Cisco路由器安全配置基线.docx
- 文档编号:10695811
- 上传时间:2023-02-22
- 格式:DOCX
- 页数:54
- 大小:29.05KB
Cisco路由器安全配置基线.docx
《Cisco路由器安全配置基线.docx》由会员分享,可在线阅读,更多相关《Cisco路由器安全配置基线.docx(54页珍藏版)》请在冰豆网上搜索。
Cisco路由器安全配置基线
Cisco路由器安全配置基线
Cisco路由器安全配置基线
中国移动通信有限公司管理信息系统部
2012年04月
版本
版本控制信息
更新日期
更新人
审批人
V1.0
创建
2009年1月
V2.0
更新
2012年4月
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
第1章概述
1.1目的
本文档规定了中国移动管理信息系统部所维护管理的Cisco路由器应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Cisco路由器的安全配置。
1.2适用范围
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
本配置标准适用的范围包括:
中国移动总部和各省公司信息化部门维护管理的Cisco路由器。
1.3适用版本
Cisco路由器。
1.4实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第2章帐号管理、认证授权安全要求
2.1帐号管理
2.1.1用户帐号分配*
安全基线项目名称
用户帐号分配安全基线要求项
安全基线编号
SBL-CiscoRouter-02-01-01
安全基线项说明
应按照用户分配帐号。
避免不同用户间共享帐号。
避免用户帐号和设备间通信使用的帐号共享。
检测操作步骤
1.参考配置操作
Router#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#servicepassword-encryption
Router(config)#usernameruser1password3d-zirc0nia
Router(config)#usernameruser1privilege1
Router(config)#usernameruser2password2B-or-3B
Router(config)#usernameruser2privilege1
Router(config)#end
Router#
2.补充操作说明
基线符合性判定依据
1.判定条件
I.配置文件中,存在不同的帐号分配
II.网络管理员确认用户与帐号分配关系明确
2.检测操作
使用showrunning-config命令,如下例:
router#showrunning-config
Buildingconfiguration...
Currentconfiguration:
!
servicepassword-encryption
usernameruser1password3d-zirc0nia
usernameruser1privilege1
usernameruser2password2B-or-3B
usernameruser2privilege1
3.补充说明
使用共享帐号容易造成职责不清
备注
需要手工检查,由管理员确认帐号分配关系。
2.1.2删除无关的帐号*
安全基线项目名称
无关的帐号安全基线要求项
安全基线编号
SBL-CiscoRouter-02-01-02
安全基线项说明
应删除与设备运行、维护等工作无关的帐号。
检测操作步骤
1.参考配置操作
Router#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#nousernameruser3
2.补充操作说明
基线符合性判定依据
1.判定条件
I.配置文件存在多帐号
II.网络管理员确认所有帐号与设备运行、维护等工作有关
2.检测操作
使用showrunning-config命令,如下例:
router#showrunning-config
Buildingconfiguration...
Currentconfiguration:
!
usernameuser1privilege1passwordpassword1
usernamenobodyuseprivilege1passwordpassword1
3.补充说明
删除不用的帐号,避免被利用
备注
需要手工检查,由管理员判断是否存在无关帐号
2.1.3限制具备管理员权限的用户远程登录*
安全基线项目名称
限制具备管理员权限的用户远程登录安全基线要求项
安全基线编号
SBL-CiscoRouter-02-01-03
安全基线项说明
限制具备管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再通过enable命令进入相应级别再后执行相应操作。
检测操作步骤
1.参考配置操作
Router#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#servicepassword-encryption
Router(config)#usernamenormaluserpassword3d-zirc0nia
Router(config)#usernamenormaluserprivilege1
Router(config)#linevty04
Router(config-line)#loginlocal
Router(config-line)#exec-timeout50
Router(config-line)#end
2.补充操作说明
设定帐号密码加密保存
创建normaluser帐号并指定权限级别为1;
设定远程登录启用路由器帐号验证;
设定超时时间为5分钟;
基线符合性判定依据
1.判定条件
I.VTY使用用户名和密码的方式进行连接验证
II.2、帐号权限级别较低,例如:
I
2.检测操作
使用showrunning-config命令,如下例:
router#showrunning-config
Buildingconfiguration...
