Cisco路由器安全配置基线精编版[44页].docx
( 4.5 )《Cisco路由器安全配置基线精编版[44页].docx》由会员分享,可在线阅读,更多相关《Cisco路由器安全配置基线精编版[44页].docx(44页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、最新资料推荐Cisco路由器安全配置基线中国移动通信有限公司 管理信息系统部2012年 04月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月V2.0更新2012年4月备注:1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。目 录第1章概述11.1目的11.2适用范围11.3适用版本11.4实施11.5例外条款1第2章帐号管理、认证授权安全要求22.1帐号管理22.1.1用户帐号分配*22.1.2删除无关的帐号*32.1.3限制具备管理员权限的用户远程登录*42.2口令52.2.1静态口令以密文形式存放52.2.2帐号、口令和授权62.2.3密码复杂度7
2、2.3授权82.3.1用IP协议进行远程维护的设备使用SSH等加密协议8第3章日志安全要求113.1日志安全113.1.1对用户登录进行记录113.1.2记录用户对设备的操作123.1.3开启NTP服务保证记录的时间的准确性133.1.4远程日志功能*14第4章IP协议安全要求174.1IP协议174.1.1配置路由器防止地址欺骗174.1.2系统远程服务只允许特定地址访问184.1.3过滤已知攻击204.2功能配置214.2.1功能禁用*214.2.2启用协议的认证加密功能*234.2.3启用路由协议认证功能*244.2.4防止路由风暴264.2.5防止非法路由注入274.2.6SNMP的C
3、ommunity默认通行字口令强度284.2.7只与特定主机进行SNMP协议交互294.2.8配置SNMPV2或以上版本304.2.9关闭未使用的SNMP协议及未使用RW权限314.2.10LDP协议认证功能31第5章其他安全要求335.1其他安全配置335.1.1关闭未使用的接口335.1.2修改路由缺省器缺省BANNER语345.1.3配置定时账户自动登出345.1.4配置consol口密码保护功能365.1.5关闭不必要的网络服务或功能375.1.6端口与实际应用相符38第6章评审与修订40最新精品资料整理推荐,更新于二二一年一月十八日2021年1月18日星期一17:52:16第1章 概
4、述1.1 目的本文档规定了中国移动管理信息系统部所维护管理的Cisco路由器应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Cisco路由器的安全配置。1.2 适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的Cisco路由器。1.3 适用版本Cisco路由器。1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中
5、国移动通信有限公司管理信息系统部进行审批备案。第2章 帐号管理、认证授权安全要求2.1 帐号管理2.1.1 用户帐号分配*安全基线项目名称用户帐号分配安全基线要求项安全基线编号SBL-CiscoRouter-02-01-01 安全基线项说明 应按照用户分配帐号。避免不同用户间共享帐号。避免用户帐号和设备间通信使用的帐号共享。检测操作步骤1. 参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# service password-encryptionRou
6、ter(config)# username ruser1 password 3d-zirc0niaRouter(config)# username ruser1 privilege 1Router(config)# username ruser2 password 2B-or-3BRouter(config)# username ruser2 privilege 1Router(config)# end Router#2. 补充操作说明基线符合性判定依据1. 判定条件I. 配置文件中,存在不同的帐号分配II. 网络管理员确认用户与帐号分配关系明确2. 检测操作使用show running-co
7、nfig命令,如下例:router#show running-configBuilding configuration.Current configuration:!service password-encryption username ruser1 password 3d-zirc0niausername ruser1 privilege 1username ruser2 password 2B-or-3Busername ruser2 privilege 13. 补充说明使用共享帐号容易造成职责不清备注需要手工检查,由管理员确认帐号分配关系。2.1.2 删除无关的帐号*安全基线项目名称无
8、关的帐号安全基线要求项安全基线编号SBL-CiscoRouter-02-01-02 安全基线项说明 应删除与设备运行、维护等工作无关的帐号。检测操作步骤1参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# no username ruser32补充操作说明基线符合性判定依据1. 判定条件I. 配置文件存在多帐号II. 网络管理员确认所有帐号与设备运行、维护等工作有关2. 检测操作使用show running-config命令,如下例:router#sh
9、ow running-configBuilding configuration.Current configuration:!username user1 privilege 1 password password1username nobodyuse privilege 1 password password13. 补充说明删除不用的帐号,避免被利用备注需要手工检查,由管理员判断是否存在无关帐号2.1.3 限制具备管理员权限的用户远程登录*安全基线项目名称限制具备管理员权限的用户远程登录安全基线要求项安全基线编号SBL-CiscoRouter-02-01-03 安全基线项说明 限制具备管理员
10、权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再通过enable命令进入相应级别再后执行相应操作。检测操作步骤1 参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# service password-encryptionRouter(config)# username normaluser password 3d-zirc0niaRouter(config)# username normaluser privilege 1R
11、outer(config)# line vty 0 4 Router(config-line)# login localRouter(config-line)# exec-timeout 5 0Router(config-line)# end2 补充操作说明设定帐号密码加密保存创建normaluser帐号并指定权限级别为1;设定远程登录启用路由器帐号验证;设定超时时间为5分钟;基线符合性判定依据1. 判定条件I. VTY使用用户名和密码的方式进行连接验证II. 2、帐号权限级别较低,例如:I2. 检测操作使用show running-config命令,如下例:router#show runni
