CISCO网络设备加固手册(共8页).doc

《CISCO网络设备加固手册(共8页).doc》由会员分享，可在线阅读，更多相关《CISCO网络设备加固手册(共8页).doc（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上CISCO网络设备安全手册二零零五年十一月目 录1 IOS版本升级 确保设备操作系统软件版本及时更新，软件版本较低会带来安全性和稳定性方面的隐患，因此要求在设备的FLASH容量允许的情况下升级到较新的版本。必要情况下可升级设备的FLASH容量。 确保所有的网络设备维护在本地进行。 对于允许远程登陆管理的网络设备，必须设置口令保护和相应的ACL，限定可远程登录的主机IP地址范围，并使用支持加密的登陆方式，如SSL等。2 关闭服务 关闭设备上不需要的服务：Small services (echo, discard, chargen, etc.) Router(config

2、)#no service tcp-small-servers Router(config)#no service udp-small-servers FingerRouter(config)#no service fingerRouter(config)#no ip finger HTTP Router(config)#no ip http server SNMP Router(config)#no snmp-server CDPRouter(config)# no cdp run Remote configRouter(config)# no service config Source ro

3、utingRouter(config)#no ip source-route PadRouter(config)#no service pad ICMPRouter(config)#no ip icmp redirect DNSRouter(config)#no ip name-server 如果需要使用HTTP管理设备，建议采用以下认证方式：确保使用ip http access-class命令来限制只有授权的地址可以访问；确保使用TACACS+或RADIUS对登录进行认证； Router(config)#ip http access-class Router(config)#ip http

4、authentication Router(config)#ip http port 11111 Router(config)#ip http server3 用户名 如果没有使用用户名,增加用户名认证:Router(config)#username myname password mypass 不同的路由器使用不同的方式激活，可能需要使用line vty，然后设置login local，也可能需要启用AAA模式，配置aaa new-model来激活AAA模式。同样将其它的登录console、AUX等，设为需要用户名和口令认证。4 口令 确保所有使用的口令必须为健壮口令，password和en

5、able的口令都需要加密存放，对console line、auxiliary line 和virtual terminal lines访问设置密码并加密保护：Enable secret Router(config)#enable secret 0 2manyRt3s Console Line Router(config)#line con 0 Router(config-line)#password Soda-4-jimmY Auxiliary Line Router(config)#line aux 0 Router(config-line)#password Popcorn-4-sara

6、VTY LinesRouter(config)#line vty 0 4 Router(config-line)#password Dots-4-georg3 保护口令不以明文显示Router(config)#service password-encryption 确保对console line、auxiliary line 和virtual terminal lines的安全配置：Console LineRouter(config)# line con 0 Router(config-line)# exec-timeout 5 0Router(config-line)# loginRoute

7、r(config-line)# transport input telnet Auxiliary LineRouter(config)# line aux 0 Router(config-line)# exec-timeout 0 1Router(config-line)# no execRouter(config-line)# transport input none VTY lines Router(config)# no access-list 92 Router(config)# access-list 92 permit 10.1.1.1 Router(config)# access

8、-list 92 permit 10.1.1.2 Router(config)# line vty 0 4 Router(config-line)# access-class 92 in Router(config-line)# exec-timeout 5 0Router(config-line)# loginRouter(config-line)# transport input telnetRouter(config-line)#service tcp-keepalives-in5 访问控制 配置access-list,设置允许登录的IP地址和登录类型,例如允许A.B.C.D地址的ssh

9、登录本IP(1.2.3.4):Router(config)# access-list 110 permit tcp A.B.C.D 1.2.3.4 eq 22 配置防ip spoof的access-list,假设叶子节点网的IP地址段为A.B.C.D mask /24,那么在out的端口上设置:Router(config)# access-list 110 permit ip A.B.C.D 0.0.0.255 anyRouter(config)# access-list 110 deny ip any any在in的端口上设置:Router(config)# access-list 110

10、deny ip A.B.C.D 0.0.0.255 anyRouter(config)# access-list 110 permit ip any any 配置防CISCO漏洞的拒绝服务攻击:Router(config)# access-list 110 deny 55 any anyRouter(config)# access-list 110 deny 77 any any如果有必要，可以对某些拒绝服务攻击的包进行log。其它类型的拒绝服务，都可以使用相应的访问控制列表进行过滤，但对系统性能可能会有一些影响。其中一些拒绝服务现在操作系统已基本都能防范，不需要特别设置。例如对SYN：Rou

