Cisco+IOS安全配置规范

Cisco IOS 安全配置 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 Cisco IOS 安全配置规范 Page 1 of 14 1. 概述 1.1. 目的 本规范明确了 Cisco IOS 路由器和交换机及其三层处理模块的安全配置方面的 基本要求。为了提高 Cisco IOS 网络设备的安全性而提出的。 1.2. 范围 本规范适用于基于 Cisco IOS 的路由器和交换机及其三层处理模块，其软件版 本为 CISCO IOS 12.0 及以上版本。 Cisco IOS 安全配置规范 Page 2 of 14 2. 安全配置规范 2.1. 操作系统安全性 2.1.1. 修补操作系统漏洞 【目的】由于 Cisco IOS 的一些版本存在漏洞，设备操作系统的漏洞很可能会 严重危害设备甚至全网的安全性和稳定性。如发现当前版本存在漏洞，升级 IOS 到 较高级安全、稳定的版本。 【影响】：可能会导致某些服务功能异常或配置文件不兼容，做好原有操作系 统映像和配置文件的备份。 【具体配置】：无 2.2. 关闭不必要的服务 2.2.1. 禁止 CDP(Cisco Discovery Protocol) 【目的】由于 CDP 服务可能被攻击者利用获得路由器的版本等信息，从而进 行攻击，所以如果没有必要使用 CDP 服务，则应关闭 CDP 服务。 【影响】：无法发现网络邻居的详细信息，造成维护不便。 【具体配置】： ！全局 CDP 的关闭 Router(Config)#no cdp run ！特定端口 CDP 的关闭 Router(Config)#interface f0/0 Router(Config-if)# no cdp enable 2.2.2. 禁止 TCP、UDP Small 服务 【目的】Cisco 路由器提供一些基于 TCP 和 UDP 协议的小服务如：echo、 chargen 和 discard。这些小服务很少被使用，而且容易被攻击者利用来越过包过滤 机制。要求关闭这些服务。 【影响】：无 Cisco IOS 安全配置规范 Page 3 of 14 【具体配置】： Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers 2.2.3. 禁止 Finger、NTP 服务 【目的】Finger 服务可能被攻击者利用查找用户和口令攻击。NTP 不是十分危 险的，但是如果没有一个很好的认证，则会影响路由器正确时间，导致日志和其他 任务出错。要求关闭这些服务。 【影响】：无 【具体配置】： Router(Config)# no ip finger Router(Config)# no service finger Router(Config)# no ntp 2.2.4. 禁止 BOOTp 服务 【目的】：禁用自启动服务 【影响】：无 【具体配置】： Router(Config)# no ip bootp server 2.2.5. 禁止 IP Source Routing 【目的】：禁用源路由，防止路由信息泄露 【影响】：无 【具体配置】： Router(Config)# no ip source-route 2.2.6. 禁止 IP Directed Broadcast 【目的】：禁用定向广播，防止 smurf 攻击 【影响】：无 【具体配置】： Router(Config)# no ip directed-broadcast Cisco IOS 安全配置规范 Page 4 of 14 2.2.7. 禁止 IP Classless 【目的】：禁止无类路由 【影响】：无 【具体配置】： Router(Config)# no ip classless 2.2.8. WINS 和 DNS 服务 【目的】如果没必要通过网络进行名字查询则禁止 WINS 和 DNS 服务 【影响】：无 【具体配置】： Router(Config)# no ip domain-lookup 2.2.9. ARP-Proxy 服务 【目的】建议如果不需要 ARP-Proxy 服务则禁止它，否则容易引起路由表的混 乱, 路由器默认识开启的 【影响】：无 【具体配置】： ！全局配置 Router(Config)# no ip proxy-arp ！接口配置 Router(Config)# interface eth 0/2 Router(Config-if)# no ip proxy-arp 2.3. 设置特权口令 【目的】不要采用 enable password 设置密码，而采用 enable secret 命令设置， enable secret 命令用于设定具有管理员权限的口令，而 enable password 采用的加密 算法比较弱。而要采用 enable secret 命令设置。并且要启用 Service password- encryption，这条命令用于对存储在配置文件中的所有口令和类似数据进行加密。避 免当配置文件被不怀好意者看见，从而获得这些数据的明文。 【影响】：无 Cisco IOS 安全配置规范 Page 5 of 14 【具体配置】： Router(Config)#enable secret xxxxxxxx Router(Config)#Service password-encryption 2.4. 