Juniper网络设备加固规范V02.doc

《Juniper网络设备加固规范V02.doc》由会员分享，可在线阅读，更多相关《Juniper网络设备加固规范V02.doc（24页珍藏版）》请在三一办公上搜索。

1、Juniper网络设备加固规范2023年2月目录1.账号管理、认证授权31.1.账号31.1.1.SHG-Juniper-01-01-0131.1.2.SHG-Juniper-01-01-0231.1.3.SHG-Juniper-01-01-0341.2.口令51.2.1.SHG-Juniper-01-02-0151.2.2.SHG-Juniper-01-02-0261.2.3.SHG-Juniper-01-02-0381.3.认证91.3.1.SHG-Juniper-01-03-0192.日志配置102.1.1.SHG-Juniper-02-01-01102.1.2.SHG-Juniper-

2、02-01-02112.1.3.SHG-Juniper-02-01-03122.1.4.SHG-Juniper-02-01-04122.1.5.SHG-Juniper-02-01-05132.1.6.SHG-Juniper-02-01-06143.通信协议153.1.1.SHG-Juniper-03-01-01153.1.2.SHG-Juniper-03-01-02163.1.3.SHG-Juniper-03-01-03173.1.4.SHG-Juniper-03-01-04183.1.5.SHG-Juniper-03-01-05193.1.6.SHG-Juniper-03-01-06204.

3、设备其他安全要求204.1.1.SHG-Juniper-04-01-01204.1.2.SHG-Juniper-04-01-02214.1.3.SHG-Juniper-04-01-03224.1.4.SHG-Juniper-04-01-04234.1.5.SHG-Juniper-04-01-0524 1. 账号管理、认证授权1.1. 账号1.1.1. SHG-Juniper-01-01-01编号：SHG-Juniper-01-01-01名称：按照用户类型分配账号实施目的：按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。问题影响：权限不明确，存在用户

4、越权使用的可能。系统当前状态：使用show configuration system login 查看当前配置实施方案：1、参考配置操作set system login user abc1set system login user abc22、补充操作说明1、abc1和abc2是两个不同的账号名称，可根据不同用户，取不同的名称；2、账号取名，建议使用：姓名的简写手机号码。回退方案：删除新增加用户判断依据：标记用户用途，定期建立用户列表，比较是否有非法用户实施风险：低重要等级：1.1.2. SHG-Juniper-01-01-02编号：SHG-Juniper-01-01-02名称：删除无效账号实

5、施目的：按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。问题影响：非法利用系统默认账号系统当前状态：使用show configuration system login 查看当前配置实施方案：1、参考配置操作delete system login user abc32、补充操作说明abc3是与工作无关的账号。回退方案：增加被删除的用户判断依据：查看配置文件，核对用户列表。实施风险：低重要等级：1.1.3. SHG-Juniper-01-01-03编号：SHG-Juniper-01-01-03名称：建立分配系统用户组实施目的：为了控制不同用户的访问级别

6、，建立多用户级别，根据用户的业务需求，将用户账号分配到相应的用户级别。问题影响：账号越权使用系统当前状态：使用show configuration system login 查看当前配置实施方案：1、参考配置操作创建用户级别：set system login class ABC1 permissions view view-configuration 将用户账号分配到相应的用户级别：set system login user abc1 class read-onlyset system login user abc2 class ABC1set system login user abc3 c

7、lass super-user2、补充操作说明（1）、ABC1是手工创建的组，该组具有的权限：查看设备运行状态（如接口状态、设备硬件状态、路由状态等），并且可以查看设备的配置；（2）、read-only组具有的权限：查看设备运行状态，但不能查看设备的配置；（3）、super-user是超级用户组，具有的权限：所有权限；（4）、read-only和super-user是路由器已经创建的组，不需要手工创建；（5）、abc1、abc2、abc3是不同的用户，它们分别分配到相应的用户级别。回退方案：还原系统配置文件判断依据：使用show configuration system login 查看当前配

8、置实施风险：高重要等级：1.2. 口令1.2.1. SHG-Juniper-01-02-01编号：SHG-Juniper-01-02-01名称：提高口令强度实施目的：对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。问题影响：增加密码被暴力破解的成功率系统当前状态：使用show configuration system login 查看当前配置实施方案：1、参考配置操作set system login user abc1 authentication plain-text-password 2、补充操作说明（1）、输入指令回车后，将两次提

