2022美版?絡(luò)基礎(chǔ)設(shè)施安全指南概述

2022/3/1313:352022/3/1313:35/articles/40061/articles/40061PAGE1/10美國(guó)《?絡(luò)基礎(chǔ)設(shè)施安全指南》概述2022年3?1?，美國(guó)（NationalSecurityAgency，NSA）發(fā)布?絡(luò)安全技術(shù)報(bào)告：?絡(luò)基礎(chǔ)設(shè)施安全指南（NetworkInfrastructureSecurityGuidance），該指南向所有組織提供了最新的保護(hù)IT?絡(luò)基礎(chǔ)設(shè)施應(yīng)對(duì)?絡(luò)攻擊的建議安全指南建議涵蓋?絡(luò)設(shè)計(jì)設(shè)備密碼和密碼管理遠(yuǎn)程登錄安全更新密鑰交換算法以及NTPSSHHTTPSNMP協(xié)議等重要的協(xié)議美國(guó)家安全局《?絡(luò)基礎(chǔ)設(shè)施安全指南》概述-美國(guó)家安全局《?絡(luò)基礎(chǔ)設(shè)施安全指南》概述-安全內(nèi)參|決策者的?絡(luò)安全知識(shí)庫(kù)2022/3/1313:35/articles/40061/articles/40061PAGE2/10NSA發(fā)布未來基礎(chǔ)設(shè)施安全指南編譯：學(xué)術(shù)plus?級(jí)觀察員張濤本?主要內(nèi)容及關(guān)鍵詞?絡(luò)架構(gòu)和設(shè)計(jì)：強(qiáng)調(diào)邊界與控制①安裝邊界和內(nèi)部防護(hù)設(shè)備②對(duì)?絡(luò)系統(tǒng)進(jìn)?聚類③連接④使?嚴(yán)格的邊界訪問控制⑤實(shí)現(xiàn)?絡(luò)訪問控制?案⑥限制和加密VPN安全維護(hù)：軟硬件結(jié)合①驗(yàn)證軟件和配置完整性②維護(hù)適當(dāng)?shù)?件系統(tǒng)和啟動(dòng)管理③維持最新軟件和操作系統(tǒng)④使??商?持的硬件認(rèn)證授權(quán)和審計(jì)：中?化管理①實(shí)現(xiàn)中?化的服務(wù)器②配置認(rèn)證③配置授權(quán)④配置審計(jì)⑤最?權(quán)限原則⑥限制認(rèn)證嘗試次數(shù)管理員賬號(hào)和密碼：①使?唯?的?戶名和賬號(hào)設(shè)置②修改默認(rèn)密碼③移除?必要的賬號(hào)④個(gè)?賬戶⑤使?安全算法保存密碼⑥創(chuàng)建強(qiáng)密碼⑦使?唯?的密碼⑧必要的時(shí)候修改密碼遠(yuǎn)程?志和監(jiān)控：中?化+同步①啟??志②建?中?化的遠(yuǎn)程登錄?志服務(wù)器③獲取必要的信息④同步時(shí)鐘遠(yuǎn)程管理和?絡(luò)服務(wù)：加強(qiáng)協(xié)議，嚴(yán)格禁?①禁?明?管理服務(wù)②確保充?的加密強(qiáng)度③使?安全協(xié)議④限制對(duì)服務(wù)的訪問⑤設(shè)置可接受的超時(shí)周期⑥啟?TCPKeep-alive⑦禁?外部連接⑧移除NMPread-writecommunity字符串⑨禁??必要的?絡(luò)服務(wù)⑩禁?特定接?上的發(fā)現(xiàn)協(xié)議??絡(luò)服務(wù)配置路由：①禁?IP源路由②啟?uRPF③?路由認(rèn)證接?端?內(nèi)容主要整理?外??站相關(guān)資料僅供學(xué)習(xí)參考，歡迎交流指正！?