华为交换机安全维护指南（二）

华为交换机安全维护指南（二）

华为交换机安全维护指南（一） http://www.jiushuku.net/post-34.html

3.5、Telnet安全策略介绍

华为交换机Telnet Server支持密码认证、AAA认证和不认证三种方式。当配置了认证后，只有通过认证的用户才能登录设备，进入命令行界面。为了保证更好的安全性，建议不要使用不认证方式。

当开启Telnet Server服务器时，设备将开启Socket服务，易被攻击者扫描。当不使用Telnet Server时，可以关闭Telnet Server。

Telnet Server 23号端口属于知名端口号，易被扫描和攻击。可以修改Telent Server的端口为私有端口，减小被扫描攻击的概率。

在用户界面视图（user-interface）可以配置各个VTY通道的ACL过滤规则，通过ACL控制允许登录的客户端IP。

可以配置允许客户端连接的源接口，在系统视图下，支持通过Loopback口为允许客户端接入的源接口。

3.6、Telnet攻击方法介绍

3.6.1、端口扫描

针对设备网端的网络扫描和侦听，尝试获取用户交互报文，由于Telnet是明文交互，设备的信息会被窃取。

3.6.2、暴力破解密码

攻击者在侦听到Telnet端口后，尝试进行连接，设备提示认证，则其会进行暴力破解尝试通过认证，获取访问权限。

3.6.3、拒绝服务式攻击

Telnet Server支持的用户数有限，在用户登录达到上限后，其他用户将无法登录。这个可能是正常使用造成，也可能是攻击者造成。

3.7、Telnet配置维护方法

3.7.1、配置认证方式为AAA认证。验证方式配置为AAA验证时，必须指定本地用户的接入类型。

执行命令system-view，进入系统视图。

执行命令aaa，进入AAA视图。

执行命令local-user user-name password irreversible-cipher password，配置本地用户名和密码。

执行命令local-user user-name service-type Telnet，配置本地用户的接入类型为Telnet。

执行命令quit，退出AAA视图。

执行命令user-interface vty first-ui-number [ last-ui-number ]，进入VTY用户界面视图。

执行命令authentication-mode aaa，设置用户验证方式为AAA验证。

3.7.2、配置关闭Telnet服务（Telnet服务默认开启）

执行命令system-view，进入系统视图。

执行命令undo telnet server enable，关闭Telnet服务。

3.7.3、配置变更端口号为53555

执行命令system-view，进入系统视图。

执行命令telnet server port 53555，调整端口号为53555。

3.7.4、配置通过ACL设置呼入呼出权限限制

执行命令system-view，进入系统视图。

执行命令acl [ number ] acl-number [ match-order { auto | config } ]，使用编号创建一个数字型的高级ACL，并进入高级ACL视图。

执行命令rule [ rule-id ] { deny | permit } protocol [ destination { destination-ip-address destination-wildcard | any } | fragment | source { source-ip-address source-wildcard | any } | time-range time-name | dscp dscp ]，配置ACL规则。

执行命令quit，退出ACL视图。

执行命令user-interface vty first-ui-number [ last-ui-number ]，进入VTY用户界面视图。

执行命令acl acl-number { inbound | outbound }，配置VTY类型用户界面的呼入呼出限制。

当需要限制某个地址或地址段的用户登录到交换机时，使用inbound。当需要限制已经登录的用户登录到其它交换机时，使用outbound。

3.7.5、支持配置允许客户端连接的源接口。

执行命令telnet server-source -i loopback interface-number，配置允许客户端连接的源接口。源接口必须是Loopback口。

3.8、Telnet配置维护建议

单独规划设备管理的网络IP，防止设备被扫描和窃听。修改Telent Server端口号。配置ACL策略，限定Telnet允许访问的IP。建议使用SSH替换Telnet，提供安全的管理通道。

3.9、SSH安全策略介绍

SSH Server支持密码认证和Public-Key认证，只有通过认证的用户才能登录设备，进入命令行界面。

当开启SSH Server服务器时，设备将开启Socket服务，易被攻击者扫描。当不使用SSH Server时，可以关闭SSH Server。

SSH Server 22号端口属于知名端口号，易被扫描和攻击。可以修改SSH Server的端口为私有端口，减小被扫描攻击的概率。

在用户界面视图（user-interface）可以配置各个VTY通道的ACL过滤规则，通过ACL控制允许登录的客户端IP。

支持配置SSH服务器源端口。缺省情况下，SSH服务器端接收来自所有接口登录连接请求，系统安全性比较低。为了提高系统安全性，可通过本命令指定SSH服务器端的源接口，增加登录受限功能，仅授权客户可以登录服务器。

成功指定SSH服务器端的源接口后，系统只允许SSH用户通过指定的源接口登录服务器，通过其他接口登录的SSH用户都将被拒绝。但对于已登录到服务器的SSH用户不会产生影响，只限制后续登录的SSH用户。

