2018 WLAN设备安全配置规范_v3讲义教材.pptxVIP

WLAN设备安全配置规范 v3.0安全服务与培训部 姚一国2012年5月1.1 安全管理概述（1）有效保护系统安全的核心是进行持续、科学的风险管理。WLAN设备安全管理不仅是安全技术的实施，而应是将良好的安全意识、安全规范融入到日常的维护工作中。1.1 安全管理概述（1）为了做好安全管理工作，不同岗位工作职责在网络规划、建设、运维三个阶段的关系如下：1.1 安全管理概述（2）1.2 设备初始化管理（1）为确保设备的使用安全，WLAN设备在入网启用前应当遵循一定的安全规范进行相应的安全性配置，其中应重点关注如下三个方面。端口及服务最小化安全补丁及时加载包过滤规则设定1.2 设备初始化管理（2）端口及服务最小化未使用的设备端口应及时关闭。WLAN设备除了提供Telnet远程登录服务外，还提供很多二层、三层的服务。WLAN设备运行的服务越多，安全隐患就越大。很多服务WLAN设备通常是不需要的，应该根据各种服务的用途，实现服务最小化，关闭WLAN设备上不必要的服务，减少安全隐患。1.2 设备初始化管理（3）服务名称服务功能建议措施HTTP server允许管理员通过Web页面远程管理路由器 关闭IP directed broadcast允许AC转发其他网段的直接广播包关闭SNMP远程网管使用、数据集采、状态采集根据实际情况，缺省使用，及时更改SNMP口令IP source-route允许路由器处理带源路由选项标记的流关闭常见WLAN设备服务功能以及应对措施1.2 设备初始化管理（4）安全补丁曾经在某IT杂志上公布，C公司宣布其WLAN设备所有xx版本的操作系统软件存在一个漏洞。此漏洞可使攻击者截取和修改出入WLAN设备的TCP数据。 显而易见，该漏洞影响是广泛的，属于严重隐患，由于C公司及时发布了安全版本，所以几乎没有用户因此受到攻击。 因此，建议如无特殊情况在设备启用时，WLAN设备应当尽量采用厂家的最新版本，并将所有安全补丁打上。更重要的是，在今后的设备运行过程中，也应当及时进行补丁加载，始终保持最新版本。1.2 设备初始化管理（5）包过滤规则在WLAN设备启用前，应当根据当时的网络环境制定合理的包过滤规则，对某些病毒、木马的特定端口进行封闭。严格的配置仅传递允许进入网络的的数据包。总之，配置完善的包过滤规则并在今后的运行维护过程中随时更新可以降低安全事件发生的概率。1.3 日志安全管理（1）日志安全管理对网络维护者而言，日志是设备运行的性能监测、安全审计以及安全事件发生后的追踪与调查等的重要依据.因此在日常的维护中应注意开启设备的重要日志功能。 AC作为WLAN组网的重要的网络设备，其安全性至关重要，因此建立强大、完善的日志系统是必须的。通过日常对日志文件的审查，可以预先发现许多安全攻击并及时采取措施将安全事件的发生可能性降至最低。1.3 日志安全管理（2）操作日志登陆日志：异常分析命令操作日志：分析异常操作标准系统日志：非法攻击留下的日志痕迹运行状态CPU资源监控内存占用监控磁盘空间监控系统日志端口状态异常路由交互信息…….1.3 日志安全管理（3）为保证在突发事件发生时，能够通过分析日志快速解决问题，日志的备份、存放等日常安全管理是必须的。对于设备日志，应当遵照相关安全规范定期进行备份，保留规定时间，并对备份介质进行妥善保管。由于AC设备内存有限，一些日志信息存储后掉电就会丢失，有条件的情况下，应建立日志服务器，采用日志服务器可以获取更加丰富的端口状态、运行状态以及异常故障等信息，轻松掌握网络情况。1.3 日志安全管理（4）建立日志服务器之后，同时应当对服务器自身进行安全加固，例如：安装防病毒软件、定期进行系统补丁以及对访问进行严格控制等，来保障日志安全。1.4 设备授权访问管理（1）设备授权访问管理包括：账号口令管理应当对AC系统所有密码进行加密，基于角色按需分配的权限管理给予能够操作者完成工作的最低权限的许可。并采取增强口令强度、设置口令有效期、删除停止使用的帐号等手段，提高帐号口令管理效能。访问管理为防止非法授权访问，应当采用相应限制措施1.4 设备授权访问管理（2）账号口令管理应关注以下几点：应按照用户分配账号。避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。用户口令足够强壮，符合复杂度要求。设备密码使用加密模式存放，禁用明文存放密码。SNMP服务启用时，禁止使用public、private等公用community，如需提供RW权限的community，需保证community的安全性。1.4 设备授权访问管理（3）访问管理应关注以下几点：本地访问对AC系统Consle设置访问密码，对Console口与终端的会话配置较短闲置时间后自动退出局域网访问交换机端口进行vlan划分、端口绑定等措施，WLAN设