批量安全加固路由器及交换机
2018-11-07
安全加固内容
华为路由器及交换机的验证授权、访问控制和统一管理,主要表现在登录方式、限制登录地址与 SNMP 管理地址、时钟同步、统一日志管理、停用不使用的服务和关闭未使用的端口等方面。
1.SSH 登录方式
TELNET是远程登录协议,使用明文传送口令和数据,容易被监听和截获,安全性非常低。SSH(Secure Shell)使用加密算法,基于口令或密钥进行安全验证,数据加密传送,安全性比较高。
安全加固时,首先创建密钥对,启用SSH服务,创建用户(用户名、密码、授权、服务类型和空闲超时),然后在VTY上使用AAA认证和SSH协议。同时,通过Console口登录也采用AAA验证方式。
2.限制登录地址与SNMP管理地址
通过访问控制列表,对试图登录设备、SNMP管理设备的非法IP进行过滤,确保管理员IP地址才能正常登录和管理设备。
3.NTP时钟同步
时间同步对网络设备的安全、审计、监控、故障检查和溯源等非常重要。因此所有网络设备需要通过NTP协议与时钟服务器(时钟源)同步。系统使用UTC时钟,北京是东八区,北京时间
4.统一日志管理
网络设备运行会产生大量日志信息,通过日志我们可以详细了解设备状态、告警、错误、警告等信息。如果网络设备较多,逐台登录查看日志不太现实,需要指定一台服务器,集中存放日志,统一分析和管理,也避免网络设备遭入侵后日志可能被清空等问题。通常使用Linux服务器或Kiwi Syslog Daemon为日志服务器。
5.停用不使用的服务
基于最小的服务等于最大的安全原则,关闭或停用 TELNET、HTTP、FTP、SFTP、DHCP等不需要使用的服务,减少风险,提高网络设备的安全性。
6.关闭未使用端口
使用shutdown命令关闭不使用的端口,防止非法用户接入网络。另外,对于接入层交换机,还要进行环路检测和生成树边缘端口等安全配置。
批量安全加固
如果网络规模较大,路由器及交换机数量较多,逐台进行安全加固,无疑耗时耗力,非常繁琐,容易出错,效率不高。
SecureCRT有非常完善脚本支持功能,利用它可以批量对网络设备进行安全加固。
脚本工作目录是 D:work,在该目录下创建网络设备清单文件huawei-ippwd-pwd.txt,该文件由设备IP、登录密码和SUPER密码三部分组成,空格分开。格式如下:
设备一IP 登录密码SUPER密码
设备二IP 登录密码SUPER密码
...
完整的加固脚本比较冗长,限于篇幅,下面的SecureCRT执行脚本,可以批量对华为路由器及交换机登录地址进行加固。不同版本的华为VRP平台在配置过程中,提示内容略有不同,可根据实际情况进行脚本修改。