CISCO网络设备加固手册Word文档格式.doc
- 文档编号:13160426
- 上传时间:2022-10-07
- 格式:DOC
- 页数:8
- 大小:48.50KB
CISCO网络设备加固手册Word文档格式.doc
《CISCO网络设备加固手册Word文档格式.doc》由会员分享,可在线阅读,更多相关《CISCO网络设备加固手册Word文档格式.doc(8页珍藏版)》请在冰豆网上搜索。
10 修改设备网络标签 8
1IOS版本升级
Ø
确保设备操作系统软件版本及时更新,软件版本较低会带来安全性和稳定性方面的隐患,因此要求在设备的FLASH容量允许的情况下升级到较新的版本。
必要情况下可升级设备的FLASH容量。
确保所有的网络设备维护在本地进行。
对于允许远程登陆管理的网络设备,必须设置口令保护和相应的ACL,限定可远程登录的主机IP地址范围,并使用支持加密的登陆方式,如SSL等。
2关闭服务
关闭设备上不需要的服务:
Smallservices(echo,discard,chargen,etc.)
Router(config)#noservicetcp-small-servers
Router(config)#noserviceudp-small-serversFinger
Router(config)#noservicefinger
Router(config)#noipfingerHTTP
Router(config)#noiphttpserverSNMP
Router(config)#nosnmp-serverCDP
Router(config)#nocdprunRemoteconfig
Router(config)#noserviceconfigSourcerouting
Router(config)#noipsource-routePad
Router(config)#noservicepadICMP
Router(config)#noipicmpredirectDNS
Router(config)#noipname-server
如果需要使用HTTP管理设备,建议采用以下认证方式:
确保使用iphttpaccess-class命令来限制只有授权的地址可以访问;
确保使用TACACS+或RADIUS对登录进行认证;
Router(config)#iphttpaccess-class
Router(config)#iphttpauthentication<
enable,local,tacacs>
Router(config)#iphttpport11111
Router(config)#iphttpserver
3用户名
如果没有使用用户名,增加用户名认证:
Router(config)#usernamemynamepasswordmypass
不同的路由器使用不同的方式激活,可能需要使用linevty,然后设置loginlocal,也可能需要启用AAA模式,配置aaanew-model来激活AAA模式。
同样将其它的登录console、AUX等,设为需要用户名和口令认证。
4口令
确保所有使用的口令必须为健壮口令,password和enable的口令都需要加密存放,对consoleline、auxiliaryline和virtualterminallines访问设置密码并加密保护:
Enablesecret
Router(config)#enablesecret02manyRt3sConsoleLine
Router(config)#linecon0
Router(config-line)#passwordSoda-4-jimmYAuxiliaryLine
Router(config)#lineaux0
Router(config-line)#passwordPopcorn-4-saraVTYLines
Router(config)#linevty04
Router(config-line)#passwordDots-4-georg3
保护口令不以明文显示
Router(config)#servicepassword-encryption
确保对consoleline、auxiliaryline和virtualterminallines的安全配置:
ConsoleLine
Router(config)#linecon0
Router(config-line)#exec-timeout50
Router(config-line)#login
Router(config-line)#transportinputtelnetAuxiliaryLine
Router(config)#lineaux0
Router(config-line)#exec-timeout01
Router(config-line)#noexec
Router(config-line)#transportinputnoneVTYlines
Router(config)#noaccess-list92
Router(config)#access-list92permit10.1.1.1
Router(config)#access-list92permit10.1.1.2
Router(config)#linevty04
Router(config-line)#access-class92in
Router(config-line)#transportinputtelnet
Router(config-line)#servicetcp-keepalives-in
5访问控制
配置access-list,设置允许登录的IP地址和登录类型,例如允许A.B.C.D地址的ssh登录本IP(1.2.3.4):
Router(config)#access-list110permittcpA.B.C.D1.2.3.4eq22
配置防ipspoof的access-list,假设叶子节点网的IP地址段为A.B.C.Dmask/24,那么在out的端口上设置:
Router(config)#access-list110permitipA.B.C.D0.0.0.255any
Router(config)#access-list110denyipanyany
在in的端口上设置:
Router(config)#access-list110denyipA.B.C.D0.0.0.255any
Router(config)#access-list110permitipanyany
配置防CISCO漏洞的拒绝服务攻击:
Router(config)#access-list110deny55anyany
Router(config)#access-list110deny77anyany
如果有必要,可以对某些拒绝服务攻击的包进行log。
其它类型的拒绝服务,都可以使用相应的访问控制列表进行过滤,但对系统性能可能会有一些影响。
其中一些拒绝服务现在操作系统已基本都能防范,不需要特别设置。
例如对SYN:
Router(Config)#access-list110permittcpany192.168.0.00.0.0.255established
LAND:
Router(Config)#access-list110denyiphost192.168.0.111host192.168.0.111
SMURF:
Router(Config)#access-list110denyipanyhost192.168.0.255
6使用SSH
IOS必需为支持IPSEC的版本。
设置SSH的超时间隔和尝试登录次数
Router(Config)#ipsshtimeout90
Router(Config)#ipsshanthentication-retries2
Router(Config)#linevty04
Router(Config-line)#access-class22in
Router(Config-line)#transportinputssh
Router(Config-line)#loginlocal
Router(Config-line)#exit
启用SSH服务,生成RSA密钥对。
Router(Config)#cryptokeygeneratersa
Thenameforthekeyswillbe:
router.blushin.org
Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneral
Purposekeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.
Howmanybitsinthemodulus[512]:
2048
GeneratingRSAKeys...
[OK]
Router#
7使用路由协议md5认证
对于网络
Router(Config)#routerospf100
Router(Config-router)#network192.168.100.00.0.0.255area100
启用MD5认证。
areaarea-idauthentication启用认证,是明文密码认证。
areaarea-idauthenticationmessage-digest
Router(Config-router)#area100authenticationmessage-digest
Router(Config)#exit
Router(Config)#interfaceeth0/1
启用MD5密钥Key为routerospfkey。
ipospfauthentication-keykey启用认证密钥,但会是明文传输。
ipospfmessage-digest-keykey-id(1-255)md5key
Router(Config-if)#ipospfmessage-digest-key1md5routerospfkey
如果使用了RIP协议,也使用类似的命令进行设置
Router(Config)#keychainmykeychainname
Router(Config-keychain)#key1
Router(Config-leychain-key)#key-stringMyFirstKey
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISCO 网络设备 加固 手册
![提示](https://static.bdocx.com/images/bang_tan.gif)