Cisco路由器安全配置基线3544.docx-淘文阁

资源描述

《Cisco路由器安全配置基线3544.docx》由会员分享，可在线阅读，更多相关《Cisco路由器安全配置基线3544.docx（54页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、 Cisco路由器安全配置基线Ciscco路由由器安全全配置基线线中国移动动通信有有限公司司管理理信息系系统部20122年 044月版本版本控制制信息更新日期期更新人审批人V1.00创建20099年1月V2.00更新20122年4月月备注：1. 若此文档档需要日日后更新新，请创创建人填填写版本本控制表表格，否否则删除除版本控控制表格格。目录第1章概概述11.1目目的11.2适适用范围围11.3适适用版本本11.4实实施11.5例例外条款款1第2章帐帐号管理理、认证证授权安安全要求求22.1帐帐号管理理22.1.1用户户帐号分分配*22.1.2删除除无关的的帐号*32.1.3限制制具备管管理员

2、权权限的用用户远程程登录*42.2口口令52.2.1静态态口令以以密文形形式存放放52.2.2帐号号、口令令和授权权62.2.3密码码复杂度度72.3授授权82.3.1用IP协议议进行远远程维护护的设备备使用SSSH等等加密协协议8第3章日日志安全全要求1113.1日日志安全全113.1.1对用用户登录录进行记记录1113.1.2记录录用户对对设备的的操作1123.1.3开启启NTPP服务保保证记录录的时间间的准确确性1333.1.4远程程日志功功能*14第4章IIP协议议安全要要求1774.1IIP协议议174.1.1配置置路由器器防止地地址欺骗骗174.1.2系统统远程服服务只允允许特定定

3、地址访访问1884.1.3过滤滤已知攻攻击2004.2功功能配置置214.2.1功能能禁用*214.2.2启用用协议的的认证加加密功能能*234.2.3启用用路由协协议认证证功能*244.2.4防止止路由风风暴2664.2.5防止止非法路路由注入入274.2.6SNNMP的的Commmunnityy默认通通行字口口令强度度284.2.7只与与特定主主机进行行SNMMP协议议交互2294.2.8配置置SNMMPV22或以上上版本3304.2.9关闭闭未使用用的SNNMP协协议及未未使用RRW权限限314.2.10LLDP协协议认证证功能331第5章其其他安全全要求3335.1其其他安全全配置33

4、35.1.1关闭闭未使用用的接口口335.1.2修改改路由缺缺省器缺缺省BAANNEER语345.1.3配置置定时账账户自动动登出3345.1.4配置置connsoll口密码码保护功功能3665.1.5关闭闭不必要要的网络络服务或或功能3375.1.6端口口与实际际应用相相符388第6章评评审与修修订400中国移动集团公司第 50 页共 44页第1章概述1.1 目的本文档规规定了中中国移动动管理信信息系统统部所维维护管理理的Ciiscoo路由器器应当遵遵循的设设备安全全性设置置标准，本本文档旨旨在指导导系统管管理人员员进行CCiscco路由由器的安安全配置置。1.2 适用范围围本配置标标准

5、的使使用者包包括：网网络管理理员、网网络安全全管理员员、网络络监控人人员。本配置标标准适用用的范围围包括：中国移移动总部部和各省省公司信信息化部部门维护护管理的的Cissco路路由器。1.3 适用版本本Ciscco路由由器。1.4 实施本标准的的解释权权和修改改权属于于中国移移动集团团管理信信息系统统部，在在本标准准的执行行过程中中若有任任何疑问问或建议议，应及及时反馈馈。本标准发发布之日日起生效效。1.5 例外条款款欲申请本本标准的的例外条条款，申申请人必必须准备备书面申申请文件件，说明明业务需需求和原原因，送送交中国国移动通通信有限限公司管管理信息息系统部部进行审审批备案案。第2章帐号管

