最新Cisco路由安全配置风险评估检查表.doc

《最新Cisco路由安全配置风险评估检查表.doc》由会员分享，可在线阅读，更多相关《最新Cisco路由安全配置风险评估检查表.doc（26页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateCisco路由安全配置风险评估检查表1Cisco路由器安全配置基线目 录第1章概述11.1目的11.2适用范围11.3适用版本1第2章账号管理、认证授权安全要求22.1账号管理22.1.1用户账号分配22.1.2删除无关的账号22.1.3管理具备管理员权限的用户账户32.2口令32.2.1静态口令以密文形式存放32.2.2帐号、口令和授权42.2.3密码复杂度42.3

2、授权42.3.1根据业务需要配置所需的最小权限。42.3.2用IP协议进行远程维护的设备使用SSH等加密协议5第3章日志安全要求63.1日志安全63.1.1对用户登录进行记录63.1.2记录用户对设备的操作63.1.3开启NTP服务保证记录的时间的准确性73.1.4远程日志功能7第4章IP协议安全要求94.1IP协议94.1.1配置路由器防止地址欺骗94.1.2配置路由器只允许特定主机访问94.1.3过滤已知攻击94.1.4过滤所有和业务不相关的流量。104.2功能配置114.2.1功能禁用114.2.2启用协议的认证加密功能114.2.3启用路由协议认证功能124.2.4防止路由风暴124.

3、2.5防止非法路由注入134.2.6SNMP的Community默认通行字口令强度134.2.7只与特定主机进行SNMP协议交互134.2.8未使用SNMP的写功能时禁用SNMP的写功能144.2.9LDP协议认证功能14第5章其他安全要求165.1其他安全配置165.1.1关闭未使用的接口165.1.2修改路由缺省器缺省BANNER语165.1.3配置定时账户自动登出165.1.4配置consol口密码保护功能175.1.5关闭不必要的网络服务或功能17-第1章 概述1.1 目的本文档规定了Cisco路由器应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Cisco路由器的安全配置

4、。1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。1.3 适用版本Cisco路由器；第2章 账号管理、认证授权安全要求2.1 账号管理2.1.1 用户账号分配安全基线项目名称用户账号分配安全基线要求项安全基线编号SBL-CiscoRouter-02-01-01 安全基线项说明 应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。检测操作步骤I. 配置文件中，存在不同的帐号分配II. 网络管理员确认用户与帐号分配关系明确基线符合性判定依据备注2.1.2 删除无关的账号安全基线项目名称无关的账号安全基线要求项安全基线编号SBL-Ci

5、scoRouter-02-01-02 安全基线项说明 应删除与设备运行、维护等工作无关的账号。检测操作步骤I. 配置文件存在多帐号II. 网络管理员确认所有帐号与设备运行、维护等工作有关基线符合性判定依据备注2.1.3 管理具备管理员权限的用户账户安全基线项目名称管理员权限的账户安全基线要求项安全基线编号SBL-CiscoRouter-02-01-03 安全基线项说明 限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再通过enable命令进入相应级别再后执行相应操作。检测操作步骤设定账号密码加密保存；创建normaluser账号并指定权限级别为1；设定远

6、程登录启用路由器账号验证；设定超时时间为5分钟。基线符合性判定依据I. VTY使用用户名和密码的方式进行连接验证II. 账号权限级别较低，例如：1备注2.2 口令2.2.1 静态口令以密文形式存放安全基线项目名称静态口令安全基线要求项安全基线编号SBL-CiscoRouter-02-02-01 安全基线项说明 静态口令必须使用不可逆加密算法加密，以密文形式存放。如使用enable secret配置Enable密码，不使用enable password配置Enable密码。检测操作步骤配置文件无明文密码字段基线符合性判定依据备注2.2.2 帐号、口令和授权安全基线项目名称帐号、口令和授权安全基线

7、要求项安全基线编号SBL-CiscoRouter-02-02-02 安全基线项说明 设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。检测操作步骤与外部TACACS+ server 192.168.6.18 联动，远程登录使用TACACS+ serverya验证；基线符合性判定依据帐号、口令配置，指定了认证系统备注2.2.3 密码复杂度安全基线项目名称密码复杂度安全基线要求项安全基线编号SBL-CiscoRouter-02-02-03 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。检测操作步骤与外部