章觀點(diǎn)不代表本機(jī)構(gòu)?場(chǎng)*****?絡(luò)架構(gòu)設(shè)計(jì)安全的?絡(luò)設(shè)計(jì)要實(shí)現(xiàn)多層防護(hù)以應(yīng)對(duì)威脅和保護(hù)?絡(luò)中的資源在安全?絡(luò)設(shè)計(jì)中，?絡(luò)邊界和內(nèi)部設(shè)備都需要遵循安全最佳實(shí)踐和零信任原則安裝邊界和內(nèi)部防護(hù)設(shè)備NSA建議根據(jù)安全最佳實(shí)踐在?絡(luò)邊界配置和安裝安全設(shè)備：安裝邊界路由器來建?與外部?絡(luò)的連接，?如?絡(luò)服務(wù)提供商（ISP）實(shí)現(xiàn)多層下?代防?墻來限制?流量出流量，并檢查所有異構(gòu)?絡(luò)區(qū)域的內(nèi)部活動(dòng)該使?不同?商的產(chǎn)品來保護(hù)內(nèi)部?絡(luò)將公開可訪問的系統(tǒng)和外部代理放置在?個(gè)或多個(gè)DMZ（?軍事區(qū)）??中的防?墻層，在DMZ??中，訪問可以由外部設(shè)備DMZ設(shè)備和內(nèi)部系統(tǒng)控制實(shí)現(xiàn)?絡(luò)監(jiān)控解決?案來記錄來追蹤?和出流量，?如?絡(luò)?侵檢測(cè)系統(tǒng)流量檢查器或全包抓取設(shè)備部署多個(gè)遠(yuǎn)程?志服務(wù)器來記錄與設(shè)備相關(guān)的活動(dòng)在核?區(qū)域內(nèi)實(shí)現(xiàn)冗余設(shè)備來確?？?性，可以通過負(fù)載均衡來增加?絡(luò)吞吐量和減少延遲圖部署了防?墻和DMZ的?絡(luò)邊界對(duì)?絡(luò)系統(tǒng)進(jìn)?聚類?絡(luò)中類似的系統(tǒng)應(yīng)該進(jìn)?邏輯聚類以更好地保護(hù)系統(tǒng)NSA建議將?絡(luò)中相似的系統(tǒng)隔離為不同的??或VLAN（虛擬本地區(qū)域?絡(luò)）或通過器物理隔離為不同的???作站服務(wù)器打印機(jī)通信系統(tǒng)等應(yīng)該彼此隔離移除后?連接后??絡(luò)連接是位于不同?絡(luò)區(qū)域的2個(gè)或多個(gè)設(shè)備的連接，?般擁有不同類型的數(shù)據(jù)和安全要求NSA建議移除所有后??絡(luò)連接，尤其是在?多個(gè)?絡(luò)接?連接設(shè)備時(shí)間要?常注意對(duì)設(shè)備的有?絡(luò)接?進(jìn)?驗(yàn)證，確保具有相同的安全等級(jí)，中繼設(shè)備要能夠提供不同?絡(luò)區(qū)域的邏輯隔離使?嚴(yán)格的邊界訪問控制NSA建議認(rèn)真考慮允許哪些連接，并創(chuàng)建帶有?名單的規(guī)則集使?該?法只需要?條規(guī)則就可以拒絕多種類型的連接，?不需要對(duì)每個(gè)攔截的連接創(chuàng)建?條規(guī)則如果需要?jiǎng)討B(tài)應(yīng)?額外的邊界規(guī)則來預(yù)防漏洞利?，NSA建議使??侵防御系統(tǒng)（IPS）NSA還建議對(duì)這些規(guī)則集進(jìn)?記錄?志，?少應(yīng)該包含所有拒絕或丟棄的?絡(luò)流量，以及對(duì)關(guān)鍵備成功或失敗的管理員訪問實(shí)現(xiàn)?絡(luò)訪問控制?案NSA建議實(shí)現(xiàn)?絡(luò)訪問控制解決?案來識(shí)別和認(rèn)證連接到?絡(luò)中的唯?