Cisco网络设备加固规范V.doc

Cisco网络设备加固规范V.doc

《Cisco网络设备加固规范V.doc》由会员分享，可在线阅读，更多相关《Cisco网络设备加固规范V.doc（21页珍藏版）》请在冰豆网上搜索。

Cisco网络设备加固规范

2022年10月

第20页共21页

目录

1 账号管理、认证授权 2

1.1 本机认证和授权 2

1.1.1 SHG-Cisco-01-01-01 2

1.2 设置特权口令 3

1.2.1 SHG-Cisco-01-02-01 3

1.2.2 SHG-Cisco-01-02-02 3

1.3 登录要求 4

1.3.1 SHG-Cisco-01-03-01 4

1.3.2 SHG-Cisco-01-03-02 5

1.3.3 SHG-Cisco-01-03-03 6

2 日志配置 7

2.1.1 SHG-Cisco-03-01-01 7

3 通信协议 8

3.1.1 SHG-Cisco-03-01-01 8

3.1.2 SHG-Cisco-03-01-02 9

3.1.3 SHG-Cisco-03-01-03 9

3.2 SHG-Cisco-05-01-04 10

3.2.1 SHG-Cisco-03-02-01 11

3.2.2 SHG-Cisco-03-02-02 11

4 设备其它安全要求 13

4.1.1 SHG-Cisco-04-01-01 13

4.1.2 SHG-Cisco-04-01-02 14

4.1.3 SHG-Cisco-04-01-03 15

4.1.4 SHG-Cisco-01-01-04 15

4.1.5 SHG-Cisco-04-01-05 16

4.1.6 SHG-Cisco-04-01-06 17

4.1.7 SHG-Cisco-04-01-07 17

4.1.8 SHG-Cisco-04-01-08 18

4.1.9 SHG-Cisco-04-01-09 18

4.1.10 SHG-Cisco-04-01-10 19

本建议用于Cisco路由器和基于CiscoIOS的交换机及其三层处理模块，其软件版本为CISCOIOS12.0及以上版本。

加固前应该先备份系统配置文件。

1账号管理、认证授权

1.1本机认证和授权

1.1.1SHG-Cisco-01-01-01

编号：

SHG-Cisco-01-01-01

名称：

本机认证和授权设置

实施目的：

初始模式下，设备内一般建有没有密码的管理员账号，该账号只能用于Console连接，不能用于远程登录。

强烈建议用户应在初始化配置时为它们加添密码。

一般而言，设备允许用户自行创建本机登录账号，并为其设定密码和权限。

同时，为了AAA服务器出现问题时，对设备的维护工作仍可正常进行，建议保留必要的维护用户。

问题影响：

非法访问文件或目录。

系统当前状态：

查看备份的系统配置文件中关于管理员账号配置。

实施方案：

1、参考配置操作

配置本地用户BluShin，密码GoodPa55w0rd,权限为10

Router（Config）#usernameBluShinprivilege10passwordG00dPa55w0rd

Router（Config）#privilegeEXEClevel10telnet

Router（Config）#privilegeEXEClevel10showipaccess-list

回退方案：

还原系统配置文件。

判断依据

帐号、口令配置，指定了认证系统

实施风险：

低

重要等级：

★

1.2设置特权口令

1.2.1SHG-Cisco-01-02-01

编号：

SHG-Cisco-01-02-01

名称：

设置特权口令

实施目的：

不要采用enablepassword设置密码，而采用enablesecret命令设置，enablesecret命令用于设定具有管理员权限的口令，而enablepassword采用的加密算法比较弱。

而要采用enablesecret命令设置。

并且要启用Servicepassword-encryption，这条命令用于对存储在配置文件中的所有口令和类似数据进行加密。

避免当配置文件被不怀好意者看见，从而获得这些数据的明文。

问题影响;

密码容易被非法利用。

系统当前状态：

查看备份的系统配置文件中关于密码配置状态。

实施方案：

1、参考配置操作

Router（Config）#enablesecretxxxxxxxx

Router（Config）#Servicepassword-encryption

回退方案：

还原系统配置文件。

判断依据：

查看配置文件，核对参考配置操作。

实施风险：

低

重要等级：

★★★

1.2.2SHG-Cisco-01-02-02

编号：

SHG-Cisco-01-02-02

名称：

账号、口令授权

实施目的：

设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。

问题影响;