3.10、SSH安全策略介绍

SSH Server支持密码认证和Public-Key认证，只有通过认证的用户才能登录设备，进入命令行界面。当开启SSH Server服务器时，设备将开启Socket获取，易被攻击者扫描。当不使用SSH Server时，可以关闭SSH Server和端口号获取功能。

SSH Server 22号端口属于知名端口号，易被扫描和攻击。可以修改SSH Server的端口为私有端口，减小被扫描攻击的概率。在用户界面视图（user-interface）可以配置各个VTY通道的ACL过滤规则，通过ACL控制允许登录SSH的客户端IP。

3.11、SSH攻击方法介绍

暴力破解密码，攻击者在获取到SSH端口后，尝试进行连接，设备提示认证，则其会进行暴力破解尝试通过认证，获取访问权限。拒绝服务式攻击，SSH Server支持的用户数有限，在用户登录达到上限后，其他用户将无法登录。这个可能是正常使用造成，也可能是攻击者造成。

3.12、SSH配置维护方法

3.12.1、配置关闭SSH服务（SSH服务默认开启）

执行命令system-view，进入系统视图。

执行命令undo stelnet server enable，关闭STelnet服务。

3.12.2、配置变更端口号为53555

执行命令system-view，进入系统视图。

执行命令ssh server port 53555，调整端口号为53555。

3.12.3、配置通过ACL设置呼入呼出权限限

执行命令system-view，进入系统视图。

执行命令acl [ number ] acl-number [ match-order { auto | config } ]，使用编号创建一个数字型的高级ACL，并进入高级ACL视图。

执行命令rule [ rule-id ] { deny | permit } protocol [ destination { destination-ip-address destination-wildcard | any } | fragment | source { source-ip-address source-wildcard | any } | time-range time-name | dscp dscp ]，配置ACL规则。

执行命令quit，退出ACL视图。

执行命令user-interface vty first-ui-number [ last-ui-number ]，进入VTY用户界面视图。

执行命令acl acl-number { inbound | outbound }，配置VTY类型用户界面的呼入呼出限制。

当需要限制某个地址或地址段的用户登录到路由器时，使用inbound。当需要限制已经登录的用户登录到其它路由器时，使用outbound。

3.13、SSH配置维护建议

单独规划设备管理的网络IP，防止设备被扫描和窃听。修改SSH Server端口号。配置ACL策略，限定SSH允许访问的IP。提供对SSH用户增加Public-key的认证。

3.14、HTTP安全策略介绍

Web Server支持AAA认证，只有通过认证的用户才能登录设备，进入控制页面。用户在进行登录时，要求输入用户名、密码和随机生成的验证码，减小了帐号被破解的概率。

当开启Web Server服务器时，设备将开启Socket获取，易被攻击者扫描。当不使用Web Server时，可以关闭Web Server和端口号获取功能。

Web Server 80号端口属于知名端口号，易被扫描和攻击。可以修改Web Server的端口为私有端口，减小被扫描攻击的概率。

在系统视图可以配置Web Server的ACL过滤规则，通过ACL控制允许HTTP登录的客户端IP。

支持HTTP over SSL提供安全的传输服务，防止传输的数据被窃听获取。可以配置HTTP Server支持的源接口，仅允许用户通过此接口的IP访问设备，限制访问范围，提高设备安全性。

3.15、HTTP配置维护方法

3.15.1、关闭HTTP服务

[Huawei] undo http server enable

Warning: The operation will stop HTTP service. Continue? [Y/N]:y

3.15.2、修改服务器端口号

[Huawei]  http server port 51100

Warning: This command closes the configurations of all online users. Continue? (y/n)[n]:y

3.15.3、配置ACL

[Huawei] acl 2000

[Huawei-acl-basic-2000] display this

#

acl number 2000

 rule 15 permit source 100.1.1.1 0

 rule 20 deny

#

return

[Huawei-acl-basic-2000]

[Huawei-acl-basic-2000] quit

[Huawei] http acl 2000

3.15.4、配置HTTP over SSL

# 配置SSL策略使用PKI缺省域default。

[Huawei] ssl policy userserver type server

[Huawei-ssl-policy-userserver] pki-realm default

# 配置HTTPS服务器关联的SSL策略为userserver。

[Huawei] http secure-server ssl-policy userserver

# 使能设备的HTTPS服务器功能。

[Huawei] http secure-server enable

Warning: The HTTP server has not configured with SSL policy. Continue starting HTTP secure server? [Y/N]: y

  This operation will take several minutes, please wait.........................................................

Info: Succeeded in starting the HTTPS server

[Huawei] quit

3.16、HTTP配置维护建议

当不需要使用HTTP服务器时，将该服务关闭。修改HTTP服务器的端口号。配置ACL访问控制规则。

       华为交换机安全维护指南（三） http://www.jiushuku.net/post-37.html