回复“220619”获取机翻版“网络基础设施安全指南”

4.   身份验证、授权和记账（AAA）

集中式AAA服务器提供了一种整合的机制来管理对设备的管理访问，并且由于凭据不直接存储在设备上，因此创建的账户对于攻击者来说更具入侵性。正确配置这些服务器可为管理和监视访问提供权威源，提高访问控制的一致性，减少配置维护，并降低管理成本。对于 Cisco IOS 设备，应首先使用具有以下配置示例命令将所有设备配置为使用现代 AAA 服务：

aaa new-model

应用上述配置可确保设备不会使用旧式身份验证和授权方法。

4.1  实施集中式服务器

所有设备都应配置为使用集中式AAA服务器。NSA建议至少实施两台AAA服务器以确保可用性，并协助检测和防止对手活动。如果一台服务器由于计划维护或其他原因而不可用，其余服务器将继续提供集中式AAA服务。

服务器应为：

• 配置为使用唯一且复杂的预共享密钥对设备进行身份验证，以确保只有授权设备才能使用AAA服务（请参阅 5.5 创建强密码）。

• 配置为使用相同的协议（例如，TACACS+、RADIUS 或 LDAP） 来实现一致性，并在支持时使用加密传输（例如，RadSec、Diameter、LDAPS 或 IPsec 封装）。

• 彼此同步，以确保用户凭据和访问控制的一致性。

可以使用以下配置命令配置具有多个 AAA 服务器的服务器组：

aaa group server {tacacs+ | radius | ldap}<GROUP_NAME>

server-private<IP_ADDRESS_1>key <KEY_1>

server-private<IP_ADDRESS_2> key <KEY_2>

某些较旧的设备可能会在配置中使用关键字tacacs-server 和 radius-server ，这会阻止为每个服务器分配唯一的密钥。

NSA 建议将这些行替换为上述配置格式，并为每个服务器分配唯一的预共享密钥。如果攻击者获取了一台服务器的预共享密钥，则需要吊销该密钥，但设备可以继续使用具有不同密钥的其他服务器。

4.2  配置身份验证

身份验证验证个人或实体的身份。应将所有设备配置为首先对AAA服务使用集中式服务器，并且仅当所有集中式服务器都不可用时，才使用本地管理员账户作为备份方法。这同样适用于特权级别身份验证;仅当所有集中式服务器都不可用时，设备才应使用本地特权级别密码。此优先顺序将阻止获取本地管理员账户凭据的对手登录到设备，因为访问通常由 AAA 服务器控制。

NSA 建议为登录配置集中式身份验证，并启用（特权）访问作为主要方法，如以下配置命令所示：

aaa authentication login default group<GROUP_NAME>local 

aaa authentication enable default group <GROUP_NAME> enable

使用 default 关键字可确保在未指定显式身份验证列表时在所有实例中全局应用配置。如果改用自定义命名列表，则需要将此列表显式应用于使用 AAA 的所有实例，并且可能会使某些管理服务配置不正确并容易受到损害。如果未显式应用自定义命名列表，则始终应用默认列表。

<GROUP_NAME>应为 AAA 服务器组（前面定义）的自定义名称，其中包括集中式 AAA 服务器的 IP 地址及其关联的密钥。

 不应使用 line 关键字，因为这些密码未安全地存储在配置中，并且不提供问责制。

 永远不要使用 none 关键字，因为它会禁用身份验证。

4.3  配置授权

授权验证个人或实体是否有权访问特定资源或执行特定操作。组织、情况和设备用途将决定授权管理员命令。至少，授权应用于启动 exec 会话 （shell） 和执行其他 shell 命令，包括配置命令。授权也应显式应用于控制台，因为默认情况下可能不会自动应用。

NSA 建议充分限制合法管理员有权执行的内容，以防止攻击者对受感染的账户执行未经授权的操作。大多数管理员使用权限级别 1 进行用户级别访问，使用权限级别 15 进行特权级别访问。

授权应用于这两个级别以及管理员使用以下配置命令使用的任何其他权限级别：

aaa authorization console

aaa authorization exec default group<GROUP_NAME>local aaa authorization commands 1 group <GROUP_NAME> local aaa authorization commands 15 group <GROUP_NAME> local aaa authorization config-commands

