中国移动思科路由器安全配置规范(正式下发版).doc

《中国移动思科路由器安全配置规范(正式下发版).doc》由会员分享，可在线阅读，更多相关《中国移动思科路由器安全配置规范(正式下发版).doc（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流中国移动思科路由器安全配置规范(正式下发版).精品文档.2008-01-01实施2007-12-13发布中国移动思科路由器安全配置规范Specification for Cisco Router Configuration Used in China Mobile版本号：. 网络与信息安全规范编号:【网络与信息安全规范】【第二层：技术规范网元类】【第2501号】中国移动通信集团公司 发布目录1概述11.1适用范围11.2内部适用性说明11.3外部引用说明31.4术语和定义31.5符号和缩略语32思科路由器设备安全配置要求42.1内部适用性安全

2、要求42.2账号管理、认证授权安全要求112.2.1账户112.2.2口令122.2.3授权132.2.4认证132.3日志安全要求142.4IP协议安全要求162.4.1基本协议安全162.4.2路由协议安全222.4.3SNMP协议安全252.4.4MPLS安全272.5其他安全要求27前言本标准由中国移动通信有限公司网络部提出并归口。本标准由标准提出并归口部门负责解释。本标准起草单位：中国移动通信有限公司网络部。本标准解释单位：同提出单位。本标准主要起草人：中国移动集团上海公司 刘金根 13761080195 中国移动集团公司陈敏时 139117738021 概述1.1 适用范围本规范适

3、用于中国移动通信网、业务系统和支撑系统的思科路由器。本规范明确了思科路由器安全配置方面的基本要求。1.2 内部适用性说明本规范是在中国移动设备通用设备安全功能和配置规范（以下简称通用规范）各项设备配置要求的基础上，提出的思科路由器安全配置要求。以下分项列出本规范对通用规范设备配置要求的修订情况：设备通用安全配置要求编号采纳意见备注安全要求-设备-通用-配置-1-可选增强要求安全要求-设备-思科路由器-配置-1安全要求-设备-通用-配置-2-可选增强功能安全要求-设备-思科路由器-配置-2安全要求-设备-通用-配置-3-可选完全采纳安全要求-设备-通用-配置-4完全采纳安全要求-设备-通用-配置

4、-5不采纳设备不支持安全要求-设备-通用-配置-6-可选不采纳设备不支持安全要求-设备-通用-配置-7-可选不采纳设备不支持安全要求-设备-通用-配置-9完全采纳安全要求-设备-通用-配置-12不采纳设备不支持安全要求-设备-通用-配置-13-可选不采纳设备不支持安全要求-设备-通用-配置-24-可选增强要求安全要求-设备-思科路由器-配置-7-可选安全要求-设备-通用-配置-14-可选完全采纳安全要求-设备-通用-配置-16-可选完全采纳安全要求-设备-通用-配置-17-可选完全采纳安全要求-设备-通用-配置-19-可选增强要求安全要求-设备-思科路由器-配置-22安全要求-设备-通用-配置

5、-20-可选不采纳设备不支持安全要求-设备-通用-配置-27-可选增强要求安全要求-设备-思科路由器-配置-23本规范新增的安全配置要求，如下：安全要求-设备-思科路由器-配置-3安全要求-设备-思科路由器-配置-4-可选安全要求-设备-思科路由器-配置-5-可选安全要求-设备-思科路由器-配置-6-可选安全要求-设备-思科路由器-配置-8-可选安全要求-设备-思科路由器-配置-9安全要求-设备-思科路由器-配置-10-可选安全要求-设备-思科路由器-配置-11安全要求-设备-思科路由器-配置-12-可选安全要求-设备-思科路由器-配置-13安全要求-设备-思科路由器-配置-14-可选安全要求

6、-设备-思科路由器-配置-15安全要求-设备-思科路由器-配置-16安全要求-设备-思科路由器-配置-17安全要求-设备-思科路由器-配置-18-可选安全要求-设备-思科路由器-配置-19安全要求-设备-思科路由器-配置-20安全要求-设备-思科路由器-配置-21-可选安全要求-设备-思科路由器-配置-24本规范还针对直接引用通用规范的配置要求，给出了在思科路由器上的具体配置方法和检测方法。1.3 外部引用说明中国移动通用安全功能和配置规范1.4 术语和定义BGP Route flap damping：由RFC2439定义，当BGP接口翻转后，其他BGP系统就会在一段可配置的时间内不接受从这个

7、问题网络发出的路由信息。1.5 符号和缩略语缩写英文描述中文描述2 思科路由器设备安全配置要求2.1 直接引用通用规范的配置要求编号：安全要求-设备-通用-配置-3-可选要求内容限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。操作指南1参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# service password-encryptionRouter(config)# us

