Cisco网络设备加固修订版.docx
- 文档编号:23775892
- 上传时间:2023-05-20
- 格式:DOCX
- 页数:20
- 大小:20.91KB
Cisco网络设备加固修订版.docx
《Cisco网络设备加固修订版.docx》由会员分享,可在线阅读,更多相关《Cisco网络设备加固修订版.docx(20页珍藏版)》请在冰豆网上搜索。
Cisco网络设备加固修订版
Cisco网络设备加固规范
2022年4月修订版
本建议用于Cisco路由器和基于CiscoIOS的交换机及其三层处理模块,其软件版本为CISCOIOS12.0及以上版本。
加固前应该先备份系统配置文件。
1账号管理、认证授权
1.1本机认证和授权
1.1.1SHG-Cisco-01-01-01
编号:
SHG-Cisco-01-01-01
名称:
本机认证和授权设置
实施目的:
初始模式下,设备内一般建有没有密码的管理员账号,该账号只能用于Console连接,不能用于远程登录。
强烈建议用户应在初始化配置时为它们加添密码。
一般而言,设备允许用户自行创建本机登录账号,并为其设定密码和权限。
同时,为了AAA服务器出现问题时,对设备的维护工作仍可正常进行,建议保留必要的维护用户。
问题影响:
非法访问文件或目录。
系统当前状态:
查看备份的系统配置文件中关于管理员账号配置。
实施方案:
1、参考配置操作
配置本地用户BluShin,密码GoodPa55w0rd,权限为10
Router(Config)#usernameBluShinprivilege10passwordG00dPa55w0rd
Router(Config)#privilegeEXEClevel10telnet
Router(Config)#privilegeEXEClevel10showipaccess-list
回退方案:
还原系统配置文件。
判断依据
帐号、口令配置,指定了认证系统
实施风险:
低
重要等级:
★
1.2口令
1.2.1SHG-Cisco-01-02-01
编号:
SHG-Cisco-01-02-01
名称:
设置特权口令
实施目的:
不要采用enablepassword设置密码,而采用enablesecret命令设置,enablesecret命令用于设定具有管理员权限的口令,而enablepassword采用的加密算法比较弱。
而要采用enablesecret命令设置。
并且要启用Servicepassword-encryption,这条命令用于对存储在配置文件中的所有口令和类似数据进行加密。
避免当配置文件被不怀好意者看见,从而获得这些数据的明文。
问题影响;
密码容易被非法利用。
系统当前状态:
查看备份的系统配置文件中关于密码配置状态。
实施方案:
1、参考配置操作
Router(Config)#enablesecretxxxxxxxx
Router(Config)#Servicepassword-encryption
回退方案:
还原系统配置文件。
判断依据:
查看配置文件,核对参考配置操作。
实施风险:
低
重要等级:
★★★
1.2.2SHG-Cisco-01-02-02
编号:
SHG-Cisco-01-02-02
名称:
账号、口令授权
实施目的:
设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。
问题影响;
密码容易被非法利用。
系统当前状态:
实施方案:
与外部TACACS+server联动,远程登录使用TACACS+serverya验证;
回退方案:
还原系统配置文件。
判断依据:
帐号、口令配置,指定了认证系统。
实施风险:
低
重要等级:
★★★
1.2.3SHG-Cisco-01-02-03
编号:
SHG-Cisco-01-02-03
名称:
密码重试限制
实施目的:
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过5次,锁定该用户使用的账号。
问题影响;
暴力破解密码
系统当前状态:
#showipsshauthentication-retries
实施方案:
重试次数改成5次,则应该用:
TEST-GSR(config)#ipsshauthentication-retries5
TEST-GSR(config)#loginblock-for20attempts3within60
全局配置
回退方案:
还原系统配置文件。
判断依据:
实施风险:
低
重要等级:
★★★
1.2.4SHG-Cisco-01-02-04
编号:
SHG-Cisco-01-02-04
名称:
密码复杂度设置口令进行加密存储
实施目的:
防止系统弱口令的存在,并对口令加密存储,减少安全隐患。
问题影响:
增加密码被暴力破解的成功率。
系统当前状态:
查看系统配置信息。
实施方案:
1、参考配置操作
Router# config t
Router(config)# enable secret 2-mAny-rOUtEs
Router(config)# no enable password
Router(config)# end
回退方案:
还原系统配置文件。
判断依据:
查看配置文件,核对参考配置操作。
实施风险:
高
重要等级:
★★★
1.3登录要求
1.3.1SHG-Cisco-01-03-01
编号:
SHG-Cisco-01-03-01
名称:
加固CON端口的登录
实施目的:
控制CON端口的访问,给CON口设置高强度的登录密码,修改默认参数,配置认证策略。
问题影响:
增加密码被破解的成功率。
系统当前状态:
查看备份的系统配置文件中关于CON配置状态。
