Cisco网络设备加固规范2024年9月目录1账号管理、认证授权.......................................................................................................................21.1本机认证和授权.......................................................................................................................21.1.1SHG-Cisco-01-01-01......................................................................................................21.2设置特权口令...........................................................................................................................31.2.1SHG-Cisco-01-02-01......................................................................................................31.2.2SHG-Cisco-01-02-02......................................................................................................31.3登录要求...................................................................................................................................41.3.1SHG-Cisco-01-03-01......................................................................................................41.3.2SHG-Cisco-01-03-02......................................................................................................51.3.3SHG-Cisco-01-03-03......................................................................................................62日志配置...........................................................................................................................................72.1.1SHG-Cisco-03-01-01......................................................................................................73通信协议...........................................................................................................................................83.1.1SHG-Cisco-03-01-01......................................................................................................83.1.2SHG-Cisco-03-01-02......................................................................................................93.1.3SHG-Cisco-03-01-03......................................................................................................93.2SHG-CISCO-05-01-04..............................................................................................................103.2.1SHG-Cisco-03-02-01.....................................................................................................113.2.2SHG-Cisco-03-02-02.....................................................................................................114设备其它安全要求.........................................................................................................................134.1.1SHG-Cisco-04-01-01....................................................................................................134.1.2SHG-Cisco-04-01-02....................................................................................................144.1.3SHG-Cisco-04-01-03....................................................................................................154.1.4SHG-Cisco-01-01-04....................................................................................................154.1.5SHG-Cisco-04-01-05....................................................................................................164.1.6SHG-Cisco-04-01-06....................................................................................................174.1.7SHG-Cisco-04-01-07....................................................................................................174.1.8SHG-Cisco-04-01-08....................................................................................................184.1.9SHG-Cisco-04-01-09....................................................................................................184.1.10SHG-Cisco-04-01-10....................................................................................................19本建议用于Cisco路由器和基于CiscoIOS的交换机及其三层处理模块,其软件版本为CISCOIOS12.0及以上版本。