《16、网络设备上线安全手册》由会员分享,可在线阅读,更多相关《16、网络设备上线安全手册(7页珍藏版)》请在金锄头文库上搜索。
1、附录 15网络设备上线安全手册网络设备上线安全手册1.联各硬件厂商网站,确定最新交换机上运行的操作系统的漏洞描述或风险提示, 对系统进行升级或更新,我司根据实际情况跟踪,如果厂商发布固件版本,有巨 大的安全隐患时,我司应立即对系统进行升级或更新。2-使用复杂的系统口令,确保所有使用的口令必须为复杂口令,并使用MD5加密方 法设置enable 口令。1)对 console line、 auxiliary line 和 virtual terminal lines 访 问设置密码并加密保护:2)Enable secretenable secret 0 2manyRt3s (口令示例)3)Conso
2、le Lineline con 0password Soda-4-jimmY (口令示例)4)Auxiliary Lineline aux 0password Popcorn-4-sara (口令示例)5)VTY Linesline vty 0 4password Dots-4-georg3 (口令示例)6)Basic protectionservice password-encryption3确保所有提供登陆服务的位置都有口令防护。确保AUX和Console 口都有EXEC 口令,并使用MD5加密,建议使用支持加密的登陆方式,如SSH等; Enable secret 配置:使用 enable
3、 secret 来加密 secret 口令。4-访问控制配置:通过配置VTY端口的Access List来增加系统访问的安全性。5. VTY访问配置:配置VTY的访问方式,用SSH来增加系统访问的安全性。6-指定IP到路由器的Telnet访问。7.对于允许远程登陆管理的路由器、交换机,必须设置相应的ACL,限定可远程登 录的主机IP地址范围,VTY只接受来自可信的IP地址的连接。并且应限制只接 受一位管理员工作站的访问,避免DoS攻击的威胁,配置VTY连接超时,防止管 理员离开时控制台被他人使用。8对于支持SNMP,提供网管功能的设备,必须确保MIB库的读/写密码必须设定为 非缺省值。9确保所
4、有的接口都禁用CDP协议,以防止设备上的关键信息的泄露。1锁住到路由器的SNMP访问。11. 通过使用认证来控制对路由器的访问。12 以相应的优先权登录,使用分级用户配置管理方式。13 路由更新的认证,路由更新的认证会增加安全,但路由更新认证也会带来路 由更新问题;我司使用的是专线网络,所以可以不考虑路由更新的认证。14Login Banner配置:修改login banner,隐藏路由器系统真实信息,防止真实信息的泄露。15 用户验证配置:配置用户验证方式以增强系统访问的安全性。16AAA方式配置:配置AAA方式来增加用户访问安全性。17路由命令审计配置:配置AAA命令记账来增强系统访问安全
5、性。18. 路由器应该开启日志功能1) 若路由器没有足够的空间,需要将日志传送到日志服务器上保存。2) 若边界路由器未配合防火墙、IDS、Sniffer等技术使用,必须支持 详尽的日志信息。3) 在日志文件中需要记录登录过该设备的用户名、时间和所作的命令操 作等详细信息,为发现潜在攻击者的不良行为提供有力依据。4) 该设备制定的维护人员必须定期查看所管设备的日志文件,发现异常 情况要及时处理和报告上级主管,尽早消除网络安全隐患。19 接口安全配置命令1 Unused interfaces - shutdown2 No Smurf attacks - no ip directed-broadca
6、st3 Ad-hoc routing - no ip proxy-arp20 关闭路由器、以太网交换机内不需要的服务,对于必须开放的服务要限制开放的范围以及数据的流向;1) 使用show proc命令,关闭确实没用的服务:2) Small services (echo, discard, chargen, etc)3) no servicetcp-small-servers4) no serviceudp-small-servers5) BOOTP - noip bootp server6) Finger - no service finger7) HTTP - noip http serve
7、r8) Identd - no ip identd (some IOS versions)9) SNMP - no snmp-server10) CDP - no cdp run11) Remote config. - no service config12) Source routing - no ip source-route21. 核查开放的服务是否必须,否则禁用ServicePort TypePort NumberDNS Zone Transfers exceptTCP53from external secondaryDNS serversTFTP DaemonUDP69LinkTCP
8、87SUN RPCTCP & UDP111BSD UNIXTCP512 - 514LPDTCP515UUCPDTCP540Open WindowsTCP & UDP2000NFSTCP & UDP2049X WindowsTCP & UDP6000 - 6255Small servicesTCP & UDP20 and belowFTPTCP21SSHTCP22TelnetTCP23SMTP (exceptexternalTCP25mail relays)NTPUDP123FingerTCP79HTTP (except to externalTCP80web servers)POPTCP109
9、 &110NNTPTCP119NetBIOS in Windows NTTCP &UDP135NetBIOS in Windows NTUDP137 & 138NetBIOSTCP139IMAPTCP143SNMPTCP161 &162SNMPUDP161 &162BGPTCP179LDAPTCP &UDP389SSL (except to externalTCP443web servers)NetBIOS in Win2kTCP &UDP445SyslogUDP514SOCKSTCP1080Cisco AUX portTCP2001Cisco AUX port (stream)TCP4001Lockd(LinuxDoSTCP &UDP4045Vulnerability)Cisco AUX port (binary)TCP6001Common high order HTTPTCP8000,8080,por ts8888, 8800
