请点击上面 ![Juniper网络设备安全基线规范]()
一键关注!
1. 账号管理、认证授权
1.1. 账号
1.1.1. ELK-Juniper-01-01-01
|
|
|
|
|
|
|
|
按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。
|
|
|
|
|
|
使用show configuration system login 查看当前配置
|
|
|
set system login user abc1
set system login user abc2
1、abc1和abc2是两个不同的账号名称,可根据不同用户,取不同的名称;
|
|
|
|
|
|
标记用户用途,定期建立用户列表,比较是否有非法用户
|
|
|
|
|
|
|
1.1.2. ELK-Juniper-01-01-02
|
|
|
|
|
|
|
|
按照不同的用户分配不同的账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。
|
|
|
|
|
|
使用show configuration system login 查看当前配置
|
|
|
delete system login user abc3
|
|
|
|
|
|
|
|
|
|
|
|
|
1.1.3. ELK-Juniper-01-01-03
|
|
|
|
|
|
|
|
为了控制不同用户的访问级别,建立多用户级别,根据用户的业务需求,将用户账号分配到相应的用户级别。
|
|
|
|
|
|
使用show configuration system login 查看当前配置
|
|
|
set system login class ABC1 permissions [ view view-configuration ]
set system login user abc1 class read-only
set system login user abc2 class ABC1
set system login user abc3 class super-user
(1)、ABC1是手工创建的组,该组具有的权限:查看设备运行状态(如接口状态、设备硬件状态、路由状态等),并且可以查看设备的配置;
(2)、read-only组具有的权限:查看设备运行状态,但不能查看设备的配置;
(3)、super-user是超级用户组,具有的权限:所有权限;
(4)、read-only和super-user是路由器已经创建的组,不需要手工创建;
(5)、abc1、abc2、abc3是不同的用户,它们分别分配到相应的用户级别。
|
|
|
|
|
|
使用show configuration system login 查看当前配置
|
|
|
|
|
|
|
1.2. 口令
1.2.1. ELK-Juniper-01-02-01
|
|
|
|
|
|
|
|
对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
|
|
|
|
|
|
使用show configuration system login 查看当前配置
|
|
|
set system login user abc1 authentication plain-text-password
(1)、输入指令回车后,将两次提示输入新口令(New password:和Retype new password:)。
(2)、口令要求:长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
|
|
|
|
|
|
使用show configuration system login 查看当前配置
|
|
|
|
|
|
|
1.2.2. ELK-Juniper-01-02-02
|
|
|
|
|
|
|
|
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
|
|
|
|
|
|
使用show configuration system login 查看当前配置
|
|
|
(1)、用show configuration system login class ABC1命令查看配置
(2)、用show configuration system login class ABC2命令查看配置
(3)、在终端上用telnet方式登录路由器,输入用户名abc1和密码
成功登录路由器后,用configure命令进入配置模式。
set routing-可选ions static
(4)、在终端上用telnet方式登录路由器,输入用户名abc2和密码成功登录路由器后,用configure命令进入配置模式。
(5)、在终端上用telnet方式登录路由器,输入用户名abc3和密码成功登录路由器后,用configure命令进入配置模式。
|
|
|
使用show configuration system login 查看当前配置。还原系统配置文件。
|
|
|
(1)、账号abc1属于组ABC1,该组只能配置routing-可选ions static、interfaces、 Chassis fpc项里的内容。不能做其它未授权的配置;
(2)、账号abc2属于组ABC2,该组只能配置关于路由的所有配置,包括routing-可选ions、protocols、policy-可选ions、routing-instances等,不能做其它未授权的配置;
(3)、账号abc3属于组super-user,拥有全部配置权限。
set system login class ABC1 permissions configure
set system login class ABC1 allow-configuration "routing-可选ions static|interfaces|chassis fpc"
set system login class ABC2 permissions [ configure routing-control ]
