Cisco思科 路由交换网络设备基线安全加固操作
目录
账号管理、认证授权 本机认证和授权ELK-Cisco-01-01-01
设置特权口令 ELK-Cisco-01-02-01
ELK-Cisco-01-02-02
登录要求 ELK-Cisco-01-03-01
ELK-Cisco-01-03-02
ELK-Cisco-01-03-03
日志配置 ELK-Cisco-02-01-01
通信协议 ELK-Cisco-03-01-01
ELK-Cisco-03-01-02
ELK-Cisco-03-01-03
ELK-Cisco-03-01-04
ELK-Cisco-03-01-05
ELK-Cisco-03-01-06
设备其它安全要求 ELK-Cisco-04-01-01
ELK-Cisco-04-01-02
ELK-Cisco-04-01-03
ELK-Cisco-04-01-04
ELK-Cisco-04-01-05
ELK-Cisco-04-01-06
ELK-Cisco-04-01-07
ELK-Cisco-04-01-08
ELK-Cisco-04-01-09
ELK-Cisco-04-01-10
本建议用于Cisco路由器和基于Cisco IOS的交换机及其三层处理模块,其软件版本为CISCO IOS 12.0及以上版本。加固前应该先备份系统配置文件。
账号管理、认证授权 本机认证和授权ELK-Cisco-01-01-01
| 编号: |
ELK-Cisco-01-01-01 |
| 名称: |
本机认证和授权设置 |
| 实施目的: |
初始模式下,设备内一般建有没有密码的管理员账号,该账号只能用于Console连接,不能用于远程登录。强烈建议用户应在初始化配置时为它们加添密码。一般而言,设备允许用户自行创建本机登录账号,并为其设定密码和权限。同时,为了AAA服务器出现问题时,对设备的维护工作仍可正常进行,建议保留必要的维护用户。 |
| 问题影响: |
非法访问文件或目录。 |
| 系统当前状态: |
查看备份的系统配置文件中关于管理员账号配置。 |
| 实施方案: |
配置本地用户BluShin,密码GoodPa55w0rd,权限为10 Router(Config)#username BluShin privilege 10 password G00dPa55w0rd Router(Config)#privilege EXEC level 10 telnet Router(Config)#privilege EXEC level 10 show ip access-list |
| 回退方案: |
还原系统配置文件。 |
| 判断依据 |
帐号、口令配置,指定了认证系统 |
| 实施风险: |
低 |
| 重要等级: |
★ |
设置特权口令 ELK-Cisco-01-02-01
| 编号: |
ELK-Cisco-01-02-01 |
| 名称: |
设置特权口令 |
| 实施目的: |
不要采用enable password设置密码,而采用enable secret命令设置,enable secret 命令用于设定具有管理员权限的口令,而enable password采用的加密算法比较弱。而要采用enable secret命令设置。并且要启用Service password-encryption,这条命令用于对存储在配置文件中的所有口令和类似数据进行加密。避免当配置文件被不怀好意者看见,从而获得这些数据的明文。 |
| 问题影响; |
密码容易被非法利用。 |
| 系统当前状态: |
查看备份的系统配置文件中关于密码配置状态。 |
| 实施方案: |
Router(Config)#enable secret xxxxxxxx Router(Config)#Service password-encryption |
| 回退方案: |
还原系统配置文件。 |
| 判断依据: |
查看配置文件,核对参考配置操作。 |
| 实施风险: |
低 |
| 重要等级: |
★★★ |
ELK-Cisco-01-02-02
| 编号: |
ELK-Cisco-01-02-02 |
| 名称: |
账号、口令授权 |
| 实施目的: |
设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。 |
| 问题影响; |
密码容易被非法利用。 |
| 系统当前状态: |
|
| 实施方案: |
与外部TACACS+ server 192.168.6.18 联动,远程登录使用TACACS+ serverya验证; |
| 回退方案: |
还原系统配置文件。 |
| 判断依据: |
帐号、口令配置,指定了认证系统。 |
| 实施风险: |
低 |
| 重要等级: |
★★★ |
登录要求 ELK-Cisco-01-03-01
| 编号: |
ELK-Cisco-01-03-01 |
| 名称: |
加固CON端口的登录 |
| 实施目的: |
控制CON端口的访问,给CON口设置高强度的登录密码,修改默认参数,配置认证策略。 |
| 问题影响: |
增加密码被破解的成功率。 |
| 系统当前状态: |
查看备份的系统配置文件中关于CON配置状态。 |
