收藏
下载资源

cisco路由器安全配置基线

上传人:F****n 文档编号:93489733 上传时间:2019-07-22 格式:DOC 页数:44 大小:731KB
返回 下载 相关 举报
cisco路由器安全配置基线_第1页
第1页 / 共44页
cisco路由器安全配置基线_第2页
第2页 / 共44页
cisco路由器安全配置基线_第3页
第3页 / 共44页
cisco路由器安全配置基线_第4页
第4页 / 共44页
cisco路由器安全配置基线_第5页
第5页 / 共44页
点击查看更多>>
资源描述

《cisco路由器安全配置基线》由会员分享,可在线阅读,更多相关《cisco路由器安全配置基线(44页珍藏版)》请在金锄头文库上搜索。

1、 Cisco 路由器安全配置基线 中国移动集团公司第 1 页 共 44 页 CiscoCisco 路由器安全配置基线路由器安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2012 年 04 月 Cisco 路由器安全配置基线 中国移动集团公司第 2 页 共 44 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1.0创建2009 年 1 月 V2.0更新2012 年 4 月 备注:备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。 Cisco 路由器安全配置基线 中国移动集团公司第 3 页 共

2、 44 页 目目 录录 第第 1 章章概述概述.1 1.1目的.1 1.2适用范围.1 1.3适用版本.1 1.4实施.1 1.5例外条款.1 第第 2 章章帐号管理、认证授权安全要求帐号管理、认证授权安全要求.2 2.1帐号管理.2 2.1.1用户帐号分配*2 2.1.2删除无关的帐号*3 2.1.3限制具备管理员权限的用户远程登录*4 2.2口令.5 2.2.1静态口令以密文形式存放5 2.2.2帐号、口令和授权6 2.2.3密码复杂度7 2.3授权.8 2.3.1用IP协议进行远程维护的设备使用SSH等加密协议8 第第 3 章章日志安全要求日志安全要求.11 3.1日志安全.11 3.1

3、.1对用户登录进行记录11 3.1.2记录用户对设备的操作12 3.1.3开启NTP服务保证记录的时间的准确性.13 3.1.4远程日志功能*14 第第 4 章章IP 协议安全要求协议安全要求 .17 4.1IP 协议17 4.1.1配置路由器防止地址欺骗17 4.1.2系统远程服务只允许特定地址访问18 4.1.3过滤已知攻击20 4.2功能配置.21 4.2.1功能禁用*21 4.2.2启用协议的认证加密功能*23 4.2.3启用路由协议认证功能*24 4.2.4防止路由风暴26 4.2.5防止非法路由注入27 4.2.6SNMP的Community默认通行字口令强度.28 4.2.7只与

4、特定主机进行SNMP协议交互29 4.2.8配置SNMPV2或以上版本.30 4.2.9关闭未使用的SNMP协议及未使用RW权限31 Cisco 路由器安全配置基线 中国移动集团公司第 4 页 共 44 页 4.2.10LDP协议认证功能31 第第 5 章章其他安全要求其他安全要求.33 5.1其他安全配置.33 5.1.1关闭未使用的接口33 5.1.2修改路由缺省器缺省BANNER语.34 5.1.3配置定时账户自动登出34 5.1.4配置consol口密码保护功能36 5.1.5关闭不必要的网络服务或功能37 5.1.6端口与实际应用相符38 第第 6 章章评审与修订评审与修订.40 C

5、isco 路由器安全配置基线 中国移动集团公司第 1 页 共 44 页 第第 1 章章概述概述 1.1 目的目的 本文档规定了中国移动管理信息系统部所维护管理的 Cisco 路由器应当遵循的设备安 全性设置标准,本文档旨在指导系统管理人员进行 Cisco 路由器的安全配置。 1.2 适用范围适用范围 本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的 Cisco 路由器。 1.3 适用版本适用版本 Cisco 路由器。 1.4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程

6、中 若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5 例外条款例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送 交中国移动通信有限公司管理信息系统部进行审批备案。 Cisco 路由器安全配置基线 中国移动集团公司第 2 页 共 44 页 第第 2 章章帐号管理、认证授权安全要求帐号管理、认证授权安全要求 2.1 帐号管理帐号管理 2.1.1 用户帐号分配用户帐号分配* 安全基线项安全基线项 目名称目名称 用户帐号分配安全基线要求项 安全基线编安全基线编 号号 SBL-CiscoRouter-02-01-01 安全基线项安全基线项 说明说明 应