的設(shè)備可以在交換機(jī)上實(shí)現(xiàn)端?安全機(jī)制來檢測(cè)?授權(quán)的設(shè)備對(duì)?絡(luò)的連接限制和加密VPNNSA建議限制VPN?關(guān)對(duì)UDP5004500端?EP和其他端?的訪問如果可以的話，已知的VPN節(jié)點(diǎn)IP地址的流量安全維護(hù)升級(jí)硬件和軟件來確保效率和安全驗(yàn)證軟件和配置完整性NSA建議驗(yàn)證安裝和設(shè)備上運(yùn)?的操作系統(tǒng)?件的完整性，并將?件的哈希結(jié)果與?商發(fā)布的結(jié)果進(jìn)??較在升級(jí)操作系統(tǒng)?件時(shí)，也需要進(jìn)?完整性驗(yàn)證，以確保?件沒有被修改維護(hù)適當(dāng)?shù)?件系統(tǒng)和啟動(dòng)管理許多?絡(luò)設(shè)備都有?少2種不同的配置，?個(gè)保存在硬盤上，?個(gè)運(yùn)?在內(nèi)存中NSA鑒于檢查設(shè)備上未使?的或?必要的?件并移除，?如?版的操作系統(tǒng)?件或過時(shí)的備份配置?件維持最新的軟件和操作系統(tǒng)維持最新版本的操作系統(tǒng)和穩(wěn)定的軟件版本可以應(yīng)對(duì)已經(jīng)識(shí)別和修復(fù)的關(guān)鍵漏洞NSA建議在所有的設(shè)備上升級(jí)操作系統(tǒng)和軟件到最新的穩(wěn)定版本許多?絡(luò)基礎(chǔ)設(shè)施設(shè)備并不?持?動(dòng)更新，因此需要?動(dòng)從?商處獲得最新的軟件并安裝使??商?持的硬件NSA建議在?商發(fā)布不再更新或提供技術(shù)?持的產(chǎn)品清單后，設(shè)備的計(jì)劃過期的或不再?持的設(shè)備應(yīng)該?刻進(jìn)?升級(jí)或替換來確保?絡(luò)服務(wù)和安全?持的性認(rèn)證授權(quán)審計(jì)中?化的認(rèn)證授權(quán)和審計(jì)（AAA）服務(wù)器可以提供?種對(duì)設(shè)備的管理權(quán)限訪問的管理對(duì)這務(wù)器進(jìn)?適當(dāng)?shù)呐渲每梢蕴峁?種管理和監(jiān)控訪問的授權(quán)源，改善訪問控制的?致性，減少配置維護(hù)和管理成本實(shí)現(xiàn)中?化的服務(wù)器NSA建議在?絡(luò)中?少部署2個(gè)AAA服務(wù)器來確?？?性，以及幫助檢測(cè)和預(yù)防惡意活動(dòng)如果?個(gè)服務(wù)器由于定期維護(hù)或其他原因不可?，其余服務(wù)器可以繼續(xù)提供中?化的AAA服務(wù)配置認(rèn)證認(rèn)證是對(duì)個(gè)?或?qū)嶓w身份的驗(yàn)證所有的設(shè)備都應(yīng)該配置為使?中?化的服務(wù)器來進(jìn)?AAA服務(wù)，本地管理員賬戶作為?種備份?法只有所有的中?化服務(wù)器不可?時(shí)才使?NSA建議對(duì)登錄和啟?訪問配置中?化的認(rèn)證配置授權(quán)授權(quán)會(huì)驗(yàn)證個(gè)?或身體是否有權(quán)限訪問特定的資源或執(zhí)?特定的操作NSA建議限制合法管理員被授權(quán)執(zhí)?的操作，以預(yù)防惡意?戶使?被?侵的賬戶來執(zhí)??授權(quán)的操作配置審計(jì)審計(jì)記錄著訪問的所有相關(guān)的資源和執(zhí)?的操作，以供管理員進(jìn)?審計(jì)NSA建議系統(tǒng)配置變化進(jìn)?