Currentconfiguration:
!
servicepassword-encryption
usernamenormaluserpassword3d-zirc0nia
usernamenormaluserprivilege1
linevty04
loginlocal
3.补充说明
会导致远程攻击者通过黑客工具猜解帐号口令
备注
根据业务场景,自动化系统如果无法实现可不选此项,人工登录操作需要遵守此项规范。
2.2口令
2.2.1静态口令以密文形式存放
安全基线项目名称
静态口令安全基线要求项
安全基线编号
SBL-CiscoRouter-02-02-01
安全基线项说明
静态口令必须使用不可逆加密算法加密,以密文形式存放。
如使用enablesecret配置Enable密码,不使用enablepassword配置Enable密码。
检测操作步骤
1.参考配置操作
Router#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#servicepassword-encryption
Router(config)#enablesecret2-mAny-rOUtEs
Router(config)#noenablepassword
Router(config)#end
2.补充操作说明
基线符合性判定依据
1.判定条件
配置文件无明文密码字段
2.检测操作
使用showrunning-config命令,如下例:
router#showrunning-config
Buildingconfiguration...
Currentconfiguration:
!
servicepassword-encryption
enablesecret5$1oxphetTb$rTsF$EdvjtWbi0qA2g
usernameciscoadminpassword7Wbi0qA1$rTsF$Edvjt2gpvyhetTb
3.补充说明
如果不加密,使用showrunning-config命令,可以看到未加密的密码
备注
2.2.2帐号、口令和授权
安全基线项目名称
帐号、口令和授权安全基线要求项
安全基线编号
SBL-CiscoRouter-02-02-02
安全基线项说明
设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。
检测操作步骤
1.参考配置操作
Router#configureterminal
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#aaanew-model
Router(config)#aaaauthenticationlogindefaultgrouptacacs+
Router(config)#aaaauthenticationenabledefaultgrouptacacs+
Router(config)#tacacs-serverhost192.168.6.18
Router(config)#tacacs-serverkeyIr3@1yh8n#w9@swD
Router(config)#end
Router#
2.补充操作说明
与外部TACACS+server192.168.6.18联动,远程登录使用TACACS+serverya验证
基线符合性判定依据
1.判定条件
帐号、口令配置,指定了认证系统
2.检测操作
使用showrunning-config命令,如下例:
router#showrunning-config
Buildingconfiguration...
Currentconfiguration:
!
aaanew-model
aaaauthenticationlogindefaultgrouptacacs+
aaaauthenticationenabledefaultgrouptacacs+
tacacs-serverhost192.168.6.18
tacacs-serverkeyIr3@1yh8n#w9@swD
补充说明
备注
2.2.3密码复杂度
安全基线项目名称
密码复杂度安全基线要求项
安全基线编号
SBL-CiscoRouter-02-02-03
安全基线项说明
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
检测操作步骤
1.参考配置操作
Router#configureterminal
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#aaanew-model
Router(config)#aaaauthenticationlogindefaultgrouptacacs+
Router(config)#aaaauthenticationenabledefaultgrouptacacs+
Router(config)#tacacs-serverhost192.168.6.18
Router(config)#tacacs-serverkeyIr3@1yh8n#w9@swD
Router(config)#end
Router#
2.补充操作说明
与外部TACACS+server192.168.6.18联动,远程登录使用TACACS+serverya验证;口令强度由TACACS+server控制
基线符合性判定依据
备注
2.3授权
2.3.1用IP协议进行远程维护的设备使用SSH等加密协议
安全基线项目名称
IP协议进行远程维护的设备安全基线要求项
安全基线编号
SBL-CiscoRouter-02-03-01
安全基线项说明
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议。
检测操作步骤
1.参考配置操作
I.配置主机名和域名
router#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
router(config)#hostnameRouter
Router(config)#ipdomain-nameRouter.domain-name
II.配置访问控制列表
Router(config)#noaccess-list12
Router(config)#access-list12permithost192.168.0.200
Router(config)#linevty04
Router(config-line)#access-class12in
Router(config-line)#exit
III.配置帐号和连接超时
Router(config)#servicepassword-encryption
Router(config)#usernamenormaluserpassword3d-zirc0nia
Router(config)#usernamenormaluserprivilege1
Router(config)#linevty04
Router(config-line)#loginlocal
Router(config-line)#exec-timeout50
IV.生成rsa密钥对
Router(config)#cryptokeygeneratersa
Thenameforthekeyswillbe:
Router.domain-name
Choosethesizeofthekeymodulusintherangeof360to
2048foryourGeneralPurposeKeys.Choosingakeymodulus
greaterthan512maytakeafewminutes.
Howmanybitsinthemodulus[512]:
2048
GeneratingRSAKeys...
