2. OTN设备安全基线:设备访问控制、账号口令策略、服务端口最小化、日志审计配置

各位好,咱们接着聊OTN设备的安全基线。

说实话,很多运维兄弟觉得OTN设备就是个“管道”,安全没那么重要。但我见过太多因为基线没做好,导致全网瘫痪的案例。今天这节,我重点讲四个最基础、也最容易被忽视的点:访问控制、账号口令、端口最小化、日志审计。

嗯,咱们一个一个来。

2.1 设备访问控制:别让任何人都能摸到你的设备

先问个问题:你公司的OTN设备,是不是随便一个网管都能登录?

我见过最夸张的一次,某省干线的OTN设备,居然用telnet直连,密码还是admin/admin。你想想看,这跟把家门钥匙挂在门口有什么区别?

访问控制的核心原则就三条:

  • 最小权限:只给必要的人,必要的权限
  • 多因素认证:别只靠密码,加上SSH密钥或者RADIUS
  • 源地址限制:只允许网管段访问,拒绝所有其他来源

我个人习惯的做法:

  • 关闭所有设备的telnet、HTTP、SNMP v1/v2c
  • 只开放SSH v2,并且配置只允许特定IP段访问
  • 如果必须用SNMP,只启用v3,并且加密认证全开

举个例子,华为的OTN设备,我一般这样配访问控制列表:

# 只允许网管段 10.10.10.0/24 访问SSH
acl number 2001
 rule 5 permit source 10.10.10.0 0.0.0.255
 rule 100 deny source any

# 应用到VTY接口
user-interface vty 0 4
 acl 2001 inbound
 protocol inbound ssh

你看,就这么几行,就能挡住90%的暴力破解。

2.2 账号口令策略:别再用123456了

我记得有一次做安全审计,发现某运营商的OTN设备上,居然有20多个账号,其中一半是离职员工的。更离谱的是,密码都是同一个——password123

这哪是安全?这是给黑客开绿灯。

账号口令策略,我建议至少做到这几点:

  1. 账号清理:定期检查,删除无用账号。特别是那些测试账号、临时账号。
  2. 密码复杂度:至少8位,包含大小写、数字、特殊字符。别嫌麻烦,这是底线。
  3. 密码有效期:90天强制更换一次。我见过有人设成9999天,那跟没设一样。
  4. 登录失败锁定:连续5次失败,锁定账号15分钟。这个能防暴力破解。
  5. 权限分级:普通运维人员只给只读权限,只有管理员才有配置权限。

避坑指南:

我曾经遇到过一件事:某设备配置了密码策略,但忘了配置“密码历史记录”。结果运维人员每次改密码,都在5个旧密码里循环。嗯,这等于没改。所以记得加上 password history 5,禁止重复使用最近5次密码。

华为设备上的口令策略配置示例:

# 配置密码策略
aaa
 local-user admin password cipher Huawei@2024
 local-user admin privilege level 15
 local-user admin service-type ssh
 #
 password policy
  password complexity 4  # 必须包含4种字符
  password min-length 8
  password expire 90
  password history 5
  login failed-times 5 lock-time 15
 #
 return

2.3 服务端口最小化:关掉那些没用的门

你想想看,一个OTN设备,需要开多少个端口?

很多人图省事,把所有服务都开着。什么FTP、TFTP、SNMP、HTTP、Telnet……全开。这就像你家房子开了10个门,但你只走一个,其他9个门都是给小偷留的。

服务端口最小化的原则:

  • 默认关闭所有非必要服务
  • 只开放业务必须的端口
  • 定期扫描,确认没有意外开放的端口

我一般会列一个端口清单,对照着检查:

服务 默认端口 建议状态 备注
SSH 22 开启 必须,且限制源地址
Telnet 23 关闭 明文传输,坚决不用
HTTP 80 关闭 用HTTPS替代
HTTPS 443 可选 如果必须用Web管理,开启
SNMP 161/162 关闭或v3 v1/v2c有安全漏洞
FTP 21 关闭 用SFTP或SCP替代
TFTP 69 关闭 无认证,极度危险

警告:

千万别以为关了服务就万事大吉。我记得有一次,我明明关了SNMP,但扫描发现端口还是开的。后来查了半天,原来是某个业务板卡自己启动了SNMP agent。所以,关完服务后,一定要用nmap之类的工具扫一遍,确认真的关了。

关闭端口的命令示例(华为设备):

# 关闭Telnet
undo telnet server enable

# 关闭HTTP
undo http server enable

# 关闭SNMP(如果不需要)
undo snmp-agent

# 如果必须用SNMP,只启用v3
snmp-agent sys-info version v3
snmp-agent group v3 grp-admin privacy
snmp-agent usm-user v3 admin group grp-admin
snmp-agent usm-user v3 admin authentication-mode sha cipher Auth@2024
snmp-agent usm-user v3 admin privacy-mode aes128 cipher Priv@2024

2.4 日志审计配置:出了事,得有据可查

最后说日志。很多人觉得日志就是占硬盘的,没什么用。但真出了安全事件,日志就是你唯一的救命稻草。

我经历过一次事故:某天凌晨,核心OTN设备突然重启。所有人都不知道原因。幸好我提前配了日志服务器,查日志发现是某个运维人员误操作,敲了reboot命令。如果没有日志,这个锅可能就要甩给设备厂商了。

日志审计配置要点:

  1. 本地日志:记录所有操作命令、登录登出、配置变更
  2. 远程日志:发送到集中日志服务器,防止本地日志被篡改
  3. 日志级别:至少记录info级别以上,关键操作记录debug
  4. 日志轮转:设置日志文件大小和保留天数,别让日志撑爆硬盘
  5. 时间同步:NTP必须配,否则日志时间对不上,等于白记

配置示例:

# 配置NTP时间同步
ntp-service unicast-server 10.10.10.1

# 配置日志输出到远程服务器
info-center loghost 10.10.10.2 facility local7

# 配置日志级别
info-center source default channel logbuffer log level informational
info-center source default channel loghost log level informational

# 配置操作日志记录
operation log enable
info-center record operation log

# 配置日志文件轮转
logfile size 10
logfile number 5

我的一个小技巧:

除了记录操作日志,我还会开启配置变更审计。每次有人改了配置,系统自动发邮件或短信通知管理员。这样,就算有人偷偷改了配置,你也能第一时间知道。

好了,这节的内容就这些。说白了,安全基线不是什么高深的技术,就是一些基础习惯。但就是这些基础习惯,能帮你挡住90%的安全风险。

下一节,咱们聊聊OTN设备的加密通信和证书管理,那个更有意思。