8、ername normaluser password 3d-zirc0niaRouter(config)# username normaluser privilege 1Router(config)# line vty 0 4 Router(config-line)# login localRouter(config-line)# exec-timeout 5 0Router(config-line)# end2补充操作说明设定账号密码加密保存创建normaluser账号并指定权限级别为1；设定远程登录启用路由器账号验证；设定超时时间为5分钟；检测方法1.判定条件I. VTY使用用户名和密码的

9、方式进行连接验证II. 2、账号权限级别较低，例如：I2.检测操作使用show running-config命令，如下例：router#show running-configBuilding configuration.Current configuration:!service password-encryptionusername normaluser password 3d-zirc0niausername normaluser privilege 1line vty 0 4 login local编号: 安全要求-设备-通用-配置-4要求内容对于采用静态口令认证技术的设备，口令长度至少

10、6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1 参考配置操作Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z.Router(config)#aaa new-modelRouter(config)#aaa authentication login default group tacacs+Router(config)#aaa authentication enable default group tacacs+Router(config)#tacac

11、s-server host 192.168.6.18Router(config)#tacacs-server key Ir31yh8n#w9swDRouter(config)#endRouter#2. 补充操作说明与外部TACACS+ server 192.168.6.18 联动，远程登录使用TACACS+ serverya验证；口令强度由TACACS+ server控制检测方法1.判定条件此项无法通过配置实现，建议通过管理实现2.检测操作此项无法通过配置实现，建议通过管理实现编号：安全要求-设备-通用-配置-9要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1

12、参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# service password-encryptionRouter(config)# username normaluser password 3d-zirc0niaRouter(config)# username normaluser privilege 1Router(config)# privilege exec level 15 connectRouter(config)# privilege

13、 exec level 15 telnetRouter(config)# privilege exec level 15 rloginRouter(config)# privilege exec level 15 show ip access-listsRouter(config)# privilege exec level 15 show access-listsRouter(config)# privilege exec level 15 show loggingRouter(config)# ! if SSH is supported.Router(config)# privilege

14、exec level 15 sshRouter(config)# privilege exec level 1 show ip2补充操作说明基本思想是创建账号并赋予不同的权限级别，并将各命令绑定在不同的权限级别上；上例操作过程如下：设定账号密码加密保存创建normaluser账号并指定权限级别为1；将connect、telnet、rlogin、show ip access-lists、show access-lists、show logging、ssh指定仅当账号权限级别为15时才可使用；将show ip指定为仅当账号权限级别大于1时才可使用；检测方法1.判定条件I. 用户名绑定权限级别II.

15、 操作命令划分权限级别2.检测操作使用show running-config命令，如下例：router#show running-configBuilding configuration.Current configuration:!username normaluser password 3d-zirc0niausername normaluser privilege 1privilege exec level 15 connectprivilege exec level 15 telnetprivilege exec level 15 rloginprivilege exec level

16、15 show ip access-listsprivilege exec level 15 show access-listsprivilege exec level 15 show loggingprivilege exec level 15 sshprivilege exec level 1 show ip编号：安全要求-设备-通用-配置-14-可选要求内容设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP等。操作指南1参考配置操作路由器侧配置：Router# config tEnter config

17、uration commands, one per line. End with CNTL/ZRouter(config)# logging onRouter(config)# logging trap informationRouter(config)# logging 192.168.0.100Router(config)# logging facility local6Router(config)# logging source-interface loopback0Router(config)# exit Router# show loggingSyslog logging: enab

18、led (0 messages dropped, 11 flushes, 0overruns)Console logging: level notifications, 35 messages loggedMonitor logging: level debugging, 35 messages loggedBuffer logging: level informational, 31 messages loggedLogging to 192.168.0.100, 28 message lines logged.Router#2补充操作说明I. 假设把router日志存储在192.168.0

19、.100的syslog服务器上路由器侧配置描述如下：启用日志记录日志级别设定“information”记录日志类型设定“local6”日志发送到192.168.0.100日志发送源是loopback0配置完成可以使用“show logging”验证服务器侧配置参考如下：Syslog服务器配置参考：在Syslog.conf上增加一行# Save router messages to routers.loglocal6.debug /var/log/routers.log创建日志文件#touch /var/log/routers.logII. 如果使用snmp存储日志参考配置如下：Router#

20、config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# logging trap informationRouter(config)# snmp-server host 192.168.0.100 traps publicRouter(config)# snmp-server trap-source loopback0Router(config)# snmp-server enable traps syslogRouter(config)# exit Router#检测方法1.判定条