set system login user abc1 class ABC1
set system login user abc2 class ABC2
set system login user abc3 class super-user
(1)、ABC1组具有的权限:可配置interfaces,可配置routing-可选ions中的static,可配置chassis中的fpc;
(2)、ABC2组具有的权限:可配置有关于路由的所有配置,包括routing-可选ions、protocols、policy-可选ions、routing-instances等;
(3)、allow-configuration参数是以等级来限制,可以限制各个等级的配置,可以细化到各个小等级;
(4)、permissions参数是以功能来限制,限制的范围较大;
(5)、allow-commands参数是以具体的指令来限制,allow-comands参数需要设定具体指令,不建议使用。
|
|
|
|
|
|
|
1.2.3. ELK-Juniper-01-02-03
|
|
|
|
|
|
|
|
修改root密码。root的默认密码是空,修改root密码,避免非管理员使用root账号登录。
|
|
|
|
|
|
使用show configuration system login 查看当前配置
|
|
|
(1)、用show configuration system login命令查看配置是否正确;
(2)、通过console口方式登录路由器,输入root用户名和密码;
(3)、通过console口方式登录路由器,输入root用户和空密码。
(1)、输入指令回车后,将两次提示输入新口令(New password:和Retype new password:)。
(2)、口令要求:长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
|
|
|
|
|
|
(1)、输入root用户和正确密码可以正常登录路由器;
|
|
|
|
|
|
|
1.3. 认证
1.3.1. ELK-Juniper-01-03-01
|
|
|
|
|
|
|
|
设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。
|
|
|
|
|
|
使用show configuration system login查看当前配置 并查看Radius服务器配置
|
|
|
set system authentication-order radius
set system authentication-order password
set system radius-server 10.1.1.1
set system radius-server 10.1.1.2
set system radius-server 10.1.1.1 port 1645
set system radius-server 10.1.1.2 port 1645
set system radius-server 10.1.1.1 secret abc123
set system radius-server 10.1.1.2 secret abc123
(1)、配置认证方式,可通过radius和本地认证;
(2)、10.1.1.1和10.1.1.2是radius认证服务器的IP地址,建议建立两个radius认证服务器作为互备;
(3)、port 1645是radius认证开启的端口号,可根据本地radius认证服务器开启的端口号进行配置;
(4)、abc123是与radius认证系统建立连接所设定的密码,建议:与radius认证服务器建立连接时,使用密码认证建立连接。
|
|
|
|
|
|
使用show configuration system login查看当前配置
|
|
|
|
|
|
|
2. 日志配置
本部分对JUNIPER设备的日志功能提出建议,主要加强设备所具备的日志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位。根据这些要求,设备日志应能支持记录与设备相关的重要事件,包括违反安全策略的事件、设备部件发生故障或其存在环境异常等,以便通过审计分析工具,发现安全隐患。如出现大量违反ACL规则的事件时,通过对日志的审计分析,能发现隐患,提高设备维护人员的警惕性,防止恶化。
2.1.1. ELK-Juniper-02-01-01
|
|
|
|
|
|
|
|
设备应配置日志功能,记录用户对设备的操作,比如:账号创建、删除和权限修改,口令修改,读取和修改设备配置,涉及通信隐私数据。记录需要包含用户账号,操作时间,操作内容以及操作结果。
|
|
|
|
|
|
使用show configuration system syslog查看当前配置
|
|
|
set system syslog file author.log authorization info
(1)、author.log是记录登录信息的log文件,该文件名称可手工定义;
(2)、author.log文件保存在juniper路由器的存储上。
|
|
|
|
|
|
使用show configuration system syslog查看当前配置
|
|
|
|
|
|
|
2.1.2. ELK-Juniper-02-01-02
|
|
|
|
|
|
|
|
设备应配置日志功能,记录对与设备相关的安全事件,比如:记录路由协议事件和错误。
|
|
|
|
|
|
使用show configuration查看当前配置
|
|
|
set system syslog file daemon.log daemon warning
set system syslog file firewall.log firewall warning
(1)、daemon.log是记录路由协议事件的文件,该文件名称可手工定义;
(2)、firewall.log是记录安全事件的文件,该文件名称可手工定义;
