Cisco路由器安全配置基线

  • 格式:doc
  • 大小:764.50 KB
  • 文档页数:44

Cisco路由器安全配置基线中国移动通信有限公司管理信息系统部2012年 04月版本版本控制信息更新日期更新人审批人V1.0 创建2009年1月V2.0 更新2012年4月备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号管理 (2)2.1.1用户帐号分配* (2)2.1.2删除无关的帐号* (3)2.1.3限制具备管理员权限的用户远程登录* (4)2.2口令 (5)2.2.1静态口令以密文形式存放 (5)2.2.2帐号、口令和授权 (6)2.2.3密码复杂度 (7)2.3授权 (8)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (11)3.1日志安全 (11)3.1.1对用户登录进行记录 (11)3.1.2记录用户对设备的操作 (12)3.1.3开启NTP服务保证记录的时间的准确性 (13)3.1.4远程日志功能* (14)第4章IP协议安全要求 (17)4.1IP协议 (17)4.1.1配置路由器防止地址欺骗 (17)4.1.2系统远程服务只允许特定地址访问 (18)4.1.3过滤已知攻击 (20)4.2功能配置 (21)4.2.1功能禁用* (21)4.2.2启用协议的认证加密功能* (23)4.2.3启用路由协议认证功能* (24)4.2.4防止路由风暴 (26)4.2.5防止非法路由注入 (27)4.2.6SNMP的Community默认通行字口令强度 (28)4.2.7只与特定主机进行SNMP协议交互 (29)4.2.8配置SNMPV2或以上版本 (30)4.2.9关闭未使用的SNMP协议及未使用RW权限 (31)4.2.10LDP协议认证功能 (31)第5章其他安全要求 (33)5.1其他安全配置 (33)5.1.1关闭未使用的接口 (33)5.1.2修改路由缺省器缺省BANNER语 (34)5.1.3配置定时账户自动登出 (34)5.1.4配置consol口密码保护功能 (36)5.1.5关闭不必要的网络服务或功能 (37)5.1.6端口与实际应用相符 (38)第6章评审与修订 (40)第1章概述1.1 目的本文档规定了中国移动管理信息系统部所维护管理的Cisco路由器应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Cisco路由器的安全配置。

1.2 适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的Cisco路由器。

1.3 适用版本Cisco路由器。

1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。

本标准发布之日起生效。

1.5 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章帐号管理、认证授权安全要求2.1 帐号管理2.1.1用户帐号分配*安全基线项目名称用户帐号分配安全基线要求项安全基线编号SBL-CiscoRouter-02-01-01安全基线项说明应按照用户分配帐号。

避免不同用户间共享帐号。

避免用户帐号和设备间通信使用的帐号共享。

检测操作步骤1.参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# service password-encryptionRouter(config)# username ruser1 password 3d-zirc0niaRouter(config)# username ruser1 privilege 1Router(config)# username ruser2 password 2B-or-3BRouter(config)# username ruser2 privilege 1Router(config)# endRouter#2.补充操作说明基线符合性判定依据1.判定条件I.配置文件中,存在不同的帐号分配II.网络管理员确认用户与帐号分配关系明确2.检测操作使用show running-config命令,如下例:router#show running-configBuilding configuration...Current configuration:!service password-encryptionusername ruser1 password 3d-zirc0niausername ruser1 privilege 1username ruser2 password 2B-or-3Busername ruser2 privilege 13.补充说明使用共享帐号容易造成职责不清备注需要手工检查,由管理员确认帐号分配关系。

2.1.2删除无关的帐号*安全基线项目名称无关的帐号安全基线要求项安全基线编号SBL-CiscoRouter-02-01-02安全基线项说明应删除与设备运行、维护等工作无关的帐号。

检测操作步骤1.参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# no username ruser32.补充操作说明基线符合性判定依据1.判定条件I.配置文件存在多帐号II.网络管理员确认所有帐号与设备运行、维护等工作有关2.检测操作使用show running-config命令,如下例:router#show running-configBuilding configuration...Current configuration:!username user1 privilege 1 password password1 username nobodyuse privilege 1 password password13.补充说明删除不用的帐号,避免被利用备注需要手工检查,由管理员判断是否存在无关帐号2.1.3限制具备管理员权限的用户远程登录*安全基线项限制具备管理员权限的用户远程登录安全基线要求项目名称安全基线编SBL-CiscoRouter-02-01-03号安全基线项限制具备管理员权限的用户远程登录。

远程执行管理员权限操作,应先以普说明通权限用户远程登录后,再通过enable命令进入相应级别再后执行相应操作。

检测操作步骤1.参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# service password-encryptionRouter(config)# username normaluser password 3d-zirc0niaRouter(config)# username normaluser privilege 1Router(config)# line vty 0 4Router(config-line)# login localRouter(config-line)# exec-timeout 5 0Router(config-line)# end2.补充操作说明设定帐号密码加密保存创建normaluser帐号并指定权限级别为1;设定远程登录启用路由器帐号验证;设定超时时间为5分钟;基线符合性判定依据1.判定条件I.VTY使用用户名和密码的方式进行连接验证II.2、帐号权限级别较低,例如:I2.检测操作使用show running-config命令,如下例:router#show running-configBuilding configuration...Current configuration:!service password-encryptionusername normaluser password 3d-zirc0niausername normaluser privilege 1line vty 0 4login local3.补充说明会导致远程攻击者通过黑客工具猜解帐号口令备注根据业务场景,自动化系统如果无法实现可不选此项,人工登录操作需要遵守此项规范。

2.2 口令2.2.1静态口令以密文形式存放安全基线项目名称静态口令安全基线要求项安全基线编号SBL-CiscoRouter-02-02-01安全基线项说明静态口令必须使用不可逆加密算法加密,以密文形式存放。

如使用enablesecret配置Enable密码,不使用enable password配置Enable密码。

检测操作步骤1.参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#service password-encryptionRouter(config)# enable secret 2-mAny-rOUtEsRouter(config)# no enable passwordRouter(config)# end2.补充操作说明基线符合性判定依据1.判定条件配置文件无明文密码字段2.检测操作使用show running-config命令,如下例:router#show running-configBuilding configuration...Current configuration:!service password-encryptionenable secret 5 $1oxphetTb$rTsF$EdvjtWbi0qA2gusername ciscoadmin password 7 Wbi0qA1$rTsF$Edvjt2gpvyhetTb3.补充说明如果不加密,使用show running-config命令,可以看到未加密的密码备注2.2.2帐号、口令和授权安全基线项帐号、口令和授权安全基线要求项目名称安全基线编SBL-CiscoRouter-02-02-02号安全基线项设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要说明求。