回復(fù)“220619”獲取機(jī)翻版“網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南”4. 身份驗(yàn)證���、授權(quán)和記賬(AAA)
集中式AAA服務(wù)器提供了一種整合的機(jī)制來管理對(duì)設(shè)備的管理訪問��,并且由于憑據(jù)不直接存儲(chǔ)在設(shè)備上�����,因此創(chuàng)建的賬戶對(duì)于攻擊者來說更具入侵性��。正確配置這些服務(wù)器可為管理和監(jiān)視訪問提供權(quán)威源����,提高訪問控制的一致性��,減少配置維護(hù)���,并降低管理成本����。對(duì)于 Cisco IOS 設(shè)備�,應(yīng)首先使用具有以下配置示例命令將所有設(shè)備配置為使用現(xiàn)代 AAA 服務(wù):aaa
new-model 應(yīng)用上述配置可確保設(shè)備不會(huì)使用舊式身份驗(yàn)證和授權(quán)方法。 
4.1 實(shí)施集中式服務(wù)器所有設(shè)備都應(yīng)配置為使用集中式AAA服務(wù)器����。NSA建議至少實(shí)施兩臺(tái)AAA服務(wù)器以確?����?捎眯?����,并協(xié)助檢測(cè)和防止對(duì)手活動(dòng)����。如果一臺(tái)服務(wù)器由于計(jì)劃維護(hù)或其他原因而不可用���,其余服務(wù)器將繼續(xù)提供集中式AAA服務(wù)���。 服務(wù)器應(yīng)為: 配置為使用唯一且復(fù)雜的預(yù)共享密鑰對(duì)設(shè)備進(jìn)行身份驗(yàn)證,以確保只有授權(quán)設(shè)備才能使用AAA服務(wù)(請(qǐng)參閱 5.5 創(chuàng)建強(qiáng)密碼)��。 配置為使用相同的協(xié)議(例如��,TACACS+�����、RADIUS 或 LDAP) 來實(shí)現(xiàn)一致性�����,并在支持時(shí)使用加密傳輸(例如�����,RadSec��、Diameter�����、LDAPS 或 IPsec 封裝)���。 彼此同步���,以確保用戶憑據(jù)和訪問控制的一致性。
可以使用以下配置命令配置具有多個(gè) AAA 服務(wù)器的服務(wù)器組: aaa group server {tacacs+ | radius |
ldap}<GROUP_NAME>server-private<IP_ADDRESS_1>key <KEY_1>server-private<IP_ADDRESS_2> key <KEY_2>某些較舊的設(shè)備可能會(huì)在配置中使用關(guān)鍵字tacacs-server 和 radius-server �,這會(huì)阻止為每個(gè)服務(wù)器分配唯一的密鑰。 NSA 建議將這些行替換為上述配置格式����,并為每個(gè)服務(wù)器分配唯一的預(yù)共享密鑰���。如果攻擊者獲取了一臺(tái)服務(wù)器的預(yù)共享密鑰,則需要吊銷該密鑰��,但設(shè)備可以繼續(xù)使用具有不同密鑰的其他服務(wù)器��。 4.2 配置身份驗(yàn)證身份驗(yàn)證驗(yàn)證個(gè)人或?qū)嶓w的身份���。應(yīng)將所有設(shè)備配置為首先對(duì)AAA服務(wù)使用集中式服務(wù)器�����,并且僅當(dāng)所有集中式服務(wù)器都不可用時(shí)����,才使用本地管理員賬戶作為備份方法�����。這同樣適用于特權(quán)級(jí)別身份驗(yàn)證;僅當(dāng)所有集中式服務(wù)器都不可用時(shí)�,設(shè)備才應(yīng)使用本地特權(quán)級(jí)別密碼。此優(yōu)先順序?qū)⒆柚公@取本地管理員賬戶憑據(jù)的對(duì)手登錄到設(shè)備����,因?yàn)樵L問通常由 AAA 服務(wù)器控制���。 NSA 建議為登錄配置集中式身份驗(yàn)證����,并啟用(特權(quán))訪問作為主要方法,如以下配置命令所示: aaa authentication login default group<GROUP_NAME>local aaa authentication enable default group <GROUP_NAME> enable使用 default 關(guān)鍵字可確保在未指定顯式身份驗(yàn)證列表時(shí)在所有實(shí)例中全局應(yīng)用配置���。