邊緣系統安全加固方法初探

■ 西安 高鵬 解寶琦

編者按： 在整個網絡安全架構建設中，邊緣系統安全防護也是必不可少的，本文整理了一系列邊緣系統安全加固的方法，希望能為讀者提供幫助。

隨著網絡網絡安全的薄弱環節已經從攻擊網絡核心設備以及對服務器的直接攻擊逐步發展為應用層滲透和通過以邊緣系統為跳板進行的跳板和僵尸主機攻擊。這種攻擊方式常使早期的以保護核心區網絡安全架構處于“千里之堤，毀于蟻穴”的尷尬之中，邊緣系統的安全是否達標直接影響著網絡本身的安全。

邊緣系統的防護也應該受到足夠的重視，為此邊緣系統的安全加固應該成為網絡安全基礎工作的重要方面，以下是邊緣系統加固的方法初探，希望饕餮讀者。

操作系統

1.通用部分

（1）主機按照相應密碼強度規則設置用戶名口令，并按照最小權限進行用戶授權。

（2）主機安裝防病毒軟件并及時進行病毒特征庫代碼升級。

（3）修改遠程桌面登錄端口。

修改服務器端的端口設置，注冊表有以下2個地方需要修改：

“[HKEY_LOCAL_MACH INESYSTEMCurrentContr olSetControlTerminal ServerWdsrdpwdTdstcp]”

其中PortNumber值默認是3389（十進制方式查看），修改為自定義端口。

“[HKEY_LOCAL_MACH INESYSTEMCurrentContr olSetControlTerminal ServerWinStationsRDPTcp]”

其中PortNumber值默認是3389（十進制方式查看），修改為同上端口。

重啟遠程桌面服務或者重啟系統。

連接時在使用Windows遠程連接工具輸入“IP：端口”即可。

2.Windows XP系統

由于微軟已經不再支持Windows XP系統，針對該系統已經不再有補丁升級，需要使用如下步逐和方法進行端口及服務關閉，確保系統安全，具體步逐如下：

（1）確認本機是否啟用和開放了 137、139、445、3389端口，在系統終端命令窗口中依次使用如下命令：

“n e t s t a t -a n |findstr 137

netstat -an | findstr 139

netstat -an | findstr 445”

netstat -an | findstr 3389系統依次返回如下信息說明該端口處于開放狀態：

“UDP 10.106.61.73:137 *:*

TCP 10.106.61.73:1390.0.0.0:0 LISTENING

T C P 0.0.0.0:4 4 5 0.0.0.0:0 LSTENING

T C P [::]:4 4 5[::]:0 LISTENING

TCP 0.0.0.0:33890.0.0.0:0 LISTENING

（2）禁 止Windows共享，卸載如圖1兩個組件（此操作的目的是禁止445端口），點擊網絡連接，在此連接使用下列項目中直接卸載掉“Microsoft網絡客戶端”、“Micosoft網絡的文件和打印機共享”兩項協議，（實施完畢后，需要重啟系統生效）。

如果使用命令“netstat–an | findstr 445” 發現依然有返回信息，需要打開注冊表編輯器，找到“HKEY-LOCAL-MACHINESYSTEM Current ControlServices NetBTParameters”分支，新建名為“SMBDeviceEnabled”的雙字節值（DWORD）,將其數值設置為“0”。（實施完畢后，需要重啟系統生效）。

（3）禁 止 netbios（目的是禁止137,139端口），點擊“網絡連接→Internet協議版本4（TCP/IP）→高級→WINS”，點選“禁用TCP/IP上的NetBIOS(S)”選項。

圖1 直接卸載該兩項組件

圖2 檢查驗證

（4）關閉遠程智能卡（目的是關閉Windows智卡功能，避免RDP服務被攻擊利用），命令終端中輸入“gpedit.msc”，打開組策略編輯器窗口，選擇“計算機配置→管理模塊→Windows組件→智能卡”，依次修改“啟用智能卡中的證書傳播”、“啟用智能卡中的橫證書傳播”、“強制從智能卡讀取所有證書”、“打開智能卡即插即用服務”，將服務修改為“禁用”。

（5）檢查驗證，通過執行如圖2命令，無返回信息，說明端口及服務已經關閉。

3.Windows 7系統

安 裝KB4012212、KB40122215等系統漏洞補丁，可通過下載相應版本的Windows 7系統補丁進行補丁修補工作，完成后即可。

4.Windows Server系統（適用于Windows 2003及以上服務器系統）

Windows Server系統因多數部署應用系統，補丁修補需進行測試以及針對應用系統的充分實驗，建議用戶可以先通過如下方法進行135/139/445等端口關閉工作，待測試結束后按照相應補丁應用測試結果進行系統補丁修補工作，關閉端口可以通過Windows Server防火墻配置策略并開啟防火墻組件。

