【愚公系列】2024年03月 《网络安全应急管理与技术实践》 008-网络安全应急技术与实践(网络层-网络设备)
🏆 作者简介,愚公搬代码
🏆《头衔》:华为云特约编辑,华为云云享专家,华为开发者专家,华为产品云测专家,CSDN博客专家,CSDN商业化专家,阿里云专家博主,阿里云签约作者,腾讯云优秀博主,腾讯云内容共创官,掘金优秀博主,51CTO博客专家等。
🏆《近期荣誉》:2022年度博客之星TOP2,2023年度博客之星TOP2,2022年华为云十佳博主,2023年华为云十佳博主等。
🏆《博客内容》:.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。
🏆🎉欢迎 👍点赞✍评论⭐收藏
🚀前言
网络设备是指用于构建和维护网络连接的硬件设备,包括各种类型的路由器、交换机、防火墙、网关、无线接入点等。这些设备可以实现数据传输、网络连接、网络安全等功能,使得计算机和其他网络设备能够互相通信和交换数据。网络设备是构建计算机网络基础设施的重要组成部分,广泛应用于企业、学校、家庭等各种网络环境中。
以下内容属于固定流程,来源于书本整理。
🚀一、网络设备安全防御检查
🔎1.访问控制
🦋1.1【检查重点】
(1)边界网络设备是否根据会话状态信息和具有拨号访问权限的用户对数据流进行控制。
(2)边界网络设备的端口信息开放状态。
🦋1.2【检查方法】
(1)检查设备配置是否限制大量地使用ICMP数据包,防止DoS攻击如防火墙有此项设置,则视为满足要求。
(2)检查安全策略是否严格限制具有拨号访间权限的用户数量。
(3)检查边界网络设备的配置信息,查看是否存在策略对已知病毒使用的端口进行阻断。
(4)检查边界网络设备的端口信息,查看是否存在闲置的端口处于开放状态,应子以禁止。
(5)应检查边界网络设备的访问控制策略,查看其是否对进出网络的信息内容进行过滤,实现对应用层HTTPFTPTELNETSMTPNPOP3等协议命令级的控制。
(6)应检查边界网络设备,查看是否有会话处于非活跃的时间或会话结束后自动终止网络连接的配置,查看是否设置网络最大流量数及网络连接数。(7)检查是否禁止以下服务:TCP\UDP\SmalINFingerHTTP\HTTPS\BOOTpIP Source Routing\APP-PROXY\CDP\FTP,这些服务均有高危漏洞。
(8)Vty、Console 设置 timeout 时间。
(9)访问系统管理员,依据实际网络状况是否需要限制网络最大流量数及网络连接数,并检查路由器配置。如果网络中部署防火墙,该项要求一般在防火墙上实现。
🔎2.安全审计
🦋2.1【检查重点】
边界和关键网络设备的安全审计策略和事件安全审计记录安全审计的保护情况。
🦋2.2【检查方法】
(1)检查是否开启设备日志审计功能或通过第三方审计设备统一管理。
(2)检查是否对设备的运行状况、网络流量、用户行为等进行日志记录。
(3)检查设备是否配置了日志服务器。
(4)进入设备审计模块或日志服务器的审计记录版面检查审计内容是否包括事件的日期和时间、用户、事件类型、事件成功情况及其他与审计相关的信息。
(5)访谈安全审计员采用什么手段实现审计记录数据的分析和报表生成。
(6)设置导出日志的方式,或者使用第三方审计工具或设备,按需要导出或者生成审计报表。
(7)以非审计用户登录系统,非审计用户不能查看审计记录;以审计用登录系统,审计用户不能删除、修改、覆盖审计记录,验证安全审计的保护情况与要求是否一致;查看审计日志存放空间的大小,存放空间是否已经不能放新的审计日志,新的日志是否会把旧的日志记录覆盖。
🔎3.网络设备防护
🦋3.1【检查重点】
边界和关键网络设备的防护措施和配置信息。
🦋3.2【检查方法】
(1)检查在关键区域是否安装防火墙设备。
(2)检查在关键区域是否安装入侵检测设备
(3)检查是否启用远程登录认证。
(4)检查是否启用Console 口令认证。
(5)配置访问控制列表,只允许管理员P或网段能访问网络设备管理服务。
(6)检查网络设备,查看网络设备登录用户的标识是否唯一。
(7)检查SNMP 默认通信字符串是否修改。
(8)本地用户口令复杂度是否足够强健(密码复杂度要求长度不少于8位字符,有数字、字母、特殊字符组合)。
(9)账号和密码管理。
(10)应定期更改路由器管理用户的登录密码,如一个月更改一次。
(11)用户登录密码应有一定的复杂度要求,密码长度不得少于8位。
(12)建议采用双因子认证方式对路由器进行管理。
(13)非本单位工作人员需要登录路由器时,应创建临时账号并指定适当的权限。临时账号使用完后应及时删除。
(14)登录账号及密码的保管和更新应由专人负责并注意保密。
(15)如果路由器有CON口和AUX口,则应设置高强度的密码、修改默认参数和配置认证策略等。
(16)配置文件中不显示明文密码。
(17)检查是否启用TACACS+或Radius认证方式;设置TACACS+或Radius 服务器超时与重试。
(18)检查是否开启Console、远程管理超时机制,以保障访问安全。
(19)设置非法登录次数限制(一般设为3次)。
(20)设置 Console 和远程登录的登录超时时间为5min。
(21)检查是否使用更安全的连接管理方式,如SSH,代替明文传输的Telnet 连接管理方式。
(22)限制超级管理员用户数不能超过2个。
(23)限制root用户直接采用SSH进行登录,root用户只能通过Console接口访问设备。
(24)限制普通用户拥有的高级特权(super-local的root认证)进行远程登录设备。
(25)检查未使用的端口是否已被禁用。
(26)检查设备是否具有Debug功能并确认是否关闭。
(27)检查设备是否关闭多余服务,如FTP、Telnet、SNMP等。
(28)检查SNMP是否使用public、private 为团体名。
(29)检查是否具有配置登录信息功能,如有则检查是否修改了默认配置信息。
(30)检查网络设备是否配置了统一的NTP服务器。
(31)检查网络设备的动态路由协议是否开启对等体的认证功能,如OSPF的 MD5 校验、RIP V2 的认证等。
🚀感谢:给读者的一封信
亲爱的读者,
我在这篇文章中投入了大量的心血和时间,希望为您提供有价值的内容。这篇文章包含了深入的研究和个人经验,我相信这些信息对您非常有帮助。
如果您觉得这篇文章对您有所帮助,我诚恳地请求您考虑赞赏1元钱的支持。这个金额不会对您的财务状况造成负担,但它会对我继续创作高质量的内容产生积极的影响。
我之所以写这篇文章,是因为我热爱分享有用的知识和见解。您的支持将帮助我继续这个使命,也鼓励我花更多的时间和精力创作更多有价值的内容。
如果您愿意支持我的创作,请扫描下面二维码,您的支持将不胜感激。同时,如果您有任何反馈或建议,也欢迎与我分享。
再次感谢您的阅读和支持!
最诚挚的问候, “愚公搬代码”
- 点赞
- 收藏
- 关注作者
评论(0)