Web网管方式登录交换机
攻击行为
1、拒绝服务式攻击
Web Server支持的用户数有限,在用户登录达到上限后,其他用户将无法登录。这个可能是正常使用造成,也可能是攻击者造成。
2、慢连接攻击
在HTTP的报文头中声明较大的content-length,也就是报文内容的长度。在提交了头以后,将后面的报文体部分卡住不发送,这时服务器在接受了长度以后,就会等待客户端发送剩余的内容,攻击者保持连接并且以10秒~100秒/字节的速度去发送大量报文,就达到了消耗资源的效果。
受到攻击后,会出现Web用户登录慢、用户掉线、频繁断连、无法登录等现象。
安全策略
针对以上攻击行为,可以在交换机上配置如下安全策略。
1、AAA认证
Web Server支持AAA认证,只有通过认证的用户才能登录交换机,进入控制页面。用户在进行登录时,要求输入用户名、密码和随机生成的验证码,减小了帐号被破解的概率。
2、关闭服务
当开启Web Server服务器时,交换机将开启Socket服务,易被攻击者扫描。当不使用Web Server时,可以关闭Web Server
3、变更端口号
缺省情况下,Web Server的端口号是80,端口号80属于知名端口号,易被扫描和攻击。可以修改Web Server的端口为私有端口,减小被扫描攻击的概率。
4、ACL
在系统视图可以配置Web Server的ACL过滤规则,通过ACL控制允许登录的客户端源IP和源端口号,其他用户不允许登录。
5、HTTP over SSL
提供安全的传输服务,防止传输的数据被窃听获取。HTTP存在安全风险,从V200R005版本开始,交换机仅支持通过安全HTTP(即HTTPS)登录Web网管,不支持通过HTTP登录Web网管。
V200R020C00之前版本,HTTPS服务器端缺省接收来自所有接口登录连接请求,存在安全风险,建议使用http server-source -i命令指定HTTPS服务器端的源接口。V200R020C00及之后版本,HTTPS服务器端缺省仅接收来自管理网口MEth0/0/1或VLANIF1登录连接的请求,当需要授权客户可以从其他接口登录服务器时,可以使用http server-source -i命令指定HTTPS服务器端的源接口,不建议配置http server-source all-interface命令配置HTTPS服务器的源接口为设备上所有配置了IPv4地址的接口。
成功指定HTTPS服务器端的源接口后,只允许用户通过指定的源接口下的地址登录设备,其它地址的访问将会被拒绝。已经登录到服务器的HTTPS IPv4用户会被强制下线,需要重新登录。
配置方法
配置AAA认证
配置认证方式配置为AAA认证,并在AAA视图下配置用户名client001和密码Helloworld@6789。
system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-user client001 password irreversible-cipher Helloworld@6789
[HUAWEI-aaa] local-user client001 privilege level 15
[HUAWEI-aaa] local-user client001 service-type http
配置关闭HTTP服务功能
system-view
[HUAWEI] undo http server enable
变更服务器端口号为55535
system-view
[HUAWEI] http server port 55535
配置ACL 3000,HTTP引用ACL 3000,表示只允许源IP地址为10.10.10.1、源端口号为80的设备通过HTTP方式登录交换机
system-view
[HUAWEI] acl 3000
[HUAWEI-acl-adv-3000] rule 5 permit tcp source 10.10.10.1 0 source-port eq 80
[HUAWEI-acl-adv-3000] quit
[HUAWEI] http acl 3000
配置HTTP over SSL
system-view
[HUAWEI] ssl policy https_der
[HUAWEI-ssl-policy-https_der] certificate load pem-cert 1_servercert_pem_dsa.pem key-pair dsa key-file 1_serverkey_pem_dsa.pem auth-code cipher 123456
[HUAWEI-ssl-policy-https_der] quit
[HUAWEI] http secure-server ssl-policy https_der
[HUAWEI] http secure-server enable