| 实施方案: |
1、参考配置操作 Router(Config)#line con 0 Router(Config-line)#Transport input none Router(Config-line)#Login Router(Config-line)#password XXXXXXX Router(Config-line)#Exec-timeoute 3 0 Router(Config-line)#session-limit 5 |
| 回退方案: |
还原系统配置文件。 |
| 判断依据: |
查看配置文件,核对参考配置操作。 |
| 实施风险: |
高 |
| 重要等级: |
★ |
ELK-Cisco-01-03-02
| 编号: |
ELK-Cisco-01-03-02 |
| 名称: |
加固AUX端口的管理 |
| 实施目的: |
除非使用拨号接入时使用AUX端口,否则禁止这个端口。 |
| 问题影响: |
容易被攻击者利用。 |
| 系统当前状态: |
查看备份的系统配置文件中关于CON配置状态。 |
| 实施方案: |
Router(Config)#line aux 0 Router(Config-line)#transport input none Router(Config-line)#no exec 设置完成后无法通过AUX拨号接入路由器 |
| 回退方案: |
还原系统配置文件。 |
| 判断依据: |
查看配置文件,核对参考配置操作。 |
| 实施风险: |
中 |
| 重要等级: |
★ |
ELK-Cisco-01-03-03
| 编号: |
ELK-Cisco-01-03-03 |
| 名称: |
HTTP登录安全加固 |
| 实施目的: |
如非要采用HTTP服务,要求对HTTP服务进行严格的控制 如果必须选择使用HTTP进行管理,最好用ip http access-class命令限定访问地址且用ip http authentication命令配置认证,修改HTTP的默认端口。 |
| 问题影响: |
容易被非法用户获取口令进行违规操作。 |
| 系统当前状态: |
查看备份的系统配置文件中关于HTTP登录配置状态。 |
| 实施方案: |
!修改默认端口 Router(Config)# ip http port 50000 Router(Config)# access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny any !启用ACL严格控制可以登陆的维护地址 Router(Config)# ip http access-class 10 !配置本地数据库 Router(Config)# username BluShin privilege 10 password G00dPa55w0rd !启用本地认证 Router(Config)# ip http auth local Router(Config)# ip http server启用HTTP服务 |
| 回退方案: |
还原系统配置文件。 |
| 判断依据: |
查看配置文件,核对参考配置操作。 |
| 实施风险: |
中 |
| 重要等级: |
★ |
日志配置 ELK-Cisco-02-01-01
| 编号: |
ELK-Cisco-03-01-01 |
| 名称: |
开启日志功能 |
| 实施目的: |
为了实现对设备安全的管理,要求对设备的安全审计进行有效管理。根据设备本身具有的属性和实际维护经验,建议相关安全审计信息应包括设备登录信息日志和设备事件信息日志,同时提供SYSLOG服务器的设置方式。 Cisco设备将LOG信息分成八个级别,由低到高分别为debugging、informational、notifications、warnings、errors、critical、alerts、emergencies。考虑到日志信息的种类和详细程度,并且日志开启对设备的负荷有一定影响,在这建议获取有意义的日志信息,并将其发送到网管主机或日志服务器并进行分析,建议将notifications及以上的LOG信息送到日志服务器。 |
| 问题影响: |
无法对用户的登陆进行日志记录。 |
| 系统当前状态: |
查看备份的系统配置文件中关于logging服务的配置。 |
| 实施方案: |
!开启日志 Router(Config)#logging on !设置日志服务器地址 Router(Config)#logging a.b.c.d !日志记录级别,可用”?”查看详细内容 Router(Config)#logging trap notifications !日志发出用的源IP地址 Router(Config)#logging source-interface e0 !日志记录的时间戳设置,可根据需要具体配置 Router(Config)#service timestamps log datetime localtime |
| 回退方案: |
还原系统配置文件。 |
| 判断依据: |
查看配置文件,核对参考配置操作。 |
| 实施风险: |
中 |
| 重要等级: |
★★★ |
通信协议 ELK-Cisco-03-01-01
| 编号: |
