Cisco路由器安全配置基线.doc-淘文阁

资源描述

《Cisco路由器安全配置基线.doc》由会员分享，可在线阅读，更多相关《Cisco路由器安全配置基线.doc（53页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateCisco路由器安全配置基线1Cisco路由器安全配置基线中国移动通信有限公司管理信息系统部2012年 04月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月V2.0更新2012年4月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目录第1章概述11.1目的11.2适用范围11.3适用版本11.4实施11.5例外条款

2、1第2章帐号管理、认证授权安全要求22.1帐号管理22.1.1用户帐号分配*22.1.2删除无关的帐号*32.1.3限制具备管理员权限的用户远程登录*42.2口令52.2.1静态口令以密文形式存放52.2.2帐号、口令和授权62.2.3密码复杂度72.3授权82.3.1用IP协议进行远程维护的设备使用SSH等加密协议8第3章日志安全要求113.1日志安全113.1.1对用户登录进行记录113.1.2记录用户对设备的操作123.1.3开启NTP服务保证记录的时间的准确性133.1.4远程日志功能*14第4章IP协议安全要求174.1IP协议174.1.1配置路由器防止地址欺骗174.1.2系统远

3、程服务只允许特定地址访问184.1.3过滤已知攻击204.2功能配置214.2.1功能禁用*214.2.2启用协议的认证加密功能*234.2.3启用路由协议认证功能*244.2.4防止路由风暴264.2.5防止非法路由注入274.2.6SNMP的Community默认通行字口令强度284.2.7只与特定主机进行SNMP协议交互294.2.8配置SNMPV2或以上版本304.2.9关闭未使用的SNMP协议及未使用RW权限314.2.10LDP协议认证功能31第5章其他安全要求335.1其他安全配置335.1.1关闭未使用的接口335.1.2修改路由缺省器缺省BANNER语345.1.3配置定时账

4、户自动登出345.1.4配置consol口密码保护功能365.1.5关闭不必要的网络服务或功能375.1.6端口与实际应用相符38第6章评审与修订40-第1章概述1.1 目的本文档规定了中国移动管理信息系统部所维护管理的Cisco路由器应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Cisco路由器的安全配置。1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的Cisco路由器。1.3 适用版本Cisco路由器。1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标

5、准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。第2章帐号管理、认证授权安全要求2.1 帐号管理2.1.1 用户帐号分配*安全基线项目名称用户帐号分配安全基线要求项安全基线编号SBL-CiscoRouter-02-01-01 安全基线项说明应按照用户分配帐号。避免不同用户间共享帐号。避免用户帐号和设备间通信使用的帐号共享。检测操作步骤1. 参考配置操作Router# config tEnter configuration comma

6、nds, one per line. End with CNTL/Z.Router(config)# service password-encryptionRouter(config)# username ruser1 password 3d-zirc0niaRouter(config)# username ruser1 privilege 1Router(config)# username ruser2 password 2B-or-3BRouter(config)# username ruser2 privilege 1Router(config)# end Router#2. 补充操作说

7、明基线符合性判定依据1. 判定条件I. 配置文件中，存在不同的帐号分配II. 网络管理员确认用户与帐号分配关系明确2. 检测操作使用show running-config命令，如下例：router#show running-configBuilding configuration.Current configuration:!service password-encryption username ruser1 password 3d-zirc0niausername ruser1 privilege 1username ruser2 password 2B-or-3Busername rus

8、er2 privilege 13. 补充说明使用共享帐号容易造成职责不清备注需要手工检查，由管理员确认帐号分配关系。2.1.2 删除无关的帐号*安全基线项目名称无关的帐号安全基线要求项安全基线编号SBL-CiscoRouter-02-01-02 安全基线项说明应删除与设备运行、维护等工作无关的帐号。检测操作步骤1参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# no username ruser32补充操作说明基线符合性判定依据1. 判定条件I.

