Juniper网络设备安全系统加固要求规范

wordJuniper网络设备安全基线规X4:56目录1.账号管理、认证授权31.1.账号31.1.1.ELK-Juniper-01-01-0131.1.2.ELK-Juniper-01-01-0231.1.3.ELK-Juniper-01-01-0341.2.口令51.2.1.ELK-Juniper-01-02-0151.2.2.ELK-Juniper-01-02-0261.2.3.ELK-Juniper-01-02-0381.3.认证91.3.1.ELK-Juniper-01-03-0192.日志配置102.1.1.ELK-Juniper-02-01-01102.1.2.ELK-Juniper-02-01-02112.1.3.ELK-Juniper-02-01-03122.1.4.ELK-Juniper-02-01-04122.1.5.ELK-Juniper-02-01-05132.1.6.ELK-Juniper-02-01-06143.通信协议153.1.1.ELK-Juniper-03-01-01153.1.2.ELK-Juniper-03-01-02163.1.3.ELK-Juniper-03-01-03173.1.4.ELK-Juniper-03-01-04183.1.5.ELK-Juniper-03-01-05193.1.6.ELK-Juniper-03-01-06204.设备其他安全要求204.1.1.ELK-Juniper-04-01-01204.1.2.ELK-Juniper-04-01-02214.1.3.ELK-Juniper-04-01-03224.1.4.ELK-Juniper-04-01-04234.1.5.ELK-Juniper-04-01-05241. 账号管理、认证授权1.1. 账号1.1.1. ELK-Juniper-01-01-01编号：ELK-Juniper-01-01-01名称：按照用户类型分配账号实施目的：按照不同的用户分配不同的账号，防止不同用户间共享账号，防止用户账号和设备间通信使用的账号共享。问题影响：权限不明确，存在用户越权使用的可能。系统当前状态：使用show configuration system login 查看当前配置实施方案：1、参考配置操作set system login user abc1set system login user abc22、补充操作说明1、abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称；2、账号取名，建议使用：某某的简写手机。回退方案：删除新增加用户判断依据：标记用户用途，定期建立用户列表，比拟是否有非法用户实施风险：低重要等级：1.1.2. ELK-Juniper-01-01-02编号：ELK-Juniper-01-01-02名称：删除无效账号实施目的：按照不同的用户分配不同的账号，防止不同用户间共享账号，防止用户账号和设备间通信使用的账号共享。问题影响：非法利用系统默认账号系统当前状态：使用show configuration system login 查看当前配置实施方案：1、参考配置操作delete system login user abc32、补充操作说明abc3是与工作无关的账号。回退方案：增加被删除的用户判断依据：查看配置文件，核对用户列表。实施风险：低重要等级：1.1.3. ELK-Juniper-01-01-03编号：ELK-Juniper-01-01-03名称：建立分配系统用户组实施目的：为了控制不同用户的访问级别，建立多用户级别，根据用户的业务需求，将用户账号分配到相应的用户级别。问题影响：账号越权使用系统当前状态：使用show configuration system login 查看当前配置实施方案：1、参考配置操作创建用户级别：set system login classABC1 permissions view view-configuration 将用户账号分配到相应的用户级别：set system login user abc1 class read-onlyset system login user abc2 class ABC1set system login user abc3 class super-user2、补充操作说明1、ABC1是手工创建的组，该组具有的权限：查看设备运行状态如接口状态、设备硬件状态、路由状态等，并且可以查看设备的配置；2、read-only组具有的权限：查看设备运行状态，但不能查看设备的配置；3、super-user是超级用户组，具有的权限：所有权限；4、read-only和super-user是路由器已经创建的组，不需要手工创建；5、abc1、abc2、abc3是不同的用户，它们分别分配到相应的用户级别。回退方案：复原系统配置文件判断依据：使用show configuration system login 查看当前配置实施风险：高重要等级：1.2. 口令1.2.1. ELK-Juniper-01-02-01编号：ELK-Juniper-01-02-01名称：提高口令强度实施目的：对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。问题影响：增加密码被暴力破解的成功率系统当前状态：使用show configuration system login 查看当前配置实施方案：1、参考配置操作set system login user abc1 authentication plain-text-password2、补充操作说明1、输入指令回车后，将两次提示输入新口令New password:和Retype new password:。