如果改用自定義命名列表����,則需要將此列表顯式應(yīng)用于使用 AAA 的所有實(shí)例����,并且可能會(huì)使某些管理服務(wù)配置不正確并容易受到損害。如果未顯式應(yīng)用自定義命名列表��,則始終應(yīng)用默認(rèn)列表�����。 <GROUP_NAME>應(yīng)為 AAA 服務(wù)器組(前面定義)的自定義名稱�,其中包括集中式 AAA 服務(wù)器的 IP 地址及其關(guān)聯(lián)的密鑰。 不應(yīng)使用 line 關(guān)鍵字���,因?yàn)檫@些密碼未安全地存儲(chǔ)在配置中��,并且不提供問責(zé)制��。 永遠(yuǎn)不要使用 none 關(guān)鍵字�,因?yàn)樗鼤?huì)禁用身份驗(yàn)證。 4.3 配置授權(quán)授權(quán)驗(yàn)證個(gè)人或?qū)嶓w是否有權(quán)訪問特定資源或執(zhí)行特定操作���。組織��、情況和設(shè)備用途將決定授權(quán)管理員命令�。至少�����,授權(quán)應(yīng)用于啟動(dòng) exec 會(huì)話 (shell) 和執(zhí)行其他 shell 命令��,包括配置命令����。授權(quán)也應(yīng)顯式應(yīng)用于控制臺(tái),因?yàn)槟J(rèn)情況下可能不會(huì)自動(dòng)應(yīng)用�����。 NSA 建議充分限制合法管理員有權(quán)執(zhí)行的內(nèi)容,以防止攻擊者對(duì)受感染的賬戶執(zhí)行未經(jīng)授權(quán)的操作��。大多數(shù)管理員使用權(quán)限級(jí)別 1 進(jìn)行用戶級(jí)別訪問�����,使用權(quán)限級(jí)別 15 進(jìn)行特權(quán)級(jí)別訪問�����。 授權(quán)應(yīng)用于這兩個(gè)級(jí)別以及管理員使用以下配置命令使用的任何其他權(quán)限級(jí)別: aaa authorization console aaa authorization exec default group<GROUP_NAME>local aaa authorization commands 1 group <GROUP_NAME> local aaa authorization commands 15 group <GROUP_NAME> local aaa authorization config-commands 應(yīng)使用默認(rèn)列表來確保配置在任何地方都應(yīng)用�。 <GROUP_NAME>應(yīng)該是 AAA 服務(wù)器組(之前定義過)的自定義名稱�,其中包括集中式 AAA 服務(wù)器的 IP 地址及其關(guān)聯(lián)的密鑰。 如果需要����,可以在本地關(guān)鍵字之后應(yīng)用 if-authenticate 關(guān)鍵字。如果管理員成功登錄并且所有集中式 AAA 服務(wù)器都變得不可用���,則管理員將不再有權(quán)執(zhí)行命令����。if-authenticate 關(guān)鍵字可確保經(jīng)過身份驗(yàn)證的用戶將繼續(xù)獲得執(zhí)行命令的授權(quán)。但是�����,請(qǐng)謹(jǐn)慎使用此關(guān)鍵字���,因?yàn)樗赡軙?huì)向管理員授予超出集中式 AAA 服務(wù)器上配置的訪問權(quán)限���。 永遠(yuǎn)不要使用 none 關(guān)鍵字,因?yàn)樗鼤?huì)禁用授權(quán)�����。 4.4 配置記賬會(huì)計(jì)會(huì)保留訪問的所有相關(guān)資源或執(zhí)行的操作的記錄���,使管理員承擔(dān)責(zé)任����。等到事件停止后再生成記賬記錄是不夠的�����,因?yàn)樵谏捎涗浿?���,特定操作可能需要不合理的時(shí)間才能完成�����?����?梢詾槠渌麕追N事件類型收集記賬記錄�����,但這取決于設(shè)備的組織和用途。 NSA 建議集中記錄系統(tǒng)配置更改���,并實(shí)施一個(gè)過程來定期查看這些記錄以檢測(cè)潛在的惡意活動(dòng)�����。至少應(yīng)在啟動(dòng)和停止 exec 會(huì)話 (shell) 以及啟動(dòng)和停止shell 命令時(shí)收集記賬記錄����。 與授權(quán)類似�,必須使用以下配置命令將命令記賬應(yīng)用于所有管理員權(quán)限級(jí)別: aaa accounting exec default start-stop group<GROUP_NAME>aaa accounting