6、理理、认证证授权安安全要求求2.1 帐号管理理2.1.1 用户帐号号分配*安全基线线项目名名称用户帐号号分配安全全基线要要求项安全基线线编号SBL-CisscoRRoutter-02-011-011 安全基线线项说明明应按照用用户分配配帐号。避避免不同同用户间间共享帐帐号。避避免用户户帐号和设设备间通通信使用用的帐号号共享。检测操作作步骤1. 参考配置置操作Routter# coonfiig ttEnteer cconffiguurattionn coommaandss, oone perr liine. Ennd wwithh CNNTL/Z.Routter(connfigg)# serrv

7、icce ppasssworrd-eencrrypttionnRoutter(connfigg)# useernaame russer11 paasswwordd 3dd-ziirc00niaaRoutter(connfigg)# useernaame russer11 prriviilegge 11Routter(connfigg)# useernaame russer22 paasswwordd 2BB-orr-3BBRoutter(connfigg)# useernaame russer22 prriviilegge 11Routter(connfigg)# endd Routter#2

8、. 补充操作作说明基线符合合性判定定依据1. 判定条件件I. 配置文件件中，存存在不同同的帐号号分配II. 网络管理理员确认认用户与与帐号分分配关系系明确2. 检测操作作使用shhow runnninng-cconffig命命令，如如下例：routter#shoow rrunnningg-coonfiigBuilldinng cconffiguurattionn.Currrentt coonfiigurratiion:!servvicee paasswwordd-enncryyptiionuserrnamme rruseer1 passswoord 3d-zirrc0nniauserrnamm

9、e rruseer1 priivillegee 1userrnamme rruseer2 passswoord 2B-or-3Buserrnamme rruseer2 priivillegee 13. 补充说明明使用共享享帐号容易易造成职职责不清清备注需要手工工检查，由由管理员员确认帐帐号分配配关系。2.1.2 删除无关关的帐号号*安全基线线项目名名称无关的帐帐号安全全基线要要求项安全基线线编号SBL-CisscoRRoutter-02-011-022安全基线线项说明明应删除与与设备运运行、维维护等工工作无关关的帐号号。检测操作作步骤1参考考配置操操作Routter# coonfiig ttE

10、nteer cconffiguurattionn coommaandss, oone perr liine. Ennd wwithh CNNTL/Z.Routter(connfigg)# no useernaame russer332补充充操作说说明基线符合合性判定定依据1. 判定条件件I. 配置文件件存在多多帐号II. 网络管理理员确认认所有帐帐号与设设备运行行、维护护等工作作有关2. 检测操作作使用shhow runnninng-cconffig命命令，如如下例：routter#shoow rrunnningg-coonfiigBuilldinng cconffiguurattionn.C

11、urrrentt coonfiigurratiion:!userrnamme uuserr1 pprivvileege 1 ppasssworrd ppasssworrd1userrnamme nnoboodyuuse priivillegee 1 passswoord passswoord113. 补充说明明删除不用用的帐号号，避免免被利用用备注需要手工工检查，由由管理员员判断是是否存在在无关帐帐号2.1.3 限制具备备管理员员权限的的用户远远程登录录*安全基线线项目名名称限制具备备管理员员权限的的用户远远程登录录安全基基线要求求项安全基线线编号SBL-CisscoRRoutter-02-0

12、1-03 安全基线线项说明明限制具备备管理员员权限的的用户远远程登录录。远程程执行管管理员权权限操作作，应先先以普通通权限用用户远程程登录后后，再通通过ennablle命令令进入相相应级别别再后执执行相应应操作。检测操作作步骤1 参考配置置操作Routter# coonfiig ttEnteer cconffiguurattionn coommaandss, oone perr liine. Ennd wwithh CNNTL/Z.Routter(connfigg)# serrvicce ppasssworrd-eencrrypttionnRoutter(connfigg)# useernaa

13、me norrmalluseer ppasssworrd 33d-zzircc0niiaRoutter(connfigg)# useernaame norrmalluseer pprivvileege 1Routter(connfigg)# linne vvty 0 44 Routter(connfigg-liine)# llogiin llocaalRoutter(connfigg-liine)# eexecc-tiimeoout 5 00Routter(connfigg-liine)# eend2 补充操作作说明设定帐号号密码加加密保存存创建noormaalusser帐帐号并指指定权限限级