2、口令要求：长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。回退方案：复原系统配置文件判断依据：使用show configuration system login 查看当前配置实施风险：低重要等级：1.2.2. ELK-Juniper-01-02-02编号：ELK-Juniper-01-02-02名称：根据用户的业务需要配置其所需的最小权限实施目的：在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。问题影响：越权使用，非法访问。系统当前状态：使用show configuration system login 查看当前配置实施方案：1、用show configuration system login class ABC1命令查看配置2、用show configuration system login class ABC2命令查看配置3、在终端上用telnet方式登录路由器,输入用户名abc1和密码 成功登录路由器后，用configure命令进入配置模式。 使用以下命令检测： set routing-可选ions static set interfaces set chassis fpc 使用其它set命令4、在终端上用telnet方式登录路由器,输入用户名abc2和密码成功登录路由器后，用configure命令进入配置模式。使用以下命令检测：set policy-可选ions set protocols set routing-instances set routing-可选ions 使用其它set命令5、在终端上用telnet方式登录路由器,输入用户名abc3和密码成功登录路由器后，用configure命令进入配置模式。使用set命令以与其它命令检测。回退方案：使用show configuration system login 查看当前配置。复原系统配置文件。判断依据：1、账号abc1属于组ABC1，该组只能配置routing-可选ions static、interfaces、 Chassis fpc项里的内容。不能做其它未授权的配置；2、账号abc2属于组ABC2，该组只能配置关于路由的所有配置，包括routing-可选ions、protocols、policy-可选ions、routing-instances等，不能做其它未授权的配置；3、账号abc3属于组super-user，拥有全部配置权限。备注：创建用户级别，即创建用户的配置权限：set system login class ABC1 permissions configureset system login class ABC1 allow-configuration routing-可选ions static|interfaces|chassis fpc set system login class ABC2 permissions configure routing-control 将用户账号分配到相应的用户级别：set system login user abc1 class ABC1set system login user abc2 class ABC2set system login user abc3 class super-user2、补充操作说明1、ABC1组具有的权限：可配置interfaces，可配置routing-可选ions中的static，可配置chassis中的fpc；2、ABC2组具有的权限：可配置有关于路由的所有配置，包括routing-可选ions、protocols、policy-可选ions、routing-instances等；3、allow-configuration参数是以等级来限制，可以限制各个等级的配置，可以细化到各个小等级；4、permissions参数是以功能来限制，限制的X围较大；5、allow-mands参数是以具体的指令来限制，allow-ands参数需要设定具体指令,不建议使用。实施风险：低重要等级：1.2.3. ELK-Juniper-01-02-03编号：ELK-Juniper-01-02-03名称：提高ROOT用户口令强度实施目的：修改root密码。root的默认密码是空，修改root密码，防止非管理员使用root账号登录。问题影响：增加密码被暴力破解的成功率系统当前状态：使用show configuration system login 查看当前配置实施方案：1、参考配置操作1、用show configuration system login命令查看配置是否正确；2、通过console口方式登录路由器,输入root用户名和密码；3、通过console口方式登录路由器，输入root用户和空密码。2、补充操作说明1、输入指令回车后，将两次提示输入新口令New password:和Retype new password:。2、口令要求：长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。回退方案：复原系统配置文件判断依据：1、输入root用户和正确密码可以正常登录路由器；2、输入root用户和空密码无法登录路由器。实施风险：低重要等级：1.3. 