(3)、daemon和firewall可定义有九个等级,建议将其设定为warning等级,即仅记录warning等级以上的安全事件。
|
|
|
|
|
|
使用show configuration查看当前配置
|
|
|
|
|
|
|
2.1.3. ELK-Juniper-02-01-03
|
|
|
|
|
|
|
|
设置系统的配置更改信息保存到单独的change.log文件内。
|
|
|
|
|
|
使用show configuration system syslog查看当前配置
|
|
|
set system syslog file change.log change-log info
(1)、change.log是记录配置更改的文件,该文件名称可手工定义;
(2)、change.log文件保存在juniper路由器的存储上。
|
|
|
|
|
|
使用show configuration system syslog查看当前配置
|
|
|
|
|
|
|
2.1.4. ELK-Juniper-02-01-04
|
|
|
|
|
|
|
|
设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。
|
|
|
|
|
|
使用show configuration system syslog命令查看配置
|
|
|
set system syslog host 10.1.1.1 any notice
set system syslog host 10.1.1.1 log-prefix Router1
set system syslog host 10.1.1.2 any notice
set system syslog host 10.1.1.2 log-prefix Router2
(1)、10.1.1.1和10.1.1.2是远程日志服务器的IP地址,建议建设两个远程日志服务器作为互备;
(2)、syslog有九个等级的记录信息,建议将notice等级以上的信息传送到远程日志服务器;
|
|
|
|
|
|
(1)、使用show configuration system syslog命令查看配置;
|
|
|
|
|
|
|
2.1.5. ELK-Juniper-02-01-05
|
|
|
|
|
|
|
|
设置系统的配置更改信息保存到单独的change.log文件内
|
|
|
|
|
|
使用show configuration system syslog命令查看配置
|
|
|
(1)、使用show configuration system syslog命令查看配置;
(2)、在终端上以telnet方式登录路由器,输入用户名密码;
(3)、进行创建、删除帐号和修改用户密码等修改设备配置操作;
(4)、用show log change.log命令查看日志。
|
|
|
使用show configuration system syslog命令查看配置,恢复默认配置
|
|
|
可以在change.log中查看到用户的操作内容、操作时间
|
|
|
|
|
|
|
2.1.6. ELK-Juniper-02-01-06
|
|
|
|
|
|
|
|
开启NTP服务,保证日志功能记录的时间的准确性。路由器与NTP SERVER之间开启认证功能。
|
|
|
|
|
|
使用show configuration system syslog命令查看配置
|
|
|
(1)、使用show configuration system ntp命令查看配置;
(2)、使用show system uptime命令查看路由器时间与并与北京时间对比;
(3)、使用show ntp associations查看路由器是否与NTP服务器同步;
(4)、使用show ntp status查看路由器时间同步状态。
|
|
|
使用show configuration system syslog命令查看配置,恢复默认配置
|
|
|
(1)、用show ntp associations命令查看,信息如下面所示:
remote refid st t when poll
==============================
* ROUTER1 10.1.1.1 2 u 641 1024
+ ROUTER2 10.1.1.2 2 u 713 1024
reach delay offset jitter
==============================
ROUTER1前面的(*)号表示ROUTER1是已和路由器时间同步的NTP服务器,(+)号为备用的NTP服务器.
(2)、有show ntp status命令查看,信息如下:
status=0644 leap_none, sync_ntp, 4 events, event_peer/strat_chg,
version="ntpd 4.1.0-a Wed Oct 5 18:44:40 GMT 2005 (1)",
processor="i386", system="JUNOS7.3R2.7", leap=00, stratum=3,
precision=-28, rootdelay=9.814, rootdispersion=102.250, peer=42484,
refid=ROUTER1.gd.cnmobile.net,
reftime=ca227da4.4b3ffac1 Wed, Jun 20 2007 0:07:00.293, poll=10,
clock=ca2280ce.02849cb2 Wed, Jun 20 2007 0:20:30.009, state=4,
offset=-17.830, frequency=85.438, jitter=28.377, stability=0.048
如上面信息的第一句第二部分显示”sync_ntp”表示路由器时间已和NTP服务器同步,如果显示”sync_unspec”即未同步.。
|
|
|
|
|
|
|
3. 通信协议
3.1.1. ELK-Juniper-03-01-01