14、别为为1；设定远程程登录启启用路由由器帐号号验证；设定超时时时间为为5分钟钟；基线符合合性判定定依据1. 判定条件件I. VTY使使用用户户名和密密码的方方式进行行连接验验证II. 2、帐号号权限级级别较低低，例如如：I2. 检测操作作使用shhow runnninng-cconffig命命令，如如下例：routter#shoow rrunnningg-coonfiigBuilldinng cconffiguurattionn.Currrentt coonfiigurratiion:!servvicee paasswwordd-enncryyptiionuserrnamme nnormmalu

15、userr paasswwordd 3dd-ziirc00niaauserrnamme nnormmaluuserr prriviilegge 11linee vtty 00 4 logiin llocaal3 补充说明明会导致远远程攻击击者通过过黑客工工具猜解解帐号口令令备注根据业务务场景，自自动化系系统如果果无法实实现可不不选此项项，人工工登录操操作需要要遵守此此项规范范。2.2 口令2.2.1 静态口令令以密文文形式存存放安全基线线项目名名称静态口令令安全基基线要求求项安全基线线编号SBL-CisscoRRoutter-02-02-011 安全基线线项说明明静态口令令必须使使用不可可逆加

16、密密算法加加密，以以密文形形式存放放。如使使用ennablle ssecrret配配置Ennablle密码码，不使使用ennablle ppasssworrd配置置Enaablee密码。检测操作作步骤1. 参考配置置操作Routter# coonfiig ttEnteer cconffiguurattionn coommaandss, oone perr liine. Ennd wwithh CNNTL/Z.Routter(connfigg)#sservvicee paasswwordd-enncryyptiionRoutter(connfigg)# enaablee seecreet 22-

17、mAAny-rOUUtEssRoutter(connfigg)# no enaablee paasswworddRoutter(connfigg)# endd2 补充操作作说明基线符合合性判定定依据1. 判定条件件配置文件件无明文文密码字字段2. 检测操作作使用shhow runnninng-cconffig命命令，如如下例：routter#shoow rrunnningg-coonfiigBuilldinng cconffiguurattionn.Currrentt coonfiigurratiion:!servvicee paasswwordd-enncryyptiionenabble s

18、eccrett 5 $1ooxphhetTTb$rrTsFF$EddvjttWbii0qAA2guserrnamme ccisccoaddminn paasswwordd 7 Wbbi0qqA1$rTssF$EEdvjjt2ggpvyhhetTTb3. 补充说明明如果不加加密,使使用shhow runnninng-cconffig命命令,可可以看到到未加密密的密码码备注2.2.2 帐号、口口令和授授权安全基线线项目名名称帐号、口口令和授授权安全全基线要要求项安全基线线编号SBL-CisscoRRoutter-02-02-02安全基线线项说明明设备通过过相关参参数配置置，与认认证系统统联动，满满

19、足帐号号、口令令和授权权的强制制要求。检测操作作步骤1. 参考配置置操作Routter#connfigguree teermiinall Enteer cconffiguurattionn coommaandss, oone perr liine. EEnd witth CCNTLL/Z.Routter(connfigg)#aaaa neww-moodellRoutter(connfigg)#aaaa autthennticcatiion loggin deffaullt ggrouup ttacaacs+Routter(connfigg)#aaaa autthennticcatiion en

20、aablee deefauult grooup taccacss+Routter(connfigg)#ttacaacs-serrverr hoost 1922.1668.66.188Routter(connfigg)#ttacaacs-serrverr keey IIr31yhh8n#w9swDDRoutter(connfigg)#eendRoutter#2. 补充操作作说明与外部TTACAACS+ seerveer 1192.1688.6.18联联动，远远程登录录使用TTACAACS+ seerveeryaa验证基线符合合性判定定依据1. 判定条件件帐号、口口令配置置，指定定了认证证系统2.

21、检测操作作使用shhow runnninng-cconffig命命令，如如下例：routter#shoow rrunnningg-coonfiigBuilldinng cconffiguurattionn.Currrentt coonfiigurratiion:!aaa neww-moodellaaa autthennticcatiion loggin deffaullt ggrouup ttacaacs+aaa autthennticcatiion enaablee deefauult grooup taccacss+tacaacs-serrverr hoost 1922.1668.66.