9、示输入新口令（New password:和Retype new password:）。（2）、口令要求：长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。回退方案：还原系统配置文件判断依据：使用show configuration system login 查看当前配置实施风险：低重要等级：1.2.2. SHG-Juniper-01-02-02编号：SHG-Juniper-01-02-02名称：根据用户的业务需要配置其所需的最小权限实施目的：在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。问题影响：越权使用，非法访问。系统当前状态：使用show config

10、uration system login 查看当前配置实施方案：（1）、用show configuration system login class ABC1命令查看配置（2）、用show configuration system login class ABC2命令查看配置（3）、在终端上用telnet方式登录路由器,输入用户名abc1和密码 成功登录路由器后，用configure命令进入配置模式。 使用以下命令检测： set routing-可选ions static set interfaces set chassis fpc 使用其它set命令（4）、在终端上用telnet方式登录路由

11、器,输入用户名abc2和密码成功登录路由器后，用configure命令进入配置模式。使用以下命令检测：set policy-可选ions set protocols set routing-instances set routing-可选ions 使用其它set命令（5）、在终端上用telnet方式登录路由器,输入用户名abc3和密码成功登录路由器后，用configure命令进入配置模式。使用set命令以及其它命令检测。回退方案：使用show configuration system login 查看当前配置。还原系统配置文件。判断依据：（1）、账号abc1属于组ABC1，该组只能配置rout

12、ing-可选ions static、interfaces、 Chassis fpc项里的内容。不能做其它未授权的配置；（2）、账号abc2属于组ABC2，该组只能配置关于路由的所有配置，包括routing-可选ions、protocols、policy-可选ions、routing-instances等，不能做其它未授权的配置；（3）、账号abc3属于组super-user，拥有全部配置权限。备注：创建用户级别，即创建用户的配置权限：set system login class ABC1 permissions configureset system login class ABC1 allo

13、w-configuration routing-可选ions static|interfaces|chassis fpc set system login class ABC2 permissions configure routing-control 将用户账号分配到相应的用户级别：set system login user abc1 class ABC1set system login user abc2 class ABC2set system login user abc3 class super-user2、补充操作说明（1）、ABC1组具有的权限：可配置interfaces，可配置

14、routing-可选ions中的static，可配置chassis中的fpc；（2）、ABC2组具有的权限：可配置有关于路由的所有配置，包括routing-可选ions、protocols、policy-可选ions、routing-instances等；（3）、allow-configuration参数是以等级来限制，可以限制各个等级的配置，可以细化到各个小等级；（4）、permissions参数是以功能来限制，限制的范围较大；（5）、allow-commands参数是以具体的指令来限制，allow-comands参数需要设定具体指令,不建议使用。实施风险：低重要等级：1.2.3. SHG-

15、Juniper-01-02-03编号：SHG-Juniper-01-02-03名称：提高ROOT用户口令强度实施目的：修改root密码。root的默认密码是空，修改root密码，避免非管理员使用root账号登录。问题影响：增加密码被暴力破解的成功率系统当前状态：使用show configuration system login 查看当前配置实施方案：1、参考配置操作（1）、用show configuration system login命令查看配置是否正确；（2）、通过console口方式登录路由器,输入root用户名和密码；（3）、通过console口方式登录路由器，输入root用户和空密码

16、。2、补充操作说明（1）、输入指令回车后，将两次提示输入新口令（New password:和Retype new password:）。（2）、口令要求：长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。回退方案：还原系统配置文件判断依据：（1）、输入root用户和正确密码可以正常登录路由器；（2）、输入root用户和空密码无法登录路由器。实施风险：低重要等级：1.3. 认证1.3.1. SHG-Juniper-01-03-01编号：SHG-Juniper-01-03-01名称：设置认证系统联动实施目的：设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。

17、问题影响：密码泄露。系统当前状态：使用show configuration system login查看当前配置 并查看Radius服务器配置实施方案：1、参考配置操作set system authentication-order radiusset system authentication-order passwordset system radius-server 10.1.1.1set system radius-server 10.1.1.2set system radius-server 10.1.1.1 port 1645set system radius-server 10.1

18、.1.2 port 1645set system radius-server 10.1.1.1 secret abc123set system radius-server 10.1.1.2 secret abc1232、补充操作说明（1）、配置认证方式，可通过radius和本地认证；（2）、10.1.1.1和10.1.1.2是radius认证服务器的IP地址，建议建立两个radius认证服务器作为互备；（3）、port 1645是radius认证开启的端口号，可根据本地radius认证服务器开启的端口号进行配置；（4）、abc123是与radius认证系统建立连接所设定的密码，建议：与radi

19、us认证服务器建立连接时，使用密码认证建立连接。回退方案：还原系统配置文件判断依据：使用show configuration system login查看当前配置实施风险：低重要等级：2. 日志配置本部分对JUNIPER设备的日志功能提出建议，主要加强设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。2.1.