实施方案:
1、参考配置操作
Router(Config)#linecon0
Router(Config-line)#Transportinputnone
Router(Config-line)#Login
Router(Config-line)#passwordXXXXXXX
Router(Config-line)#Exec-timeoute30
Router(Config-line)#session-limit5
回退方案:
还原系统配置文件。
判断依据:
查看配置文件,核对参考配置操作。
实施风险:
高
重要等级:
★
1.3.2SHG-Cisco-01-03-02
编号:
SHG-Cisco-01-03-02
名称:
加固AUX端口的管理
实施目的:
除非使用拨号接入时使用AUX端口,否则禁止这个端口。
问题影响:
容易被攻击者利用。
系统当前状态:
查看备份的系统配置文件中关于CON配置状态。
实施方案:
1、参考配置操作
Router(Config)#lineaux0
Router(Config-line)#transportinputnone
Router(Config-line)#noexec
设置完成后无法通过AUX拨号接入路由器
回退方案:
还原系统配置文件。
判断依据:
查看配置文件,核对参考配置操作。
实施风险:
中
重要等级:
★
1.3.3SHG-Cisco-01-03-03
编号:
SHG-Cisco-01-03-03
名称:
HTTP登录安全加固
实施目的:
如非要采用HTTP服务,要求对HTTP服务进行严格的控制
如果必须选择使用HTTP进行管理,最好用iphttpaccess-class命令限定访问地址且用iphttpauthentication命令配置认证,修改HTTP的默认端口。
问题影响:
容易被非法用户获取口令进行违规操作。
系统当前状态:
查看备份的系统配置文件中关于HTTP登录配置状态。
实施方案:
1、参考配置操作
!
修改默认端口
Router(Config)#iphttpport50000
Router(Config)#access-list10permit192.168.0.1
Router(Config)#access-list10denyany
!
启用ACL严格控制可以登陆的维护地址
Router(Config)#iphttpaccess-class10
!
配置本地数据库
Router(Config)#usernameBluShinprivilege10passwordG00dPa55w0rd
!
启用本地认证
Router(Config)#iphttpauthlocal
Router(Config)#iphttpserver启用HTTP服务
回退方案:
还原系统配置文件。
判断依据:
查看配置文件,核对参考配置操作。
实施风险:
中
重要等级:
★
1.3.4SHG-Cisco-01-03-04
编号
SHG-Cisco-01-03-04
名称
设置登录超时时间
实施目的
对于具备字符交互界面的设备,应配置定时帐户自动登出。
问题影响
管理员忘记退出被非法利用
系统当前状态
查看配置文件time-out值,并记录。
实施步骤
Router#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#linecon0
Router(config-line)#exec-timeout50
超时限定改为180秒
TEST-GSR(config)#ipsshtime-out180
回退方案
修改/etc/profile的配置到加固之前的状态。
判断依据
time-out=180
实施风险
中
重要等级
★
备注
1.4帐号管理
1.4.1SHG-Cisco-01-04-01
编号:
SHG-Cisco-01-04-01
名称:
无效账户清理
实施目的:
删除与设备运行、维护等工作无关的账号
问题影响:
账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态:
查看备份的系统配置文件中帐号信息。
实施方案:
1、参考配置操作
Router#show running-config
查看现有帐号信息,如果有无用帐号,执行删除操作:
Router# config t
Router# no username ruser3
说明:
ruser3为需要删除的帐号
回退方案:
还原系统配置文件。
判断依据:
查看配置文件,核对参考配置操作。
实施风险:
高
重要等级:
★★★
2日志配置
2.1.1SHG-Cisco-03-01-01
编号:
SHG-Cisco-03-01-01
名称:
开启日志功能
实施目的:
为了实现对设备安全的管理,要求对设备的安全审计进行有效管理。
根据设备本身具有的属性和实际维护经验,建议相关安全审计信息应包括设备登录信息日志和设备事件信息日志,同时提供SYSLOG服务器的设置方式。
Cisco设备将LOG信息分成八个级别,由低到高分别为debugging、informational、notifications、warnings、errors、critical、alerts、emergencies。
考虑到日志信息的种类和详细程度,并且日志开启对设备的负荷有一定影响,在这建议获取有意义的日志信息,并将其发送到网管主机或日志服务器并进行分析,建议将notifications及以上的LOG信息送到日志服务器。
问题影响:
无法对用户的登陆进行日志记录。
系统当前状态:
查看备份的系统配置文件中关于logging服务的配置。
实施方案:
1、参考配置操作
!
