Hướng dẫn cách Nâng cấp hệ thống F5 - Môn giám sát và ứng phó sự cố - Học Viện Kỹ Thuật Mật Mã

Machine Translated by Google
K000115960: Nâng cấp hệ thống F5 của bạn
https://my.f5.com/manage/s/article/K000115960 Ngày xuất
bản: 13 tháng 8 năm 2019 UTC Ngày cập nhật: 21 tháng 2 năm 2023 UTC Đề tài
Khi bạn muốn bảo vệ hệ thống F5 mới của mình khỏi các cuộc tấn công, bạn tăng cường bảo vệ hệ thống trước các lỗ hổng bằng
cách triển khai các phương pháp hay nhất để giữ an toàn cho hệ thống của bạn. Sử dụng các bài viết trong các bảng sau để củng cố hệ
thống F5 của bạn chống lại các cuộc tấn công từ bên trong và bên ngoài.
Bảo mật hệ thống BIG-IP Làm cứng Vỏ TMOS (tmsh)
Bảo mật tài khoản quản trị BIG-IP
Bảo vệ chống lại brute force và các cuộc tấn công ứng dụng
Ngăn chặn rò rỉ dữ liệu
Xử lý các mối đe dọa đang phát triển
Bạn cũng có thể sử dụng F5 iHealth để chẩn đoán định kỳ các lỗ hổng đã biết trên hệ thống BIG-IP của mình. Để biết thêm thông
tin, hãy tham khảo K27404821: Sử dụng F5 iHealth để chẩn đoán lỗ hổng. Sự miêu tả
Bảo mật trong hệ thống BIG-IP Bài báo Mô tả Thông K13092: Tổng quan về bảo
tin về kiểm soát truy cập cho các phần khác nhau của cấu hình BIG-IP, bao gồm mật khẩu và mật quyền truy cập vào
tài khoản người dùng, truy cập mạng, truy cập cổng quản trị, dịch vụ và các lần thử hệ thống BIG-IP đăng nhập. 10 Cài đặt để Khóa
Mười kỹ thuật để giảm mức độ tiếp xúc của bạn với F5 "SSH key issue," Xuống BIG-IP của bạn CVE-2012-1493. làm cứng tmsh Bài báo Mô tả Cách
bảo mật hệ thống BIG-IP khỏi các nỗ lực kết nối không
K17333: Tổng quan về hành vi khóa cổng (12.x–16.x)
mong muốn bằng cách kiểm soát mức độ truy cập vào từng địa chỉ
IP được xác định trên hệ thống.
K5380: Chỉ định dải IP được phép cho SSH Cách chỉ định dải IP được phép để truy cập SSH vào hệ thống BIG-IP hoặc Enterprise truy cập Manager.
Cách bảo mật quyền truy cập vào tiện ích Cấu hình bằng
K13309: Hạn chế quyền truy cập vào Cấu hình chỉ cho phép các địa chỉ IP đáng tin cậy hoặc một loạt tiện ích IP
theo địa chỉ IP nguồn địa chỉ.
K9908: Định cấu hình đăng xuất tự động khi không hoạt động Cách áp đặt đăng xuất tự động khỏi các phiên BIG-IP hệ
thống cho người dùng tmsh được kết nối với bảng điều khiển từ xa hoặc nối tiếp . Machine Translated by Google
K11719: Giảm thiểu rủi ro từ các cuộc tấn công đăng nhập
Cách giảm nguy cơ bị tấn công mật khẩu vũ phu đối với bất kỳ hệ SSH brute force
thống nào và phải làm gì khi hệ thống BIG-IP của bạn bị xâm phạm bởi một mật khẩu.
K6068: Định cấu hình biểu ngữ tin nhắn trước khi đăng
Biểu ngữ hữu ích để thực thi các chính sách bảo mật và thông
nhập hoặc sau khi đăng nhập cho BIG-IP hoặc Doanh nghiệp
báo cho người dùng về hệ thống. hệ thống quản lý
Cách sử dụng Giao thức thời gian mạng (NTP) để đồng bộ hóa K14120: Xác
định cấu hình NTP nâng cao đồng hồ hệ thống máy tính qua mạng để đảm bảo trên hệ thống BIG-IP các tính năng hoạt động chính
xác trên các hệ thống BIG-IP.
K14206: Định cấu hình hệ thống BIG-IP để Cách định cấu hình hệ thống BIG-IP của bạn để loại trừ inode loại trừ thông tin inode
khỏi ETags thông tin từ ETags khi kết nối với (11.x–14.0.x) Tiện ích cấu hình.
