H3C評估加固全非官方

1、安全加固建議VTY 使用弱口令設(shè)備的VTY端口使用弱口令使網(wǎng)絡(luò)設(shè)備很容易被非法用戶登錄，并對網(wǎng)絡(luò)設(shè)備的配置信息進(jìn)行修改，甚至造成網(wǎng)絡(luò)設(shè)備不可用。加強(qiáng)VTY 口令強(qiáng)度，符合口令復(fù)雜度要求。<H3C> system-viewH3C user-interface vty 0H3C-ui-vty0 authentication-mode passwordH3C-ui-vty0 set authentication password cipher PASSWORD沒有定義 VTY ACL對VTY端口進(jìn)行訪問控制著可以限制登錄到網(wǎng)絡(luò)設(shè)備的IP地址，如果沒有對登錄VTY端口的IP地址進(jìn)行限制，意

2、味著所有網(wǎng)段都可以登錄網(wǎng)絡(luò)設(shè)備 進(jìn)行配置修改或者登錄嘗試，增加網(wǎng)絡(luò)設(shè)備的威脅。建立VTY訪問控制列表，將平常用于管理設(shè)備的終端增加到VTY的 訪問控制列表。建議將控制列表里的計(jì)算機(jī)做IP-MAC綁定。H3C-acl-basic-2000 rule 2 permit source 10.110.100.46 0H3C-acl-basic-2000 rule 3 deny source anyH3C-acl-basic-2000 quitH3C snmp-agent community read aaa acl 2000H3C snmp-agent group v2c groupa acl 200

3、0H3C snmp-agent usm-user v2c usera groupa acl 2000沒有禁用 SNMP 服務(wù)開啟不必要的SNMP（簡單網(wǎng)管協(xié)議），如果配置不當(dāng)會泄露網(wǎng)絡(luò)設(shè)備的運(yùn)行信息甚至配置信息。如不需要SNMP服務(wù)系統(tǒng)網(wǎng)絡(luò)管理，關(guān)閉SNMP服務(wù)。undo snmp-agentSNMP RO 使用簡單字串SNMP （簡單網(wǎng)管協(xié)議）RO字串簡單會泄露網(wǎng)絡(luò)設(shè)備的運(yùn)行信息、配置文件信息 ,對網(wǎng)絡(luò)安全造成很大威脅。加強(qiáng)SNMP RO字串復(fù)雜度，使其符合口令復(fù)雜度要求。snmp-agent community read superpassword未禁用 SNMP RW 字串SNMP（簡單

4、網(wǎng)管協(xié)議）RW字串不僅可以獲取網(wǎng)絡(luò)設(shè)備的運(yùn)行信息配置 文件信息還可以對網(wǎng)絡(luò)配置進(jìn)行修改、替換。對網(wǎng)絡(luò)安全造成很大威脅。如不需要 SNMP 寫功能，取消 SNMP RW 字串undo snmp-agent community write SuperpasswordSNMP RW使用簡單字串SNMP （簡單網(wǎng)管協(xié)議）RW字串簡單會泄露網(wǎng)絡(luò)設(shè)備的運(yùn)行信息、配置 文件信息甚至還可以對網(wǎng)絡(luò)配置進(jìn)行修改、 替換。對網(wǎng)絡(luò)安全造成很大威脅。加強(qiáng)SNMP RW字串復(fù)雜度，使其符合口令復(fù)雜度要求。snmp-agent community write Superpassword未對 SNMP 協(xié)議進(jìn)行地址訪問控制S

5、NMP （簡單網(wǎng)管協(xié)議）可以獲取網(wǎng)絡(luò)設(shè)備的運(yùn)行信息甚至配置文件信 息，對需獲取SNMP信息的服務(wù)器地址進(jìn)行訪問控制，防止 SNMP將設(shè)備信 息泄露。未授權(quán)訪問設(shè)備信息。在交換機(jī)上設(shè)置對接受SNMP的網(wǎng)絡(luò)管理計(jì)算機(jī)的地址進(jìn)行限制。H3C-acl-basic-2000 rule 2 permit source 10.110.100.46 0H3C-acl-basic-2000 rule 3 deny source anyH3C-acl-basic-2000 quitH3C snmp-agent community read aaa acl 2000H3C snmp-agent group v2c

6、groupa acl 2000H3C snmp-agent usm-user v2c usera groupa acl 2000使用 TELNET 服務(wù)Telnet 服務(wù)使用的是非加密的傳輸方式，口令等只要信息容易被第三方截取利用。建議更改登錄方式為更安全的SSH代替TELNETH3C user-interface vty 0 4H3C-ui-vty0-4 authentication-mode schemeH3C-ui-vty0-4 protocol inbound sshH3C local-user client001H3C-luser-client001 password simple

7、abcH3C-luser-client001 service-type ssh H3C-luser-client001 quitH3C ssh user client001 authentication-type password沒有指定日志服務(wù)器如果沒有指定日志服務(wù)器 ,對網(wǎng)絡(luò)設(shè)備的審計(jì)日志進(jìn)行定期保存， 對安全 事件發(fā)生后的事件分析、追查和舉證都會造成影響。如果可能，建立日志服務(wù)器。收集網(wǎng)絡(luò)設(shè)備日志，統(tǒng)一存儲，保存三個 月以上日志，方便日后追查。<H3C> system-viewH3C info-center enableH3C info-center loghost *.*.

8、*.* facility local7language englishH3C info-center source default channel loghost log level errors debugstateoff trap state off沒有指定時間服務(wù)器如果沒有指定時間服務(wù)器，統(tǒng)一網(wǎng)絡(luò)設(shè)備時間，對以后發(fā)生安全事件的 分析和追查會造成影響。建議設(shè)置NTP服務(wù)器，啟動NTP服務(wù)。S3600 ntp-service unicast-server 口令加密服務(wù)未啟動口令加密服務(wù)未啟動，一旦設(shè)備配置文件泄漏或被無意看見，或通過社 會工程學(xué)方式竊取， 使 console 及 vty 口令

9、將被非法者獲得。 登錄網(wǎng)絡(luò)設(shè)備并 影響整個網(wǎng)絡(luò)的可用性和機(jī)密性。啟用口令加密存儲。H3C-ui-vty0 set authentication password cipher PASSWORDConsole 登錄無驗(yàn)證機(jī)制惡意用戶通過 Console 直接接入到網(wǎng)絡(luò)設(shè)備上，可以對設(shè)備信息進(jìn)行、 修改、刪除等操作，導(dǎo)致嚴(yán)重安全問題。建議設(shè)置Con sole登錄驗(yàn)證，按照嚴(yán)格的帳戶口令策略進(jìn)行配置。system-viewuser-interface first-num1 last-num1 | aux | console |vty first-num2 last-num2 authenticati

10、on-mode passwordset authentication password cipher | simple password或者采用 authentication-mode scheme command-authorization local-user user-namepassword cipher | simple password訪問控制策略中無病毒防護(hù)策略訪問控制策中對端口無控制策略， 對目前對網(wǎng)絡(luò)有嚴(yán)重影響的蠕蟲端口 沒有進(jìn)行控制，存在嚴(yán)重的安全風(fēng)險。建議在訪問控制策略中加入對網(wǎng)絡(luò)蠕蟲利用的端口進(jìn)行控制的病毒防 護(hù)策略。沒有專門的訪問控制策略用于病毒防護(hù)， 主要是配置ACL禁用網(wǎng)絡(luò)蠕蟲利用的端口。acl number acl-number match-orde