12、ng-configBuilding configuration.Current configuration:!service password-encryptionusername normaluser password 3d-zirc0niausername normaluser privilege 1line vty 0 4 login local3 补充说明会导致远程攻击者通过黑客工具猜解帐号口令备注根据业务场景,自动化系统如果无法实现可不选此项,人工登录操作需要遵守此项规范。2.2 口令2.2.1 静态口令以密文形式存放安全基线项目名称静态口令安全基线要求项安全基线编号SBL-Cisc
13、oRouter-02-02-01 安全基线项说明 静态口令必须使用不可逆加密算法加密,以密文形式存放。如使用enable secret配置Enable密码,不使用enable password配置Enable密码。检测操作步骤1. 参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#service password-encryptionRouter(config)# enable secret 2-mAny-rOUtEsRouter(config)# n
14、o enable passwordRouter(config)# end2 补充操作说明基线符合性判定依据1. 判定条件配置文件无明文密码字段2. 检测操作使用show running-config命令,如下例:router#show running-configBuilding configuration.Current configuration:!service password-encryptionenable secret 5 $1oxphetTb$rTsF$EdvjtWbi0qA2gusername ciscoadmin password 7 Wbi0qA1$rTsF$Edvjt2
15、gpvyhetTb3. 补充说明如果不加密,使用show running-config命令,可以看到未加密的密码备注2.2.2 帐号、口令和授权安全基线项目名称帐号、口令和授权安全基线要求项安全基线编号SBL-CiscoRouter-02-02-02 安全基线项说明 设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。检测操作步骤1. 参考配置操作Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z.Router(config)#aaa new-modelRo
16、uter(config)#aaa authentication login default group tacacs+Router(config)#aaa authentication enable default group tacacs+Router(config)#tacacs-server host 192.168.6.18Router(config)#tacacs-server key Ir31yh8n#w9swDRouter(config)#endRouter#2. 补充操作说明与外部TACACS+ server 192.168.6.18 联动,远程登录使用TACACS+ serv
17、erya验证基线符合性判定依据1. 判定条件帐号、口令配置,指定了认证系统2. 检测操作使用show running-config命令,如下例:router#show running-configBuilding configuration.Current configuration:!aaa new-modelaaa authentication login default group tacacs+aaa authentication enable default group tacacs+tacacs-server host 192.168.6.18tacacs-server key I
18、r31yh8n#w9swD补充说明备注2.2.3 密码复杂度安全基线项目名称密码复杂度安全基线要求项安全基线编号SBL-CiscoRouter-02-02-03 安全基线项说明 对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1 参考配置操作Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z.Router(config)#aaa new-modelR
19、outer(config)#aaa authentication login default group tacacs+Router(config)#aaa authentication enable default group tacacs+Router(config)#tacacs-server host 192.168.6.18Router(config)#tacacs-server key Ir31yh8n#w9swDRouter(config)#endRouter#2. 补充操作说明与外部TACACS+ server 192.168.6.18 联动,远程登录使用TACACS+ ser
20、verya验证;口令强度由TACACS+ server控制基线符合性判定依据备注2.3 授权2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议安全基线项目名称IP协议进行远程维护的设备安全基线要求项安全基线编号SBL-CiscoRouter-02-03-01 安全基线项说明 对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议。检测操作步骤1. 参考配置操作I. 配置主机名和域名router# config tEnter configuration commands, one per line. End with CNTL/Z.router(config)# hostn
21、ame RouterRouter(config)# ip domain-name Router.domain-nameII. 配置访问控制列表Router(config)# no access-list 12 Router(config)# access-list 12 permit host 192.168.0.200Router(config)# line vty 0 4Router(config-line)# access-class 12 in Router(config-line)# exitIII. 配置帐号和连接超时Router(config)# service password
22、-encryptionRouter(config)# username normaluser password 3d-zirc0niaRouter(config)# username normaluser privilege 1Router(config)# line vty 0 4 Router(config-line)# login localRouter(config-line)# exec-timeout 5 0IV. 生成rsa密钥对Router(config)# crypto key generate rsaThe name for the keys will be: Router
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 44页 Cisco 路由器 安全 配置 基线 精编 44
淘文阁 - 分享文档赚钱的网站所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
![Cisco路由器的安全配置方案精编版[7页].docx](/Images/s.gif)
限制150内