|
|
|
|
|
|
|
|
对于非点到点的OSPF协议配置,应配置MD5加密认证,通过MD5加密认证建立neighbor
|
|
|
|
|
|
使用show configuration protocols rsvp查看当前配置
|
|
|
1)、使用show configuration命令查看配置
2)、使用show ospf neighbor命令查看OSPF邻居状态
3)、使用show route protocol ospf brief命令查看OSPF路由表
|
|
|
|
|
|
1)、OSPF邻居处于full状态为正常,能学到邻居的路由为正常
|
|
|
|
|
|
|
3.1.2. ELK-Juniper-03-01-02
|
|
|
|
|
|
|
|
配置动态路由协议(BGP/ MP-BGP /OSPF等)时必须启用带加密方式的身份验证功能,相邻路由器只有在身份验证通过后,才能互相通告路由信息。
|
|
|
|
|
|
使用show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor查看当前配置
|
|
|
(1)、使用show configuration protocol命令查看配置;
(2)、使用show bgp neighbor命令查看BGP邻居状态;
(3)、使用show route protocol bgp brief命令查看BGP路由表;
(4)、使用show ospf neighbor命令查看OSPF邻居状态;
(5)、使用show route protocol ospf brief命令查看OSPF路由表;
|
|
|
使用show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor查看当前配置,还原给原始状态。
|
|
|
2)、BGP邻居处于establish状态为正常,能学到邻居的路由为正常;
3)、OSPF邻居处于full状态为正常,能学到邻居的路由为正常;
|
|
|
|
|
|
|
3.1.3. ELK-Juniper-03-01-03
|
|
|
|
|
|
|
|
对于具备TCP/UDP协议功能的设备,设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。
|
|
|
|
|
|
使用show configuration firewall filter abc查看配置
|
|
|
(1)、使用show configuration firewall filter abc查看配置
(3)、在终端上安装Nmap端口扫描工具(本例基于windowsXP2系统)
(4)、在DOS下输入:nmap -sS -g 445 10.1.2.1 –p 145 这指令的意思是以源端口为445来访问主机IP为10.1.2.1的TCP145端口。
(5)、用namp访问其它非业务端口,如访问80端口,在DOS 下输入:
nmap –sS 10.1.2.1 –p 80 这指令的意思是以任何端口访问10.1.2.1的TCP80端口
|
|
|
|
|
|
使用show configuration firewall filter abc查看配置,还原为原始状态。
|
|
|
|
|
|
|
3.1.4. ELK-Juniper-03-01-04
|
|
|
|
|
|
|
|
配置MP-BGP路由协议,应配置MD5加密认证,通过MD5加密认证建立peer。
|
|
|
|
|
|
使用show configuration protocol bgp查看当前配置
|
|
|
set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc123
2)、10.1.1.1为对端peer的IP地址,可根据需求设定;
3)、abc123为MD5加密认证的认证密码,该密码和对端peer的密码要一致。
|
|
|
|
|
|
使用show configuration protocol bgp查看当前配置
|
|
|
|
|
|
|
3.1.5. ELK-Juniper-03-01-05
|
|
|
|
|
|
|
|
设置SNMP访问安全限制,只允许特定主机通过SNMP访问网络设备。
|
|
|
|
|
|
使用show configuration snmp查看当前配置
|
|
|
set snmp community abcd123 clients 10.1.1.1/32
set snmp community abcd123 clients 10.1.2.1/32
set snmp community abcd123 clients ready-only
1)、abcd123是communtity字符串,可自行定义,但必须和client的主机一致;
2)、10.1.1.1和10.1.2.1是主机IP地址,即允许10.1.1.1.和10.1.2.1主机通过SNMP访问网络设备;
3)、未在client列表中的主机,不允许通过SNMP访问网络设备。
4)、设置主机访问网络设备具有读的权限,可根据需求设置为具有读写的权限(read-write)。
|
|
|
|
|
|
使用show configuration snmp查看当前配置
|
|
|
|
|
|
|
3.1.6. ELK-Juniper-03-01-06
|
|
|
|
|
|
|
|
启用RSVP标签分发协议时,打开RSVP协议认证功能,如MD5加密,确保与可信方进行RSVP协议交互。
|
|
|
|
|
|
使用show configuration protocols rsvp查看当前配置
|
|
|
set protocols rsvp interface fe-0/0/0.0 authentication-key abc123
|
|
|
|
|
|
|
|
|
|
|
|
|
4. 设备其他安全要求
4.1.1. ELK-Juniper-04-01-01
|
|
|
|
|
|
|
|
|
|
|
|
|
|