K80425458: Sửa đổi danh sách mật mã và Cách định cấu hình dịch vụ SSH để sử dụng bộ thuật toán MAC được sử dụng bởi dịch
vụ SSH trên mật mã mã hóa và thuật toán MAC đáp ứng nhu cầu của chính sách bảo mật của bạn.
Hệ thống BIG-IP hoặc hệ thống BIG-IQ Trong
các lĩnh vực đặc biệt nhạy cảm, bạn có thể giới hạn quyền truy cập quản trị BIG-IP
K12815: Tổng quan về chế độ Công cụ
để khớp với quyền truy cập của thiết bị mạng thông thường chứ không
phải thiết bị UNIX nhiều người dùng.
K13383: Định cấu hình Địa chỉ Mạng CIDR Cách định cấu hình lọc gói để chặn Classless Inter cho bộ lọc gói BIG-IP Định tuyến miền
(CIDR) địa chỉ khối mạng.
K17491: Không thể giới hạn quyền truy cập Tiện ích cấu
Các bản sửa lỗi cho phép bạn giới hạn quyền truy cập tiện ích Cấu hình
hình cho các máy khách chỉ sử dụng TLSv1.1 hoặc TLSv1.2
đối với các máy khách chỉ sử dụng TLSv1.1 hoặc TLSv1.
Bảo mật tài khoản quản trị BIG-IP Bài báo Mô tả Cách đảm
bảo rằng người dùng BIG-IP có người dùng cục bộ K15497: Định cấu
hình chính sách mật khẩu an toàn tài khoản tạo và duy trì mật khẩu an toàn cho hệ thống BIG-IP càng tốt.
K13121: Thay đổi mật khẩu tài khoản bảo trì hệ
Cách sửa đổi mật khẩu cho tài khoản bảo trì BIG-IP từ mặc định của thống chúng.
K4139: Định cấu hình hệ thống BIG-IP để bắt buộc sử
Cách sử dụng kiểm tra mật khẩu nghiêm ngặt để kiểm tra mật khẩu người
dụng mật khẩu nghiêm ngặt
dùng theo nhiều cách khác nhau.
K32203233: Tài khoản gốc và quản trị viên hiện phải
Cách đảm bảo tất cả tài khoản người dùng sử dụng mật khẩu Độ dài tối đa
tuân theo các hạn chế thực thi của chính sách mật khẩu
, Độ dài tối thiểu và Ký tự bắt buộc an toàn
cài đặt cấu hình chính sách.
Tổng quan về các cơ chế kiểm soát truy cập nhằm duy trì tính bảo
K12173: Tổng quan về kiểm soát truy cập quản trị BIG-IP
mật, đảm bảo khả năng tương tác trong nhiều môi trường
khác nhau và giúp đáp ứng các tiêu chuẩn ngành.
Cách định cấu hình Bộ điều khiển truy cập đầu cuối K8811:
Định cấu hình xác thực TACACS+ Giao thức Access-Control
người dùng quản trị BIG-IP.
System Plus (TACACS+) dành cho người dùng quản trị BIG-IP xác thực
Các phương pháp hay nhất để xác thực Giao thức truy cập thư mục
K11072: Định cấu hình xác thực từ xa LDAP
hạng nhẹ Active Directory (LDAP) từ xa cho các kết nối quản trị. cho Active Directory
K13426: Giám sát các lần đăng nhập (11.x - 16.x)
Cách xem các lần đăng nhập thành công và thất bại trong nhật ký
kiểm tra hệ thống BIG-IP. Machine Translated by Google
Bảo vệ chống lại brute force và các cuộc tấn công ứng dụng Bài báo Mô tả Tổng
quan về các tính năng bảo mật của tường lửa ứng dụng web (WAF),
K07359270:Thành công với bảo mật
từ khả năng bảo vệ tốt dễ triển khai nhất đến khả năng bảo vệ tối đa ứng dụng
đòi hỏi nhiều kỹ năng WAF nhất.
K15405450: Tổng quan về phát hiện quét web
Cách hệ thống BIG-IP ASM phát hiện, ghi nhật ký và chặn hành vi quét
web cũng như cách định cấu hình bảo vệ.
Cách hệ thống BIG-IP ASM phát hiện và hành động chống lại các cuộc tấn công
K18650749: Định cấu hình bảo vệ chống tấn
vũ phu từ một hoặc nhiều nguồn và cách định cấu hình bảo vệ.
công vũ phu (13.1.0 trở lên)
K37718515: Điều tra nhật ký vectơ tấn công BIG-
Cách tinh chỉnh các vectơ tấn công từ chối dịch vụ (DoS) BIG-IP AFM trong IP AFM và điều chỉnh DoS
cấu hình DoS trên thiết bị của bạn hoặc cấu hình DoS hỗ trợ Bảo
Loại tấn công véc tơ K41305885:
mật mạng được áp dụng cho máy chủ ảo. Vectơ BIG-IP AFM DoS
Tổng quan về các vectơ và cài đặt BIG-IP AFM DoS và An ninh mạng.