认证1.3.1. ELK-Juniper-01-03-01编号：ELK-Juniper-01-03-01名称：设置认证系统联动实施目的：设备通过相关参数配置，与认证系统联动，满足某某、口令和授权的强制要求。问题影响：密码泄露。系统当前状态：使用show configuration system login查看当前配置 并查看Radius服务器配置实施方案：1、参考配置操作set system authentication-order radiusset system authentication-order passwordset system radius-serverset system radius-server set system radius-server port 1645set system radius-server port 1645set system radius-server secret abc123set system radius-server secret abc1232、补充操作说明1、配置认证方式，可通过radius和本地认证；2、和是radius认证服务器的IP地址，建议建立两个radius认证服务器作为互备；3、port 1645是radius认证开启的端口号，可根据本地radius认证服务器开启的端口号进展配置；4、abc123是与radius认证系统建立连接所设定的密码，建议：与radius认证服务器建立连接时，使用密码认证建立连接。回退方案：复原系统配置文件判断依据：使用show configuration system login查看当前配置实施风险：低重要等级：2. 日志配置本局部对JUNIPER设备的日志功能提出建议，主要加强设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进展安全事件定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。如出现大量违反ACL规如此的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。2.1.1. ELK-Juniper-02-01-01编号：ELK-Juniper-02-01-01名称：开启系统日志功能实施目的：设备应配置日志功能，记录用户对设备的操作，比如：账号创建、删除和权限修改，口令修改，读取和修改设备配置，涉与通信隐私数据。记录需要包含用户账号，操作时间，操作内容以与操作结果。问题影响：无法对用户的登陆进展日志记录。系统当前状态：使用show configuration system syslog查看当前配置实施方案：1、参考配置操作set system syslog file author.log authorization info2、补充操作说明1、author.log是记录登录信息的log文件，该文件名称可手工定义；2、author.log文件保存在juniper路由器的存储上。回退方案：复原系统配置文件判断依据：使用show configuration system syslog查看当前配置实施风险：低重要等级：2.1.2. ELK-Juniper-02-01-02编号：ELK-Juniper-02-01-02名称：开启系统安全日志功能实施目的：设备应配置日志功能，记录对与设备相关的安全事件，比如：记录路由协议事件和错误。问题影响：无法记录路由协议事件和错误。系统当前状态：使用show configuration查看当前配置实施方案：1、参考配置操作set system syslog file daemon.log daemon warningset system syslog file firewall.logfirewall warning2、补充操作说明1、daemon.log是记录路由协议事件的文件，该文件名称可手工定义；2、firewall.log是记录安全事件的文件，该文件名称可手工定义；3、daemon和firewall可定义有九个等级，建议将其设定为warning等级，即仅记录warning等级以上的安全事件。回退方案：复原系统配置文件判断依据：使用show configuration查看当前配置实施风险：中重要等级：2.1.3. ELK-Juniper-02-01-03编号：ELK-Juniper-02-01-03名称：设置配置更改日志路径实施目的：设置系统的配置更改信息保存到单独的文件内。问题影响：暴露系统日志。系统当前状态：使用show configuration system syslog查看当前配置实施方案：1、参考配置操作set system syslog file change.log change-log info2、补充操作说明1、change.log是记录配置更改的文件，该文件名称可手工定义；2、change.log文件保存在juniper路由器的存储上。回退方案：复原系统配置文件判断依据：使用show configuration system syslog查看当前配置实施风险：中重要等级：2.1.4. ELK-Juniper-02-01-04编号：ELK-Juniper-02-01-04名称：设置配置远程日志功能实施目的：设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。问题影响：丢失重要日志。