开启日志
Router(Config)#loggingon
!
设置日志服务器地址
Router(Config)#logginga.b.c.d
!
日志记录级别,可用”?
”查看详细内容
Router(Config)#loggingtrapnotifications
!
日志发出用的源IP地址
Router(Config)#loggingsource-interfacee0
!
日志记录的时间戳设置,可根据需要具体配置
Router(Config)#servicetimestampslogdatetimelocaltime
回退方案:
还原系统配置文件。
判断依据:
查看配置文件,核对参考配置操作。
实施风险:
中
重要等级:
★★★
3通信协议
3.1.1SHG-Cisco-03-01-01
编号:
SHG-Cisco-03-01-01
名称:
SNMP服务器配置
实施目的:
如不需要提供SNMP服务的,要求禁止SNMP协议服务,注意在禁止时删除一些SNMP服务的默认配置。
问题影响:
被欺骗的基于数据包的协议。
系统当前状态:
查看备份的系统配置文件中关于SNMP服务的配置。
实施方案:
1、参考配置操作
Router(Config)#noSNMP-servercommunitypublicRo
Router(Config)#noSNMP-servercommunityprivateRW
Router(Config)#noSNMP-serverenabletraps
Router(Config)#noSNMP-serversystem-shutdown
Router(Config)#noSNMP-server
关闭,网管系统无法采集到相关管理数据,不能进行告警监控
回退方案:
还原系统配置文件。
判断依据:
service–status-all //看所有服务程序状态
netstat–an//看snmp的udp是否打开
实施风险:
中
重要等级:
★
3.1.2SHG-Cisco-03-01-02
编号:
SHG-Cisco-03-01-02
名称:
更改SNMPTRAP协议端口;
实施目的:
如开启SNMP协议,要求更改SNMPtrap协议的标准端口号,以增强其安全性。
问题影响:
容易引起拒绝服务攻击。
系统当前状态:
查看备份的系统配置文件中关于SNMP服务的配置。
实施方案:
1、参考配置操作
Router(config)#SNMP-serverhost10.0.0.1trapsversionudp-port1661
回退方案:
还原系统配置文件。
判断依据:
ShowSNMP
实施风险:
高
重要等级:
★
3.1.3SHG-Cisco-03-01-03
编号:
SHG-Cisco-03-01-03
名称:
限制发起SNMP连接的源地址
实施目的:
如开启SNMP协议,要求更改SNMP连接的源地址,以增强其安全性。
问题影响:
容易被非法攻击。
系统当前状态:
查看备份的系统配置文件中关于SNMP服务的配置。
实施方案:
1、参考配置操作
outer(Config)#access-list10permit192.168.0.1
Router(Config)#access-list10denyany
Router(Config)#SNMP-servercommunityMoreHardPublicRo10
【影响】:
只有指定的网管网段才能使用SNMP维护
回退方案:
还原系统配置文件。
判断依据:
查看配置文件,核对参考配置操作。
实施风险:
中
重要等级:
★
3.1.4SHG-Cisco-03-01-04
编号:
SHG-Cisco-03-01-04
名称:
设置SNMP密码
实施目的:
如开启SNMP协议,要求设置并定期更改SNMPCommunity(至少半年一次),以增强其安全性,不建议开启SNMPrw特性。
问题影响:
密码泄露,造成不一定的危险。
系统当前状态:
查看备份的系统配置文件中关于SNMP服务的配置。
实施方案:
1、参考配置操作
Router(Config)#SNMP-servercommunityMoreHardPublicro
!
不建议实施
Router(Config)#SNMP-servercommunityMoreHardPublicrw
回退方案:
还原系统配置文件。
判断依据:
查看配置文件,核对参考配置操作。
实施风险:
中
重要等级:
★
3.1.5SHG-Cisco-03-01-05
编号:
SHG-Cisco-03-01-05
名称:
使用ssh加密传输
实施目的:
提高远程管理安全性
问题影响:
使用非加密通信,内容易被非法监听,存在潜在安全风险
系统当前状态:
ps–ef|grepssh查看是否启用ssh
实施方案:
1、参考配置操作
配置仅允许ssh远程登录
Router(config)# line vty 0 4
Router(config-line)#transportinputssh
Router(config-line)#exit
回退方案:
还原系统配置文件。
判断依据:
查看配置文件,核对参考配置操作。
实施风险:
低
重要等级:
★★★
4设备其它安全要求
4.1.1SHG-Cisco-04-01-01
编号:
SHG-Cisco-04-01-01
名称:
禁止CDP(CiscoDiscoveryProtocol)
实施目的:
由于CDP服务可能被攻击者利用获得路由器的版本等信息,从而进行攻击,所以如果没有必要使用CDP服务,则应关闭CDP服务。
问题影响:
增加攻击的成功率。
系统当前状态:
查看备份的系统配置文件cdp当前配置的状态。
实施步骤:
1、参考配置操作
!