5.Linux系統

（1）本機Iptables防火墻安全加固。

修改/etc/sysconfig/iptables配置文件，添加如下內容，系統即可只放行定義中的應用端口，其他端口系統將對數據包進行丟棄處理，規則如圖3所示。

以上規則已經包含放行FTP、ssh、vnc、weblogic 以及阻斷138、139等端口規則。用戶可根據業務實際修改和補充規則列表。

（2）網絡參數優化，防止TCP close_wait狀態擁塞。

編輯內核參數文件/etc/sysctl.conf添加一下內容：

net.ipv4.tcp_fin_timeout = 30

net.ipv4.tcp_keepalive_time =1800

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_tw_reuse = 1

net.ipv4.ip_local_port_range =1024 65000

net.ipv4.tcp_max_syn_backlog =8192

net.ipv4.tcp_max_tw_buckets =5000

執行命令生效 /sbin/sysctl -p

（3）修改SSH開放端口及禁止ROOT用戶ssh登錄。

修 改/etc/ssh/sshd_config配置文件文件，以此修改如下行內容：

“Port 3371

Protocol 2

PermitRootLogin no（默認為yes）”

圖3 配置文件只放行定義中的應用端口

Port為SSH開放服務端口號，默認22，用戶可以根據自己業務以及管理規則進行自定義修改。Protocol為SSH服務版本，建議修改為“2”以增加安全性。PermitRootLogin為SSH限制root用戶選項，建議修改為“yes”以禁止root用戶進行直接SSH登錄帶來的安全隱患。

網絡邊緣接入交換機加固

1.交換機ACL訪問控制列表過濾

在邊緣接入交換機上通過ACL訪問控制列表禁用高危端口，防止高危端口產生的大流量對核心區交換機造成的流量沖擊，以及因此引發的交換機HANG死等問題。具體方法如下：

（1）H3C路由器或交換機配置。

登錄相關網絡邊緣設備后加入如下訪問規則并引用至相應端口，具體方法如圖4所示（用戶可根據自己的端口實際情況進行配置）。

（2）Cisco路由器或交換機配置。

Cisco網絡邊緣設備訪問規則及引用具體方法如下（用戶可根據自己的端口實際情況進行配置）：

access-list 115 deny udp any any eq netbios-ns

access-list 115 deny udp any any eq netbios-dgm

access-list 115 deny udp any any eq netbios-ss

access-list 115 deny tcp any any eq 593

access-list 115 deny tcp any any eq 4444

access-list 115 deny udp any any eq 1433

access-list 115 deny udp any any eq 1434

access-list 115 deny udp any any eq 445

access-list 115 deny tcp any any eq 445

access-list 115 deny tcp any any eq 3389

access-list 115 deny udp any any eq 3389

a c c e s s-l i s t 1 1 5 permit ip any any //到這里為過濾規則

interface Vlan103

ip address *.*.*.*255.255.255.0

ip access-group 115 in //應用規則到入方向

圖4 加入訪問規則并引用至相應端口

ip access-group 115 out //應用規則到出方向

2.核心區網絡交換機STP生成樹邊緣端口保護

當被設置為邊緣端口收到來自用戶的BPDU報文，則該邊緣端口會被關閉，僅有管理員能重新打開。默認情況下，交換機所有以太網端口均被配置為非邊緣端口，很容易因為私接交換機等行為出現二層環路，產生全網廣播風暴，網絡抖動或網絡擁塞等。這些端口設置為邊緣端口可以最大限度的保護STP的穩定已經很好的防止二層環路，配置如下。

（1）H3C交換機配置如下：

[switch]stp bpduprotection

[switch-Ethernet1/0/1]stp edged-port enable

“s t p b p d uprotection”命令為全局視圖下配置BPDU保護功 能，“stp edged-port enable”命令在具體端口去用BPDU保護，用戶可根據實際進行調整。

（2）Cisco交換機配置如下：

switch（config)#interface range f0/1 – 5

switch(config-ifrange)#spanning-tree portfast

switch(config-ifrange)#spanning-tree bpduguard enable

“interface range f0/1– 5” 命令選定 1-5號交換機端口，“spanning-tree portfast”命令設置端口為portfast模 式，“spanningtree bpduguard enable”命令設置端口進行BPDU保護，當收到BPDU報文端將自動關閉，從而防止了二層環路帶來的網絡抖動。