系统当前状态：使用show configuration system syslog命令查看配置实施方案：set system syslog host 10.1.1.1 any noticeset system syslog host 10.1.1.1 log-prefix Router1set system syslog host 10.1.1.2 any noticeset system syslog host 10.1.1.2 log-prefix Router2补充操作说明1、10.1.1.1和10.1.1.2是远程日志服务器的IP地址，建议建设两个远程日志服务器作为互备；2、syslog有九个等级的记录信息，建议将notice等级以上的信息传送到远程日志服务器；3、Router1为路由器的主机名称。回退方案：复原系统配置文件判断依据：1、使用show configuration system syslog命令查看配置；2、登录远程日志服务器查看日志。实施风险：中重要等级：2.1.5. ELK-Juniper-02-01-05编号：ELK-Juniper-02-01-05名称：设置系统的配置更改信息实施目的：问题影响：丢失重要日志。系统当前状态：使用show configuration system syslog命令查看配置实施方案：1、使用show configuration system syslog命令查看配置；2、在终端上以telnet方式登录路由器,输入用户名密码；3、进展创建、删除某某和修改用户密码等修改设备配置操作；4、用show log change.log命令查看日志。回退方案：使用show configuration system syslog命令查看配置，恢复默认配置判断依据：可以在change.log中查看到用户的操作内容、操作时间实施风险：中重要等级：2.1.6. ELK-Juniper-02-01-06编号：ELK-Juniper-02-01-06名称：保证日志功能记录的时间的准确性。实施目的：开启NTP服务，保证日志功能记录的时间的准确性。路由器与NTP SERVER之间开启认证功能。问题影响：丢失重要日志。系统当前状态：使用show configuration system syslog命令查看配置实施方案：1、使用show configuration system ntp命令查看配置；2、使用show system uptime命令查看路由器时间与并与时间比照；3、使用show ntp associations查看路由器是否与NTP服务器同步；4、使用show ntp status查看路由器时间同步状态。回退方案：使用show configuration system syslog命令查看配置，恢复默认配置判断依据：1、用show ntp associations命令查看，信息如下面所示: remote refid st t when poll =* ROUTER1 10.1.1.1 2 u 641 1024 + ROUTER2 10.1.1.2 2 u 713 1024 reach delay offset jitter = 377 0.964 -24.126 0.067 377 4.490 -12.013 0.457 ROUTER1前面的(*)号表示ROUTER1是已和路由器时间同步的NTP服务器,(+)号为备用的NTP服务器.2、有show ntp status命令查看，信息如下:status=0644 leap_none, sync_ntp, 4 events, event_peer/strat_chg,version=ntpd 4.1.0-a Wed Oct 5 18:44:40 GMT 2005 (1),processor=i386, system=JUNOS7.3R2.7, leap=00, stratum=3,precision=-28, rootdelay=9.814, rootdispersion=102.250, peer=42484,refid=ROUTER,reftime=ca227da4.4b3ffac1 Wed, Jun 20 2007 0:07:00.293, poll=10,clock=ca2280ce.02849cb2 Wed, Jun 20 2007 0:20:30.009, state=4,offset=-17.830, frequency=85.438, jitter=28.377, stability=0.048 如上面信息的第一句第二局部显示sync_ntp表示路由器时间已和NTP服务器同步,如果显示sync_unspec即未同步.。实施风险：中重要等级：3. 通信协议3.1.1. ELK-Juniper-03-01-01编号：ELK-Juniper-03-01-01名称：OSPF协议安全实施目的：对于非点到点的OSPF协议配置，应配置MD5加密认证，通过MD5加密认证建立neighbor问题影响：恶意攻击系统当前状态：使用show configuration protocols rsvp查看当前配置实施方案：1、使用show configuration命令查看配置2、使用show ospf neighbor命令查看OSPF邻居状态3、使用show route protocol ospf brief命令查看OSPF路由表4、使用ping检查路由连通性回退方案：复原系统配置文件判断依据：1、OSPF邻居处于full状态为正常,能学到邻居的路由为正常2、路由能连通为正常实施风险：低重要等级：3.1.2. ELK-Juniper-03-01-02编号：ELK-Juniper-03-01-02名称：启用带加密方式的身份验证实施目的：配置动态路由协议BGP/ MP-BGP /OSPF等时必须启用带加密方式的身份验证功能，相邻路由器只有在身份验证通过后，才能互相通告路由信息。