ELK-Cisco-03-01-01 |
| 名称: |
SNMP服务器配置 |
| 实施目的: |
如不需要提供SNMP服务的,要求禁止SNMP协议服务,注意在禁止时删除一些SNMP服务的默认配置。 |
| 问题影响: |
被欺骗的基于数据包的协议。 |
| 系统当前状态: |
查看备份的系统配置文件中关于SNMP服务的配置。 |
| 实施方案: |
Router(Config)# no SNMP-server community public Ro Router(Config)# no SNMP-server community private RW Router(Config)# no SNMP-server enable traps Router(Config)# no SNMP-server system-shutdown Router(Config)# no SNMP-server 关闭,网管系统无法采集到相关管理数据,不能进行告警监控 |
| 回退方案: |
还原系统配置文件。 |
| 判断依据: |
service –status-all //看所有服务程序状态 |
| 实施风险: |
中 |
| 重要等级: |
★ |
ELK-Cisco-03-01-02
| 编号: |
ELK-Cisco-03-01-02 |
| 名称: |
更改SNMP TRAP协议端口; |
| 实施目的: |
如开启SNMP协议,要求更改SNMP trap协议的标准端口号,以增强其安全性。 |
| 问题影响: |
容易引起拒绝服务攻击。 |
| 系统当前状态: |
查看备份的系统配置文件中关于SNMP服务的配置。 |
| 实施方案: |
Router(config)#SNMP-server host 10.0.0.1 traps version udp-port 1661 |
| 回退方案: |
还原系统配置文件。 |
| 判断依据: |
Show SNMP |
| 实施风险: |
高 |
| 重要等级: |
★ |
ELK-Cisco-03-01-03
| 编号: |
ELK-Cisco-03-01-03 |
| 名称: |
限制发起SNMP连接的源地址 |
| 实施目的: |
如开启SNMP协议,要求更改SNMP 连接的源地址,以增强其安全性。 |
| 问题影响: |
容易被非法攻击。 |
| 系统当前状态: |
查看备份的系统配置文件中关于SNMP服务的配置。 |
| 实施方案: |
outer(Config)# access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny any Router(Config)# SNMP-server community MoreHardPublic Ro 10 【影响】:只有指定的网管网段才能使用SNMP维护 |
| 回退方案: |
还原系统配置文件。 |
| 判断依据: |
查看配置文件,核对参考配置操作。 |
| 实施风险: |
中 |
| 重要等级: |
★ |
ELK-Cisco-03-01-04
| 编号: |
ELK-Cisco-03-01-04 |
| 名称: |
设置SNMP密码 |
| 实施目的: |
如开启SNMP协议,要求设置并定期更改SNMP Community(至少半年一次),以增强其安全性,不建议开启SNMP rw特性。 |
| 问题影响: |
密码泄露,造成不一定的危险。 |
| 系统当前状态: |
查看备份的系统配置文件中关于SNMP服务的配置。 |
| 实施方案: |
Router(Config)# SNMP-server community MoreHardPublic ro !不建议实施 Router(Config)# SNMP-server community MoreHardPublic rw |
| 回退方案: |
还原系统配置文件。 |
| 判断依据: |
查看配置文件,核对参考配置操作。 |
| 实施风险: |
中 |
| 重要等级: |
★ |
ELK-Cisco-03-01-05
| 编号: |
ELK-Cisco-03-01-05 |
| 名称: |
源地址路由检查 |
| 实施目的: |
为了防止利用IP Spoofing手段假冒源地址进行的攻击对整个网络造成的冲击,要求在所有的边缘路由设备(即直接与终端用户网络互连的路由设备)上,根据用户网段规划添加源路由检查。Cisco路由器提供全局模式下启用URPF(Unicast Reverse Path Forwarding单播反向路径转发)的功能。 |
| 问题影响: |
会对设备负荷造成影响。 |
| 系统当前状态: |
查看备份的系统配置文件中关于CEF 服务的配置。 |
| 实施方案: |
Router# config t !启用CEF,要使用VRVF功能必须启用CEF(Cisco Express Forwarding) Router(Config)# ip cef !启用Unicast Reverse-Path Verification Router(Config)# interface eth0/1 Router(Config-if)# ip verify unicast reverse-path |