[OK]
V.配置仅允许ssh远程登录
Router(config)#linevty04
Router(config-line)#transportinputssh
Router(config-line)#exit
Router(config)#
2.补充操作说明
配置描述:
I.配置ssh要求路由器已经存在主机名和域名
II.配置访问控制列表,仅授权192.168.0.200访问192.168.0.100ssh
III.配置远程访问里连接超时
IV.生成rsa密钥对,如果已经存在可以使用以前的。
默认存在rsa密钥对sshd就启用,不存在rsa密钥对sshd就停用。
V.配置远程访问协议为ssh
基线符合性判定依据
1.判定条件
I.存在rsa密钥对
II.远程登录指定ssh协议
2.检测操作
I.使用showcryptokeymypubkeyrsa命令,如下例:
Router(config)#showcryptokeymypubkeyrsa
%Keypairwasgeneratedat:
06:
07:
49UTCJan131996
Keyname:
Usage:
SignatureKey
KeyData:
005C300D06092A864886F70D0101010500034B003048024100C5E23B55D6AB22
04AEF1BAA54028A69ACC01C5129D99E464CAB820847EDAD9DF0B4E4C73A05DD2
BD62A8A9FA603DD2E2A8A6F898F76E28D58AD221B583D7A4710203010001
%Keypairwasgeneratedat:
06:
07:
50UTCJan131996
Keyname:
Usage:
EncryptionKey
KeyData:
003020174A7D385B1234EF29335FC9732DD50A37C4F4B0FD9DADE748429618D5
18242BA32EDFBDD34296142ADDF7D3D8084076852F2190A00B43F1BD9A8A26DB
07953829791FCDE9A98420F06A82045B90288A26DBC644687789F76EEE21
II.使用showrunning-config命令,如下例:
router#showrunning-config
Buildingconfiguration...
Currentconfiguration:
!
linevty04
transportinputssh
3.补充说明
使用非加密协议在传输过程中容易被截获口令
备注
第3章日志安全要求
3.1日志安全
3.1.1对用户登录进行记录
安全基线项目名称
用户登录进行记录安全基线要求项
安全基线编号
SBL-CiscoRouter-03-01-01
安全基线项说明
与记账服务器(如RADIUS服务器或TACACS服务器)配合,设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的帐号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
检测操作步骤
1.参考配置操作
Router#configureterminal
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#aaanew-model
Router(config)#aaaaccountingconnectiondefaultstart-stopgrouptacacs+
Router(config)#aaaaccountingexecdefaultstart-stopgrouptacacs+Router(config)#end
Router1#
2.补充操作说明
使用TACACS+server
基线符合性判定依据
1.判定条件
配置了AAA模板的上述具体条目
2.检测操作
使用showrunning-config命令,如下例:
router1#showrunn|includeaaa
Buildingconfiguration...
Currentconfiguration:
!
aaanew-model
aaaauthenticationlogindefaultgrouptacacs+
aaaauthorizationexecdefaultgrouptacacs+
aaasession-idcommon
补充说明
备注
3.1.2记录用户对设备的操作
安全基线项目名称
用户对设备记录安全基线要求项
安全基线编号
SBL-CiscoRouter-03-01-02
安全基线项说明
与记账服务器(如TACACS服务器)配合,设备应配置日志功能,记录用户对设备的操作,如帐号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。
记录需要包含用户帐号,操作时间,操作内容以及操作结果。
检测操作步骤
1.参考配置操作
Router#configureterminal
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#aaanew-model
Router(config)#aaaaccountingcommands1defaultstart-stopgrouptacacs+
Router(config)#aaaaccountingcommands15defaultstart-stopgrouptacacs+
Router(config)#end
Router1#
2.补充操作说明
使用TACACS+server
基线符合性判定依据
1.判定条件
配置了AAA模板的上述具体条目
2.检测操作
使用showrunning-config命令,如下例:
router1#showrunn|includeaaa
Buildingconfiguration...
Currentconfiguration:
!
aaanew-model
aaaaccountingcommands1defaultstart-stopgrouptacacs+
aaaaccountingcommands15defaultstart-stopgrouptacacs+
补充说明
备注
3.1.3开启NTP服务保证记录的时间的准确性
安全基线项目名称
记录的时间的准确性安全基线要求项
安全基线编号
SBL-CiscoRouter-03-01-03
安全基线项说明
开启NTP服务,保证日志功能记录的时间的准确性。
检测操作步骤
1.参考配置操作
配置命令如下:
Router#
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Cisco 路由器 安全 配置 基线