赞
踩
常见设备安全加固策略:
1.关闭不使用的业务端口
2.废弃不安全的访问通道:在存在多种访问通道服务下,废弃不安全的访问通道,优选安全的访问通道
常用到的SSH协议(安全外壳协议):
在非安全网络上提供了安全的远程登录、安全文件传输以及TCP/IP安全隧道。不仅在登陆过程中对密码进行加密传送,而且对登陆后执行的命令的数据也进行加密。
合法用户通过客户端登录,完成用户名以及对应的密码验证后,客户端会尝试和服务端建立会话,每个会话是一个独立的逻辑通道,可以提供给不同的上层应用使用。
STelnet和SFTP各自利用了其中的一个逻辑通道,通过SSH对数据进行加密,从而实现数据的安全传输。
SSH协议框架中最主要的部分是三个协议:传输层协议、用户认证协议和连接协议。
传输层协议:提供版本协商,加密算法协商,密钥交换,服务端认证以及信息完整性支持。
用户认证协议:为服务器提供客户端的身份鉴别。
连接协议:将加密的信息隧道复用为多个逻辑通道,提供给高层的应用协议(STelnet、SFTP)使用;各种高层应用协议可以相对地独立于SSH基本体系之外,并依靠这个基本框架,通过连接协议使用SSH的安全机制。
基于可信路径的访问控制:
可以在设备上部署基于可信路径的访问控制策略,以提升网络的安全性。
部署URPF,可以判定某个报文的源地址是否合法,如果该报文的路径与URPF学习的路径不符,丢弃该报文,用URPF可以有效防范IP地址欺骗。
URPF(Unicast Reverse Path Forwarding,单播逆向路径转发)分为严格模式和松散模式以及允许匹配缺省路由的方式。其原理是当设备转发IP报文时,检查数据报文的源IP地址是否合法,检查的原理是根据数据包的源IP地址查路由表。
对于严格模式:如果报文能匹配明细路由,并且入接口跟匹配路由的出接口一致,则允许报文上送,否则丢弃报文。
对于松散模式:如果报文匹配上明细路由,则运行报文上送,否则丢弃报文,不检查接口是否匹配。默认情况下,会认为缺省路由不存在,不会去匹配缺省路由,只有进行了配置时候,才会去匹配缺省路由的。
对允许匹配缺省路由的模式,必须和严格模式一起配置,报文匹配明细路由或者缺省路由,并且报文入接口跟匹配路由的出接口一致才上送,否则丢弃。不支持缺省路由与松散模式一起配置,因为这样无法达到防攻击的效果。松散模式和严格模式互斥,只能配置一种模式。
本机防攻击:
在网络中,存在着大量针对CPU的恶意攻击报文以及需要正常上送CPU的各类报文。针对CPU的恶意攻击报文会导致CPU长时间繁忙的处理攻击报文,从而引发其他业务的断续甚至系统的中断;大量正常的报文也会导致CPU占用率过高,性能下降,从而影响正常的业务。
为了保护CPU,保证CPU对正常业务的处理和响应,设备提供了本机防攻击功能。本机防攻击针对的是上送CPU的报文,主要用于保护设备自身安全,保证已有业务在发生攻击时的正常运转,避免设备遭受攻击时各业务的相互影响。
本机防攻击包括CPU防攻击和攻击溯源两部分。
CPU防攻击针对上送CPU的报文进行限制和约束,使单位时间内上送CPU报文的数量限制在一定的范围之内,从而保护CPU的安全,保证CPU对业务的正常处理。
攻击溯源针对DoS(Denial of Service,拒绝服务)攻击进行防御。设备通过对上送CPU的报文进行分析统计,然后对统计的报文设置一定的阈值,将超过阈值的报文判定为攻击报文,再对这些攻击报文根据报文信息找出攻击源用户或者攻击源接口,最后通过日志、告警等方式提醒管理员以便管理员采用一定的措施来保护设备,或者直接丢弃攻击报文以对攻击源进行惩罚。
CPU防攻击:
多级安全机制,保证设备的安全,实现了对设备的分级保护。设备通过以下策略实现对设备的分级保护:
第一级:通过黑名单来过滤上送CPU的非法报文。
第二级:CPCAR(Control Plane Committed Access Rate)。对上送CPU的报文按照协议类型进行速率限制,保证每种协议上送CPU的报文不会过多。
第三级:对上送CPU的报文,按照协议优先级进行调度,保证优先级高的协议先得到处理。
第四级:对上送CPU的报文统一限速,对超过统一限速值的报文随机丢弃,保证整体上送CPU的报文不会过多,保护CPU安全。
动态链路保护功能的CPU报文限速,是指当设备检测到SSH Session数据、Telnet Session数据、HTTP Session数据、FTP Session数据以及BGP Session数据建立时,会启动对此Session的动态链路保护功能,后续上送报文如匹配此Session特征信息,此类数据将会享受高速率上送的权利,由此保证了此Session相关业务的运行可靠性、稳定性。
攻击溯源原理:
攻击溯源包括报文解析、流量分析、攻击源识别和发送日志告警通知管理员以及实施惩罚四个过程。
通过图中所示的四个过程,找出攻击源,然后管理员通过ACL或配置黑名单的方式限制攻击源,以保护设备CPU。
配置步骤及命令(以华为模拟器ensp为例):
SSH:
配置Stelnet server
①创建server端的本地密钥
[系统视图] rsa local-key-pair create
②创建登录用户:
[系统视图]user-interface vty 0 4
