国家 / 地区

H3C无线控制器安全加固手册(V7)-6W100

手册下载

H3C无线控制器安全加固手册(V7)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2019 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。


 

1 本书约定·· 1

1.1 读者对象·· 1

1.2 接口编号约定·· 1

1.3 特别申明·· 1

2 概述·· 1

2.1 安全威胁·· 1

2.1.1 管理平面和控制平面的安全威胁·· 1

2.1.2 转发平面的安全威胁·· 2

2.2 安全体系架构·· 2

2.3 安全加固的基本原则·· 4

3 管理平面安全加固·· 4

3.1 登录及访问设备的安全·· 4

3.1.1 通过Console/USB口登录设备·· 4

3.1.2 通过Stelnet登录设备·· 5

3.1.3 通过SNMP访问设备·· 7

3.1.4 通过Web登录设备·· 9

3.1.5 文件访问安全·· 9

3.2 登录用户及权限管理·· 11

3.2.1 管理登录用户权限(RBAC·· 11

3.2.2 AAA(认证、授权、计费)·· 11

3.2.3 命令行授权·· 11

3.2.4 Password Control 12

3.3 密码设置安全·· 13

3.4 设备管理安全·· 13

3.4.1 配置密码恢复功能·· 13

3.4.2 配置内存告警门限·· 13

3.5 配置文件加密·· 14

3.6 安全日志·· 15

4 控制平面安全加固·· 16

4.1 二层协议安全·· 16

4.1.1 生成树保护功能·· 16

4.2 ARP攻击防御·· 17

4.2.1 MAC为组播的ARP表项检查功能·· 17

4.2.2 泛洪类ARP报文攻击防范·· 17

4.2.3 防御ARP欺骗类攻击功能·· 18

4.3 ND攻击防御·· 22

4.3.1 ND协议报文源MAC地址一致性检查功能·· 22

4.4 接入业务安全·· 23

4.4.1 PPP· 23

4.4.2 PPPoE· 26

4.4.3 L2TP· 28

4.4.4 802.1X· 33

4.4.5 端口安全·· 33

4.4.6 Portal 35

4.5 DHCP安全·· 37

4.5.1 防止DHCP饿死攻击功能·· 37

4.5.2 DHCP用户类白名单功能·· 38

4.5.3 DHCP中继用户地址表项管理功能·· 38

4.5.4 DHCP中继支持代理功能·· 39

4.5.5 DHCP Snooping· 40

4.6 DNS安全·· 40

4.7 ICMP安全·· 41

4.8 TCP安全·· 41

4.8.1 SYN Cookie功能·· 41

4.9 路由协议安全·· 42

4.9.1 RIP/RIPng· 42

4.10 组播安全·· 43

4.10.1 IGMP Snooping/MLD Snooping· 43

4.11 控制平面限速及丢包告警·· 44

4.11.1 协议报文限速·· 44

4.12 WLAN管理与接入安全·· 45

4.12.1 CAPWAP隧道加密·· 45

4.12.2 WLAN客户端接入控制功能·· 46

4.12.3 WLAN用户接入认证·· 47

4.12.4 WLAN用户安全·· 48

4.12.5 WAPI 49

4.12.6 WIPS· 49

4.12.7 分层AC管理权限划分·· 49

4.12.8 WLAN DRS· 54

4.12.9 报文监控·· 54

4.13 时间管理协议报文认证·· 54

4.13.1 NTP服务的访问控制权限·· 54

4.13.2 NTP报文认证·· 55

5 转发平面安全加固·· 60

5.1 安全隔离·· 60

5.1.1 端口隔离·· 60

5.1.2 用户隔离·· 60

5.2 广播、组播、未知单播抑制·· 60

5.2.1 风暴抑制和流量阈值控制·· 60

5.2.2 丢弃未知组播报文·· 61

5.3 MAC地址安全管理·· 62

5.3.1 黑洞MAC地址·· 62

5.3.2 关闭MAC地址学习·· 62

5.3.3 控制MAC地址学习·· 62

5.3.4 配置接口的MAC地址学习优先级·· 63

5.3.5 MAC地址迁移上报和抑制功能·· 63

5.4 数据流保护·· 64

5.4.1 IPsec· 64

5.4.2 GRE报文校验·· 64

5.5 报文&流量过滤·· 64

5.5.1 ACL· 64

5.5.2 流量过滤·· 65

5.5.3 IP Source Guard· 66

5.5.4 ASPF· 66

5.6 连接数限制·· 67

5.7 攻击检测与防范·· 67

5.7.1 DoS攻击检测与防范·· 67

 