使用show configuration system archival查看当前配置
|
|
|
set system archival configuration transfer-interval 2880
set system archival configuration archive-sites ftp://[email protected] password abc123
set system archival configuration archive-sites ftp://[email protected] password abc123
1)、2880是时间间隔,单位是分钟,时间间隔可设置的范围为15-2880;
2)、juniper是ftp的用户名称,10.1.1.1和10.1.1.2是ftp服务器的IP地址,abc123是登录frp服务器的密码;建议设置两个IP地址作为互备;
4)、通过定期备份配置文件,时间间隔较短,即备份比较频繁,建议采用transfer-on-commit 方式,即只要执行commit指令,配置将自动备份到ftp服务器,指令为
set system archival configuration transfer-on-commit;
5)、transfer-interval和transfer-on-commit 方式不能共存。
|
|
|
|
|
|
使用show configuration system archival查看当前配置
|
|
|
|
|
|
|
4.1.2. ELK-Juniper-04-01-02
|
|
|
|
|
|
|
|
关闭网络设备不必要的服务,比如FTP、TFTP服务等。
|
|
|
|
|
|
使用show configuration system services查看当前配置
|
|
|
delete system services ftp
|
|
|
|
|
|
使用show configuration system services查看当前配置
|
|
|
|
|
|
|
4.1.3. ELK-Juniper-04-01-03
|
|
|
|
|
|
|
|
系统远程管理服务TELNET、SSH默认可以接受任何地址的连接,出于安全考虑,应该只允许特定地址访问。
|
|
|
|
|
|
使用show configuration firewall filter查看当前配置
|
|
|
set firewall filter abc term a from source-address 10.1.1.1/32
set firewall filter abc term a from source-address 10.1.1.2/32
set firewall filter abc term a then accept
set firewall filter abc term b from protocol tcp port telnet
set firewall filter abc term b then reject
set firewall filter abc term c then accept
2)、10.1.1.1/32和10.1.1.2/32上允许telnet的主机IP地址;
3)、term a实现的功能为:允许特定地址访问;
4)、term b实现的功能为:除了允许特定地址访问之外,不允许其它地址访问telnet端口。
|
|
|
|
|
|
使用show configuration firewall filter查看当前配置
|
|
|
|
|
|
|
4.1.4. ELK-Juniper-04-01-04
|
|
|
|
|
|
|
|
TELNET默认可以接受250个同时连接。配置TELNET等远程维护方式时,应配置连接最大数量限制为10个,并且每分钟最多有5个可以连接,可以防止在TELNET端口上的SYN flood DoS 攻击。
|
|
|
|
|
|
使用show configuration system services telnet查看当前配置
|
|
|
set system services telnet connection-limit 10
set system services telnet rate-limit 5
|
|
|
|
|
|
使用show configuration system services telnet查看当前配置
|
|
|
|
|
|
|
4.1.5. ELK-Juniper-04-01-05
|
|
|
|
|
|
|
|
对于Juniper路由器,应配置定时账户自动登出,防止被非法利用。
|
|
|
|
|
|
使用show configuration system services telnet查看当前配置
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
![Juniper网络设备安全基线规范]()
「天億网络安全」 知识星球 一个网络安全学习的星球!星球主要分享、整理、原创编辑等网络安全相关学习资料,一个真实有料的网络安全学习平台,大家共同学习、共同进步!
知识星球定价:199元/年,(服务时间为一年,自加入日期顺延一年)。
如何加入:扫描下方二维码,扫码付费即可加入。
加入知识星球的同学,请加我微信,拉您进VIP交流群!
![Juniper网络设备安全基线规范]()
▶️等保2.0 知识点汇总
▶️3保1评 | 分保、等保、关保、密评联系与区别
▶️等保2.0丨2021 必须了解的40个问题
▶️等保2.0 三级 拓扑图+设备套餐+详解
▶️等保2.0 二级 拓扑图+设备套餐+详解
▶️等保2.0 测评 二级系统和三级系统多长时间测评一次?
▶️等保2.0系列安全计算环境之数据完整性、保密性测评
▶️等保医疗|全国二级、三乙、三甲医院信息系统安全防护设备汇总
▶️国务院:不符合网络安全要求的政务信息系统未来将不给经费
▶️等级保护、风险评估和安全测评三者的区别
▶️分保、等保、关保、密码应用对比详解
▶️2022版V2 | 全国网络安全常用标准(下载)
评论