密码容易被非法利用。

系统当前状态：

实施方案：

与外部TACACS+server192.168.6.18联动，远程登录使用TACACS+serverya验证；

回退方案：

还原系统配置文件。

判断依据：

帐号、口令配置，指定了认证系统。

实施风险：

低

重要等级：

★★★

1.3登录要求

1.3.1SHG-Cisco-01-03-01

编号：

SHG-Cisco-01-03-01

名称：

加固CON端口的登录

实施目的：

控制CON端口的访问,给CON口设置高强度的登录密码，修改默认参数，配置认证策略。

问题影响：

增加密码被破解的成功率。

系统当前状态：

查看备份的系统配置文件中关于CON配置状态。

实施方案：

1、参考配置操作

Router（Config）#linecon0

Router（Config-line）#Transportinputnone

Router（Config-line）#Login

Router（Config-line）#passwordXXXXXXX

Router（Config-line）#Exec-timeoute30

Router（Config-line）#session-limit5

回退方案：

还原系统配置文件。

判断依据：

查看配置文件，核对参考配置操作。

实施风险：

高

重要等级：

★

1.3.2SHG-Cisco-01-03-02

编号：

SHG-Cisco-01-03-02

名称：

加固AUX端口的管理

实施目的：

除非使用拨号接入时使用AUX端口，否则禁止这个端口。

问题影响：

容易被攻击者利用。

系统当前状态：

查看备份的系统配置文件中关于CON配置状态。

实施方案：

1、参考配置操作

Router（Config）#lineaux0

Router（Config-line）#transportinputnone

Router（Config-line）#noexec

设置完成后无法通过AUX拨号接入路由器

回退方案：

还原系统配置文件。

判断依据：

查看配置文件，核对参考配置操作。

实施风险：

中

重要等级：

★

C

1.3.3SHG-Cisco-01-03-03

编号：

SHG-Cisco-01-03-03

名称：

HTTP登录安全加固

实施目的：

如非要采用HTTP服务，要求对HTTP服务进行严格的控制

如果必须选择使用HTTP进行管理，最好用iphttpaccess-class命令限定访问地址且用iphttpauthentication命令配置认证，修改HTTP的默认端口。

问题影响：

容易被非法用户获取口令进行违规操作。

系统当前状态：

查看备份的系统配置文件中关于HTTP登录配置状态。

实施方案：

1、参考配置操作

！

修改默认端口

Router（Config）#iphttpport50000

Router（Config）#access-list10permit192.168.0.1

Router（Config）#access-list10denyany

！

启用ACL严格控制可以登陆的维护地址

Router（Config）#iphttpaccess-class10

！

配置本地数据库

Router（Config）#usernameBluShinprivilege10passwordG00dPa55w0rd

！

启用本地认证

Router（Config）#iphttpauthlocal

Router（Config）#iphttpserver启用HTTP服务

回退方案：

还原系统配置文件。

判断依据：

查看配置文件，核对参考配置操作。

实施风险：

中

重要等级：

★

2日志配置

2.1.1SHG-Cisco-03-01-01

编号：

SHG-Cisco-03-01-01

名称：

开启日志功能

实施目的：

为了实现对设备安全的管理，要求对设备的安全审计进行有效管理。

根据设备本身具有的属性和实际维护经验，建议相关安全审计信息应包括设备登录信息日志和设备事件信息日志，同时提供SYSLOG服务器的设置方式。

Cisco设备将LOG信息分成八个级别，由低到高分别为debugging、informational、notifications、warnings、errors、critical、alerts、emergencies。

考虑到日志信息的种类和详细程度，并且日志开启对设备的负荷有一定影响，在这建议获取有意义的日志信息，并将其发送到网管主机或日志服务器并进行分析，建议将notifications及以上的LOG信息送到日志服务器。

问题影响：

无法对用户的登陆进行日志记录。

系统当前状态：

查看备份的系统配置文件中关于logging服务的配置。

实施方案：

1、参考配置操作

！

开启日志

Router（Config）#loggingon

！

设置日志服务器地址

Router（Config）#logginga.b.c.d

！

日志记录级别，可用”?

”查看详细内容

Router（Config）#loggingtrapnotifications

！

日志发出用的源IP地址

Router（Config）#loggingsource-interfacee0

！

日志记录的时间戳设置，可根据需要具体配置

Router（Config）#servicetimestampslogdatetimelocaltime

回退方案：

还原系统配置文件。

判断依据：

查看配置文件，核对参考配置操作。

实施风险：

中

重要等级：

★★★

3通信协议

3.1.1SHG-Cisco-03-01-01

编号：

SHG-Cisco-03-01-01

名称：

SNMP服务器配置

实施目的：

如不需要提供SNMP服务的，要求禁止SNMP协议服务，注意在禁止时删除一些SNMP服务的默认配置。

问题影响：

被欺骗的基于数据包的协议。

系统当前状态：

查看备份的系统配置文件中关于SNMP服务的配置。

实施方案：

1、参考配置操作

Router（Config）#noSNMP-servercommunitypublicRo

Router（Config）#noSNMP-servercommunityprivateRW

Route