華為設備登錄安全配置案例

發(fā)布作者：微思網絡   發(fā)布時間：2024-04-01   瀏覽量：0次

在現網中，登錄設備的方式主要有以下兩種：本地Console口和遠程STelnet。

本地Console口登錄安全配置示例

通過Console口（也稱串口）登錄交換機是登錄設備的最基本方式，也是其他登錄方式（如Telnet和STelnet）的基礎。一旦攻擊者接觸到Console口后，交換機將暴露給攻擊者，交換機的安全無法保障。通過配置Console口用戶界面的認證方式、用戶的認證信息和用戶級別，可以保證Console登錄的安全性。

部署注意事項

• 如果用戶通過Console口登錄設備再進行Console用戶界面配置，所配置的屬性需退出當前登錄，再次通過Console口登錄才會生效。

• 為充分保證設備安全，首次登錄設備時，必須按照要求修改缺省密碼，并定期修改密碼。

配置步驟

1.配置Console用戶界面的認證方式。

<HUAWEI> system-view

[HUAWEI] user-interface console 0    //進入Console用戶界面

[HUAWEI-console0] authentication-mode aaa    //配置認證方式為AAA，默認情況下即AAA

[HUAWEI-console0] quit

2.配置Console用戶的認證信息及用戶級別。

[HUAWEI] aaa

[HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206   //創(chuàng)建本地用戶admin123，登錄密碼為YsHsjx_202206

[HUAWEI-aaa] local-user admin123 privilege level 15    //配置本地用戶admin123的級別為15

Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y

[HUAWEI-aaa] local-user admin123 service-type terminal    //配置本地用戶admin123的接入類型為終端用戶，即Console用戶

3.通過Console口連接設備，提示用戶輸入用戶名和密碼，實現Console口登錄設備。（本舉例配置的用戶名為admin123，密碼為YsHsjx_202206）

Login authentication

Username:admin123

Password:

<HUAWEI>

遠程STelnet登錄安全配置示例

Telnet和STelnet是遠程登錄交換機兩種方式，Telnet協(xié)議存在安全風險，而STelnet則基于SSH協(xié)議，實現了在不安全網絡上提供安全的遠程登錄，提供安全信息保障和強大認證功能，保護交換機不受IP欺騙等攻擊。

部署注意事項

• 登錄設備前，需要確保終端PC和設備之間路由可達。

• 使用STelnet V1協(xié)議存在安全風險，建議使用STelnet V2登錄設備。

• 配置STelnet登錄交換機前，用戶終端應該已安裝SSH服務器登錄軟件。本舉例中，SSH服務器登錄軟件以第三方軟件PuTTY為例。

• 通過STelnet登錄設備需配置用戶界面支持的協(xié)議是SSH，必須設置VTY用戶界面認證方式為AAA認證。

• 為充分保證設備安全，請定期修改密碼。

配置步驟

1.配置VTY用戶界面的支持協(xié)議類型、認證方式和用戶級別。

[HUAWEI] user-interface vty 0 4

[HUAWEI-ui-vty0-4] authentication-mode aaa    //配置VTY用戶界面認證方式為AAA認證

[HUAWEI-ui-vty0-4] protocol inbound ssh    //配置VTY用戶界面支持的協(xié)議為SSH，默認情況下即SSH

[HUAWEI-ui-vty0-4] user privilege level 15    //配置VTY用戶界面的級別為15

[HUAWEI-ui-vty0-4] quit

2.開啟STelnet服務器功能并創(chuàng)建SSH用戶。

[HUAWEI] stelnet server enable    //使能設備的STelnet服務器功能

[HUAWEI] ssh user admin123    //創(chuàng)建SSH用戶admin123

[HUAWEI] ssh user admin123 service-type stelnet    //配置SSH用戶的服務方式為STelnet

3.配置SSH用戶認證方式。

配置SSH用戶認證方式為Password。

使用Password認證方式時，需要在AAA視圖下配置與SSH用戶同名的本地用戶。

[HUAWEI] ssh user admin123 authentication-type password    //配置SSH用戶認證方式為password

[HUAWEI] aaa

[HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206    //創(chuàng)建與SSH用戶同名的本地用戶和對應的登錄密碼

[HUAWEI-aaa] local-user admin123 privilege level 15    //配置本地用戶級別為15

[HUAWEI-aaa] local-user admin123 service-type ssh    //配置本地用戶的服務方式為SSH

[HUAWEI-aaa] quit

配置SSH用戶認證方式為RSA、DSA或ECC。（以ECC認證方式為例，RSA、DSA認證方式步驟類似）

使用RSA、DSA或ECC認證方式時，需要在SSH服務器上輸入SSH客戶端生成的密鑰中的公鑰部分。這樣當客戶端登錄服務器時，自己的私鑰如果與輸入的公鑰匹配成功，則認證通過?？蛻舳斯€的生成請參見相應的SSH客戶端軟件的幫助文檔。

[HUAWEI] ssh user admin123 authentication-type ecc    //配置SSH用戶認證方式為ecc

[HUAWEI] ecc peer-public-key key01 encoding-type pem    //配置ECC公共密鑰編碼格式，并進入ECC公共密鑰視圖,key01為公共密鑰名稱

Enter "ECC public key" view, return system view with "peer-public-key end".

[HUAWEI-ecc-public-key] public-key-code begin    //進入公共密鑰編輯視圖

Enter "ECC key code" view, return last view with "public-key-code end".

[HUAWEI-dsa-key-code] 308188    //拷貝復制客戶端的公鑰，為十六進制字符串

[HUAWEI-dsa-key-code] 028180

[HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB

[HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F

[HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B

[HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5

[HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931

[HUAWEI-ecc-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2

[HUAWEI-ecc-key-code] 171896FB 1FFC38CD

[HUAWEI-ecc-key-code] 0203

[HUAWEI-ecc-key-code] 010001

[HUAWEI-ecc-key-code] public-key-code end    //退回到公共密鑰視圖

[HUAWEI-ecc-public-key] peer-public-key end    //退回到系統(tǒng)視圖

[HUAWEI] ssh user admin123 assign ecc-key key01    //為用戶admin123分配一個已經存在的公鑰key01

4.在服務器端生成本地密鑰對。

system-view

[HUAWEI] ecc local-key-pair create

Info: The key name will be: HUAWEI_Host_ECC.

Info: The key modulus can be any one of the following: 256, 384, 521.

Info: If the key modulus is greater than 512, it may take a few minutes.

Please input the modulus [default=521]:521

Info: Generating keys..........

Info: Succeeded in creating the ECC host keys.

5.客戶端STelnet登錄設備。

PC端用Password認證方式連接SSH服務器。

通過PuTTY軟件登錄設備，輸入設備的IP地址，選擇協(xié)議類型為SSH。

點擊“Open”，出現如下界面，輸入用戶名和密碼，并按Enter鍵，至此已登錄到SSH服務器。（以下顯示信息僅為示例）

login as: admin123

Sent username "admin123"

admin123@10.10.10.20's password:

Info: The max number of VTY users is 8, and the number

     of current VTY users on line is 5.

     The current login time is 2022-12-22 09:35:28+00:00.

<HUAWEI>