2. OTN设备安全基线:设备访问控制、账号口令策略、服务端口最小化、日志审计配置
各位好,咱们接着聊OTN设备的安全基线。
说实话,很多运维兄弟觉得OTN设备就是个“管道”,安全没那么重要。但我见过太多因为基线没做好,导致全网瘫痪的案例。今天这节,我重点讲四个最基础、也最容易被忽视的点:访问控制、账号口令、端口最小化、日志审计。
嗯,咱们一个一个来。
2.1 设备访问控制:别让任何人都能摸到你的设备
先问个问题:你公司的OTN设备,是不是随便一个网管都能登录?
我见过最夸张的一次,某省干线的OTN设备,居然用telnet直连,密码还是admin/admin。你想想看,这跟把家门钥匙挂在门口有什么区别?
访问控制的核心原则就三条:
- 最小权限:只给必要的人,必要的权限
- 多因素认证:别只靠密码,加上SSH密钥或者RADIUS
- 源地址限制:只允许网管段访问,拒绝所有其他来源
我个人习惯的做法:
- 关闭所有设备的telnet、HTTP、SNMP v1/v2c
- 只开放SSH v2,并且配置只允许特定IP段访问
- 如果必须用SNMP,只启用v3,并且加密认证全开
举个例子,华为的OTN设备,我一般这样配访问控制列表:
# 只允许网管段 10.10.10.0/24 访问SSH
acl number 2001
rule 5 permit source 10.10.10.0 0.0.0.255
rule 100 deny source any
# 应用到VTY接口
user-interface vty 0 4
acl 2001 inbound
protocol inbound ssh
你看,就这么几行,就能挡住90%的暴力破解。
2.2 账号口令策略:别再用123456了
我记得有一次做安全审计,发现某运营商的OTN设备上,居然有20多个账号,其中一半是离职员工的。更离谱的是,密码都是同一个——password123。
这哪是安全?这是给黑客开绿灯。
账号口令策略,我建议至少做到这几点:
- 账号清理:定期检查,删除无用账号。特别是那些测试账号、临时账号。
- 密码复杂度:至少8位,包含大小写、数字、特殊字符。别嫌麻烦,这是底线。
- 密码有效期:90天强制更换一次。我见过有人设成9999天,那跟没设一样。
- 登录失败锁定:连续5次失败,锁定账号15分钟。这个能防暴力破解。
- 权限分级:普通运维人员只给只读权限,只有管理员才有配置权限。
避坑指南:
我曾经遇到过一件事:某设备配置了密码策略,但忘了配置“密码历史记录”。结果运维人员每次改密码,都在5个旧密码里循环。嗯,这等于没改。所以记得加上 password history 5,禁止重复使用最近5次密码。
华为设备上的口令策略配置示例:
# 配置密码策略
aaa
local-user admin password cipher Huawei@2024
local-user admin privilege level 15
local-user admin service-type ssh
#
password policy
password complexity 4 # 必须包含4种字符
password min-length 8
password expire 90
password history 5
login failed-times 5 lock-time 15
#
return
2.3 服务端口最小化:关掉那些没用的门
你想想看,一个OTN设备,需要开多少个端口?
很多人图省事,把所有服务都开着。什么FTP、TFTP、SNMP、HTTP、Telnet……全开。这就像你家房子开了10个门,但你只走一个,其他9个门都是给小偷留的。
服务端口最小化的原则:
- 默认关闭所有非必要服务
- 只开放业务必须的端口
- 定期扫描,确认没有意外开放的端口
我一般会列一个端口清单,对照着检查:
| 服务 | 默认端口 | 建议状态 | 备注 |
|---|---|---|---|
| SSH | 22 | 开启 | 必须,且限制源地址 |
| Telnet | 23 | 关闭 | 明文传输,坚决不用 |
| HTTP | 80 | 关闭 | 用HTTPS替代 |
| HTTPS | 443 | 可选 | 如果必须用Web管理,开启 |
| SNMP | 161/162 | 关闭或v3 | v1/v2c有安全漏洞 |
| FTP | 21 | 关闭 | 用SFTP或SCP替代 |
| TFTP | 69 | 关闭 | 无认证,极度危险 |
警告:
千万别以为关了服务就万事大吉。我记得有一次,我明明关了SNMP,但扫描发现端口还是开的。后来查了半天,原来是某个业务板卡自己启动了SNMP agent。所以,关完服务后,一定要用nmap之类的工具扫一遍,确认真的关了。
关闭端口的命令示例(华为设备):
# 关闭Telnet
undo telnet server enable
# 关闭HTTP
undo http server enable
# 关闭SNMP(如果不需要)
undo snmp-agent
# 如果必须用SNMP,只启用v3
snmp-agent sys-info version v3
snmp-agent group v3 grp-admin privacy
snmp-agent usm-user v3 admin group grp-admin
snmp-agent usm-user v3 admin authentication-mode sha cipher Auth@2024
snmp-agent usm-user v3 admin privacy-mode aes128 cipher Priv@2024
2.4 日志审计配置:出了事,得有据可查
最后说日志。很多人觉得日志就是占硬盘的,没什么用。但真出了安全事件,日志就是你唯一的救命稻草。
我经历过一次事故:某天凌晨,核心OTN设备突然重启。所有人都不知道原因。幸好我提前配了日志服务器,查日志发现是某个运维人员误操作,敲了reboot命令。如果没有日志,这个锅可能就要甩给设备厂商了。
日志审计配置要点:
- 本地日志:记录所有操作命令、登录登出、配置变更
- 远程日志:发送到集中日志服务器,防止本地日志被篡改
- 日志级别:至少记录info级别以上,关键操作记录debug
- 日志轮转:设置日志文件大小和保留天数,别让日志撑爆硬盘
- 时间同步:NTP必须配,否则日志时间对不上,等于白记
配置示例:
# 配置NTP时间同步
ntp-service unicast-server 10.10.10.1
# 配置日志输出到远程服务器
info-center loghost 10.10.10.2 facility local7
# 配置日志级别
info-center source default channel logbuffer log level informational
info-center source default channel loghost log level informational
# 配置操作日志记录
operation log enable
info-center record operation log
# 配置日志文件轮转
logfile size 10
logfile number 5
我的一个小技巧:
除了记录操作日志,我还会开启配置变更审计。每次有人改了配置,系统自动发邮件或短信通知管理员。这样,就算有人偷偷改了配置,你也能第一时间知道。
好了,这节的内容就这些。说白了,安全基线不是什么高深的技术,就是一些基础习惯。但就是这些基础习惯,能帮你挡住90%的安全风险。
下一节,咱们聊聊OTN设备的加密通信和证书管理,那个更有意思。