[用户登录管理视图] authentication-mode aaa
[用户登录管理视图]protocol inbound ssh
[aaa]配置用户名,密码以及服务类型,用户等级等
③配置用户认证方式:
[系统视图] ssh user user-name authentication-type {password | rsa | password-rsa | all}
④使能stelnet server功能:
[系统视图]stelnet server enable
⑤更改SSH默认端口号:
[系统视图] ssh server port 1025
⑥在客户端生成本地密钥并复制:
[系统视图] rsa local-key-pair create
[系统视图] display rsa local-key-pair public
⑦配置基于客户端密钥生成公钥:
[系统视图] rsa peer-key key-name encoding-type {der | openssh | pem}
[公钥配置视图]public-key-code begin
[公钥配置视图]将客户端生成的密钥复制过来即可
[公钥配置视图]public-key-code end //退出公共密钥视图
[公钥配置视图]peer-public-key end //回到系统视图
配置stelnet client
使能stelnet client功能:
[系统视图] ssh client first-time enable
本地防攻击配置:
1.创建黑名单:
①创建ACL匹配黑名单所指定用户设备
②创建防攻击策略
[系统视图]cpu-defend policy policy-name
[策略视图]blacklist blacklist-id acl acl-number //配置黑名单
③配置上送CPU的限制数量
[策略视图]packet-type packet-type rate-limit rate-value
④配置上送CPU报文的指定报文的优先级
[策略视图]packet-type packet-type priority priority-level
⑤使能动态链路保护功能:
[策略视图]cpu-defend application-apperceive {ssh | telnet | bgp | ftp | http } enable
⑥使能攻击溯源功能:
[策略视图]auto-defend enable
⑦配置攻击溯源检测阈值:
[策略路由] auto-defend threshold threshold
⑧配置攻击溯源时间告警:
[策略视图]auto-defend alarm enable
⑨使能防攻击策略:
[系统视图]cpu-defend-policy policy-name { global | slot slot-id }
[AR1]stelnet server enable //启动stelnet服务功能
[AR1]user-interface vty 0 4 //进行虚拟终端配置界面
[AR1-ui-vty0-4]authentication-mode aaa //配置认证方式为密码认证
[AR1-ui-vty0-4]protocol inbound ssh //指定vty用户界面所支持的协议,有三个参数分别为ssh(只支持SSH协议),telnet(只支持telnet协议)和all(支持所有协议,包括SSH和Telnet)。
[AR1-ui-vty0-4]quit
[AR1]aaa //进入aaa认证配置界面
[AR1-aaa]local-user user 1 password cipher Huawei@123 //配置允许登录的用户名为user1,密码为密文形式的Huawei@123
[AR1-aaa]local-user user 1 privilege level 3 //配置用户user1的级别为3
[AR1-aaa]local-user user1 service-type ssh //配置用户user1的服务类型为ssh
[AR1-aaa]quit
[AR1] rsa local-key-pair create //生成本地RSA密钥对
ssh server配置
[R]stelnet server enable
[R] rsa local-key-pair create
[R]aaa
[aaa]local-user xxx password cipher xxxxx
[aaa]local-user xxx preference //用户等级
[aaa]local-user xxx ser //服务类型
[R] user-interface vty 0 4
[0-4] authentication-mode aaa
[0-4]protocol inbound ssh
[R] ssh user xxx authenticaiton-type all
SSH client 配置
[R] ssh client first-time enable
[R] stelnet server的IP地址
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。