1 本书约定

1.1  读者对象

本手册主要适用于如下工程师:

·            网络规划人员

·            现场技术支持与维护人员

·            负责网络配置和维护的网络管理员

1.2  接口编号约定

本手册中出现的接口编号仅作示例,并不代表设备上的实际接口编号。实际使用过程中,请以设备上存在的接口编号为准。

1.3  特别申明

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。

2 概述

本文档针对基于Comware系统的设备,指导用户从管理平面、控制平面和转发平面对设备进行加固维护。

2.1  安全威胁

2.1.1  管理平面和控制平面的安全威胁

设备的管理平面给网络管理人员提供TelnetSSHWebSNMP等方式来管理设备;设备的控制平面用于控制和管理所有网络协议的运行,为转发平面提供数据转发所必须的各种网络信息和转发查询表项。

由于网络设备之间或网络设备与其它网络实体之间的通信可能会穿过各种各样的中间系统,而中间系统的可信性以及对端身份的真实性会给设备的管理平面和控制平面带来各种安全威胁。另外,如果设备上的安全策略配置不当,也会威胁到设备的安全。

设备的管理平面和控制平面常见的安全威胁主要包括以下几类:

·            非授权的访问

攻击者通过伪装身份、重放管理会话或者中间人攻击来获取管理员权限,这会危害到设备的安全以及设备所处网络的安全。建议管理员使用强身份认证,以及支持防重放、信息完整性验证的安全通道来访问设备。同时,建议在设备上启用操作日志、安全日志功能对管理行为进行记录和审计。

·            弱密钥

弱密钥很容易被破解。设备上支持启用密码策略来防止用户配置弱密钥。

·            敏感信息泄漏

由于网络节点间的通信所经过的中间系统的可信性无法保障,通信内容可能会被窥探;设备存储介质中的信息也可能在介质转移、替换的过程中存在信息泄露的风险。为了防止信息泄露,设备的管理通道需要使用安全协议保护,例如SSHIPsecSFTPHTTPS等,禁止使用TelnetFTPTFTPHTTP等没有保护的通道进行通信。另外,建议使用配置文件加密功能,以及对从现网替换下来且不再使用的存储介质进行格式化。

·            消息篡改和伪造

报文在网络中传输的过程中,可能会被恶意篡改,或者被攻击者捕获之后重放,攻击者借此向设备中注入恶意的数据,或直接破坏设备的合法数据。例如,通过更改路由协议报文的数据来破坏或改变设备的路由表,使用户的流量无法正常转发。为防止该类型攻击,可使用带完整性验证,防重放等功能的安全协议对数据进行保护。

·            管理员配置失误

管理员配置失误会造成设备的访问控制策略、权限控制策略的配置错误,或者造成授权不当的结果。为了及早发现此类问题,可以通过实施前对配置进行审核,实施后定期观察实施效果、查看操作日志和系统运行日志来发现配置中的错误。

2.1.2  转发平面的安全威胁

设备的转发平面需要处理各端口上大量不同类型数据流量的转发任务。如果数据流量不合法,或者转发平面处理资源被挤占,将会影响设备对正常数据流量的处理效率,甚至导致非法流量向网络中扩散。常见的转发平面威胁如下:

·            畸形报文攻击

畸形报文攻击利用网络设备处理报文的漏洞使设备出现异常,使设备无法提供正常服务。可以打开攻击检测与防范中相应攻击的开关来防止此类攻击。

·            身份仿冒

网络中的很多攻击行为都伴随着身份仿冒,而网络的开放性给身份识别带来了困难,尤其是在转发平面。转发平面提供了一些基本的方法可在一定程度上防止身份仿冒,比如IP Source GuardSYN CookieARP/ND检测等。

·            消息篡改和伪造

消息的完整性至关重要,虚假的数据会使网络故障、甚至瘫痪。可以使用IPsec等安全协议来保护网络数据,提供完整性、私密性、身份验证等功能。

2.2  安全体系架构

Comware系统的安全体系架构如2-1所示:

图2-1 Comware系统安全体系架构图

 

设备基于以上安全体系架构在不同层面实施相应的安全防护,具体过程如下:

(1)       对于硬件转发类设备,收到目的地址为本机的报文并上送CPU处理前,会通过以下两种通道机制来保证上层的控制平面/管理平面不会受到DoS等大流量的攻击:

¡  白名单:对于已经建立连接,并确认来源是可靠的报文,设备会下发白名单保证其优先上送CPU

¡  优先级队列:对于由控制平面、管理平面处理的应用流量,在设备没有与其建立连接之前,因不能匹配到白名单,会进入优先级队列,根据不同的应用优先级处理。

(2)       对于由转发平面转发的报文,设备提供了一系列的措施来保证设备的安全和网络用户的安全:

¡  畸形报文检测

¡  包过滤

¡  防仿冒,例如IP Source Guard

¡  资源占用限制:包括连接数限制、ARP/ND表项限制等等。

¡  数据保护协议:IPsec等,为本机和用户数据提供数据私密性、完整性、放重放等安全保护。

(3)       对于目的地址为本机的业务报文,可以采用以下安全加固策略:

a.   通过控制平面的QoS策略对上送控制平面/管理平面的流量进行限制,例如限制带宽等。另外,各协议本身(TCPICMP/ICMPv6ARP/ND)也有相应的防护措施。

b.   在控制平面/管理平面,各业务模块采用相应的安全协议或安全选项,对业务报文提供更好的安全服务。

2.3  安全加固的基本原则

虽然设备可提供丰富的安全加固策略,但对于设备而言,并不是实施的安全加固策略越多效果越好。每一项安全加固措施对网络、业务都有或多或少的影响,比如会影响设备性能、内存资源、部署成本、用户使用习惯。所以,需要根据网络和业务的特点来综合评估可能存在的风险和威胁,并在充分了解到各类安全加固策略可能对网络和业务产生的影响后作出恰当的选择。

安全加固策略选择的普遍原则如下:

·            根据安全风险和威胁发生的可能性由大到小的顺序,依次考虑相应的安全加固策略;

·            按照安全加固策略对网络和业务影响程度由小到大的顺序,逐步实施各策略,并观察效果;

·            每一次安全加固策略实施后要观察效果,并根据效果调整当前策略以及选择后续的加固策略;

·            遵循业务优先原则,将安全加固策略对业务的影响降到最低,或者将其控制在可接受的范围内。

3 管理平面安全加固

3.1  登录及访问设备的安全

3.1.1  通过Console/USB口登录设备

【安全威胁】

Console/USB口均属于物理接口,通过它们进行登录是登录设备的基本方式之一。

缺省情况下,通过Console口登录时认证方式为none,可直接登录,登录成功之后用户角色为network-admin。通过USB口登录时认证方式为none,可直接登录,登录成功之后用户角色为network-admin

如果攻击者获取了Console/USB口的使用权限,在缺省情况下可以非常容易登录到设备上,获取到设备的管理权限。

【安全加固策略】

可以在用户线/用户线类视图下配置以下两种认证方式,提高通过Console/USB口登录设备的安全性:

·            password方式:表示下次使用该用户线登录时,需要输入密码。只有密码正确,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码。

·            scheme方式:表示下次使用该用户线登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。配置认证方式为scheme后,请妥善保存用户名及密码。

【注意事项】

改变Console/USB口登录的认证方式后,新认证方式对新登录的用户生效。

【配置举例】

·            通过Console口登录(仅以用户线视图为例

# Console用户线视图下设置认证方式为密码认证(password方式)

<Sysname> system-view

[Sysname] line console 0

[Sysname-line-console0] authentication-mode password

# 设置认证密码为明文Plat&0631!Plat&0631!仅为示例)。

[Sysname-line-console0] set authentication password simple Plat&0631!

# Console用户线视图下设置认证方式为AAA认证(scheme方式)

<Sysname> system-view

[Sysname] line console 0

[Sysname-line-console0] authentication-mode scheme

[Sysname-line-console0] quit

# ISP域视图下为login用户配置认证方法。

如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置RADIUSHWTACACSLDAP方案。相关配置的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。

·            通过USB口登录(仅以用户线视图为例

# USB用户线视图下设置认证方式为密码认证(password方式)

<Sysname> system-view

[Sysname] line usb 0

[Sysname-line-usb0] authentication-mode password

# 设置认证密码为明文Plat&0631!Plat&0631!仅为示例)

[Sysname-line-usb0] set authentication password simple Plat&0631!

# USB用户线视图下设置认证方式为AAA认证(scheme方式)

<Sysname> system-view

[Sysname] line usb 0

[Sysname-line-usb0] authentication-mode scheme

# ISP域视图下为login用户配置认证方法。

如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置RADIUSHWTACACSLDAP方案。相关配置的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。

3.1.2