| 回退方案: |
还原系统配置文件。 |
| 判断依据: |
查看配置文件,核对参考配置操作。 |
| 实施风险: |
高 |
| 重要等级: |
★ |
ELK-Cisco-03-01-06
| 编号: |
ELK-Cisco-03-01-06 |
| 名称: |
配置路由器防止地址欺骗 |
| 实施目的: |
防止地址欺骗 |
| 问题影响: |
会对设备负荷造成影响,恶意攻击。 |
| 系统当前状态: |
查看备份的系统配置文件中关于CEF 服务的配置。 |
| 实施方案: |
如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(127.0.0.0/8);RFC1918私有地址;DHCP自定义地址 (169.254.0.0/16);科学文档作者测试用地址(192.0.2.0/24);不用的组播地址(224.0.0.0/4);SUN公司的古老 的测试地址(20.20.20.0/24;204.152.64.0/23);全网络地址(0.0.0.0/8)。 |
| 回退方案: |
还原系统配置文件。 |
| 判断依据: |
各接口只转发属于自己ip范围内的源地址数据包流出 |
| 实施风险: |
高 |
| 重要等级: |
★ |
设备其它安全要求 ELK-Cisco-04-01-01
| 编号: |
ELK-Cisco-04-01-01 |
| 名称: |
禁止CDP(Cisco Discovery Protocol) |
| 实施目的: |
由于CDP服务可能被攻击者利用获得路由器的版本等信息,从而进行攻击,所以如果没有必要使用CDP服务,则应关闭CDP服务。 |
| 问题影响: |
增加攻击的成功率。 |
| 系统当前状态: |
查看备份的系统配置文件cdp当前配置的状态。 |
| 实施步骤: |
1、参考配置操作 !全局CDP的关闭 Router(Config)#no cdp run !特定端口CDP的关闭 Router(Config)#interface f0/0 Router(Config-if)# no cdp enable 【影响】:无法发现网络邻居的详细信息,造成维护不便。 |
| 回退方案: |
!全局CDP的恢复 Router(Config)#cdp run 特定端口CDP的恢复 Router(Config)#interface f0/0 Router(Config-if)# cdp enable |
| 判断依据: |
Show CDP 但看是否还有相关信息 |
| 实施风险: |
中 |
| 重要等级: |
★ |
ELK-Cisco-04-01-02
| 编号: |
ELK-Cisco-04-01-02 |
| 名称: |
禁止TCP、UDP Small服务 |
| 实施目的: |
Cisco路由器提供一些基于TCP和UDP协议的小服务如:echo、chargen和discard。这些小服务很少被使用,而且容易被攻击者利用来越过包过滤机制。要求关闭这些服务。 |
| 问题影响: |
增加攻击者的利用率。 |
| 系统当前状态: |
查看备份的系统配置文件service tcp-small-servers service udp-samll-servers当前配置的状态。 |
| 实施方案: |
1、参考配置操作 Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers |
| 回退方案: |
Router(Config)# service tcp-small-servers Router(Config)# nservice udp-samll-servers |
| 判断依据: |
查看配置文件,核对参考配置操作。 |
| 实施风险: |
低 |
| 重要等级: |
★★ |
ELK-Cisco-04-01-03
| 编号: |
ELK-Cisco-04-01-03 |
| 名称: |
禁止Finger、NTP服务 |
| 实施目的: |
Finger服务可能被攻击者利用查找用户和口令攻击。NTP不是十分危险的,但是如果没有一个很好的认证,则会影响路由器正确时间,导致日志和其他任务出错。要求关闭这些服务。 |
| 问题影响: |
增加密码被破解的成功率。 |
| 系统当前状态: |
查看备份的系统配置文件Finger、NTP服务当前配置的状态。 |
| 实施方案: |
1、参考配置操作 Router(Config)# no ip finger Router(Config)# no service finger Router(Config)# no ntp |
| 回退方案: |
Router(Config)# ip finger Router(Config)# service finger Router(Config)# ntp |
| 判断依据 |
查看配置文件,核对参考配置操作。 |
| 实施风险: |
低 |
| 重要等级: |
★ |
ELK-Cisco-04-01-04
| 编号: |
ELK-Cisco-04-01-04 |
| 名称: |
禁止BOOTp服务 |
| 实施目的: |
禁用自启动服务 |
| 问题影响: |