20、1. SHG-Juniper-02-01-01编号：SHG-Juniper-02-01-01名称：开启系统日志功能实施目的：设备应配置日志功能，记录用户对设备的操作，比如：账号创建、删除和权限修改，口令修改，读取和修改设备配置，涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。问题影响：无法对用户的登陆进行日志记录。系统当前状态：使用show configuration system syslog查看当前配置实施方案：1、参考配置操作set system syslog file author.log authorization info 2、补充操作说明（1）、autho

21、r.log是记录登录信息的log文件，该文件名称可手工定义；（2）、author.log文件保存在juniper路由器的存储上。回退方案：还原系统配置文件判断依据：使用show configuration system syslog查看当前配置实施风险：低重要等级：2.1.2. SHG-Juniper-02-01-02编号：SHG-Juniper-02-01-02名称：开启系统安全日志功能实施目的：设备应配置日志功能，记录对与设备相关的安全事件，比如：记录路由协议事件和错误。问题影响：无法记录路由协议事件和错误。系统当前状态：使用show configuration查看当前配置实施方案：1、参

22、考配置操作set system syslog file daemon.log daemon warningset system syslog file firewall.log firewall warning2、补充操作说明（1）、daemon.log是记录路由协议事件的文件，该文件名称可手工定义；（2）、firewall.log是记录安全事件的文件，该文件名称可手工定义；（3）、daemon和firewall可定义有九个等级，建议将其设定为warning等级，即仅记录warning等级以上的安全事件。回退方案：还原系统配置文件判断依据：使用show configuration查看当前配置实

23、施风险：中重要等级：2.1.3. SHG-Juniper-02-01-03编号：SHG-Juniper-02-01-03名称：设置配置更改日志路径实施目的：设置系统的配置更改信息保存到单独的change.log文件内。问题影响：暴露系统日志。系统当前状态：使用show configuration system syslog查看当前配置实施方案：1、参考配置操作set system syslog file change.log change-log info 2、补充操作说明（1）、change.log是记录配置更改的文件，该文件名称可手工定义；（2）、change.log文件保存在junipe

24、r路由器的存储上。回退方案：还原系统配置文件判断依据：使用show configuration system syslog查看当前配置实施风险：中重要等级：2.1.4. SHG-Juniper-02-01-04编号：SHG-Juniper-02-01-04名称：设置配置远程日志功能实施目的：设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。问题影响：丢失重要日志。系统当前状态：使用show configuration system syslog命令查看配置实施方案：set system syslog host 10.1.1.1 any noticeset system syslo

25、g host 10.1.1.1 log-prefix Router1set system syslog host 10.1.1.2 any noticeset system syslog host 10.1.1.2 log-prefix Router2补充操作说明（1）、10.1.1.1和10.1.1.2是远程日志服务器的IP地址，建议建设两个远程日志服务器作为互备；（2）、syslog有九个等级的记录信息，建议将notice等级以上的信息传送到远程日志服务器；（3）、Router1为路由器的主机名称。回退方案：还原系统配置文件判断依据：（1）、使用show configuration sys

26、tem syslog命令查看配置；（2）、登录远程日志服务器查看日志。实施风险：中重要等级：2.1.5. SHG-Juniper-02-01-05编号：SHG-Juniper-02-01-05名称：设置系统的配置更改信息实施目的：设置系统的配置更改信息保存到单独的change.log文件内问题影响：丢失重要日志。系统当前状态：使用show configuration system syslog命令查看配置实施方案：（1）、使用show configuration system syslog命令查看配置；（2）、在终端上以telnet方式登录路由器,输入用户名密码；（3）、进行创建、删除帐号和修

27、改用户密码等修改设备配置操作；（4）、用show log change.log命令查看日志。回退方案：使用show configuration system syslog命令查看配置，恢复默认配置判断依据：可以在change.log中查看到用户的操作内容、操作时间实施风险：中重要等级：2.1.6. SHG-Juniper-02-01-06编号：SHG-Juniper-02-01-06名称：保证日志功能记录的时间的准确性。实施目的：开启NTP服务，保证日志功能记录的时间的准确性。路由器与NTP SERVER之间开启认证功能。问题影响：丢失重要日志。系统当前状态：使用show configurat