9、配置文件存在多帐号II. 网络管理员确认所有帐号与设备运行、维护等工作有关2. 检测操作使用show running-config命令，如下例：router#show running-configBuilding configuration.Current configuration:!username user1 privilege 1 password password1username nobodyuse privilege 1 password password13. 补充说明删除不用的帐号，避免被利用备注需要手工检查，由管理员判断是否存在无关帐号2.1.3 限制具备管理员权限的用户远

10、程登录*安全基线项目名称限制具备管理员权限的用户远程登录安全基线要求项安全基线编号SBL-CiscoRouter-02-01-03 安全基线项说明限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再通过enable命令进入相应级别再后执行相应操作。检测操作步骤1 参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# service password-encryptionRouter(config)# usernam

11、e normaluser password 3d-zirc0niaRouter(config)# username normaluser privilege 1Router(config)# line vty 0 4 Router(config-line)# login localRouter(config-line)# exec-timeout 5 0Router(config-line)# end2 补充操作说明设定帐号密码加密保存创建normaluser帐号并指定权限级别为1；设定远程登录启用路由器帐号验证；设定超时时间为5分钟；基线符合性判定依据1. 判定条件I. VTY使用用户名和密

12、码的方式进行连接验证II. 2、帐号权限级别较低，例如：I2. 检测操作使用show running-config命令，如下例：router#show running-configBuilding configuration.Current configuration:!service password-encryptionusername normaluser password 3d-zirc0niausername normaluser privilege 1line vty 0 4 login local3 补充说明会导致远程攻击者通过黑客工具猜解帐号口令备注根据业务场景，自动化系统如果

13、无法实现可不选此项，人工登录操作需要遵守此项规范。2.2 口令2.2.1 静态口令以密文形式存放安全基线项目名称静态口令安全基线要求项安全基线编号SBL-CiscoRouter-02-02-01 安全基线项说明静态口令必须使用不可逆加密算法加密，以密文形式存放。如使用enable secret配置Enable密码，不使用enable password配置Enable密码。检测操作步骤1. 参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#servic

14、e password-encryptionRouter(config)# enable secret 2-mAny-rOUtEsRouter(config)# no enable passwordRouter(config)# end2 补充操作说明基线符合性判定依据1. 判定条件配置文件无明文密码字段2. 检测操作使用show running-config命令，如下例：router#show running-configBuilding configuration.Current configuration:!service password-encryptionenable secret

15、5 $1oxphetTb$rTsF$EdvjtWbi0qA2gusername ciscoadmin password 7 Wbi0qA1$rTsF$Edvjt2gpvyhetTb3. 补充说明如果不加密,使用show running-config命令,可以看到未加密的密码备注2.2.2 帐号、口令和授权安全基线项目名称帐号、口令和授权安全基线要求项安全基线编号SBL-CiscoRouter-02-02-02 安全基线项说明设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。检测操作步骤1. 参考配置操作Router#configure terminal Enter con

16、figuration commands, one per line. End with CNTL/Z.Router(config)#aaa new-modelRouter(config)#aaa authentication login default group tacacs+Router(config)#aaa authentication enable default group tacacs+Router(config)#tacacs-server host 192.168.6.18Router(config)#tacacs-server key Ir31yh8n#w9swDRoute

17、r(config)#endRouter#2. 补充操作说明与外部TACACS+ server 192.168.6.18 联动，远程登录使用TACACS+ serverya验证基线符合性判定依据1. 判定条件帐号、口令配置，指定了认证系统2. 检测操作使用show running-config命令，如下例：router#show running-configBuilding configuration.Current configuration:!aaa new-modelaaa authentication login default group tacacs+aaa authenticati

18、on enable default group tacacs+tacacs-server host 192.168.6.18tacacs-server key Ir31yh8n#w9swD补充说明备注2.2.3 密码复杂度安全基线项目名称密码复杂度安全基线要求项安全基线编号SBL-CiscoRouter-02-02-03 安全基线项说明对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1 参考配置操作Router#configure terminal Enter co

19、nfiguration commands, one per line. End with CNTL/Z.Router(config)#aaa new-modelRouter(config)#aaa authentication login default group tacacs+Router(config)#aaa authentication enable default group tacacs+Router(config)#tacacs-server host 192.168.6.18Router(config)#tacacs-server key Ir31yh8n#w9swDRout

20、er(config)#endRouter#2. 补充操作说明与外部TACACS+ server 192.168.6.18 联动，远程登录使用TACACS+ serverya验证；口令强度由TACACS+ server控制基线符合性判定依据备注2.3 授权2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议安全基线项目名称IP协议进行远程维护的设备安全基线要求项安全基线编号SBL-CiscoRouter-02-03-01 安全基线项说明对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。检测操作步骤1. 参考配置操作I. 配置主机名和域名router# config t

21、Enter configuration commands, one per line. End with CNTL/Z.router(config)# hostname RouterRouter(config)# ip domain-name Router.domain-nameII. 配置访问控制列表Router(config)# no access-list 12 Router(config)# access-list 12 permit host 192.168.0.200Router(config)# line vty 0 4Router(config-line)# access-cl

