收藏
下载资源下载资源 加入VIP,免费下载

CISCO网络设备加固手册Word文档格式.doc

上传人:b****1 文档编号:13160426 上传时间:2022-10-07 格式:DOC 页数:8 大小:48.50KB
下载 相关 举报
CISCO网络设备加固手册Word文档格式.doc_第1页
第1页 / 共8页
CISCO网络设备加固手册Word文档格式.doc_第2页
第2页 / 共8页
CISCO网络设备加固手册Word文档格式.doc_第3页
第3页 / 共8页
CISCO网络设备加固手册Word文档格式.doc_第4页
第4页 / 共8页
CISCO网络设备加固手册Word文档格式.doc_第5页
第5页 / 共8页
点击查看更多>>
下载资源
资源描述

CISCO网络设备加固手册Word文档格式.doc

《CISCO网络设备加固手册Word文档格式.doc》由会员分享,可在线阅读,更多相关《CISCO网络设备加固手册Word文档格式.doc(8页珍藏版)》请在冰豆网上搜索。

CISCO网络设备加固手册Word文档格式.doc

10 修改设备网络标签 8

1IOS版本升级

Ø

确保设备操作系统软件版本及时更新,软件版本较低会带来安全性和稳定性方面的隐患,因此要求在设备的FLASH容量允许的情况下升级到较新的版本。

必要情况下可升级设备的FLASH容量。

确保所有的网络设备维护在本地进行。

对于允许远程登陆管理的网络设备,必须设置口令保护和相应的ACL,限定可远程登录的主机IP地址范围,并使用支持加密的登陆方式,如SSL等。

2关闭服务

关闭设备上不需要的服务:

Smallservices(echo,discard,chargen,etc.)

Router(config)#noservicetcp-small-servers

Router(config)#noserviceudp-small-serversFinger

Router(config)#noservicefinger

Router(config)#noipfingerHTTP

Router(config)#noiphttpserverSNMP

Router(config)#nosnmp-serverCDP

Router(config)#nocdprunRemoteconfig

Router(config)#noserviceconfigSourcerouting

Router(config)#noipsource-routePad

Router(config)#noservicepadICMP

Router(config)#noipicmpredirectDNS

Router(config)#noipname-server

如果需要使用HTTP管理设备,建议采用以下认证方式:

确保使用iphttpaccess-class命令来限制只有授权的地址可以访问;

确保使用TACACS+或RADIUS对登录进行认证;

Router(config)#iphttpaccess-class

Router(config)#iphttpauthentication<

enable,local,tacacs>

Router(config)#iphttpport11111

Router(config)#iphttpserver

3用户名

如果没有使用用户名,增加用户名认证:

Router(config)#usernamemynamepasswordmypass

不同的路由器使用不同的方式激活,可能需要使用linevty,然后设置loginlocal,也可能需要启用AAA模式,配置aaanew-model来激活AAA模式。

同样将其它的登录console、AUX等,设为需要用户名和口令认证。

4口令

确保所有使用的口令必须为健壮口令,password和enable的口令都需要加密存放,对consoleline、auxiliaryline和virtualterminallines访问设置密码并加密保护:

Enablesecret

Router(config)#enablesecret02manyRt3sConsoleLine

Router(config)#linecon0

Router(config-line)#passwordSoda-4-jimmYAuxiliaryLine

Router(config)#lineaux0

Router(config-line)#passwordPopcorn-4-saraVTYLines

Router(config)#linevty04

Router(config-line)#passwordDots-4-georg3

保护口令不以明文显示

Router(config)#servicepassword-encryption

确保对consoleline、auxiliaryline和virtualterminallines的安全配置:

ConsoleLine

Router(config)#linecon0

Router(config-line)#exec-timeout50

Router(config-line)#login

Router(config-line)#transportinputtelnetAuxiliaryLine

Router(config)#lineaux0

Router(config-line)#exec-timeout01

Router(config-line)#noexec

Router(config-line)#transportinputnoneVTYlines

Router(config)#noaccess-list92

Router(config)#access-list92permit10.1.1.1

Router(config)#access-list92permit10.1.1.2

Router(config)#linevty04

Router(config-line)#access-class92in

Router(config-line)#transportinputtelnet

Router(config-line)#servicetcp-keepalives-in

5访问控制

配置access-list,设置允许登录的IP地址和登录类型,例如允许A.B.C.D地址的ssh登录本IP(1.2.3.4):

Router(config)#access-list110permittcpA.B.C.D1.2.3.4eq22

配置防ipspoof的access-list,假设叶子节点网的IP地址段为A.B.C.Dmask/24,那么在out的端口上设置:

Router(config)#access-list110permitipA.B.C.D0.0.0.255any

Router(config)#access-list110denyipanyany

在in的端口上设置:

Router(config)#access-list110denyipA.B.C.D0.0.0.255any

Router(config)#access-list110permitipanyany

配置防CISCO漏洞的拒绝服务攻击:

Router(config)#access-list110deny55anyany

Router(config)#access-list110deny77anyany

如果有必要,可以对某些拒绝服务攻击的包进行log。

其它类型的拒绝服务,都可以使用相应的访问控制列表进行过滤,但对系统性能可能会有一些影响。

其中一些拒绝服务现在操作系统已基本都能防范,不需要特别设置。

例如对SYN:

Router(Config)#access-list110permittcpany192.168.0.00.0.0.255established

LAND:

Router(Config)#access-list110denyiphost192.168.0.111host192.168.0.111

SMURF:

Router(Config)#access-list110denyipanyhost192.168.0.255

6使用SSH

IOS必需为支持IPSEC的版本。

设置SSH的超时间隔和尝试登录次数

Router(Config)#ipsshtimeout90

Router(Config)#ipsshanthentication-retries2

Router(Config)#linevty04

Router(Config-line)#access-class22in

Router(Config-line)#transportinputssh

Router(Config-line)#loginlocal

Router(Config-line)#exit

启用SSH服务,生成RSA密钥对。

Router(Config)#cryptokeygeneratersa

Thenameforthekeyswillbe:

router.blushin.org

Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneral

Purposekeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.

Howmanybitsinthemodulus[512]:

2048

GeneratingRSAKeys...

[OK]

Router#

7使用路由协议md5认证

对于网络

Router(Config)#routerospf100

Router(Config-router)#network192.168.100.00.0.0.255area100

启用MD5认证。

areaarea-idauthentication启用认证,是明文密码认证。

areaarea-idauthenticationmessage-digest

Router(Config-router)#area100authenticationmessage-digest

Router(Config)#exit

Router(Config)#interfaceeth0/1

启用MD5密钥Key为routerospfkey。

ipospfauthentication-keykey启用认证密钥,但会是明文传输。

ipospfmessage-digest-keykey-id(1-255)md5key

Router(Config-if)#ipospfmessage-digest-key1md5routerospfkey

如果使用了RIP协议,也使用类似的命令进行设置

Router(Config)#keychainmykeychainname

Router(Config-keychain)#key1

Router(Config-leychain-key)#key-stringMyFirstKey

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 考试认证 > IT认证

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1