22、188tacaacs-serrverr keey IIr31yhh8n#w9swDD补充说明明备注2.2.3 密码复杂杂度安全基线线项目名名称密码复杂杂度安全全基线要要求项安全基线线编号SBL-CisscoRRoutter-02-02-03 安全基线线项说明明对于采用用静态口口令认证证技术的的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作作步骤1 参考配置置操作Routter#connfigguree teermiinall Enteer cconffiguurattionn coommaand

23、ss, oone perr liine. EEnd witth CCNTLL/Z.Routter(connfigg)#aaaa neww-moodellRoutter(connfigg)#aaaa autthennticcatiion loggin deffaullt ggrouup ttacaacs+Routter(connfigg)#aaaa autthennticcatiion enaablee deefauult grooup taccacss+Routter(connfigg)#ttacaacs-serrverr hoost 1922.1668.66.188Routter(connf

24、igg)#ttacaacs-serrverr keey IIr31yhh8n#w9swDDRoutter(connfigg)#eendRoutter#2. 补充操作作说明与外部TTACAACS+ seerveer 1192.1688.6.18 联动，远远程登录录使用TTACAACS+ seerveeryaa验证；口令强强度由TTACAACS+ seerveer控制制基线符合合性判定定依据备注2.3 授权2.3.1 用IP协协议进行行远程维维护的设设备使用用SSHH等加密密协议安全基线线项目名名称IP协议议进行远远程维护护的设备备安全基基线要求求项安全基线线编号SBL-CisscoRRoutte

25、r-02-03-01 安全基线线项说明明对于使用用IP协协议进行行远程维维护的设设备，设设备应配配置使用用SSHH等加密密协议。检测操作作步骤1. 参考配置置操作I. 配置主机机名和域域名routter# coonfiig ttEnteer cconffiguurattionn coommaandss, oone perr liine. Ennd wwithh CNNTL/Z.routter(connfigg)# hosstnaame RouuterrRoutter(connfigg)# ip dommainn-naame Rouuterr.doomaiin-nnameeII. 配置访问问控制

26、列列表Routter(connfigg)# no acccesss-liist 12 Routter(connfigg)# acccesss-liist 12 perrmitt hoost 1922.1668.00.2000Routter(connfigg)# linne vvty 0 44Routter(connfigg-liine)# aacceess-claass 12 inRoutter(connfigg-liine)# eexittIII. 配置帐号号和连接接超时Routter(connfigg)# serrvicce ppasssworrd-eencrrypttionnRoutte

27、r(connfigg)# useernaame norrmalluseer ppasssworrd 33d-zzircc0niiaRoutter(connfigg)# useernaame norrmalluseer pprivvileege 1Routter(connfigg)# linne vvty 0 44 Routter(connfigg-liine)# llogiin llocaalRoutter(connfigg-liine)# eexecc-tiimeoout 5 00IV. 生成rssa密钥钥对Routter(connfigg)# cryyptoo keey ggeneerat

28、te rrsaThe namme ffor thee keeys willl bbe: Rouuterr.doomaiin-nnameeChooose thee siize of thee keey mmoduuluss inn thhe rrangge oof 3360 to20488 foor yyourr Geenerral Purrposse KKeyss. CChooosinng aa keey mmoduulussgreaaterr thhan 5122 maay ttakee a feww miinuttes.How manny bbitss inn thhe mmoduulus

29、s 5512: 220488Geneerattingg RSSA KKeyss .OKV. 配置仅允允许sssh远程程登录Routter(connfigg)# linne vvty 0 44Routter(connfigg-liine)# ttrannspoort inpput sshh Routter(connfigg-liine)# eexittRoutter(connfigg)#2. 补充操作作说明配置描述述：I. 配置sssh要求求路由器器已经存存在主机机名和域域名II. 配置访问问控制列列表，仅仅授权1192.1688.0.2000访问1192.1688.0.1000 ssshIII

