交换机安全基线整改方式-华为S5700系列
交换机安全基线整改
- 账号口令
- 认证授权
- 日志审计
- 协议安全
- 其它安全
配置安全基线是网络安全维护的基础,基线合规可以有效的防护大部分已知的攻击手段
配置基线涉及许多功能的关闭/开启,如不确认命令执行的影响,切勿在已运行业务的设备上做基线整改!
账号口令
1> 检查是否口令加密
//确保所有账户的password均为cipher加密
[S5720S]aaa
[S5720S-aaa]local-user admin password cipher <K.R)YFE!!(I\I9%HS7.!Q!!
2> 检查是否配置console口密码保护
- console口登录采取口令认证
[S5720S]user-interface console 0
[S5720S-ui-console0]authentication-mode password
- console设置登陆密码,并密文存放
[S5720S]user-interface console 0
[S5720S-ui-console0]set authentication password cipher Huawei@123
3> 检查是否避免共享账号
//确保有两个及以上用户
[S5720S]aaa
[S5720S-aaa]display this
4> 检查是否配置账户锁定策略
//用户的重试时间间隔为5分钟、连续输入错误密码的限制次数为3次,帐号锁定时间为5分钟
[S5720S]aaa
[S5720S-aaa]local-aaa-user wrong-password retry-interval 5 retry-time 3 block-time 5
认证授权
1> 检查是否会话超时配置
- console口设置超时时间
//console登录10分钟无操作自动下线,下线后0分钟后可再次登录
[S5720S]user-interface console 0
[S5720S-ui-console0]idle-timeout 10 0
- 所有vty线路设置超时
//远程登录10分钟无操作自动下线,下线后0分钟后可再次登录
[S5720S]user-interface vty 0 4
[S5720S-ui-vty0-4]idle-timeout 10 0
2> 检查是否分级权限控制
//确保账户权限(privilege level)不全为最高
[S5720S]aaa
[S5720S-aaa]display this
3> 检查是否使用认证服务器认证
- RADIUS协议
//认证策略命名为SOC
//认证、授权服务器为1.1.1.1,端口1812
//协商秘钥Huawei@123
//重传次数为3[S5720S]radius-server template soc
[S5720S-radius-soc]radius-server authentication 1.1.1.1 1812
[S5720S-radius-soc]radius-server shared-key cipher Huawei@123
[S5720S-radius-soc]radius-server retransmit 3[S5720S-radius-soc]aaa
[S5720S-aaa]authentication-scheme soc
[S5720S-aaa-authen-soc]authentication-mode radius
[S5720S-aaa-authen-soc]quit
[S5720S-aaa]domain default
[S5720S-aaa-domain-default]authentication-scheme soc
[S5720S-aaa-domain-default]radius-server soc
- HWTACACS协议
//认证策略命名为SOC
//认证、授权服务器为1.1.1.1,端口49
//协商秘钥Huawei@123
//重传次数为3[S5720S]hwtacacs-server template soc
[S5720S-hwtacacs-soc]hwtacacs-server authentication 1.1.1.1 49
[S5720S-hwtacacs-soc]hwtacacs-server authorization