22、ass 12 in Router(config-line)# exitIII. 配置帐号和连接超时Router(config)# service password-encryptionRouter(config)# username normaluser password 3d-zirc0niaRouter(config)# username normaluser privilege 1Router(config)# line vty 0 4 Router(config-line)# login localRouter(config-line)# exec-timeout 5 0IV. 生成r

23、sa密钥对Router(config)# crypto key generate rsaThe name for the keys will be: Router.domain-nameChoose the size of the key modulus in the range of 360 to2048 for your General Purpose Keys. Choosing a key modulusgreater than 512 may take a few minutes.How many bits in the modulus 512: 2048Generating RSA

24、 Keys .OKV. 配置仅允许ssh远程登录Router(config)# line vty 0 4Router(config-line)# transport input ssh Router(config-line)# exitRouter(config)#2. 补充操作说明配置描述：I. 配置ssh要求路由器已经存在主机名和域名II. 配置访问控制列表，仅授权192.168.0.200访问192.168.0.100 sshIII. 配置远程访问里连接超时IV. 生成rsa密钥对，如果已经存在可以使用以前的。默认存在rsa密钥对sshd就启用，不存在rsa密钥对sshd就停用。V. 配

25、置远程访问协议为ssh基线符合性判定依据1. 判定条件I. 存在rsa密钥对II. 远程登录指定ssh协议2. 检测操作I. 使用show crypto key mypubkey rsa命令，如下例：Router(config)# show crypto key mypubkey rsa% Key pair was generated at: 06:07:49 UTC Jan 13 1996Key name: Usage: Signature Key Key Data: 005C300D 06092A86 4886F70D 01010105 00034B00 30480241 00C5E23B

26、 55D6AB2204AEF1BA A54028A6 9ACC01C5 129D99E4 64CAB820 847EDAD9 DF0B4E4C 73A05DD2BD62A8A9 FA603DD2 E2A8A6F8 98F76E28 D58AD221 B583D7A4 71020301 0001% Key pair was generated at: 06:07:50 UTC Jan 13 1996Key name: Usage: Encryption Key Key Data: 00302017 4A7D385B 1234EF29 335FC973 2DD50A37 C4F4B0FD 9DAD

27、E748 429618D5 18242BA3 2EDFBDD3 4296142A DDF7D3D8 08407685 2F2190A0 0B43F1BD 9A8A26DB 07953829 791FCDE9 A98420F0 6A82045B 90288A26 DBC64468 7789F76E EE21II. 使用show running-config命令，如下例：router#show running-configBuilding configuration.Current configuration:!line vty 0 4transport input ssh3. 补充说明使用非加密

28、协议在传输过程中容易被截获口令备注第3章日志安全要求3.1 日志安全3.1.1 对用户登录进行记录安全基线项目名称用户登录进行记录安全基线要求项安全基线编号SBL-CiscoRouter-03-01-01 安全基线项说明与记账服务器(如RADIUS 服务器或TACACS服务器)配合，设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步骤1. 参考配置操作Router#configure terminal Enter configuration commands, one per line. End w

29、ith CNTL/Z.Router(config)#aaa new-model Router(config)#aaa accounting connection default start-stop group tacacs+Router(config)#aaa accounting exec default start-stop group tacacs+ Router(config)#endRouter1#2. 补充操作说明使用TACACS+ server基线符合性判定依据1. 判定条件配置了AAA模板的上述具体条目2. 检测操作使用show running-config命令，如下例：ro

30、uter1#show runn | include aaa Building configuration.Current configuration:!aaa new-modelaaa authentication login default group tacacs+aaa authorization exec default group tacacs+ aaa session-id common补充说明备注3.1.2 记录用户对设备的操作安全基线项目名称用户对设备记录安全基线要求项安全基线编号SBL-CiscoRouter-03-01-02 安全基线项说明与记账服务器(如TACACS服务

31、器)配合，设备应配置日志功能，记录用户对设备的操作，如帐号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户帐号，操作时间，操作内容以及操作结果。检测操作步骤1. 参考配置操作Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z.Router(config)#aaa new-model Router(config)#aaa accounting commands 1 default start-stop

32、 group tacacs+Router(config)#aaa accounting commands 15 default start-stop group tacacs+Router(config)#endRouter1#2. 补充操作说明使用TACACS+ server基线符合性判定依据1 判定条件配置了AAA模板的上述具体条目2. 检测操作使用show running-config命令，如下例：router1#show runn | include aaa Building configuration.Current configuration:!aaa new-modelaaa a