登录要求 2.4.1. 对 CON 端口的登录要求 【目的】控制 CON 端口的访问,给 CON 口设置高强度的登录密码，修改默认 参数，配置认证策略。 【影响】：无 【具体配置】： Router(Config)#line con 0 Router(Config-line)#Transport input none Router(Config-line)#Login Router(Config-line)#password XXXXXXX Router(Config-line)#Exec-timeout 3 0 Router(Config-line)#session-limit 5 2.4.2. 对 AUX 端口的管理要求 【目的】除非使用拨号接入时使用 AUX 端口，否则禁止这个端口。 【影响】：无法通过 AUX 拨号接入路由器 【具体配置】： Router(Config)#line aux 0 Router(Config-line)#transport input none Router(Config-line)#no exec 2.4.3. 远程登录的安全要求 【目的】建议采用 SSH 协议来取代 Telnet 进行设备的远程登录。SSH 与 Telnet 一样提供远程连接手段。但是 SSH 传送的数据（包括账号和密码）都会被加密，且 密钥会自动更新，极大提高了连接的安全性。SSH 可以非常有效地防止窃听、防止 使用地址欺骗手段实施的连接尝试。 设置远程登录超时，确保设备在无人值守时能迅速断开连接。 【注意事项】：只有支持并带有 IPSec 特征集的 IOS 才支持 SSH。并且 Cisco IOS 安全配置规范 Page 6 of 14 IOS12.0-IOS12.2 仅支持 SSH-V1； 【影响】：无 【具体配置】： ！生成 RSA 密钥对 Router(Config)# crypto key generate rsa The name for the keys will be: router.bmcc.com Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose keys .Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus[512]: 2048 Generating RSA Keys... [OK] ！配置本地数据库，用于 SSH 认证 Router(Config)# username BluShin privilege 10 password G00dPa55w0rd !配置 VTY 登陆协议使用 SSH，并使用本地数据库认证，也可以使用其他 认证方式，如 AAA Router(Config)# line vty 0 4 Router(Config-line)# transport input ssh Router(Config-line)# login ！配置 SSH 登陆尝试次数为 3 次 Router(Config)# ip ssh authentication-retries 3 ！并发登录个数 Router(Config-line)#session-limit 5 ！采用访问列表严格控制访问的地址 Router(Config)# access-list 22 permit 192.168.0.22 Router(Config)# access-list 22 deny any Router(Config)# line vty 0 4 Router(Config-line)# access-class 22 in ！采用登录超时 Router(Config)# line vty 0 4 Router(Config-line)#exec-timeout 30 0 2.4.4. HTTP 的登录要求 【目的】如非要采用 HTTP 服务，要求对 HTTP 服务进行严格的控制 如果必须选择使用 HTTP 进行管理，最好用 ip http access-class 命令限定访问地 址且用 ip http authentication 命令配置认证，修改 HTTP 的默认端口。 【影响】：无 【具体配置】： ！修改默认端口 Router(Config)# ip http port 50000 Router(Config)# access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny any ！启用 ACL 严格控制可以登陆的维护地址 Cisco IOS 安全配置规范 Page 7 of 14 Router(Config)# ip http access-class 10 ！配置本地数据库 Router(Config)# username BluShin privilege 10 password G00dPa55w0rd ！启用本地认证 Router(Config)# ip http auth local Router(Config)# ip http server 启用 HTTP 服务 2.5. 本机认证和授权 【目的】初始模式下，设备内一般建有没有密码的管理员账号，该账号只能用 于 Console 连接，不能用于远程登录。强烈建议用户应在初始化配置时为它们加添 密码。一般而言，设备允许用户自行创建本机登录账号，并为其设定密码和权限。 