8、TACACS+ server 192.168.6.18 联动，远程登录使用TACACS+ serverya验证；口令强度由TACACS+ server控制基线符合性判定依据备注此项无法通过配置实现，建议通过管理实现2.3 授权2.3.1 根据业务需要配置所需的最小权限。安全基线项目名称业务需要配置所需的最小权限安全基线要求项安全基线编号SBL-CiscoRouter-02-03-01 安全基线项说明 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。检测操作步骤基本思想是创建账号并赋予不同的权限级别，并将各命令绑定在不同的权限级别上；上例操作过程如下：设定账号密码加密保存创建no

9、rmaluser账号并指定权限级别为1；将connect、telnet、rlogin、show ip access-lists、show access-lists、show logging、ssh指定仅当账号权限级别为15时才可使用；将show ip指定为仅当账号权限级别大于1时才可使用；基线符合性判定依据I. 用户名绑定权限级别II. 操作命令划分权限级别备注2.3.2 用IP协议进行远程维护的设备使用SSH等加密协议安全基线项目名称IP协议进行远程维护的设备安全基线要求项安全基线编号SBL-CiscoRouter-02-03-02 安全基线项说明 对于使用IP协议进行远程维护的设备，设备应

10、配置使用SSH等加密协议。检测操作步骤I. 存在rsa密钥对II. 远程登录指定ssh协议基线符合性判定依据备注第3章 日志安全要求3.1 日志安全3.1.1 对用户登录进行记录安全基线项目名称用户登录进行记录安全基线要求项安全基线编号SBL-CiscoRouter-03-01-01 安全基线项说明 与记账服务器(如RADIUS 服务器或TACACS服务器)配合，设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步骤Router#configure terminal Enter configuration

11、 commands, one per line. End with CNTL/Z.Router(config)#aaa new-model Router(config)#aaa accounting connection default start-stop group tacacs+Router(config)#aaa accounting exec default start-stop group tacacs+ Router(config)#end基线符合性判定依据备注3.1.2 记录用户对设备的操作安全基线项目名称用户对设备记录安全基线要求项安全基线编号SBL-CiscoRouter-

12、03-01-02 安全基线项说明 与记账服务器(如TACACS服务器)配合，设备应配置日志功能，记录用户对设备的操作，如账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。检测操作步骤Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z.Router(config)#aaa new-model Router(config)#aaa accounting comma

13、nds 1 default start-stop group tacacs+Router(config)#aaa accounting commands 15 default start-stop group tacacs+Router(config)#endRouter1#基线符合性判定依据备注3.1.3 开启NTP服务保证记录的时间的准确性安全基线项目名称记录的时间的准确性安全基线要求项安全基线编号SBL-CiscoRouter-03-01-03 安全基线项说明 开启NTP服务，保证日志功能记录的时间的准确性。检测操作步骤需要到每个端口开启NTP基线符合性判定依据I. 存在 ntp ser

14、ver 配置条目II. 日志记录时间准确备注3.1.4 远程日志功能安全基线项目名称远程日志功能安全基线要求项安全基线编号SBL-CiscoRouter-03-01-04 安全基线项说明 设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP等。检测操作步骤I. 假设把router日志存储在192.168.0.100的syslog服务器上路由器侧配置描述如下：启用日志记录日志级别设定“information”记录日志类型设定“local6”日志发送到192.168.0.100日志发送源是loopback0II.

15、 如果使用snmp存储日志参考配置如下：Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# logging trap informationRouter(config)# snmp-server host 192.168.0.100 traps publicRouter(config)# snmp-server trap-source loopback0Router(config)# snmp-server enable traps syslogRouter(co

16、nfig)# exit基线符合性判定依据I. Syslog logging和SNMP logging至少有一个为“enabled”II. Logging to后面的主机名或IP指向日志服务器III. 通常记录日志数不为0备注第4章 IP协议安全要求4.1 IP协议4.1.1 配置路由器防止地址欺骗安全基线项目名称配置路由器防止地址欺骗安全基线要求项安全基线编号SBL-CiscoRouter-04-01-01 安全基线项说明 配置路由器，防止地址欺骗。检测操作步骤配置路由器，防止地址欺骗基线符合性判定依据各接口只转发属于自己ip范围内的源地址数据包流出备注4.1.2 配置路由器只允许特定主机访问