K14199: Xác định xem BIG-IP Cách hệ thống BIG-IP ASM sử dụng các tham số nội bộ để ngăn chặn ASM system đã phát hiện và ngăn
chặn cuộc tấn công này và xem các tệp mà hệ thống báo cáo một cuộc tấn công DDoS HTTP POST chậm thực thi. K25301105: Giảm thiểu HTTP
Tổng quan về các cuộc tấn công HTTP SLOWĐọc và cách xác định bản chất của một
SLOWĐọc các cuộc tấn công
cuộc tấn công cũng như giảm thiểu nó bằng cấu hình TCP.
Ngăn chặn rò rỉ dữ liệu Bài báo Mô tả Cách hệ
K6917: Tổng quan về mã hóa
thống BIG-IP chèn cookie vào phản hồi HTTP và mã hóa địa chỉ IP và cổng của cookie liên tục BIG-IP máy chủ đích.
Cách mã hóa cookie HTTP trước khi gửi chúng đến máy khách, bao gồm cookie
K14784: Định cấu hình mã hóa
lưu giữ lâu dài, cookie được nhúng trong phản hồi từ máy chủ và cookie để cookie trong cấu hình HTTP
giữ thông tin ở chế độ riêng tư.
K23254150: Định cấu hình mã hóa
Cách giảm thiểu rủi ro lộ thông tin thành viên nhóm trong cookie HTTP khi
cookie cho cookie liên tục BIG-IP
các thành viên nhóm có thể truy cập được mà không cần thông qua hệ thống BIG-IP.
từ cấu hình cookie liên tục K14342: Giữ
nguyên hoặc sửa đổi tiêu đề phản hồi
Cách xóa tiêu đề HTTP khỏi các phản hồi cho phép máy chủ HTTP cung cấp thông
HTTP Máy chủ cho BIG-IP ASM (11.x
tin về phần mềm mà máy chủ sử dụng để xử lý các yêu cầu HTTP. - 15.x)
K40243113: Tổng quan về cấu hình
Cách hệ thống BIG-IP sử dụng cấu hình HTTP để xử lý lưu lượng HTTP, cho
phép máy chủ ảo hoạt động ở chế độ kiểm tra Lớp 7 (L7) đầy đủ và sử dụng HTTP nhiều tính năng.
Xử lý các mối đe dọa đang phát triển Bài báo Mô tả Cảnh
báo kịp thời về các lỗ hổng trong các sản phẩm F5, các lỗ hổng nổi tiếng K9970: Đăng ký nhận email
trong các thành phần của bên thứ ba, các bản phát hành bản cập nhật dấu hiệu tấn
thông báo về sản phẩm F5
công ASM, các bản cập nhật thông tin tình báo về mối đe dọa và thông báo của TechNews. K11438344: Cân nhắc và Machine Translated by Google
hướng dẫn khi bạn nghi ngờ có sự
Các chỉ báo phổ biến về sự xâm phạm hệ thống và các đề xuất về cách khôi phục hệ
xâm phạm bảo mật trên hệ thống BIG-IP thống của bạn. K4602:
Tổng quan về bảo mật F5 Cách báo cáo lỗ hổng F5 và cách F5 phân loại, tiết lộ, chính sách ứng phó lỗ hổng và sửa chữa chúng.
K9957: Tạo nguồn cấp RSS tùy chỉnh Cách tạo nguồn cấp dữ liệu RSS của khách hàng cung cấp thông tin mới nhất để xem mới
và cập nhật thông tin về sản phẩm F5 bạn chọn. các tài liệu
K2200: Phiên bản mới nhất của phần mềm F5
Phần mềm F5 mới nhất, bản sửa lỗi và điểm phát hành. K9502: Ma trận hotfix BIG-IP
Các bản phát hành điểm và hotfix mới nhất cho BIG-IP và BIG-IP Virtual Edition
(VE) và các hotfix cuối cùng cho các bản phát hành End of Life (EoL).
K4918: Tổng quan về chính sách hotfix vấn
Cách F5 phản hồi các sự cố phần mềm trong các sản phẩm F5. đề nghiêm trọng F5 Nội dung liên quan Không có
Document Outline

• Đề tài
• Sự miêu tả