中?化記錄，定期檢查這些記錄以檢測(cè)可能的惡意活動(dòng)應(yīng)?最?權(quán)限原則NSA建議所有的賬戶采?最?權(quán)限原則，并要求管理員在提升到更?權(quán)限來執(zhí)??外輸?憑證信息并且對(duì)權(quán)限等級(jí)進(jìn)?定期檢查限制認(rèn)證嘗試次數(shù)NSA建議將錯(cuò)誤遠(yuǎn)程管理（認(rèn)證）嘗試的次數(shù)限制為3次及以下此外，NSA還建議延?登陸嘗試的間隔為?少1秒，以減緩暴?破解的次數(shù)管理員信息管理員賬號(hào)和密使?唯?的?戶名和賬號(hào)設(shè)置?多數(shù)設(shè)備的默認(rèn)管理員賬戶和憑證都是公開的，?管理員賬戶具有設(shè)備的管理權(quán)限NSA建議移除設(shè)備的默認(rèn)配置，并對(duì)每個(gè)設(shè)備重新配置?個(gè)唯?的安全的管理員賬戶修改默認(rèn)密碼?多數(shù)設(shè)備在管理員進(jìn)?初始化配置前都有默認(rèn)密碼，甚?沒有密碼?這些默認(rèn)密碼?般都是公開的NSA建議移除所有的默認(rèn)密碼，并分配?個(gè)唯?的復(fù)雜的安全的密碼此外，在新設(shè)備加??絡(luò)時(shí)，修改默認(rèn)?戶和特權(quán)等級(jí)密碼移除?必要的賬號(hào)NSA建議將授權(quán)登錄設(shè)備的賬戶限制為必要的范圍，其他賬戶建議移除管理員離開組織或??發(fā)?變化后，相關(guān)的賬戶應(yīng)當(dāng)被禁?或移除使?個(gè)?賬戶動(dòng)NSA建議禁?所有共享和組管理員賬戶，對(duì)每個(gè)管理員使?唯?的賬戶來提供對(duì)配置變化的訪問以確保對(duì)每個(gè)設(shè)備的可審計(jì)性如果組賬戶是必要的，NSA建議監(jiān)控這些賬號(hào)來檢測(cè)可能的可疑動(dòng)使?安全算法保存密碼NSA建議設(shè)備上保存的所有密碼都使?最安全的算法進(jìn)?加密，不要明?保存建議使?單向哈希算法，如果單向哈希算法不可?，應(yīng)當(dāng)使?強(qiáng)唯?密鑰來加密密碼創(chuàng)建強(qiáng)密碼NSA建議對(duì)不同級(jí)別的訪問分配唯?的復(fù)雜的密碼，包括?戶和特權(quán)級(jí)別訪問在路由認(rèn)證時(shí)間同步VPN通道SNMP和其他配置中需要保存密碼的場(chǎng)景中也應(yīng)該使?唯?的復(fù)雜的密碼使?唯?的密碼NSA建議對(duì)每個(gè)設(shè)備上的每個(gè)賬戶和特權(quán)級(jí)別分配唯?的復(fù)雜的安全的密碼NSA還建議對(duì)不同賬戶不同級(jí)別份額不同設(shè)備之間的密碼重?進(jìn)?檢查必要的時(shí)候修改密碼NSA建議在密碼或密碼哈希被?侵后?刻修改密碼，并安全保存遠(yuǎn)程?志遠(yuǎn)程啟??志啟??志后，?絡(luò)設(shè)備上就會(huì)?成?志消息可以將設(shè)備配置為?刻發(fā)送?志消息到本地?志緩存或中?化的?志服務(wù)器NSA建議啟?系統(tǒng)?志設(shè)置本地?志緩存為16MB，并定期對(duì)收到的消息進(jìn)?驗(yàn)證建?中?化的遠(yuǎn)程登錄?志服務(wù)器NSA建議使??少2個(gè)遠(yuǎn)程中?化的?志服務(wù)器來確保設(shè)備?志消息的監(jiān)控冗余和可?性盡可能地確保傳輸?shù)?志消息是加密的，以預(yù)防敏感信息的?授權(quán)泄露獲取必要的?