同时，为了 AAA 服务器出现问题时，对设备的维护工作仍可正常进行，建议保留 必要的维护用户。 【影响】：无 【具体配置】： ！配置本地用户 BluShin，密码 GoodPa55w0rd,权限为 10 Router(Config)#username BluShin privilege 10 password G00dPa55w0rd Router(Config)#privilege EXEC level 10 telnet Router(Config)#privilege EXEC level 10 show ip access-list 2.6. 动态路由协议认证 【目的】Cisco 设备的动态路由协议 RIP V2、OSPF 和 BGP 都具有 MD5 认证功 能。默认情况下该功能不会启用，建议启用该项功能。应根据本系统在一定时期决 定使用的路由协议选择相应的配置。 2.6.1. OSPF 路由协议的认证 默认的 OSPF 认证密码是明文传输的，要求启用 MD5 认证。并设置一定强度 密钥(key，相对的路由器必须有相同的 Key)。 【影响】：无 【注意事项】：路由协议在区域配置了认证，那么属于该区域的接口都应相应 的配置，否则无法建立邻居。 【配置范例】： Router(Config)# router ospf 100 Cisco IOS 安全配置规范 Page 8 of 14 Router(Config-router)# network 192.168.100.0 0.0.0.255 area 100 ! 启用 MD5 认证。 Router(Config-router)# area 1 authentication message-digest Router(Config)# exit Router(Config)# interface eth0/1 ！启用 MD5 密钥 Key 为 routerospfkey。 Router(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey 2.6.2. RIP 路由协议的认证 只有 RIP V2 支持，RIP-V1 不支持。建议启用 RIP V2。并且采用 MD5 认证， 普通认证同样是明文传输的。 【影响】：无 【注意事项】：动态路由协议在区域配置了认证，那么属于该区域的接口都应 相应的配置，否则无法建立邻居。RIP V1 不支持验证报文，RIP V2 支持验证。 【配置范例】： Router(Config)# config terminal ! 启用设置密钥链 Router(Config)# key chain mykeychainname Router(Config-keychain)# key 1 ！设置密钥字串 Router(Config-leychain-key)# key-string MyFirstKeyString Router(Config-leychain-key)#exit Router(Config-keyschain)# key 2 Router(Config-keychain-key)# key-string MySecondKeyString ！启用 RIP-V2 Router(Config)# router rip Router(Config-router)# version 2 Router(Config-router)# network 192.168.100.0 Router(Config)# interface eth0/1 ! 采用 MD5 模式认证，并选择已配置的密钥链 Router(Config-if)# ip rip authentication mode md5 Router(Config-if)# ip rip authentication key-chain mykeychainname 2.6.3. BGP 路由协议的认证 BGP 路由协议配置认证，自动启用 MD5 认证。 【影响】：无 【注意事项】：路由协议在区域配置了认证，那么属于该区域的接口都应相应 的配置，否则无法建立邻居。 【配置范例】： Cisco IOS 安全配置规范 Page 9 of 14 Router(Config)#router bgp 9808 Router(Config-router)# neighbor 10.0.0.1 password xxxxxx 2.6.4. 关于 passive-interface 命令 【目的】要求对于不需要路由的端口（尤其是在网络边界），启用 passive- interface，可以禁用一些不需要接收和转发路由信息的端口。但是，在 RIP 协议只 禁止转发路由信息，并不禁止接收。在 OSPF 协议中是禁止转发和接收路由信息。 【影响】：接口将不转发及接收路由信息 【具体配置】： ! Rip 中，禁止端口 0/3 转发路由信息 Router(Config)# router Rip Router(Config-router)# passive-interface eth0/3 ！OSPF 中，禁止端口 0/3 接收和转发路由信息 Router(Config)# router ospf 100 Router(Config-router)# passive-interface eth0/3 2.6.5. 