全局CDP的关闭
Router(Config)#nocdprun
!
特定端口CDP的关闭
Router(Config)#interfacef0/0
Router(Config-if)#nocdpenable
【影响】:
无法发现网络邻居的详细信息,造成维护不便。
回退方案:
!
全局CDP的恢复
Router(Config)#cdprun
特定端口CDP的恢复
Router(Config)#interfacef0/0
Router(Config-if)#cdpenable
判断依据:
ShowCDP但看是否还有相关信息
实施风险:
中
重要等级:
★
4.1.2SHG-Cisco-04-01-02
编号:
SHG-Cisco-04-01-02
名称:
禁止TCP、UDPSmall服务
实施目的:
Cisco路由器提供一些基于TCP和UDP协议的小服务如:
echo、chargen和discard。
这些小服务很少被使用,而且容易被攻击者利用来越过包过滤机制。
要求关闭这些服务。
问题影响:
增加攻击者的利用率。
系统当前状态:
查看备份的系统配置文件servicetcp-small-serversserviceudp-samll-servers当前配置的状态。
实施方案:
1、参考配置操作
Router(Config)#noservicetcp-small-servers
Router(Config)#noserviceudp-samll-servers
tcp-small-servers此服务打开了TCP7、9端口
udp-small-servers此服务打开了UDP9端口
回退方案:
Router(Config)#servicetcp-small-servers
Router(Config)#nserviceudp-samll-servers
判断依据:
查看配置文件,核对参考配置操作。
实施风险:
低
重要等级:
★★
4.1.3SHG-Cisco-04-01-03
编号:
SHG-Cisco-04-01-03
名称:
禁止Finger、NTP服务
实施目的:
Finger服务可能被攻击者利用查找用户和口令攻击。
NTP不是十分危险的,但是如果没有一个很好的认证,则会影响路由器正确时间,导致日志和其他任务出错。
要求关闭这些服务。
问题影响:
增加密码被破解的成功率。
系统当前状态:
查看备份的系统配置文件Finger、NTP服务当前配置的状态。
实施方案:
1、参考配置操作
Router(Config)#noipfinger
Router(Config)#noservicefinger
Router(Config)#nontp
回退方案:
Router(Config)#ipfinger
Router(Config)#servicefinger
Router(Config)#ntp
判断依据
查看配置文件,核对参考配置操作。
实施风险:
低
重要等级:
★
4.1.4SHG-Cisco-04-01-04
编号:
SHG-Cisco-04-01-04
名称:
禁止BOOTp服务
实施目的:
禁用自启动服务
问题影响:
会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”(man-in-middle)方式进行攻击
系统当前状态:
查看备份的系统配置文件BOOTp服务当前配置的状态。
实施方案:
1、参考配置操作
Router(Config)#noipbootpserver
回退方案:
Router(Config)#ipbootpserver
判断依据:
查看配置文件,核对参考配置操作。
实施风险:
低
重要等级:
★
4.1.5SHG-Cisco-04-01-05
编号:
SHG-Cisco-04-01-05
名称:
关闭不必要服务
实施目的:
关闭不必要服务
问题影响:
会造成网络信息失密造成网络不稳定
系统当前状态:
查看备份的系统配置文件下列服务当前配置的状态。
实施方案:
2、参考配置操作
Router(Config)#noipsource-route
Router(config)#noipdirectedbroadcast
Router(config)#servicepassword-encryption
WINS和DNS服务
Router(config)#noipdomain-lookup
ARP-proxy服务
Router(config)#noipproxy-arp
Router(config)#intf01
Router(config-if)#noipproxy-arp
回退方案:
Router(Config)#ipsource-route
判断依据:
查看配置文件,核对参考配置操作。
实施风险:
低
重要等级:
★
4.1.6SHG-Cisco-04-01-06
编号:
SHG-Cisco
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Cisco 网络设备 加固 修订版