志信息NSA建議設(shè)置將每個(gè)設(shè)備的緩存?志級(jí)別設(shè)置為informational級(jí)別以收集所有必要的信息如果?絡(luò)跨域多個(gè)時(shí)區(qū)，NSA建議使?UTC時(shí)間，所有的?志消息都應(yīng)含有精確到毫秒的時(shí)間戳，區(qū)和?期信息同步時(shí)鐘鑰NSA建議每個(gè)設(shè)備和遠(yuǎn)程?志服務(wù)器使??少2個(gè)可信的可靠的時(shí)間服務(wù)器來確保信息的準(zhǔn)確可?性內(nèi)部時(shí)間服務(wù)器應(yīng)當(dāng)作為所有設(shè)備的主要源，隨后與授權(quán)的外部源進(jìn)?同步NSA建議在所有設(shè)備上啟?NTP認(rèn)證來預(yù)防時(shí)鐘篡改，在設(shè)備和特定時(shí)間源之間配置強(qiáng)唯?的NTP認(rèn)證密鑰遠(yuǎn)程管理遠(yuǎn)程管理和?絡(luò)服務(wù)禁?明?管理服務(wù)NSA建議使?加密的服務(wù)來保護(hù)?絡(luò)通信，禁?所有明?管理服務(wù)，如HTTPFTPP確保所有的敏感信息?法被惡意敵?通過?絡(luò)流量抓包來獲取確保充?的加密強(qiáng)度NSA建議?對(duì)稱密鑰?成使?3072位及以上密鑰，橢圓曲線加密密鑰使?384位，對(duì)稱加密密鑰使?256位部分系統(tǒng)可能不?持3072位，可以使?4096位來替換使?安全協(xié)議NSA建議確保管理服務(wù)使?最新的協(xié)議版本，并啟?了適當(dāng)?shù)陌踩O(shè)置SSHv2是遠(yuǎn)程訪問設(shè)備的優(yōu)選?法加密的HTTP服務(wù)器應(yīng)當(dāng)配置為只接受TLSv1.2及更?版本限制對(duì)服務(wù)的訪問NSA建議配置訪問控制列表（ACL）使得只有管理員系統(tǒng)才能連接到設(shè)備來進(jìn)?遠(yuǎn)程管理設(shè)置可接受的超時(shí)周期NSA建議對(duì)所有遠(yuǎn)程設(shè)備的管理員連接設(shè)置會(huì)話超時(shí)時(shí)間為5分鐘或更少不要將超時(shí)周期設(shè)置為0，因?yàn)?多數(shù)設(shè)備在將超時(shí)周期設(shè)置為0后會(huì)禁?超時(shí)功能啟?TCPKeep-aliveNSA建議對(duì)所有TCP連接的?和出流量啟?TCPKeep-alive設(shè)置禁?外部連接NSA建議禁?出流量來限制攻擊者在?絡(luò)中的移動(dòng)移除SNMPread-writecommunity字符串NSA建議移除所有的SNMPread-writecommunity字符串，將加密和認(rèn)證升級(jí)到SNMPv3禁??必要的?絡(luò)服務(wù)美國(guó)家安全局《?絡(luò)基礎(chǔ)設(shè)施安全指南》概述-美國(guó)家安全局《?絡(luò)基礎(chǔ)設(shè)施安全指南》概述-安全內(nèi)參|決策者的?絡(luò)安全知識(shí)庫(kù)2022/3/1313:35PAGEPAGE9/10NSA建議禁?每個(gè)設(shè)備上?必要的服務(wù)如果該服務(wù)是必須的，并且?持密碼和ACL，則創(chuàng)建?個(gè)強(qiáng)密碼，并應(yīng)?ACL規(guī)則來只允許必要的系統(tǒng)連接到該服務(wù)禁?特定接?上的發(fā)現(xiàn)協(xié)議NSA建議禁?能夠使?這些服務(wù)的所