阿尔卡特--7750SR路由器加固.doc

7750SR路由器安全加固手册7750SR路由器安全加固手册V1.1（适用于SR12, SR7）上海贝尔阿尔卡特股份有限公司互联网事业部二零一一年一月1 关闭未用服务正常情况下，现场较多使用telnet登录、管理、配置路由器，其他服务在需要的时候再打开，不用时关闭。7750SR路由器的SSH 服务系统缺省是打开的，建议关闭。 通过如下命令关闭ssh server和ftp服务：#configsystemsecurityssh# server-shutdown#configsystemsecurityno ftp-server 通过如下命令确认系统开放端口：#show system connections 正常情况下系统只开放如下端口：TCP 179：用于BGP连接TCP 22：用于SSH登录TCP 646：用于LDPUDP 161：用于SNMPUDP 123：用于NTP2 限制异常流量带宽7750SR路由器对于那些必须经过CPM上的CPU进行处理的流量可以通过cpm-filter命令来进行识别，该命令作用于流量到达CPM CPU之前的P-Chip芯片上，并可根据情况选择这些流量通过、拒绝或对其进行cpm-queue限速。2.1. 限制异常ICMP流量 大量对路由器端口或system地址的Ping包都会造成CPM CPU利用率增加，可通过cpm-filter匹配由IOM送到CPM板卡上的ICMP报文，并通过cpm-queue限制其速率。参考配置如下：部署CPM-Queueconfigsyssecuritycpm-queue# info- queue 40 create cbs 1000 mbs 1000 rate 2000 cir 2000 /为ICMP协议只分配2000 kbps带宽 exit-部署CPM-Filterconfigsyssecuritycpm-filter# info- ip-filter no shutdown entry 40 create action queue 40 match protocol icmp exit exit exit-注：经测试，上述配置可保证该路由器正常响应一台网络设备的快速Ping，在两台以上网络设备同时对其进行fast ping时，会造成丢包，但CPM上的CPU可得到较好保护。用户可根据网络实际情况适当放宽ICMP流量带宽，但应注意放宽的流量越大，路由器受ICMP攻击的风险也越大。2.2. 限制异常TCP SYN流量 TCP SYN Flood攻击通过大量伪造的源地址报文向路由器发送TCP SYN连接请求，路由器的TCP缓存队列被占满后，将拒绝新的连接请求。通常路由器设备的TCP连接主要来自临近路由设备的路由协议（如BGP协议采用TCP179端口，LDP协议使用646端口建立TCP Session），以及telnet, ssh等管理需要。参考配置如下：部署CPM-Queueconfigsyssecuritycpm-queue# info- queue 50 create cbs 1000 mbs 1000 rate 2000 cir 2000 /为TCP SYN流量只分配2000 kbps带宽 exit-部署CPM-Filterconfigsyssecuritycpm-filter# info- ip-filter no shutdown entry 50 create action queue 50 match protocol tcp tcp-syn true src-ip /8 exit exit entry 51 create action queue 50 match protocol tcp tcp-syn true src-ip /12 exit exit entry 52 create action queue 50 match protocol tcp tcp-syn true src-ip /16 exit exit exit-注：上述配置基于常见SYN Flood采用的源地址，只对这些源地址产生的TCP连接进行限速，其他正常的TCP连接不受影响。3 限制路由器的访问控制7750SR路由器可通过management-access-filter命令控制进、出CPM的流量，其动作只有permit或deny，可用于设置路由器的登录访问控制：对SSH登录源地址限制：configsystemsecuritymgmt-access-filter# info- default-action permit /必须为permit，否则所有未明确permit的流量均会被拒绝 entry 10 src-ip x.x.x.x/32 /允许登录的第一台主机 dst-port 22 65535 action permit exit entry 15 src-ip y.y.y.y/32 /允许登录的第二台主机 dst-port 22 65535 action permit exit . entry 100 /该条目放在最后，用于拒绝所有其他主机 dst-port 22 65535 action deny exit-对于Telnet登录限制可将上述配置中的dst-port值设置成23，Entry编号从110200；对于SNMP访问控制可将上述配置中的dst-port值设置成161，Entry编号从210300；4 密码管理7750SR的系统密码管理缺省配置如下：configsystemsecuritypassword# info detail - authentication-order radius tacplus local no aging minimum-length 6 attempts 3 time 5 lockout 10 complexity health-check no admin-password-l 建议设置AAA服务器管理用户登录；l 建议设置密码失效时间为30天；l 建议设置密码最短长度为8；l 建议加强本地密码设置的复杂程度，如必须包含数字，必须包含特殊字符，必须包含字母大小写。l 建议配置admin-password，该命令可允许任何在线用户通过输入enable-admin密码后成为系统管理员。密码参数修改后如下：configsystemsecuritypassword# info detail - authentication-order radius tacplus local aging 30 minimum-length 8 attempts 3 time 5 lockout 10 complexity numeric mixed-case special-character health-check admin-password -5 设置登录信息缺省情况下，7750登录前会显示路由器版本信息，例如：TiMOS-C-4.0.R5 cpm/hops ALCATEL SR 7750 Copyright (c) 2000-2006 Alcatel.All rights reserved. All use subject to applicable license agreements.Built on Tue Aug 29 11:54:54 PST 2006 by builder in /rel4.0/b1/R5/panos/main这些内容为网络攻击提供了重要的参考信息，建议将其屏蔽；#configure system login-control no login-banner配置系统登录警告，要求非授权用户立即退出：configsystemlogin-control# pre-login-message *n* WARNING *n* This system is owned by XX-Telecom. If you are not *n* authorized to access this system, exit immediately. *n*n完成上述修改后，登录界面如下：* WARNING * This system is owned by XX-Telecom. If you are not * authorized to access this system, exit immediately. *Login: 6 限制登录帐号的命令使用:1) 创建Profile: profile gdnmc entry 10 match show action permit exit entry 20 match ping action permit exit entry 30 match traceroute action permit exit entry 40 match monitor action permit exit entry 50 match logout action permit exit entry 60 match telnet