28、ion system syslog命令查看配置实施方案：（1）、使用show configuration system ntp命令查看配置；（2）、使用show system uptime命令查看路由器时间与并与北京时间对比；（3）、使用show ntp associations查看路由器是否与NTP服务器同步；（4）、使用show ntp status查看路由器时间同步状态。回退方案：使用show configuration system syslog命令查看配置，恢复默认配置判断依据：（1）、用show ntp associations命令查看，信息如下面所示: remote refid

29、st t when poll =* ROUTER1 10.1.1.1 2 u 641 1024 + ROUTER2 10.1.1.2 2 u 713 1024 reach delay offset jitter = 377 0.964 -24.126 0.067 377 4.490 -12.013 0.457 ROUTER1前面的(*)号表示ROUTER1是已和路由器时间同步的NTP服务器,(+)号为备用的NTP服务器.（2）、有show ntp status命令查看，信息如下:status=0644 leap_none, sync_ntp, 4 events, event_peer/stra

30、t_chg,version=ntpd 4.1.0-a Wed Oct 5 18:44:40 GMT 2005 (1),processor=i386, system=JUNOS7.3R2.7, leap=00, stratum=3,precision=-28, rootdelay=9.814, rootdispersion=102.250, peer=42484,refid=ROUTER,reftime=ca227da4.4b3ffac1 Wed, Jun 20 2007 0:07:00.293, poll=10,clock=ca2280ce.02849cb2 Wed, Jun 20 2007

31、0:20:30.009, state=4,offset=-17.830, frequency=85.438, jitter=28.377, stability=0.048 如上面信息的第一句第二部分显示”sync_ntp”表示路由器时间已和NTP服务器同步,如果显示”sync_unspec”即未同步.。实施风险：中重要等级：3. 通信协议3.1.1. SHG-Juniper-03-01-01编号：SHG-Juniper-03-01-01名称：OSPF协议安全实施目的：对于非点到点的OSPF协议配置，应配置MD5加密认证，通过MD5加密认证建立neighbor问题影响：恶意攻击系统当前状态：使用

32、show configuration protocols rsvp查看当前配置实施方案：1）、使用show configuration命令查看配置2）、使用show ospf neighbor命令查看OSPF邻居状态3）、使用show route protocol ospf brief命令查看OSPF路由表4）、使用ping检查路由连通性回退方案：还原系统配置文件判断依据：1）、OSPF邻居处于full状态为正常,能学到邻居的路由为正常2）、路由能连通为正常实施风险：低重要等级：3.1.2. SHG-Juniper-03-01-02编号：SHG-Juniper-03-01-02名称：启用带加密

33、方式的身份验证实施目的：配置动态路由协议（BGP/ MP-BGP /OSPF等）时必须启用带加密方式的身份验证功能，相邻路由器只有在身份验证通过后，才能互相通告路由信息。问题影响：非法访问，系统当前状态：使用show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor查看当前配置实施方案：（1）、使用show configuration protocol命令查看配置；（2）、使用show bgp neighbor命令查看BGP邻居状态；（3）、使用show rout

34、e protocol bgp brief命令查看BGP路由表；（4）、使用show ospf neighbor命令查看OSPF邻居状态；（5）、使用show route protocol ospf brief命令查看OSPF路由表；（6）、使用ping命令检查路由连通性。回退方案：使用show configuration protocol、show bgp neighbor、 show route protocol bgp brief、show ospf neighbor查看当前配置，还原给原始状态。判断依据：1）、确定配置已经启用加密的身份认证；2）、BGP邻居处于establish状态为正

35、常，能学到邻居的路由为正常；3）、OSPF邻居处于full状态为正常,能学到邻居的路由为正常；4）、路由能连通为正常。实施风险：中重要等级：3.1.3. SHG-Juniper-03-01-03编号：SHG-Juniper-03-01-03名称：过滤所有和业务不相关的流量实施目的：对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。问题影响：恶意攻击。系统当前状态：使用show configuration firewall filter abc查看配置实施方案：（1）、使用s

36、how configuration firewall filter abc查看配置（2）、将终端的IP地址设为: 10.1.1.1（3）、在终端上安装Nmap端口扫描工具(本例基于windowsXP2系统)（4）、在DOS下输入：nmap -sS -g 445 10.1.2.1 p 145 这指令的意思是以源端口为445来访问主机IP为10.1.2.1的TCP145端口。（5）、用namp访问其它非业务端口，如访问80端口，在DOS 下输入：nmap sS 10.1.2.1 p 80 这指令的意思是以任何端口访问10.1.2.1的TCP80端口（6）、运行真实业务测试业务流量和非业务流量。回退