路由过滤 【目的】启用访问列表过滤一些垃圾和恶意路由信息，控制网络的垃圾信息 流，要求根据实际维护环境实施该建议。 【影响】：所限制的路由信息将不被放入路由表 【具体配置】： Router(Config)# access-list 10 deny 192.168.1.0 0.0.0.255 Router(Config)# access-list 10 permit any ! 禁止路由器接收更新 192.168.1.0 网络的路由信息 Router(Config)# router ospf 100 Router(Config-router)# distribute-list 10 in ！禁止路由器转发传播 192.168.1.0 网络的路由信息 Router(Config)# router ospf 100 Router(Config-router)# distribute-list 10 out 2.7. SNMP协议 2.7.1. SNMP 服务器的开启 【目的】如不需要提供 SNMP 服务的，要求禁止 SNMP 协议服务，注意在禁 止时删除一些 SNMP 服务的默认配置。 Cisco IOS 安全配置规范 Page 10 of 14 【影响】：关闭，网管系统无法采集到相关管理数据，不能进行告警监控 【具体配置】： Router(Config)# no SNMP-server community public Ro Router(Config)# no SNMP-server community private RW Router(Config)# no SNMP-server enable traps Router(Config)# no SNMP-server system-shutdown Router(Config)# no SNMP-server 2.7.2. 更改 SNMP TRAP 协议端口； 【目的】如开启 SNMP 协议，要求更改 SNMP trap 协议的 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 端口号，以增强 其安全性。 【影响】：无 【具体配置】： Router(config)#SNMP-server host 10.0.0.1 traps version udp-port 1661 2.7.3. 限制发起 SNMP 连接的源地址； 【目的】如开启 SNMP 协议，要求更改 SNMP 连接的源地址，以增强其安全 性。 【影响】：只有指定的网管网段才能使用 SNMP 维护 【具体配置】： Router(Config)# access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny any Router(Config)# SNMP-server community MoreHardPublic Ro 10 2.7.4. 设置 SNMP 密码 【目的】如开启 SNMP 协议，要求设置并定期更改 SNMP Community（至少半 年一次），以增强其安全性，不建议开启 SNMP rw 特性。 【影响】：无 【具体配置】： Router(Config)# SNMP-server community MoreHardPublic ro ！不建议实施 Router(Config)# SNMP-server community MoreHardPublic rw Cisco IOS 安全配置规范 Page 11 of 14 2.7.5. 开启 SNMP v3 版本 【目的】如开启 SNMP 协议，并且条件 许可 商标使用许可商标使用许可商标使用许可商标使用许可商标使用许可 的话，建议转用 SNMPv3。SNMP version 3 已经商用。它引入了除 Community 外的基于 MD5 认证和 DES 加密来保障 SNMP 通道安全的机制。 【影响】：无 【具体配置】： Router(Config)# SNMP-server host 10.0.0.1 version 3 auth MoreHardPublic 2.8. 开启日志功能 【目的】为了实现对设备安全的管理，要求对设备的安全审计进行有效管理。 根据设备本身具有的属性和实际维护经验，建议相关安全审计信息应包括设备登录 信息日志和设备事件信息日志，同时提供 SYSLOG 服务器的设置方式。 Cisco 设备将 LOG 信息分成八个级别，由低到高分别为 debugging、 informational、notifications、warnings、errors、critical、alerts、emergencies。考虑 到日志信息的种类和详细程度，并且日志开启对设备的负荷有一定影响，在这建议 获取有意义的日志信息，并将其发送到网管主机或日志服务器并进行 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 ，建议将 notifications 及以上的 LOG 信息送到日志服务器。 【影响】：无 【具体配置】： ！开启日志 Router(Config)#logging on ！设置日志服务器地址 Router(Config)#logging a.b.c.d ！日志记录级别，可用"?"查看详细内容 Router(Config)#logging trap notifications ！