问题影响：非法访问，系统当前状态：使用show configuration protocol、show bgp neighbor、show route protocol bgp brief、show ospf neighbor查看当前配置实施方案：1、使用show configuration protocol命令查看配置；2、使用show bgp neighbor命令查看BGP邻居状态；3、使用show route protocol bgp brief命令查看BGP路由表；4、使用show ospf neighbor命令查看OSPF邻居状态；5、使用show route protocol ospf brief命令查看OSPF路由表；6、使用ping命令检查路由连通性。回退方案：使用show configuration protocol、show bgp neighbor、show route protocol bgp brief、show ospf neighbor查看当前配置，复原给原始状态。判断依据：1、确定配置已经启用加密的身份认证；2、BGP邻居处于establish状态为正常，能学到邻居的路由为正常；3、OSPF邻居处于full状态为正常,能学到邻居的路由为正常；4、路由能连通为正常。实施风险：中重要等级：3.1.3. ELK-Juniper-03-01-03编号：ELK-Juniper-03-01-03名称：过滤所有和业务不相关的流量实施目的：对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。问题影响：恶意攻击。系统当前状态：使用show configuration firewall filter abc查看配置实施方案：1、使用show configuration firewall filter abc查看配置3、在终端上安装Nmap端口扫描工具(本例基于windowsXP2系统)4、在DOS下输入：nmap -sS -g 445 10.1.2.1 p 145 这指令的意思是以源端口为445来访问主机IP为10.1.2.1的TCP145端口。5、用namp访问其它非业务端口，如访问80端口，在DOS 下输入：nmap sS 10.1.2.1 6、运行真实业务测试业务流量和非业务流量。回退方案：复原系统配置文件判断依据：使用show configuration firewall filter abc查看配置，复原为原始状态。实施风险：中重要等级：3.1.4. ELK-Juniper-03-01-04编号：ELK-Juniper-03-01-04名称：配置MP-BGP的MD5加密认实施目的：配置MP-BGP路由协议，应配置MD5加密认证，通过MD5加密认证建立peer。问题影响：信息泄露。系统当前状态：使用show configuration protocol bgp查看当前配置实施方案：1、参考配置操作set protocols bgp group abc neighbor 10.1.1.1 authentication-key abc1232、补充操作说明1、abc为group的名称，可自行设定；2、为对端peer的IP地址，可根据需求设定；3、abc123为MD5加密认证的认证密码，该密码和对端peer的密码要一致。回退方案：复原系统配置文件判断依据：使用show configuration protocol bgp查看当前配置实施风险：中重要等级：3.1.5. ELK-Juniper-03-01-05编号：ELK-Juniper-03-01-05名称：设置SNMP访问安全限制实施目的：设置SNMP访问安全限制，只允许特定主机通过SNMP访问网络设备。问题影响：非法登陆。系统当前状态：使用show configuration snmp查看当前配置实施方案：1、参考配置操作set snmp munity abcd123 clientsset snmp munity abcd123 clientsset snmp munity abcd123 clients ready-only2、补充操作说明1、abcd123是muntity字符串，可自行定义，但必须和client的主机一致；2、和是主机IP地址，即允许.和主机通过SNMP访问网络设备；3、未在client列表中的主机，不允许通过SNMP访问网络设备。4、设置主机访问网络设备具有读的权限，可根据需求设置为具有读写的权限read-write。回退方案：复原系统配置文件判断依据：使用show configuration snmp查看当前配置实施风险：高重要等级：3.1.6. ELK-Juniper-03-01-06编号：ELK-Juniper-03-01-06名称：RSVP标签分发协议实施目的：启用RSVP标签分发协议时，打开RSVP协议认证功能，如MD5加密，确保与可信方进展RSVP协议交互。问题影响：非法登陆。系统当前状态：使用show configuration protocols rsvp查看当前配置实施方案：1、参考配置操作set protocols rsvp interface fe-0/0/0.0 authentication-key abc1232、补充操作说明abc123为MD5加密密码。回退方案：复原系统配置文件判断依据：各邻居状态为UP正常各RSVP session状为 UP正常实施风险：中重要等级：4. 