37、方案：还原系统配置文件判断依据：使用show configuration firewall filter abc查看配置，还原为原始状态。实施风险：中重要等级：3.1.4. SHG-Juniper-03-01-04编号：SHG-Juniper-03-01-04名称：配置MP-BGP的MD5加密认实施目的：配置MP-BGP路由协议，应配置MD5加密认证，通过MD5加密认证建立peer。问题影响：信息泄露。系统当前状态：使用show configuration protocol bgp查看当前配置实施方案：1、参考配置操作set protocols bgp group abc neighbor 1

38、0.1.1.1 authentication-key abc1232、补充操作说明1）、abc为group的名称，可自行设定；2）、10.1.1.1为对端peer的IP地址，可根据需求设定；3）、abc123为MD5加密认证的认证密码，该密码和对端peer的密码要一致。回退方案：还原系统配置文件判断依据：使用show configuration protocol bgp查看当前配置实施风险：中重要等级：3.1.5. SHG-Juniper-03-01-05编号：SHG-Juniper-03-01-05名称：设置SNMP访问安全限制实施目的：设置SNMP访问安全限制，只允许特定主机通过SNMP访

39、问网络设备。问题影响：非法登陆。系统当前状态：使用show configuration snmp查看当前配置实施方案：1、参考配置操作set snmp community abcd123 clients 10.1.1.1/32set snmp community abcd123 clients 10.1.2.1/32set snmp community abcd123 clients ready-only2、补充操作说明1）、abcd123是communtity字符串，可自行定义，但必须和client的主机一致；2）、10.1.1.1和10.1.2.1是主机IP地址，即允许10.1.1.1.和

40、10.1.2.1主机通过SNMP访问网络设备；3）、未在client列表中的主机，不允许通过SNMP访问网络设备。4）、设置主机访问网络设备具有读的权限，可根据需求设置为具有读写的权限（read-write）。回退方案：还原系统配置文件判断依据：使用show configuration snmp查看当前配置实施风险：高重要等级：3.1.6. SHG-Juniper-03-01-06编号：SHG-Juniper-03-01-06名称：RSVP标签分发协议实施目的：启用RSVP标签分发协议时，打开RSVP协议认证功能，如MD5加密，确保与可信方进行RSVP协议交互。问题影响：非法登陆。系统当前状态

41、：使用show configuration protocols rsvp查看当前配置实施方案：1、参考配置操作set protocols rsvp interface fe-0/0/0.0 authentication-key abc1232、补充操作说明abc123为MD5加密密码。回退方案：还原系统配置文件判断依据：各邻居状态为UP正常各RSVP session状为 UP正常实施风险：中重要等级：4. 设备其他安全要求4.1.1. SHG-Juniper-04-01-01编号：SHG-Juniper-04-01-01名称：开启配置定期备份实施目的：开启配置文件定期备份功能，定期备份配置文件

42、。问题影响：容易丢失数据。系统当前状态：使用show configuration system archival查看当前配置实施方案：1、参考配置操作set system archival configuration transfer-interval 2880set system archival configuration archive-sites ftp:/juniper10.1.1.1 password abc123set system archival configuration archive-sites ftp:/juniper10.1.1.2 password abc1232

43、、补充操作说明1）、2880是时间间隔，单位是分钟，时间间隔可设置的范围为152880;2）、juniper是ftp的用户名称，10.1.1.1和10.1.1.2是ftp服务器的IP地址，abc123是登录frp服务器的密码；建议设置两个IP地址作为互备；3）、定期备份仅能通过ftp服务备份；4）、通过定期备份配置文件，时间间隔较短，即备份比较频繁，建议采用transfer-on-commit 方式，即只要执行commit指令，配置将自动备份到ftp服务器，指令为set system archival configuration transfer-on-commit；5）、transfer-i

44、nterval和transfer-on-commit 方式不能共存。回退方案：还原系统配置文件判断依据：使用show configuration system archival查看当前配置实施风险：高重要等级：4.1.2. SHG-Juniper-04-01-02编号：SHG-Juniper-04-01-02名称：关闭不必要服务实施目的：关闭网络设备不必要的服务，比如FTP、TFTP服务等。问题影响：对系统造成不稳定。系统当前状态：使用show configuration system services查看当前配置实施方案：1、参考配置操作delete system services ftp2、补充操作说明默认是关闭FTP服务回退方案：还原系统配置文件判断依据：使用show configuration system services查看当前配置实施风险：低重要等级：4.1.3. SHG-Juniper-04-01-03编号：SHG