会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”(man-in-middle)方式进行攻击 |
| 系统当前状态: |
查看备份的系统配置文件BOOTp服务当前配置的状态。 |
| 实施方案: |
Router(Config)# no ip bootp server |
| 回退方案: |
Router(Config)# ip bootp server |
| 判断依据: |
查看配置文件,核对参考配置操作。 |
| 实施风险: |
低 |
| 重要等级: |
★ |
ELK-Cisco-04-01-05
| 编号: |
ELK-Cisco-04-01-05 |
| 名称: |
禁止IP Source Routing |
| 实施目的: |
禁用源路由,防止路由信息泄露 |
| 问题影响: |
容易泄露一些信息,造成一定的威胁。 |
| 系统当前状态: |
查看备份的系统配置文件中关于IP Source Routing服务当前的配置状态。 |
| 实施方案: |
Router(Config)# no ip source-route |
| 回退方案: |
还原系统配置文件。 |
| 判断依据: |
查看配置文件,核对参考配置操作。 |
| 实施风险: |
低 |
| 重要等级: |
★ |
ELK-Cisco-04-01-06
| 编号: |
ELK-Cisco-04-01-06 |
| 名称: |
禁止IP Directed Broadcast |
| 实施目的: |
禁用定向广播,防止smurf攻击 |
| 问题影响: |
增加smurf攻击的利用率。 |
| 系统当前状态: |
查看备份的系统配置文件中关于IP Directed Broadcast服务当前的配置状态。 |
| 实施方案: |
Router(Config)# no ip directed-broadcast |
| 回退方案: |
还原系统配置文件。 |
| 判断依据: |
查看配置文件,核对参考配置操作。 |
| 实施风险: |
低 |
| 重要等级: |
★ |
ELK-Cisco-04-01-07
| 编号: |
ELK-Cisco-04-01-07 |
| 名称: |
禁止IP Classless |
| 实施目的: |
禁止无类路由 |
| 问题影响: |
有利于被攻击者利用 |
| 系统当前状态: |
查看备份的系统配置文件中关于IP Classless服务当前的配置状态。 |
| 实施方案: |
Router(Config)# no ip classless |
| 回退方案: |
还原系统配置文件。 |
| 判断依据: |
查看配置文件,核对参考配置操作。 |
| 实施风险: |
低 |
| 重要等级: |
★ |
ELK-Cisco-04-01-08
| 编号: |
ELK-Cisco-04-01-08 |
| 名称: |
WINS和DNS服务加固 |
| 实施目的: |
如果没必要通过网络进行名字查询则禁止WINS和DNS服务 |
| 问题影响: |
安全性被降低。 |
| 系统当前状态: |
查看备份的系统配置文件中关于WINS和DNS服务当前的配置状态。 |
| 实施方案: |
1、参考配置操作 Router(Config)# no ip domain-lookup |
| 回退方案: |
还原系统配置文件。 |
| 判断依据: |
查看配置文件,核对参考配置操作。 |
| 实施风险: |
低 |
| 重要等级: |
★ |
ELK-Cisco-04-01-09
| 编号: |
ELK-Cisco-04-01-09 |
| 名称: |
ARP-Proxy服务加固 |
| 实施目的: |
建议如果不需要ARP-Proxy服务则禁止它,否则容易引起路由表的混乱, 路由器默认识开启的 |
| 安全影响: |
容易引起路由的混乱。 |
| 系统当前状态: |
查看备份的系统配置文件中关于ARP-Proxy服务当前的配置状态。 |
| 实施方案: |
1、参考配置操作 !全局配置 Router(Config)# no ip proxy-arp !接口配置 Router(Config)# interface eth 0/2 Router(Config-if)# no ip proxy-arp |
| 回退方案: |
还原系统配置文件。 |
| 判断依据: |
查看配置文件,核对参考配置操作。 |
| 实施风险: |
低 |
| 重要等级: |
★ |
ELK-Cisco-04-01-10
| 编号: |
ELK-Cisco-04-01-10 |
| 名称: |
禁止从网络启动和自动从网络下载初始配置文件 |
| 实施目的: |
禁止下载非法文件。 |
| 问题影响: |
配置文件被非法下载。 |
| 系统当前状态: |
查看备份的系统配置文件中关于boot service 服务的配置。 |
| 实施方案: |
Router(Config)# no boot network Router(Config)# no service config |
| 回退方案: |
还原系统配置文件。 |
| 判断依据: |
查看配置文件,核对参考配置操作。 |
| 实施风险: |
中 |
| 重要等级: |
★★★ |