21、件I. Syslog logging和SNMP logging至少有一个为“enabled”II. Logging to后面的主机名或IP指向日志服务器III. 通常记录日志数不为02.检测操作使用show logging命令，如下例：Router# show loggingSyslog logging: enabled Console logging: disabled Monitor logging: level debugging, 266 messages logged. Trap logging: level informational, 266 messages logged. L

22、ogging to 192.180.2.238SNMP logging: disabled, retransmission after 30 seconds 0 messages loggedRouter#编号：安全要求-设备-通用-配置-16-可选要求内容对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。操作指南1参考配置操作例如：要配置允许目的为14.1.1.2的所有DNS访问流量Router(config)# access-list 140 permit udp an

23、y host 14.1.1.2 eq 53Router(config)# access-list 140 deny udp any any log例如：要配置允许目的为14.1.0.0/16的所有DNS访问流量Router(config)# access-list 140 permit tcp any 14.1.0.0 0.0.255.255Router(config)# access-list 140 deny ip any any log2补充操作说明访问控制列表命令格式：I. 标准访问控制列表access-list list-number deny | permit source sou

24、rce-wildcard logII. 扩展访问控制列表access-list list-number deny | permit protocolsource source-wildcard source-qualifiersdestination destination-wildcard destination-qualifiers log | log-input检测方法1.判定条件I. 针对每个业务所需通讯，存在一条acl；II. 对于非公共性服务，源IP和目标IP不能含有anyIII. 目标端口明确2.检测操作使用show ip access-list access-list-numb

25、er | name 命令，如下例：Router# show ip access-listExtended IP access list 101 deny udp any any eq ntp permit tcp any any permit udp any any eq tftp permit icmp any any permit udp any any eq domain编号：安全要求-设备-通用-配置-17-可选要求内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。操作指南1参考配置操作I. 配置主机名和域名router# config tEnter config

26、uration commands, one per line. End with CNTL/Z.router(config)# hostname RouterRouter(config)# ip domain-name Router.domain-nameII. 配置访问控制列表Router(config)# no access-list 12 Router(config)# access-list 12 permit host 192.168.0.200Router(config)# line vty 0 4Router(config-line)# access-class 12 in Ro

27、uter(config-line)# exitIII. 配置账号和连接超时Router(config)# service password-encryptionRouter(config)# username normaluser password 3d-zirc0niaRouter(config)# username normaluser privilege 1Router(config)# line vty 0 4 Router(config-line)# login localRouter(config-line)# exec-timeout 5 0IV. 生成rsa密钥对Router(

28、config)# crypto key generate rsaThe name for the keys will be: Router.domain-nameChoose the size of the key modulus in the range of 360 to2048 for your General Purpose Keys. Choosing a key modulusgreater than 512 may take a few minutes.How many bits in the modulus 512: 2048Generating RSA Keys .OKV.

29、配置仅允许ssh远程登录Router(config)# line vty 0 4Router(config-line)# transport input ssh Router(config-line)# exitRouter(config)#2补充操作说明配置描述：I. 配置ssh要求路由器已经存在主机名和域名II. 配置访问控制列表，仅授权192.168.0.200访问192.168.0.100 sshIII. 配置远程访问里连接超时IV. 生成rsa密钥对，如果已经存在可以使用以前的。默认存在rsa密钥对sshd就启用，不存在rsa密钥对sshd就停用。V. 配置远程访问协议为ssh检测方

30、法1.判定条件I. 存在rsa密钥对II. 远程登录指定ssh协议2.检测操作I. 使用show crypto key mypubkey rsa命令，如下例：Router(config)# show crypto key mypubkey rsa% Key pair was generated at: 06:07:49 UTC Jan 13 1996Key name: Usage: Signature Key Key Data: 005C300D 06092A86 4886F70D 01010105 00034B00 30480241 00C5E23B 55D6AB2204AEF1BA A54

31、028A6 9ACC01C5 129D99E4 64CAB820 847EDAD9 DF0B4E4C 73A05DD2BD62A8A9 FA603DD2 E2A8A6F8 98F76E28 D58AD221 B583D7A4 71020301 0001% Key pair was generated at: 06:07:50 UTC Jan 13 1996Key name: Usage: Encryption Key Key Data: 00302017 4A7D385B 1234EF29 335FC973 2DD50A37 C4F4B0FD 9DADE748 429618D5 18242BA

32、3 2EDFBDD3 4296142A DDF7D3D8 08407685 2F2190A0 0B43F1BD 9A8A26DB 07953829 791FCDE9 A98420F0 6A82045B 90288A26 DBC64468 7789F76E EE21II. 使用show running-config命令，如下例：router#show running-configBuilding configuration.Current configuration:!line vty 0 4transport input ssh2.2 账号管理、认证授权2.2.1 账户编号：安全要求-设备-思

