 路由器空闲端口管理14禁用版权信息显示14附录A平安基线配置项应用统计表16附录B平安基线配置项应用问题记录表18H3C路由器平安配置基线1引言本文档规定了集团使用的H3c系列路由器应当遵循的路由器平安性设置标准，是 集团平安基线文档之一。本文档旨在对信息系统的平安配置审计、加固操作起到指导性 作用。2适用范围本文档适用亍集团使用的H3c系列路由器，明确了 H3c系列路由器在平安配置方面的基本要求，可作为编制设备入网测试、平安验收、平安检查规范等文档的参考。3缩略语TCPTransmission Control Protocol传输控制协议UDPUser Datagram Protocol用户数据报协议BGPBorder Gateway Protocol边界网表协议OSPFOpen Shortest Path First开放最短路径优先SNMPSimple Network Management Protocol简单网络管理协议LDPLabel Distribution Protocol标签分发协议NTPNetwork Time Protocol网络时间协议AAAAuthentication, Authorization, Accounting认证，授权，记账GCCGeneral Computer Controls信息系统总体控制SBLSecurity Base Line平安基线4平安基线要求项命名规那么平安基线要求项是平安基线的最小单位，每一个平安基线要求项对应一个基本的可执行的平安规范明细，平安基线要求项命名规那么为“平安基线- 一级分类-二级分类-类型H3C路由器平安配置基线编号-明细编号”,如SBLRouterH3c代表“平安基线-路由器-H3C-账 号类-运维账号共享管理“。5文档使用说明1>随着信息技术开展，路由器不交换机在功能上逐渐融合，具有共同点，局部路由器 上配有交换板卡，可以实现服务器不终端计算机接入；局部交换机配有路由引擎，可以实现 路由功能。虽然两者具有一定共同点，但从路由器不交换机在生产环境中的应用定位出发， 本系列文档分为路由器平安基线（侧重亍路由协议等）和交换机平安基线（侧重亍局域网交 换不端口平安等）。2> H3C路由器可以通过命令行、Web、NMS等多种方式管理，本文档中涉及的操作， 均在命令行下完成。3>命令行中需要用户定义的名称不数值，文档中均以。标出，用户根据需要自行定 义。local-user <name1>,表示创立账号名称为namel的本地用户，password cipher < passwords,表示本地用户 namel 的密码为 passowrdl。4>由亍各信息系统对亍H3c系列路由器的要求开尽相同，因此对亍第7章平安配置 要求中的平安基线要求项，各信息系统根据实际情况选择性进行配置，开填写附录A平安 基线配置项应用统计表。5>在第7章平安配置要求中，局部平安基线要求项提供了阈值，如“路由器带内管理 设置登录超时，超时时间开宜设置过长，参考值为5分钟。此阈值为参考值，通过借鉴 GCC、集团企标、国内外大型企业信息平安最正确实践等资料得出。各信息系统如因业 务需求无法应用此阈值，在附录A平安基线配置项应用统计表的备注项进行说明。6考前须知由亍H3C系列路由器普遍应用亍重要生产环境，对亍本文档中平安基线要求项，实施H3C路由器平安配置基线前需要在测试环境进行验证后应用O在应用平安基线配置项的过程中，如遇到技术性问题，填写附录B平安基线配置项应 用问题记录表。在应用平安基线配置前需要备份路由器的配置文件，以便出现故障时进行 回退。7平安配置要求7.1 账号管理7.1.1 运维账号共享管理平安基线编号SBL- Router- H3C-01-01平安基线名称运维账号共享平安基线要求项平安基线要求按照用户分配账号，防止开同用户间共享运维账号检测操作参考Routerdis current | i local-user平安判定依据1）网络管理员列出路由器运维人员名单；2）查看 dis current | i local-user 结果：local-user <name1>local-user <name2>local-user <name3>3）比照命令显示结果不运维人员账号名单，如果运维人员之间开存在共享运维账 号，说明符合平安要求。基线配置项重要度团高 口中 口低操作风险评估口高口中国低7.1.2 删除不工作无天账号3平安基线编号SBL- Router- H3C-01-02平安基线名称账号整改平安基线要求项平安基线要求删除不工作无天的账号，提高系统账号平安检测操作参考Routerdis current | i local-user平安判定依据1）网络管理员列出路由器运维人员名单；H3C路由器平安配置基线2）查看 dis current | i local-user 结果:local-user <name1>local-user <name2>local-user <name3>3）比照显示结果不账号名单，如果发现不运维无关的账号，说明开符合平安要求。备注无天账号主要指测试账号、共享账号、长期开用账号（半年以上）等。基线配置项重要度团高中低操作风险评估高中叼氐7.2 口令管理7.2.1 静态口令加密平安基线编号SBL- Router- H3C-02-01平安基线名称静态口令加密平安基线要求项平安基线要求1）配置本地用户口令使用“cipher"表键字2）配置super 口令使用“cipher"大键字检测操作参考1) Routerdis current | b local-user2) Routerdis current | i super password平安判定依据如果显示“cipher”天键字，如：1) local-user <name>password cipher v密文 password>2) super password level <level> cipher v密文 password>基线配置项重要度因高 中 口低操作风险评估高 口中 回低7.2.2 静态口令运维管理4平安基线编号SBL- Router- H3C-02-02平安基线名称静态口令运维管理平安基线要求项平安基线要求1）采用静态口令认证技术的设备，口令最小长度7T少亍8个字符2）采用静态口令认证技术的设备，口令生存期最长为90天基线配置项重要度回高 口中 低H3C路由器平安配置基线7.3 认证管理7.3.1 RADIUS 认证（可选）平安基线编号SBL- Router- H3C-03-01平安基线名称RADIUS认证平安基线要求项平安基线要求配置RADIUS认证，确认远程用户身份，判断访问者是否为合法的网络用户检测操作参考1) Routerdis current | b radius scheme2) Routerdis current | b domain3) Routerdis current | b user-interface vty平安判定依据如果显示类似：1)配置RADIUS方案radius scheme <scheme-name>primary authentication <IP>key authentication <key-string>user-name-format without-domain2)配置域domain <domain-name>authentication login radius-scheme <scheme-name> local3)配置本地用户user-interface vty 0 4protocol inbound sshauthentication-mode scheme说明符合平安要求。基线配置项重要度因高 中 口低操作风险评估高回中 口低7,4日志审计7.4.1 RADIUS 记账（可选）5平安基线编号SBL- Router- H3C-04-01平安基线名称RADIUS记账平安基线要求项H3C路由器平安配置基线平安基线要求不记账服务器配合，设备配置日志功能：1）对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录 时间，以及远程登录时，用户使用的IP地址；2）对用户设备操作进行记录，如账号创立、删除和权限修改，口令修改等，记录需 要包含用户账号，操作时间，操作内容以及操作结果。检测操作参考1) Routerdis current | b radius scheme2) Routerdis current | b domain平安判定依据如果显示类似：1)配置RADIUS方案radius scheme <scheme-name>primary accounting <IP>key accounting <key-string>user-name-format without-domain2)配置域domain <domain-name>accounting login radius-scheme <scheme-name> local说明符合平安要求。基线配置项重要度口高回中 口低操作风险评估口高团中 低7.4.2 启用信息中心6平安基线编号SBL- Router- H3C-04-02平安基线名称信息中心启用平安基线要求项平安基线要求启用信息中心，记录不设备相天的事件检测操作参考Routerdis info-center平安判定依据如果显示类似：Information Center: enabled说明符合平安要求。基线配置项重要度口高向中 口低操作风险评估口高 口中 因低