30、. 配置远程程访问里里连接超超时IV. 生成rssa密钥钥对，如如果已经经存在可可以使用用以前的的。默认认存在rrsa密密钥对ssshdd就启用用，不存存在rssa密钥钥对ssshd就就停用。V. 配置远程程访问协协议为sssh基线符合合性判定定依据1. 判定条件件I. 存在rssa密钥钥对II. 远程登录录指定sssh协协议2. 检测操作作I. 使用shhow cryyptoo keey mmypuubkeey rrsa命命令，如如下例：Routter(connfigg)# shoow ccryppto keyy myypubbkeyy rssa% Keey ppairr waas ggen

31、eeratted at: 066:077:499 UTTC JJan 13 19996Key namme: myrroutter.exaamplle.ccom Usaage: Siignaaturre KKey Keyy Daata:005CC3000D 0060992A886 448866F700D 00101101005 0000334B000 33048802441 000C55E233B 555D66AB22204AEEF1BBA AA540028AA6 99ACCC01CC5 1129DD99EE4 664CAAB8220 8847EEDADD9 DDF0BB4E44C733A055

32、DD22BD622A8AA9 FFA6003DDD2 EE2A8AA6F8 98FF76EE28 D588AD2221 B5883D77A4 7100203301 00001% Keey ppairr waas ggeneeratted at: 066:077:500 UTTC JJan 13 19996Key namme: myrroutter.exaamplle.ccom Usaage: Enncryyptiion Keyy Keyy Daata: 00030220177 4AA7D3385BB 12234EEF299 3335FCC9733 2DDD500A377 C44F4BB0FDD

33、 9DDADEE7488 42296118D55 1882422BA33 2EEDFBBDD33 422961142AA DDDF7DD3D88 08840776855 2FF21990A00 0BB43FF1BDD 9AA8A266DB 07795338299 7991FCCDE99 A9984220F00 6AA820045BB 9002888A266 DBBC6444688 77789FF76EE EEE21II. 使用shhow runnninng-cconffig命命令，如如下例：routter#shoow rrunnningg-coonfiigBuilldinng cconffig

34、uurattionn.Currrentt coonfiigurratiion:!linee vtty 00 4trannspoort inpput sshh3. 补充说明明使用非加加密协议议在传输输过程中中容易被被截获口口令备注第3章日志安全全要求3.1 日志安全全3.1.1 对用户登登录进行行记录安全基线线项目名名称用户登录录进行记记录安全全基线要要求项安全基线线编号SBL-CisscoRRoutter-03-011-011 安全基线线项说明明与记账服服务器(如RAADIUUS 服服务器或或TACCACSS服务器器)配合合，设备备应配置置日志功功能，对对用户登登录进行行记录，记记录内容容包

35、括用用户登录录使用的的帐号，登登录是否否成功，登登录时间间，以及及远程登登录时，用用户使用用的IPP地址。检测操作作步骤1. 参考配置置操作Routter#connfigguree teermiinall Enteer cconffiguurattionn coommaandss, oone perr liine. EEnd witth CCNTLL/Z.Routter(connfigg)#aaaa neww-moodell Routter(connfigg)#aaaa acccounntinng cconnnecttionn deefauult staart-stoop ggrouup tt

36、acaacs+Routter(connfigg)#aaaa acccounntinng eexecc deefauult staart-stoop ggrouup ttacaacs+ Roouteer(cconffig)#enndRoutter11#2. 补充操作作说明使用TAACACCS+ serrverr基线符合合性判定定依据1. 判定条件件配置了AAAA模模板的上上述具体体条目2. 检测操作作使用shhow runnninng-cconffig命命令，如如下例：routter11#shhow runnn | iinclludee aaaa Builldinng cconffiguurat

37、tionn.Currrentt coonfiigurratiion:!aaa neww-moodellaaa autthennticcatiion loggin deffaullt ggrouup ttacaacs+aaa autthorrizaatioon eexecc deefauult grooup taccacss+ aaa sesssioon-iid ccommmon补充说明明备注3.1.2 记录用户户对设备备的操作作安全基线线项目名名称用户对设设备记录录安全基基线要求求项安全基线线编号SBL-CisscoRRoutter-03-011-022安全基线线项说明明与记账服服务器(如TA