11、ter(Config)# access-list 110 permit tcp any 192.168.0.0 0.0.0.255 establishedLAND：Router(Config)# access-list 110 deny ip host 192.168.0.111 host 192.168.0.111SMURF：Router(Config)# access-list 110 deny ip any host 192.168.0.2556 使用SSH IOS必需为支持IPSEC的版本。 设置SSH的超时间隔和尝试登录次数Router(Config)# ip ssh timeout

12、 90Router(Config)# ip ssh anthentication-retries 2Router(Config)# line vty 0 4Router(Config-line)# access-class 22 inRouter(Config-line)# transport input sshRouter(Config-line)# login localRouter(Config-line)# exit启用SSH服务，生成RSA密钥对。Router(Config)# crypto key generate rsaThe name for the keys will be:

13、 router.blushin.orgChoose the size of the key modulus in the range of 360 to 2048 for your General Purpose keys .Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus512: 2048 Generating RSA Keys. OKRouter#7 使用路由协议md5认证 对于网络Router(Config)# router ospf 100Router

14、(Config-router)# network 192.168.100.0 0.0.0.255 area 100启用MD5认证。area area-id authentication 启用认证，是明文密码认证。area area-id authentication message-digestRouter(Config-router)# area 100 authentication message-digestRouter(Config)# exitRouter(Config)# interface eth0/1启用MD5密钥Key为routerospfkey。ip ospf authen

15、tication-key key 启用认证密钥，但会是明文传输。ip ospf message-digest-key key-id(1-255) md5 keyRouter(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey如果使用了RIP协议，也使用类似的命令进行设置Router(Config)# key chain mykeychainnameRouter(Config-keychain)# key 1Router(Config-leychain-key)# key-string MyFirstKeyStringRouter

16、(Config-keyschain)# key 2Router(Config-keychain-key)# key-string MySecondKeyString！注意使用version 2的RIP。Router(Config)# router ripRouter(Config-router)# version 2Router(Config)# interface eth0/1Router(Config-if)# ip rip authentication mode md5Router(Config-if)# ip rip anthentication key-chain mykeychai

17、nname8 网络设备日志 确保网络设备开启日志功能。若设备没有足够的空间，需要将日志传送到日志服务器上保存（可选） 若边界路由器未配合防火墙、IDS、Sniffer等技术使用，必须支持详尽的日志信息； 在日志文件中需要记录登录过该设备的用户名、时间和所作的命令操作等详细信息，为发现潜在攻击者的不良行为提供有力依据； 确保启用控制列表的日志功能。Router(config)# logging onRouter(config)# logging 10.1.1.200Router(config)# logging bufferedRouter(config)# logging console cr

18、iticalRouter(config)# logging trap debuggingRouter(config)# logging facility local7 确保配置日志的时间信息： （可选）Router(config)#service timestamps log datetime localtime show-timezone Router(config)#clock timezone EST 8 Router(config)#clock summer-time EDT recurring Router(config)#ntp source Ethernet0/1 Router(

19、config)#ntp server XXX.XXX.XXX.XXX Router(config)#ntp server XXX.XXX.XXX.XXX 9 SNMP 尽可能的禁用SNMP ； 对于支持SNMP，提供网管功能的设备，必须确保MIB库的读写密码必须设定为非缺省值，同时，允许对MIB库进行读写操作的主机也可通过ACL设置限定在指定网段范围内； 确保使用SNMP 版本2 ，因为SNMP V2使用了较强的MD5认证技术； 必须确保MIB库的读写密码（Community String Password）必须设定为非缺省值（Public and Private ）； Community S

20、tring Password必须为健壮口令，并定期更换； 确保授权使用SNMP进行管理的主机限定在指定网段范围内（ACL）；Router(config)# no snmp community public Router(config)# no snmp community private Router(config)#snmp-server community hello!# ro 8Router(config)#snmp-server community save!# rw 5Router(config)#snmp-server host 172.22.66.18 maddogRouter(

21、config)#snmp-server trap-source loopback 0Router(config)#snmp-server enable traps snmpRouter(config)#access-list 5 permit 172.33.67.1Router(config)#access-list 5 permit 0.0.0.1 172.22.68.20Router(config)#access-list 8 permit 172.33.67.1Router(config)#access-list 8 permit 0.0.0.1 172.22.68.2010 修改设备网络标签 确保网络设备的 Login Banner信息中不包括该网络设备的名字、型号、运行的软件以及所有者的信息：Router(config)#banner login This is secured device.Unauthorized use is prohibited by low.专心-专注-专业