17、安全基线项目名称配置路由器只允许特定主机访问安全基线要求项安全基线编号SBL-CiscoRouter-04-01-02 安全基线项说明 路由器以UDP/TCP协议对外提供服务，供外部主机进行访问，如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等，应配置路由器，只允许特定主机访问。检测操作步骤基线符合性判定依据相关服务存在access绑定备注4.1.3 过滤已知攻击安全基线项目名称过滤已知攻击安全基线要求项安全基线编号SBL-CiscoRouter-04-01-03 安全基线项说明 过滤已知攻击：在网络边界，设置安全访问控制，过滤掉已知安全攻击数据包，例如ud

18、p 1434端口（防止SQL slammer蠕虫）、tcp445,5800,5900（防止Della蠕虫）。检测操作步骤Router(config)# no access-list 102Router(config)# access-list 102 deny tcp any any eq 445 logRouter(config)# access-list 102 deny tcp any any eq 5800 logRouter(config)# access-list 102 deny tcp any any eq 5900 logRouter(config)# access-list

19、 102 deny udp any any eq 1434 log基线符合性判定依据存在类似acl，拒绝上述端口备注4.1.4 过滤所有和业务不相关的流量。安全基线项目名称业务不相关的流量安全基线要求项安全基线编号SBL-CiscoRouter-04-01-04 安全基线项说明 对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。检测操作步骤使用show ip access-list access-list-number | name 命令，如下例：Router# show

20、ip access-listExtended IP access list 101 deny udp any any eq ntp permit tcp any any permit udp any any eq tftp permit icmp any any permit udp any any eq domain基线符合性判定依据I. 针对每个业务所需通讯，存在一条acl；II. 对于非公共性服务，源IP和目标IP不能含有anyIII. 目标端口明确备注4.2 功能配置4.2.1 功能禁用安全基线项目名称功能禁用安全基线要求项安全基线编号SBL-CiscoRouter-04-02-01

21、安全基线项说明 功能禁用检测操作步骤禁用IP源路由功能，除非特别需要。禁用PROXY ARP功能，除非路由器端口工作在桥接模式。禁用直播（IP DIRECTED BROADCAST）功能在非可信网段内禁用IP重定向功能。在非可信网段内禁用IP 掩码响应功能基线符合性判定依据上述条目，在相应版本IOS中是“no”掉的备注4.2.2 启用协议的认证加密功能安全基线项目名称启用协议的认证加密功能安全基线要求项安全基线编号SBL-CiscoRouter-04-02-02 安全基线项说明 启用协议的认证，加密功能设备与RADIUS服务器、TACACS服务器、NTP服务器、SNMP V3主机等支持认证加密

22、功能的主机进行通信时，尽可能启用协议的认证加密功能，保证通信安全。检测操作步骤启用TACACS服务器、RADIUS服务器认证基线符合性判定依据I. 指定了服务器II. 设定了认证key备注4.2.3 启用路由协议认证功能安全基线项目名称启用路由协议认证功能安全基线要求项安全基线编号SBL-CiscoRouter-04-02-03 安全基线项说明 启用动态IGP（RIPV2、OSPF、ISIS等）或EGP（BGP）协议时，启用路由协议认证功能，如MD5加密，确保与可信方进行路由协议交互。检测操作步骤基线符合性判定依据有ip rip(ospf、eigrp等) md5的字段备注4.2.4 防止路由风

23、暴安全基线项目名称防止路由风暴安全基线要求项安全基线编号SBL-CiscoRouter-04-02-04 安全基线项说明 采用BGP协议作为EGP协议时，使用Route flap damping功能防止路由风暴。检测操作步骤Router(config)# router bgp 27701Router(config-router)# neighbor 14.2.0.20 remote-as 26625Router(config-router)# bgp dampeningRouter(config-router)# end基线符合性判定依据做了bgp dampening配置备注4.2.5 防止非

24、法路由注入安全基线项目名称防止非法路由注入安全基线要求项安全基线编号SBL-CiscoRouter-04-02-05 安全基线项说明 在网络边界运行IGP或EGP动态路由协议时，配置路由更新策略，只接受合法的路由更新，防止非法路由注入。只发布所需的路由更新，防止路由信息泄漏。检测操作步骤使用ACL限制EIGRP不能向192.168.10.0/24传递Router(config)# access-list 10 deny 192.168.10.0 0.0.0.255 Router(config)# access-list 10 permit anyRouter(config)# router e