38、ACACCS服务务器)配配合，设设备应配配置日志志功能，记记录用户户对设备备的操作作，如帐帐号创建建、删除除和权限限修改，口口令修改改，读取取和修改改设备配配置，读读取和修修改业务务用户的的话费数数据、身身份数据据、涉及及通信隐隐私数据据。记录录需要包包含用户户帐号，操操作时间间，操作作内容以以及操作作结果。检测操作作步骤1. 参考配置置操作Routter#connfigguree teermiinall Enteer cconffiguurattionn coommaandss, oone perr liine. EEnd witth CCNTLL/Z.Routter(connfigg)#a

39、aaa neww-moodell Routter(connfigg)#aaaa acccounntinng ccommmandds 11 deefauult staart-stoop ggrouup ttacaacs+Routter(connfigg)#aaaa acccounntinng ccommmandds 115 ddefaaultt sttartt-sttop grooup taccacss+Routter(connfigg)#eendRoutter11#2. 补充操作作说明使用TAACACCS+ serrverr基线符合合性判定定依据1 判定条件件配置了AAAA模模板的上上述具体体

40、条目2. 检测操作作使用shhow runnninng-cconffig命命令，如如下例：routter11#shhow runnn | iinclludee aaaa Builldinng cconffiguurattionn.Currrentt coonfiigurratiion:!aaa neww-moodellaaa acccounntinng ccommmandds 11 deefauult staart-stoop ggrouup ttacaacs+aaa acccounntinng ccommmandds 115 ddefaaultt sttartt-sttop grooup t

41、accacss+补充说明明备注3.1.3 开启NTTP服务务保证记记录的时时间的准准确性安全基线线项目名名称记录的时时间的准准确性安安全基线线要求项项安全基线线编号SBL-CisscoRRoutter-03-011-033安全基线线项说明明开启NTTP服务务，保证证日志功功能记录录的时间间的准确确性。检测操作作步骤1. 参考配置置操作配置命令令如下：Routter# coonfiig ttEnteer cconffiguurattionn coommaandss, oone perr liine. Ennd wwithh CNNTL/Z.Routter(connfigg)# intterffa

42、cee etth0/0Routter(connfigg-iff)# no ntpp diisabbleRoutter(connfigg-iff)# exiit Routter(connfigg)# ntpp seerveer 114.22.9.2 ssourrce looopbaack00Routter(connfigg)# exiit2. 补充操作作说明需要到每每个端口口开启NNTP基线符合合性判定定依据1. 判定条件件I. 存在 nntp serrverr 配置置条目II. 日志记录录时间准准确2. 检测操作作I. 使用shhow runnninng-cconffig命令令，如下下例：ro

43、utter#shoow rrunnningg-coonfiigBuilldinng cconffiguurattionn.Currrentt coonfiigurratiion:!no nntp dissabllentp upddatee-caalenndarrntp serrverr 1228.2337.332.22 ntp serrverr 1442.1182.311.6II. showw llogggingg | inccludde NNTP0000019: Jaan 229 110:557:552.6633 ESTT: %NTPP-5-PEEERSYYNC: NTTP ssyncced

44、 to peeer 1172.25.1.550000020: Jaan 229 110:557:552.6637 ESTT: %NTPP-6-PEEERREEACHH: PPeerr 1772.225.11.5 is reaachaablee3. 补充说明明日志时间间不准确确导致安安全事件件定位的的不准确确备注3.1.4 远程日志志功能*安全基线线项目名名称远程日志志功能安安全基线线要求项项安全基线线编号SBL-CisscoRRoutter-03-01-04安全基线线项说明明设备应支支持远程程日志功功能。所所有设备备日志均均能通过过远程日日志功能能传输到到日志服服务器。设设备应支支持至少少一种通通用的远远程标准准日志接接口，如如SYSSLOGG、FTTP等。检测操作作步骤1. 参考配置置操作路由器侧侧配置：Routter# coonfi

展开阅读全文