回復“220619”獲取機翻版“網絡基礎設施安全指南”4. 身份驗證��、授權和記賬(AAA)
集中式AAA服務器提供了一種整合的機制來管理對設備的管理訪問�,并且由于憑據不直接存儲在設備上,因此創(chuàng)建的賬戶對于攻擊者來說更具入侵性��。正確配置這些服務器可為管理和監(jiān)視訪問提供權威源,提高訪問控制的一致性��,減少配置維護�,并降低管理成本。對于 Cisco IOS 設備���,應首先使用具有以下配置示例命令將所有設備配置為使用現代 AAA 服務:aaa
new-model 應用上述配置可確保設備不會使用舊式身份驗證和授權方法��。 
4.1 實施集中式服務器所有設備都應配置為使用集中式AAA服務器�。NSA建議至少實施兩臺AAA服務器以確?��?捎眯?,并協(xié)助檢測和防止對手活動���。如果一臺服務器由于計劃維護或其他原因而不可用,其余服務器將繼續(xù)提供集中式AAA服務�。 服務器應為: 配置為使用唯一且復雜的預共享密鑰對設備進行身份驗證,以確保只有授權設備才能使用AAA服務(請參閱 5.5 創(chuàng)建強密碼)��。 配置為使用相同的協(xié)議(例如��,TACACS+��、RADIUS 或 LDAP) 來實現一致性,并在支持時使用加密傳輸(例如��,RadSec��、Diameter���、LDAPS 或 IPsec 封裝)�。 彼此同步���,以確保用戶憑據和訪問控制的一致性���。
可以使用以下配置命令配置具有多個 AAA 服務器的服務器組: aaa group server {tacacs+ | radius |
ldap}<GROUP_NAME>server-private<IP_ADDRESS_1>key <KEY_1>server-private<IP_ADDRESS_2> key <KEY_2>某些較舊的設備可能會在配置中使用關鍵字tacacs-server 和 radius-server ,這會阻止為每個服務器分配唯一的密鑰�。 NSA 建議將這些行替換為上述配置格式,并為每個服務器分配唯一的預共享密鑰�。如果攻擊者獲取了一臺服務器的預共享密鑰,則需要吊銷該密鑰���,但設備可以繼續(xù)使用具有不同密鑰的其他服務器���。 4.2 配置身份驗證身份驗證驗證個人或實體的身份。應將所有設備配置為首先對AAA服務使用集中式服務器���,并且僅當所有集中式服務器都不可用時��,才使用本地管理員賬戶作為備份方法��。這同樣適用于特權級別身份驗證;僅當所有集中式服務器都不可用時��,設備才應使用本地特權級別密碼��。此優(yōu)先順序將阻止獲取本地管理員賬戶憑據的對手登錄到設備�,因為訪問通常由 AAA 服務器控制。 NSA 建議為登錄配置集中式身份驗證���,并啟用(特權)訪問作為主要方法���,如以下配置命令所示: aaa authentication login default group<GROUP_NAME>local aaa authentication enable default group <GROUP_NAME> enable使用 default 關鍵字可確保在未指定顯式身份驗證列表時在所有實例中全局應用配置。如果改用自定義命名列表�,則需要將此列表顯式應用于使用 AAA 的所有實例,并且可能會使某些管理服務配置不正確并容易受到損害�。如果未顯式應用自定義命名列表,則始終應用默認列表��。 <GROUP_NAME>應為 AAA 服務器組(前面定義)的自定義名稱��,其中包括集中式 AAA 服務器的 IP 地址及其關聯的密鑰���。 不應使用 line 關鍵字�,因為這些密碼未安全地存儲在配置中�,并且不提供問責制。 永遠不要使用 none 關鍵字��,因為它會禁用身份驗證��。 4.3 配置授權授權驗證個人或實體是否有權訪問特定資源或執(zhí)行特定操作��。組織�、情況和設備用途將決定授權管理員命令。至少���,授權應用于啟動 exec 會話 (shell) 和執(zhí)行其他 shell 命令��,包括配置命令�。授權也應顯式應用于控制臺��,因為默認情況下可能不會自動應用�。 NSA 建議充分限制合法管理員有權執(zhí)行的內容,以防止攻擊者對受感染的賬戶執(zhí)行未經授權的操作�。大多數管理員使用權限級別 1 進行用戶級別訪問,使用權限級別 15 進行特權級別訪問�。 