 应使用默认列表来确保配置在任何地方都应用。

<GROUP_NAME>应该是 AAA 服务器组（之前定义过）的自定义名称，其中包括集中式 AAA 服务器的 IP 地址及其关联的密钥。

如果需要，可以在本地关键字之后应用 if-authenticate 关键字。如果管理员成功登录并且所有集中式 AAA 服务器都变得不可用，则管理员将不再有权执行命令。if-authenticate 关键字可确保经过身份验证的用户将继续获得执行命令的授权。但是，请谨慎使用此关键字，因为它可能会向管理员授予超出集中式 AAA 服务器上配置的访问权限。

 永远不要使用 none 关键字，因为它会禁用授权。

4.4  配置记账

会计会保留访问的所有相关资源或执行的操作的记录，使管理员承担责任。等到事件停止后再生成记账记录是不够的，因为在生成记录之前，特定操作可能需要不合理的时间才能完成。可以为其他几种事件类型收集记账记录，但这取决于设备的组织和用途。

NSA 建议集中记录系统配置更改，并实施一个过程来定期查看这些记录以检测潜在的恶意活动。至少应在启动和停止 exec 会话 （shell） 以及启动和停止shell 命令时收集记账记录。

与授权类似，必须使用以下配置命令将命令记账应用于所有管理员权限级别：

aaa accounting exec default start-stop group<GROUP_NAME>

aaa accounting commands 1 default start-stop group<GROUP_NAME>

aaa accounting commands 15 default start-stop group<GROUP_NAME>

 应使用默认列表来确保配置在任何地方都应用。

<GROUP_NAME>应该是 AAA 服务器组（之前定义过）的自定义名称，其中包括集中式 AAA 服务器的 IP 地址及其关联的密钥。

4.5  应用最小特权原则

最小特权是一种安全概念，它以执行授权任务所需的最低特权级别授权个人或实体访问。许多常见任务不需要特权级别访问，例如查看网络接口的状态或查看路由表。要实现最低权限，管理员最初应使用所需的最低权限级别登录。这提供了额外的安全层，攻击者必须规避该层才能完全损害设备。它还可以防止管理员无意中对设备进行配置更改。

NSA 建议为所有账户配置权限级别1或0，并要求管理员输入其他凭据以提升到更高的权限级别以执行所需的任务。应定期检查权限级别，并删除不必要的访问，以防止无意中使用较低权限级别的特权级别命令。

可以使用 privilege 关键字更改各个本地账户的权限级别。使用以下配置命令将本地账户分配到权限级别 1：

username<USER_NAME> privilege 1

注意：这不会更改账户密码。

所有以权限级别1登录的管理员账户都需要执行 enable 命令，并提供其他凭据才能提升到更高的权限级别。除了检查所有本地管理员账户并确保为其分配了最低权限级别之外，还必须检查在集中式 AAA 服务器上配置的所有账户。

同样，相同的概念应应用于控制台（CON）、辅助（AUX）和虚拟电传打字 （VTY）线路。正确配置 AAA 授权后，不应依赖于线路的配置。但是，最佳做法是使用以下配置命令确保将线路配置为最低权限级别：

line con 0

privilege level 1

line aux 0

privilege level 1

line vty 0 4

privilege level 1

line vty 5 15

privilege level 1

根据设备的不同，可能还需要将类似的配置应用于其他线路。如果特定设备上不存在 VTY 第 5 行到第 15 行，则无需执行这些命令。

4.6  限制身份验证尝试

限制身份验证尝试次数并引入登录延迟可防止攻击者对设备执行暴力破解密码以尝试获取访问权限。

NSA 建议使用以下 Cisco IOS 设备的配置示例命令将失败的远程管理尝试限制为最多三次或更少：

aaa authentication attempts login 3

同样，应使用以下配置命令将三次或更少次失败尝试的相同概念应用于安全外壳 （SSH） 会话：

ip ssh authentication-retries 3

NSA 还建议在登录尝试之间引入至少一秒钟的延迟，以显著降低以下配置命令的暴力破解尝试速度：

login delay 1

原文始发于微信公众号（祺印说信安）：NSA的网络安全报告之网络基础设施安全指南（三）