7. 远程管理和网络服务
管理员能够通过各种服务远程地管理和操控网络设备。常见的网络服务包括SSH、超文本传输协议(HTTP)、SNMP以及文件传输协议(FTP)。这些服务对管理员来说非常有用,但同时也可能被攻击者利用以获取设备的级别访问权限。为了降低潜在的风险,这些服务必须正确配置。
7.1 禁用明文管理服务
明文协议在网络中以明文形式传输流量,这在广泛使用加密之前被设计出来。使用这些协议远程管理关键设备可能会导致信息,从而对设备和网络安全产生不利影响。攻击者可能通过常见的信息检索技术收集敏感数据。为此,应使用加密服务来保护网络通信,并禁用所有明文管理服务,如Telnet、HTTP、FTP和SNMP 1/2c。
若设备不支持加密协议,则应直接通过控制台或管理端口连接管理系统,或建立专用的带外管理网络以降低对手捕获明文协议的能力。以下为禁用Telnet服务的配置命令:
line vty 0 4 transport input noneline vty 5 15 transport input none
根据设备不同,可能需要在其他线路上应用类似的配置。若特定设备上不存在VTY第5行到第15行,则无需执行这些命令。
注意:这些命令可能会禁用默认情况下在线路上启用的其他服务,包括SSH。关于如何启用SSH的详细信息,请参阅相关配置指南。
7.2 确保足够的加密强度
某些加密服务需要生成公钥和私钥对,以便客户端可以连接到服务器并进行身份验证。使用弱算法或少量位的加密连接可能使攻击者更容易私有会话密钥,从而解密在唯一连接期间传输的所有数据。为此,应使用批准的算法和密码,确保使用足够大的密钥大小。
关于哪些算法和密码经安全系统批准的指导,请参阅相关安全文档。NIST SP 800-52修订版2附录F等相关文件包含了最新推荐的加密参数。
NSA建议使用3072位或更高位数的非对称(公钥和私钥)密钥生成,384位用于椭圆曲线加密(ECC)密钥,256位用于对称加密密钥。对于密钥大小较小的设备,应重新生成新的密钥对,并将加密协议配置为仅使用批准的算法。
7.3 利用安全协议
某些管理服务实现的协议可能存在缺陷,这些漏洞可能被攻击者利用。为此,应确保管理服务使用最新版本的协议,并充分启用适当的安全设置。SSH版本2是远程访问设备的首选方法。
7.4 限制对服务的访问
若允许大量设备连接到管理服务,则它们更容易被利用。为此,应仅允许管理系统连接到设备以进行远程管理。无法支持ACL的设备应放置在单独的网络管理网段(例如VLAN)上。
请创建ACL并应用于该VLAN或路由器,以限制对此网段的访问。可能需要实施单独的防火墙来限制哪些系统可以连接到该VLAN。
大多数管理服务只接受标准ACL。可以使用permit关键字在附加行上列出多个设备或网络。即使每个ACL在最后都有一个隐含的拒绝语句,但最佳做法是显式包含它,以便记录被拒绝的尝试。
7.5 设置可接受的超时期限
为空闲连接设置超时期限可以允许会话在规定的非活动时间后关闭。若未设置超时期限或设置得太长,则可能导致DoS攻击。NSA建议在所有远程设备上将管理连接的会话超时设置为五分钟或更短时间。
关于配置远程网络管理的其他详细信息,如配置SSH、HTTP等服务的具体步骤和参数设置,请参阅相关配置指南或联系技术支持获取帮助。
以上是对远程管理和网络服务的强化措施的概述,旨在提高网络安全性并减少潜在的风险。请根据实际环境和需求进行相应的配置和调整。
8. 关于SNMP读写社区字符串的
关于IP HTTP访问控制列表(ACL)的设定
请留意,若启用了明文HTTP服务,相关的ACL也将作用于该服务。关于如何创建标准ACL的详细信息,请参照7.4节中关于服务访问控制的说明。
HTTP服务器连接的闲置超时时间已预设为180秒(即三分钟),在无需更改此设定的情况下,系统将自动执行此超时机制。
11.3节:配置SNMP以实现远程管理
若采用SNMP进行设备管理,请按照以下步骤启用支持身份验证和隐私(加密)功能的SNMP版本3。
需配置SNMP组,使用如下命令并指定隐私访问控制列表(ACL):
snmp-server group v3 priv access
接着,定义用户并将之分配至相应的组,同时需提供两个不同密码,一个用于身份验证,另一个用于隐私加密。必须为每个用户指定身份验证协议(如SHA)和隐私加密算法(如AES)。请注意,已发现AES-192和AES-256之间的互操作性问题,因此建议使用AES-128进行加密,而非aes 128关键字指定的算法。
在配置过程中,可以通过在每个命令末尾添加access关键字和相应的ACL编号,将ACL应用于组和每个用户。
为验证SNMP配置是否正确,您可以从Linux系统使用以下shell命令进行测试:
snmpget -v 3 -u -a sha -l authPriv -A '' -x AES \
-X '' 1.3.6.1.2.1.1.5.0
请按照以上步骤仔细配置与测试,确保SNMP服务的正常运作及安全性。