commands 1 default start-stop group<GROUP_NAME>aaa accounting
commands 15 default start-stop group<GROUP_NAME> 應(yīng)使用默認(rèn)列表來確保配置在任何地方都應(yīng)用。 <GROUP_NAME>應(yīng)該是 AAA 服務(wù)器組(之前定義過)的自定義名稱,其中包括集中式 AAA 服務(wù)器的 IP 地址及其關(guān)聯(lián)的密鑰�����。 4.5 應(yīng)用最小特權(quán)原則最小特權(quán)是一種安全概念���,它以執(zhí)行授權(quán)任務(wù)所需的最低特權(quán)級(jí)別授權(quán)個(gè)人或?qū)嶓w訪問��。許多常見任務(wù)不需要特權(quán)級(jí)別訪問�,例如查看網(wǎng)絡(luò)接口的狀態(tài)或查看路由表�����。要實(shí)現(xiàn)最低權(quán)限�����,管理員最初應(yīng)使用所需的最低權(quán)限級(jí)別登錄����。這提供了額外的安全層,攻擊者必須規(guī)避該層才能完全損害設(shè)備�����。它還可以防止管理員無(wú)意中對(duì)設(shè)備進(jìn)行配置更改。 NSA 建議為所有賬戶配置權(quán)限級(jí)別1或0���,并要求管理員輸入其他憑據(jù)以提升到更高的權(quán)限級(jí)別以執(zhí)行所需的任務(wù)��。應(yīng)定期檢查權(quán)限級(jí)別�����,并刪除不必要的訪問����,以防止無(wú)意中使用較低權(quán)限級(jí)別的特權(quán)級(jí)別命令�。 可以使用 privilege 關(guān)鍵字更改各個(gè)本地賬戶的權(quán)限級(jí)別。使用以下配置命令將本地賬戶分配到權(quán)限級(jí)別 1: username<USER_NAME> privilege 1 注意:這不會(huì)更改賬戶密碼����。 所有以權(quán)限級(jí)別1登錄的管理員賬戶都需要執(zhí)行 enable 命令��,并提供其他憑據(jù)才能提升到更高的權(quán)限級(jí)別�����。除了檢查所有本地管理員賬戶并確保為其分配了最低權(quán)限級(jí)別之外���,還必須檢查在集中式 AAA 服務(wù)器上配置的所有賬戶����。 同樣,相同的概念應(yīng)應(yīng)用于控制臺(tái)(CON)����、輔助(AUX)和虛擬電傳打字 (VTY)線路。正確配置 AAA 授權(quán)后�����,不應(yīng)依賴于線路的配置���。但是��,最佳做法是使用以下配置命令確保將線路配置為最低權(quán)限級(jí)別: 根據(jù)設(shè)備的不同���,可能還需要將類似的配置應(yīng)用于其他線路。如果特定設(shè)備上不存在 VTY 第 5 行到第 15 行��,則無(wú)需執(zhí)行這些命令���。 4.6 限制身份驗(yàn)證嘗試限制身份驗(yàn)證嘗試次數(shù)并引入登錄延遲可防止攻擊者對(duì)設(shè)備執(zhí)行暴力破解密碼以嘗試獲取訪問權(quán)限��。 NSA 建議使用以下 Cisco IOS 設(shè)備的配置示例命令將失敗的遠(yuǎn)程管理嘗試限制為最多三次或更少: aaa
authentication attempts login 3 同樣���,應(yīng)使用以下配置命令將三次或更少次失敗嘗試的相同概念應(yīng)用于安全外殼
(SSH) 會(huì)話: ip ssh
authentication-retries 3 NSA 還建議在登錄嘗試之間引入至少一秒鐘的延遲���,以顯著降低以下配置命令的暴力破解嘗試速度: login
delay 1
|