授權應用于這兩個級別以及管理員使用以下配置命令使用的任何其他權限級別: aaa authorization console aaa authorization exec default group<GROUP_NAME>local aaa authorization commands 1 group <GROUP_NAME> local aaa authorization commands 15 group <GROUP_NAME> local aaa authorization config-commands 應使用默認列表來確保配置在任何地方都應用��。 <GROUP_NAME>應該是 AAA 服務器組(之前定義過)的自定義名稱���,其中包括集中式 AAA 服務器的 IP 地址及其關聯的密鑰。 如果需要��,可以在本地關鍵字之后應用 if-authenticate 關鍵字��。如果管理員成功登錄并且所有集中式 AAA 服務器都變得不可用��,則管理員將不再有權執(zhí)行命令�。if-authenticate 關鍵字可確保經過身份驗證的用戶將繼續(xù)獲得執(zhí)行命令的授權。但是��,請謹慎使用此關鍵字���,因為它可能會向管理員授予超出集中式 AAA 服務器上配置的訪問權限���。 永遠不要使用 none 關鍵字,因為它會禁用授權��。 4.4 配置記賬會計會保留訪問的所有相關資源或執(zhí)行的操作的記錄�,使管理員承擔責任。等到事件停止后再生成記賬記錄是不夠的�,因為在生成記錄之前,特定操作可能需要不合理的時間才能完成��?��?梢詾槠渌麕追N事件類型收集記賬記錄���,但這取決于設備的組織和用途。 NSA 建議集中記錄系統(tǒng)配置更改��,并實施一個過程來定期查看這些記錄以檢測潛在的惡意活動�。至少應在啟動和停止 exec 會話 (shell) 以及啟動和停止shell 命令時收集記賬記錄。 與授權類似��,必須使用以下配置命令將命令記賬應用于所有管理員權限級別: aaa accounting exec default start-stop group<GROUP_NAME>aaa accounting
commands 1 default start-stop group<GROUP_NAME>aaa accounting
commands 15 default start-stop group<GROUP_NAME> 應使用默認列表來確保配置在任何地方都應用��。 <GROUP_NAME>應該是 AAA 服務器組(之前定義過)的自定義名稱��,其中包括集中式 AAA 服務器的 IP 地址及其關聯的密鑰���。 4.5 應用最小特權原則最小特權是一種安全概念�,它以執(zhí)行授權任務所需的最低特權級別授權個人或實體訪問�。許多常見任務不需要特權級別訪問,例如查看網絡接口的狀態(tài)或查看路由表���。要實現最低權限��,管理員最初應使用所需的最低權限級別登錄���。這提供了額外的安全層���,攻擊者必須規(guī)避該層才能完全損害設備。它還可以防止管理員無意中對設備進行配置更改��。 NSA 建議為所有賬戶配置權限級別1或0�,并要求管理員輸入其他憑據以提升到更高的權限級別以執(zhí)行所需的任務。應定期檢查權限級別��,并刪除不必要的訪問��,以防止無意中使用較低權限級別的特權級別命令��。 可以使用 privilege 關鍵字更改各個本地賬戶的權限級別���。使用以下配置命令將本地賬戶分配到權限級別 1: username<USER_NAME> privilege 1 注意:這不會更改賬戶密碼���。 所有以權限級別1登錄的管理員賬戶都需要執(zhí)行 enable 命令,并提供其他憑據才能提升到更高的權限級別。除了檢查所有本地管理員賬戶并確保為其分配了最低權限級別之外��,還必須檢查在集中式 AAA 服務器上配置的所有賬戶���。 同樣,相同的概念應應用于控制臺(CON)�、輔助(AUX)和虛擬電傳打字 (VTY)線路。正確配置 AAA 授權后�,不應依賴于線路的配置。但是��,最佳做法是使用以下配置命令確保將線路配置為最低權限級別: 根據設備的不同�,可能還需要將類似的配置應用于其他線路。如果特定設備上不存在 VTY 第 5 行到第 15 行���,則無需執(zhí)行這些命令��。 4.6 限制身份驗證嘗試限制身份驗證嘗試次數并引入登錄延遲可防止攻擊者對設備執(zhí)行暴力破解密碼以嘗試獲取訪問權限��。 NSA 建議使用以下 Cisco IOS 設備的配置示例命令將失敗的遠程管理嘗試限制為最多三次或更少: aaa
authentication attempts login 3 同樣��,應使用以下配置命令將三次或更少次失敗嘗試的相同概念應用于安全外殼
(SSH) 會話: ip ssh
authentication-retries 3 NSA 還建議在登錄嘗試之間引入至少一秒鐘的延遲�,以顯著降低以下配置命令的暴力破解嘗試速度: login
delay 1
|