33、科路由器-配置-1要求内容应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。操作指南1参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# service password-encryptionRouter(config)# username ruser1 password 3d-zirc0niaRouter(config)# username ruser1 privilege 1Router(config)# user

34、name ruser2 password 2B-or-3BRouter(config)# username ruser2 privilege 1Router(config)# end Router#2补充操作说明检测方法1.判定条件I. 配置文件中，存在不同的帐号分配II. 网络管理员确认用户与帐号分配关系明确2.检测操作使用show running-config命令，如下例：router#show running-configBuilding configuration.Current configuration:!service password-encryption username r

35、user1 password 3d-zirc0niausername ruser1 privilege 1username ruser2 password 2B-or-3Busername ruser2 privilege 1编号：安全要求-设备-思科路由器-配置-2要求内容应删除与设备运行、维护等工作无关的账号。操作指南1参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# no username ruser32补充操作说明检测方法1.判定条件I. 配

36、置文件存在多帐号II. 网络管理员确认所有帐号与设备运行、维护等工作有关2.检测操作使用show running-config命令，如下例：router#show running-configBuilding configuration.Current configuration:!username user1 privilege 1 password password1username nobodyuse privilege 1 password password12.2.2 口令编号：安全要求-设备-思科路由器-配置-3要求内容静态口令必须使用不可逆加密算法加密，以密文形式存放。如使用en

37、able secret配置Enable密码，不使用enable password配置Enable密码。操作指南1参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# enable secret 2-mAny-rOUtEsRouter(config)# no enable passwordRouter(config)# end2补充操作说明检测方法1.判定条件配置文件无明文密码字段2.检测操作使用show running-config命令，如下例：rout

38、er#show running-configBuilding configuration.Current configuration:!service password-encryptionenable secret 5 $1oxphetTb$rTsF$EdvjtWbi0qA2gusername ciscoadmin password 7 Wbi0qA1$rTsF$Edvjt2gpvyhetTb2.2.3 授权2.2.4 认证编号：安全要求-设备-思科路由器-配置-7-可选要求内容设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。操作指南1参考配置操作Router#conf

39、igure terminal Enter configuration commands, one per line. End with CNTL/Z.Router(config)#aaa new-modelRouter(config)#aaa authentication login default group tacacs+Router(config)#aaa authentication enable default group tacacs+Router(config)#tacacs-server host 192.168.6.18Router(config)#tacacs-server

40、 key Ir31yh8n#w9swDRouter(config)#endRouter#2补充操作说明与外部TACACS+ server 192.168.6.18 联动，远程登录使用TACACS+ serverya验证检测方法1.判定条件帐号、口令配置，指定了认证系统2.检测操作使用show running-config命令，如下例：router#show running-configBuilding configuration.Current configuration:!aaa new-modelaaa authentication login default group tacacs+a

41、aa authentication enable default group tacacs+tacacs-server host 192.168.6.18tacacs-server key Ir31yh8n#w9swD2.3 日志安全要求编号：安全要求-设备-思科路由器-配置-4-可选要求内容与记账服务器(如RADIUS 服务器或TACACS服务器)配合，设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南1参考配置操作Router#configure terminal Enter configuratio

42、n commands, one per line. End with CNTL/Z.Router(config)#aaa new-model Router(config)#aaa accounting connection default start-stop group tacacs+Router(config)#aaa accounting exec default start-stop group tacacs+ Router(config)#endRouter1#2补充操作说明使用TACACS+ server检测方法1.判定条件配置了AAA模板的上述具体条目2.检测操作使用show r

43、unning-config命令，如下例：router1#show runn | include aaa Building configuration.Current configuration:!aaa new-modelaaa authentication login default group tacacs+aaa authorization exec default group tacacs+ aaa session-id common编号：安全要求-设备-思科路由器-配置-5-可选要求内容与记账服务器(如TACACS服务器)配合，设备应配置日志功能，记录用户对设备的操作，如账号创建、删

44、除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。操作指南1参考配置操作Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z.Router(config)#aaa new-model Router(config)#aaa accounting commands 1 default start-stop group tacacs+Router(config)#aaa acco

45、unting commands 15 default start-stop group tacacs+Router(config)#endRouter1#2补充操作说明使用TACACS+ server检测方法1.判定条件配置了AAA模板的上述具体条目2.检测操作使用show running-config命令，如下例：router1#show runn | include aaa Building configuration.Current configuration:!aaa new-modelaaa accounting commands 1 default start-stop group tacacs+aaa accounting commands 15 default start-stop group tacacs+编号：安全要求-设备-思科路由器-配置-6-可选