日志发出用的源 IP 地址 Router(Config)#logging source-interface e0 ！日志记录的时间戳设置，可根据需要具体配置 Router(Config)#service timestamps log datetime localtime Cisco IOS 安全配置规范 Page 12 of 14 2.9. 其它安全要求 2.9.1. 禁止从网络启动和自动从网络下载初始配置文件。 【影响】：无 【具体配置】： Router(Config)# no boot network Router(Config)# no service config 2.9.2. 禁止未使用或空闲的端口 【影响】：无 【具体配置】： ！对端口 interface eth0/3 端口进行 shutdown Router(Config)# interface eth0/3 Router(Config-if)# shutdown 2.9.3. banner 的设置要求 【目的】对远程登陆的 banner 的设置要求不能透漏设备和网络信息，并应包含 非授权用户禁止登录的字样。 【影响】：无 【注意事项】：在所有设备上实施该配置，内容不包括与设备特征有关的信 息，如层次、IP 地址、类型等。 【具体配置】： Router(Config)#banner “xxxxxxxxxxxxxxxxxxx” 2.9.4. 源地址路由检查 【目的】为了防止利用 IP Spoofing 手段假冒源地址进行的攻击对整个网络造成 的冲击，要求在所有的边缘路由设备（即直接与终端用户网络互连的路由设备） 上，根据用户网段 规划 污水管网监理规划下载职业规划大学生职业规划个人职业规划职业规划论文 添加源路由检查。Cisco 路由器提供全局模式下启用 URPF （Unicast Reverse Path Forwarding 单播反向路径转发）的功能。 【影响】：会对设备负荷造成影响。 【注意事项】：源路由检查功能更适用于网络接入层设备。汇聚层和核心层设 Cisco IOS 安全配置规范 Page 13 of 14 备不建议使用。 【具体配置】： Router# config t ！启用 CEF,要使用 VRVF 功能必须启用 CEF(Cisco Express Forwarding) Router(Config)# ip cef ！启用 Unicast Reverse-Path Verification Router(Config)# interface eth0/1 Router(Config-if)# ip verify unicast reverse-path 2.9.5. 黑洞路由 【目的】当上级设备与下级设备互连时，若下级设备使用缺省路由引导流出流 量，而上级设备使用静态路由或只接收下级设备宣告的汇聚路由来引导返回流量， 常常会在互连链路上形成路由环路。这是由于下级设备有部分明细路由实际上没有 使用而没有路由记录，而此情况不被上级设备所知道。当有流量指向这部分地址 时，下级设备会根据最长匹配原则使用缺省路由记录发往上级设备，而上级设备又 根据静态或汇聚路由记录发还给下级设备，由此反复直至该流量的 TTL 递减归 0 为 止。当网络受到扫描攻击或恶意破坏时，大量的流量在此链路上循环将严重挤占带 宽和设备资源，影响网络服务质量甚至导致网络瘫痪。 要求根据 IP 规划和实际配置情况，在有此类故障隐患的下级设备上加添黑洞 路由，屏蔽暂时不用的网段。这需要根据业务开展情况实时做出调整。 【影响】：将对目标地址不在路由表中的包进行丢弃操作 【具体配置】： Router(Config)# ip route 0.0.0.0 0.0.0.0 null 0 255 2.9.6. CAR 技术 【目的】CAR 是 Committed Access Rate 的简写，意思是：承诺访问速率。 CAR 主要有两个作用：对一个端口或子端口(subinterface)的进出流量速率按某个标 准上限进行限制；对流量进行分类，划分出不同的 QoS 优先级。CAR 除了可以像 我们提供的范例所示来限制某种流量的速率之外，还可以用来抵挡某些类型的网络 攻击。DOS 网络攻击的一个特征是网络中会充斥着大量带有非法源地址的 ICMP 包，我们可以通过在路由器上对 ICMP 包通过配置 CAR 来设置速率上限的方法来 Cisco IOS 安全配置规范 Page 14 of 14 保护网络。 【影响】：配置 CAR 后会对设备性能造成一定影响，慎重实施 【注意事项】：建议在接入层面实施 CAR 【具体配置】： ！对 ICMP 协议流量进行限制 ！流量限制 Router(Config)#access-list 100 permit icmp any any echo Router(Config)#access-list 100 permit icmp any any echo-relay ！接口起用 rate-limit Router(Config)#int s1/0/0 ！限制 ICMP 探测和应答流量为 256k/bits,最大突发流量 8000 字节，超过 限制的一律丢弃。 Router(Config-if)#rate-limit input access-group 100 256000 8000 8000 conform-action transmit exceed-action drop