25、igrp 100Router(config-router)# distribute-list 10 out Router(config-router)# end基线符合性判定依据做了distribute-list的acl控制备注4.2.6 SNMP的Community默认通行字口令强度安全基线项目名称SNMP的Community默认通行字口令强度安全基线要求项安全基线编号SBL-CiscoRouter-04-02-06 安全基线项说明 修改SNMP的Community默认通行字，通行字符串应符合口令强度要求。检测操作步骤修改SNMP的Community默认通行字，通行字符串应符合口令强度要求。

26、基线符合性判定依据SNMP的Community非默认，且有一定强度备注4.2.7 只与特定主机进行SNMP协议交互安全基线项目名称只与特定主机进行SNMP协议交互安全基线要求项安全基线编号SBL-CiscoRouter-04-02-07 安全基线项说明 只与特定主机进行SNMP协议交互检测操作步骤使用ACL限制只与特定主机进行SNMP协议交互Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# access-list 75 permit host 14.2.6.60

27、Router(config)# access-list 75 deny any log 2基线符合性判定依据snmp 绑定了acl备注4.2.8 未使用SNMP的写功能时禁用SNMP的写功能安全基线项目名称未使用SNMP的写功能时禁用SNMP的写功能安全基线要求项安全基线编号SBL-CiscoRouter-04-02-08 安全基线项说明 未使用SNMP的WRITE功能时，禁用SNMP的写（WRITE）功能。检测操作步骤禁用SNMP的写（WRITE）功能。基线符合性判定依据snmp 权限为RO备注4.2.9 LDP协议认证功能安全基线项目名称LDP协议认证功能安全基线要求项安全基线编号SBL-

28、CiscoRouter-04-02-09 安全基线项说明 启用LDP标签分发协议时，打开LDP协议认证功能，如MD5加密，确保与可信方进行LDP协议交互。检测操作步骤Router# mpls ldp vrf vpn1 password requiredRouter# configure terminal Enter configuration commands, one per line. End with CNTL/Z.Router(config)# mpls ldp neighbor vrf vpn1 10.1.1.1 password 7 nbrce1pwd基线符合性判定依据配置认证功能

29、及密码备注第5章 其他安全要求5.1 其他安全配置5.1.1 关闭未使用的接口安全基线项目名称关闭未使用的接口安全基线要求项安全基线编号SBL-CiscoRouter-05-01-01 安全基线项说明 关闭未使用的接口，如路由器的AUX口。检测操作步骤关闭未使用的接口，Line aux 应该设置为 transport input none基线符合性判定依据Line aux 应该设置为 transport input none备注5.1.2 修改路由缺省器缺省BANNER语安全基线项目名称修改路由缺省器缺省BANNER语安全基线要求项安全基线编号SBL-CiscoRouter-05-01-02

30、安全基线项说明 要修改路由缺省器缺省BANNER语，BANNER最好不要有系统平台或地址等有碍安全的信息。检测操作步骤修改路由缺省器缺省BANNER语基线符合性判定依据欢迎界面、提示符等不包含敏感信息备注5.1.3 配置定时账户自动登出安全基线项目名称配置定时账户自动登出安全基线要求项安全基线编号SBL-CiscoRouter-05-01-03 安全基线项说明 配置定时账户自动登出。如TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接等。检测操作步骤TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接登录方式均设置timeout值基线符合性判定依据每种登录方式均设

31、置了timeout值备注5.1.4 配置consol口密码保护功能安全基线项目名称配置consol口密码保护功能安全基线要求项安全基线编号SBL-CiscoRouter-05-01-04 安全基线项说明 配置consol口密码保护功能检测操作步骤配置consol口密码保护功能。基线符合性判定依据通过consol登录，需要密码备注5.1.5 关闭不必要的网络服务或功能安全基线项目名称闭不必要的网络服务或功能安全基线要求项安全基线编号SBL-CiscoRouter-05-01-05 安全基线项说明 关闭不必要的网络服务或功能检测操作步骤禁用TCP SMALL SERVERS禁用UDP SMALL SERVERS禁用Finger 禁用HTTP SERVER禁用BOOTP SERVER关闭DNS查询功能如要使用该功能，则显式配置DNS SERVER基线符合性判定依据上述条目的状态全部都是“no”备注