《网络基础设施安全指南》——远程管理

1 .禁用明文管理服务

NSA建议使用加密的服务来保护网络通信，禁用所有明文管理服务，如Telnet、HTTP、FTP、SNMP。确保所有的敏感信息无法被恶意敌手通过网络流量抓包来获取。

2. 确保充足的加密强度

NSA建议非对称密钥生成使用3072位及以上密钥，椭圆曲线加密密钥使用384位，对称加密密钥使用256位。部分系统可能不支持3072位，可以使用4096位来替换。

3 .使用安全协议

NSA建议确保管理服务使用最新的协议版本，并启用了适当的安全设置。SSH v2是远程访问设备的优选方法。加密的HTTP服务器应当配置为只接受TLS v1.2及更高版本。

4. 限制对服务的访问

NSA建议配置访问控制列表（ACL）使得只有管理员系统才能连接到设备来进行远程管理。

5 .设置可接受的超时周期

NSA建议对所有远程设备的管理员连接设置会话超时时间为5分钟或更少。不要将超时周期设置为0，因为大多数设备在将超时周期设置为0后会禁用超时功能。

6. 启用TCP Keep-alive

NSA建议对所有TCP连接的入和出流量启用TCPKeep-alive设置。

7 .禁用外部连接

NSA建议禁用出流量来限制攻击者在网络中的移动。

8. 移除SNMP read-write community字符串

NSA建议移除所有的SNMP read-write community字符串，将加密和认证升级到SNMP v3。

9 .禁用非必要的网络服务

NSA建议禁用每个设备上非必要的服务。如果该服务是必须的，并且支持密码和ACL，则创建一个强密码，并应用ACL规则来只允许必要的系统连接到该服务。

10 .禁用特定接口上的发现协议

NSA建议禁用能够使用这些服务的所有设备上CDP和LLDP。

11 .网络服务配置

NSA建议对远程网络管理服务进行适当的配置，包括SSH、HTTP、SNMP。