设备其他安全要求4.1.1. ELK-Juniper-04-01-01编号：ELK-Juniper-04-01-01名称：开启配置定期备份实施目的：开启配置文件定期备份功能，定期备份配置文件。问题影响：容易丢失数据。系统当前状态：使用show configuration system archival查看当前配置实施方案：1、参考配置操作set system archival configuration transfer-interval 2880set system archival configuration archive-sites ftp:/juniper password abc123set system archival configuration archive-sites ftp:/juniper password abc1232、补充操作说明1、2880是时间间隔，单位是分钟，时间间隔可设置的X围为152880;2、juniper是ftp的用户名称，和是ftp服务器的IP地址，abc123是登录frp服务器的密码；建议设置两个IP地址作为互备；3、定期备份仅能通过ftp服务备份；4、通过定期备份配置文件，时间间隔较短，即备份比拟频繁，建议采用transfer-on-mit 方式，即只要执行mit指令，配置将自动备份到ftp服务器，指令为set system archival configurationtransfer-on-mit；5、transfer-interval和transfer-on-mit 方式不能共存。回退方案：复原系统配置文件判断依据：使用show configuration system archival查看当前配置实施风险：高重要等级：4.1.2. ELK-Juniper-04-01-02编号：ELK-Juniper-04-01-02名称：关闭不必要服务实施目的：关闭网络设备不必要的服务，比如FTP、TFTP服务等。问题影响：对系统造成不稳定。系统当前状态：使用show configuration system services查看当前配置实施方案：1、参考配置操作delete system services ftp2、补充操作说明默认是关闭FTP服务回退方案：复原系统配置文件判断依据：使用show configuration system services查看当前配置实施风险：低重要等级：4.1.3. ELK-Juniper-04-01-03编号：ELK-Juniper-04-01-03名称：限制远程管理IP实施目的：系统远程管理服务TELNET、SSH默认可以承受任何地址的连接，出于安全考虑，应该只允许特定地址访问。问题影响：非法登陆。系统当前状态：使用show configuration firewall filter查看当前配置实施方案：1、参考配置操作set firewall filter abc term a from source-address set firewall filter abc term a from source-address 10.1.1.2/32set firewall filter abc term athen acceptset firewall filter abc term b from protocol tcp port telnetset firewall filter abc term bthen rejectset firewall filter abc term cthen accept2、补充操作说明1、abc为filter名称，可自定义；2、和10.1.1.2/32上允许telnet的主机IP地址；3、term a实现的功能为：允许特定地址访问；4、term b实现的功能为：除了允许特定地址访问之外，不允许其它地址访问telnet端口。回退方案：复原系统配置文件判断依据：使用show configuration firewall filter查看当前配置实施风险：高重要等级：4.1.4. ELK-Juniper-04-01-04编号：ELK-Juniper-04-01-04名称：限制telnet并发连接数实施目的：TELNET默认可以承受250个同时连接。配置TELNET等远程维护方式时，应配置连接最大数量限制为10个，并且每分钟最多有5个可以连接，可以防止在TELNET端口上的SYN flood DoS 攻击。问题影响：非法登陆。系统当前状态：使用show configuration system services telnet查看当前配置实施方案：1、参考配置操作set system services telnet connection-limit 10set system services telnet rate-limit 5回退方案：复原系统配置文件判断依据：使用show configuration system services telnet查看当前配置实施风险：高重要等级：4.1.5. ELK-Juniper-04-01-05编号：ELK-Juniper-04-01-05名称：定时账户自动登出安全实施目的：对于Juniper路由器，应配置定时账户自动登出，防止被非法利用。问题影响：非法利用。系统当前状态：使用show configuration system services telnet查看当前配置实施方案：setcliidle-timeout15回退方案：复原系统配置文件判断依据：当时间超时，用户会自动退出路由器实施风险：低重要等级：24 / 24