2019.7.17笔记 理论策略加固

2019.7.17

策略加固

• 开启记录NAT日志。

日志信息记录用户上网行为，UMC接收会话日志端口：9505

• 配置DOS和DDOS攻击防护功能

配置TCP 防护、ICMP 防护、UDP 防护和分片报文防护，针对不同类型报文设置防护阈值并配置超出防护阈值时执行的动作。

• 防火墙访问规则配置

防火墙实现网络安全域划分和隔离，不同安全域间配置防火墙规则，基于源IP、目的IP、源端口、目的端口和协议对数据包实现访问控制。同时记录防火墙拒绝和丢弃报文的日志。

1. 配置NAT地址转换，隐藏内网主机地址
2. 阻断常见漏洞的端口和访问
3. 外网端口关闭Ping包回应
4. 防火墙访问规则最后一天拒绝所有流量
5. 访问规则排列
6. 关闭不必要的服务

 

协议加固

• Apr欺骗加固

1. 检查arp报文的有效性：使用ARP 报文有效性检测功能对设备接收到的ARP 进行检测丢弃非法ARP 报文，处理合法ARP 报文。对于ARP 信任端口不进行检查，对于ARP 非信任端口，需要对MAC 地址和IP 地址不合法的报文进行过滤。
2. 检查arp用户的合法性：用户合法性检测是根据ARP 报文中源IP 地址和源MAC 地址检查用户是否是所属Vlan 所在端口上的合法用户，包括基于静态ARP 表项的检查和基于DHCP Snooping 安全表项的检查。
3. Arp的网关保护：终端ip+mac地址绑定

• Dhcp加固

Dhcp snooping技术：合法服务器和DHCP Snooping 连接的端口设置为信任端口，其余端口均为非信任端口。

• 路由协议安全加固

动态路由协议口令要求配置MD5 加密，启用认证后防止非授权设备接入网络同已有设备建立邻居关系，杜绝路由表被污染的风险。

• 生成树协议安全加固

BPDU 保护、点对点链路配置、边缘端口、开启ROOT 保护、开启环路保护、指定根桥。

 

设备加固

• 用户账号分配

网络设备应按照最小化原则为管理人员分配账号，不同管理人员分配不同权限的账号，实现分权限管理用户账号避免非授权操作、误操作风险。

删除无用的账号

1. 口令安全配置：避免弱口令
2. 密码加密存储：建议静态口令必须使用不可逆加密算法加密后保存于配置文件中
3. 授权安全配置：建议在设备权限配置时，根据用户的业务需求，配置所需的最小权限。
4. NTP协议配置：保证日志的准确性
5. 关闭不使用的端口
6. 超时退出安全配置
7. Console口密码保护
8. 设备管理地址配置：只允许特定地址访问。防止非授权网段用户通过TELNET、SSH 连接网络设备对网络安全性造成威胁。
9. 合适的端口描述
10. 不使用ARP 代理的路由器，关闭arp代理功能
11. Snmp协议安全：

系统应关闭未使用的SNMP 协议及未使用的RW 权限

系统应修改SNMP 的Community 默认通行字，通行字应符合口令强度要求。

系统应配置为SNMP V2 或以上版本

设置SNMP 访问安全限制，只允许特定主机通过SNMP 访问网络设备。

 

Windows加固

• 补丁管理：自动更新
• 用户账号与口令安全：密码策略、账户锁定、用户权限、禁用guest账户、修改管理员账号名称、删除不用的
• 日志与审核
• 服务优化
• 安全防护:屏幕保护、文件共享、防病毒管理、启用防火墙、删除默认共享、限制匿名用户访问、检测网络服务挂起时间、关闭驱动器自动运行、检查登录超时设置、检测加密或数字签名安全通道的数据的设置、检测会话限制、关闭并不必要的自启动项
• Gpedit.msc\eventvwr\services.msc

 

Linux加固

• 设备管理：用ssh代替telnet\ftp
• 用户账号与口令安全
• 日志与审计：chmod 400 /etc/syslog.conf
• 服务优化：chkconfig --list
• 安全防护:chown root:root/etc/passwd/etc/shadow/etc/group

Chmod 644 /etc/passwd/etc/group

Chomd 400 /etc/shadow

编辑/etc/profile，修改HISTSIZE的值为5

 

sql注入加固

 

1. 部署安全设备：网管设备
2. 参数化查询：asp+sqlserver等
3. 过滤特殊字符:正则表达式

 

CSRF加固

1. Token验证：在每个HTTP请求里附加一部分信息（session标识符、独立session随机数、依赖session随机数、session标识符的HMAC）
2. Referer验证：Referer标识了请求是从哪里发起的
3. 自定义HTTP header：使用XMLHttpRequest并附加一个自定义头，拒绝所有没有自定义头的请求

 

XSS加固

1. 部署安全设备
2. HTML Entity编码
3. 过滤特殊字符

 

Mysql数据库加固

1. 账户安全：修改root密码与账户名
2. 删除默认数据库和数据库用户：删除test
3. 使用独立用户运行
4. 禁止远程连接：/etc/my.cnf
5. 限制用户数量
6. 命令历史记录保护：.bash_history