33、ccounting commands 1 default start-stop group tacacs+aaa accounting commands 15 default start-stop group tacacs+补充说明备注3.1.3 开启NTP服务保证记录的时间的准确性安全基线项目名称记录的时间的准确性安全基线要求项安全基线编号SBL-CiscoRouter-03-01-03 安全基线项说明开启NTP服务，保证日志功能记录的时间的准确性。检测操作步骤1. 参考配置操作配置命令如下：Router# config tEnter configuration commands, one

34、 per line. End with CNTL/Z.Router(config)# interface eth0/0Router(config-if)# no ntp disableRouter(config-if)# exit Router(config)# ntp server 14.2.9.2 source loopback0Router(config)# exit2. 补充操作说明需要到每个端口开启NTP基线符合性判定依据1. 判定条件I. 存在 ntp server 配置条目II. 日志记录时间准确2. 检测操作I. 使用show running-config命令，如下例：rout

35、er#show running-configBuilding configuration.Current configuration:!no ntp disablentp update-calendarntp server 128.237.32.2 ntp server 142.182.31.6II. show logging | include NTP000019: Jan 29 10:57:52.633 EST: %NTP-5-PEERSYNC: NTP synced to peer 172.25.1.5000020: Jan 29 10:57:52.637 EST: %NTP-6-PEE

36、RREACH: Peer 172.25.1.5 is reachable3. 补充说明日志时间不准确导致安全事件定位的不准确备注3.1.4 远程日志功能*安全基线项目名称远程日志功能安全基线要求项安全基线编号SBL-CiscoRouter-03-01-04 安全基线项说明设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP等。检测操作步骤1. 参考配置操作路由器侧配置：Router# config tEnter configuration commands, one per line. End with C

37、NTL/ZRouter(config)# logging onRouter(config)# logging trap informationRouter(config)# logging 192.168.0.100Router(config)# logging facility local6Router(config)# logging source-interface loopback0Router(config)# exit Router# show loggingSyslog logging: enabled (0 messages dropped, 11 flushes, 0over

38、runs)Console logging: level notifications, 35 messages loggedMonitor logging: level debugging, 35 messages loggedBuffer logging: level informational, 31 messages loggedLogging to 192.168.0.100, 28 message lines logged.Router#2. 补充操作说明I. 假设把router日志存储在192.168.0.100的syslog服务器上路由器侧配置描述如下：启用日志记录日志级别设定“i

39、nformation”记录日志类型设定“local6”日志发送到192.168.0.100日志发送源是loopback0配置完成可以使用“show logging”验证服务器侧配置参考如下：Syslog服务器配置参考：在Syslog.conf上增加一行# Save router messages to routers.loglocal6.debug /var/log/routers.log创建日志文件#touch /var/log/routers.logII. 如果使用snmp存储日志参考配置如下：Router# config tEnter configuration commands, on

40、e per line. End with CNTL/Z.Router(config)# logging trap informationRouter(config)# snmp-server host 192.168.0.100 traps publicRouter(config)# snmp-server trap-source loopback0Router(config)# snmp-server enable traps syslogRouter(config)# exit 基线符合性判定依据1. 判定条件I. Syslog logging和SNMP logging至少有一个为“ena

41、bled”II. Logging to后面的主机名或IP指向日志服务器III. 通常记录日志数不为02. 检测操作使用show logging命令，如下例：Router# show loggingSyslog logging: enabled Console logging: disabled Monitor logging: level debugging, 266 messages logged. Trap logging: level informational, 266 messages logged. Logging to 192.180.2.238SNMP logging: dis

42、abled, retransmission after 30 seconds 0 messages loggedRouter#3. 补充说明备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。建议核心设备必选，其它根据实际情况启用第4章 IP协议安全要求4.1 IP协议4.1.1 配置路由器防止地址欺骗安全基线项目名称配置路由器防止地址欺骗安全基线要求项安全基线编号SBL-CiscoRouter-04-01-01 安全基线项说明配置路由器，防止地址欺骗。检测操作步骤1. 参考配置操作对向内流量配置：Router(config)# no access-list 100 Router

43、(config)# access-list 100 deny ip 192.168.10.0 0.0.0.255 any logRouter(config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any logRouter(config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any logRouter(config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any logRouter(config)# access-lis

44、t 100 deny ip 172.16.0.0 0.15.255.255 any logRouter(config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any logRouter(config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any logRouter(config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any logRouter(config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any logRouter(config)# access-list 100 deny ip host 255.255.255.255 any logRouter(config)# access-list 100 permit

展开阅读全文