7、按照用户分配帐号。避免不同用户间共享帐号。避免用户帐号和设备间通 信使用的帐号共享。 检测操作步检测操作步 骤骤 1.参考配置操作参考配置操作 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# service password-encryption Router(config)# username ruser1 password 3d-zirc0nia Router(config)# username ruser1 privilege 1 Router(co

8、nfig)# username ruser2 password 2B-or-3B Router(config)# username ruser2 privilege 1 Router(config)# end Router# 2.补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1.判定条件判定条件 I.配置文件中,存在不同的帐号分配 II. 网络管理员确认用户与帐号分配关系明确 2.检测操作检测操作 使用 show running-config 命令,如下例: router#show running-config Building configuration. Current

9、 configuration: ! Cisco 路由器安全配置基线 中国移动集团公司第 3 页 共 44 页 service password-encryption username ruser1 password 3d-zirc0nia username ruser1 privilege 1 username ruser2 password 2B-or-3B username ruser2 privilege 1 3.补充说明补充说明 使用共享帐号容易造成职责不清 备注备注 需要手工检查,由管理员确认帐号分配关系。 2.1.2 删除无关的删除无关的帐号帐号* 安全基线项安全基线项 目名称目名

10、称 无关的帐号安全基线要求项 安全基线编安全基线编 号号 SBL-CiscoRouter-02-01-02 安全基线项安全基线项 说明说明 应删除与设备运行、维护等工作无关的帐号。 检测操作步检测操作步 骤骤 1参考配置操作参考配置操作 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# no username ruser3 2补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1.判定条件判定条件 I.配置文件存在多帐号 II. 网络管理员确认

11、所有帐号与设备运行、维护等工作有关 2.检测操作检测操作 使用 show running-config 命令,如下例: router#show running-config Building configuration. Current configuration: ! username user1 privilege 1 password password1 username nobodyuse privilege 1 password password1 3.补充说明补充说明 删除不用的帐号,避免被利用 Cisco 路由器安全配置基线 中国移动集团公司第 4 页 共 44 页 备注备注 需

12、要手工检查,由管理员判断是否存在无关帐号 2.1.3 限制具备管理员权限的用户远程登录限制具备管理员权限的用户远程登录* 安全基线项安全基线项 目名称目名称 限制具备管理员权限的用户远程登录安全基线要求项 安全基线编安全基线编 号号 SBL-CiscoRouter-02-01-03 安全基线项安全基线项 说明说明 限制具备管理员权限的用户远程登录。远程执行管理员权限操作,应先以普 通权限用户远程登录后,再通过 enable 命令进入相应级别再后执行相应操 作。 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 Router# config t Enter configuration c

13、ommands, one per line. End with CNTL/Z. Router(config)# service password-encryption Router(config)# username normaluser password 3d-zirc0nia Router(config)# username normaluser privilege 1 Router(config)# line vty 0 4 Router(config-line)# login local Router(config-line)# exec-timeout 5 0 Router(conf

14、ig-line)# end 2 补充操作说明补充操作说明 设定帐号密码加密保存 创建 normaluser 帐号并指定权限级别为 1; 设定远程登录启用路由器帐号验证; 设定超时时间为 5 分钟; 基线符合性基线符合性 判定依据判定依据 1.判定条件判定条件 I.VTY 使用用户名和密码的方式进行连接验证 II. 2、帐号权限级别较低,例如:I 2.检测操作检测操作 使用 show running-config 命令,如下例: router#show running-config Building configuration. Current configuration: ! service

15、password-encryption username normaluser password 3d-zirc0nia Cisco 路由器安全配置基线 中国移动集团公司第 5 页 共 44 页 username normaluser privilege 1 line vty 0 4 login local 3 补充说明补充说明 会导致远程攻击者通过黑客工具猜解帐号口令 备注备注 根据业务场景,自动化系统如果无法实现可不选此项,人工登录操作需要遵 守此项规范。 2.2 口令口令 2.2.1 静态口令以密文形式存放静态口令以密文形式存放 安全基线项安全基线项 目名称目名称 静态口令安全基线要求项

16、 安全基线编安全基线编 号号 SBL-CiscoRouter-02-02-01 安全基线项安全基线项 说明说明 静态口令必须使用不可逆加密算法加密,以密文形式存放。如使用 enable secret 配置 Enable 密码,不使用 enable password 配置 Enable 密码。 检测操作步检测操作步 骤骤 1.参考配置操作参考配置操作 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#service password-encryption Router(config)# enable secret 2-mAny-rOUtEs Router(config)# no enable password Router(config)# end 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1.判定条件判定条件 配置文件无明文密码字段 2.检

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 事务文书

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号