加固前应该先备份系统配置文件1账号管理、认证授权1.1本机认证和授权1.1.1SHG-Cisco-01-01-01编号:SHG-Cisco-01-01-01名称:本机认证和授权设置实施目的:初始模式下,设备内一般建有没有密码的管理员账号,该账号只能用于Console连接,不能用于远程登录。强烈建议用户应在初始化配置时为它们加添密码。一般而言,设备允许用户自行创建本机登录账号,并为其设定密码和权限。同时,为了AAA服务器出现问题时,对设备的维护工作仍可正常进行,建议保留必要的维护用户。问题影响:非法访问文件或目录。系统当前状态:查看备份的系统配置文件中关于管理员账号配置。实施方案:1、参考配置操作配置本地用户BluShin,密码GoodPa55w0rd,权限为10Router(Config)#usernameBluShinprivilege10passwordG00dPa55w0rdRouter(Config)#privilegeEXEClevel10telnetRouter(Config)#privilegeEXEClevel10showipaccess-list回退方案:还原系统配置文件。判断依据帐号、口令配置,指定了认证系统实施风险:低重要等级:★第2页共21页1.2设置特权口令1.2.1SHG-Cisco-01-02-01编号:SHG-Cisco-01-02-01名称:设置特权口令实施目的:不要采用enablepassword设置密码,而采用enablesecret命令设置,enablesecret命令用于设定具有管理员权限的口令,而enablepassword采用的加密算法比较弱。而要采用enablesecret命令设置。并且要启用Servicepassword-encryption,这条命令用于对存储在配置文件中的所有口令和类似数据进行加密。避免当配置文件被不怀好意者看见,从而获得这些数据的明文。问题影响;密码容易被非法利用。系统当前状态:查看备份的系统配置文件中关于密码配置状态。实施方案:1、参考配置操作Router(Config)#enablesecretxxxxxxxxRouter(Config)#Servicepassword-encryption回退方案:还原系统配置文件。判断依据:查看配置文件,核对参考配置操作。实施风险:低重要等级:★★★1.2.2SHG-Cisco-01-02-02编号:SHG-Cisco-01-02-02名称:账号、口令授权实施目的:设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。问题影响;密码容易被非法利用。系统当前状态:第3页共21页实施方案:与外部TACACS+server192.168.6.18联动,远程登录使用TACACS+serverya验证;回退方案:还原系统配置文件。判断依据:帐号、口令配置,指定了认证系统。实施风险:低重要等级:★★★1.3登录要求1.3.1SHG-Cisco-01-03-01编号:SHG-Cisco-01-03-01名称:加固CON端口的登录实施目的:控制CON端口的访问,给CON口设置高强度的登录密码,修改默认参数,配置认证策略。问题影响:增加密码被破解的成功率。系统当前状态:查看备份的系统配置文件中关于CON配置状态。实施方案:1、参考配置操作Router(Config)#linecon0Router(Config-line)#TransportinputnoneRouter(Config-line)#LoginRouter(Config-line)#passwordXXXXXXXRouter(Config-line)#Exec-timeoute30Router(Config-line)#session-limit5回退方案:还原系统配置文件。判断依据:查看配置文件,核对参考配置操作。第4页共21页实施风险:高重要等级:★1.3.2SHG-Cisco-01-03-02编号:SHG-Cisco-01-03-02名称:加固AUX端口的管理实施目的:除非使用拨号接入时使用AUX端口,否则禁止这个端口。问题影响:容易被攻击者利用。系统当前状态:查看备份的系统配置文件中关于CON配置状态。实施方案:1、参考配置操作Router(Config)#lineaux0Router(Config-line)#transportinputnoneRouter(Config-line)#noexec设置完成后无法通过AUX拨号接入路由器回退方案:还原系统配置文件。判断依据:查看配置文件,核对参考配置操作。实施风险:中重要等级:★C1.3.3SHG-Cisco-01-03-03编号:SHG-Cisco-01-03-03名称:HTTP登录安全加固实施目的:如非要采用HTTP服务,要求对HTTP服务进行严格的控制如果必须选择使用HTTP进行管理,最好用iphttpaccess-class命令限定访问地址且用iphttpauthentication命令配置认证,修改HTTP的默认端口。第5页共21页问题影响:容易被非法用户获取口令进行违规操作。系统当前状态:查看备份的系统配置文件中关于HTTP登录配置状态。实施方案:1、参考配置操作!修改默认端口Router(Config)#iphttpport50000Router(Config)#access-list10permit192.168.0.1Router(Config)#access-list10denyany!启用ACL严格控制可以登陆的维护地址Router(Config)#iphttpaccess-class10!配置本地数据库Router(Config)#usernameBluShinprivilege10passwordG00dPa55w0rd!启用本地认证Router(Config)#iphttpauthlocalRouter(Config)#iphttpserver启用HTTP服务回退方案:还原系统配置文件。判断依据:查看配置文件,核对参考配置操作。实施风险:中重要等级:★2日志配置2.1.1SHG-Cisco-03-01-01编号:SHG-Cisco-03-01-01名称:开启日志功能实施目的:为了实现对设备安全的管理,要求对设备的安全审计进行有效管理。根据设备本身具有的属性和实际维护经验,建议相关安全审计信息应包括设备登录信息日志和设备事件信息日志,同时提供SYSLOG服第6页共21页务器的设置方式。Cisco设备将LOG信息分成八个级别,由低到高分别为debugging、informational、notifications、warnings、errors、critical、alerts、emergencies。考虑到日志信息的种类和详细程度,并且日志开启对设备的负荷有一定影响,在这建议获取有意义的日志信息,并将其发送到网管主机或日志服务器并进行分析,建议将notifications及以上的LOG信息送到日志服务器。问题影响:无法对用户的登陆进行日志记录。系统当前状态:查看备份的系统配置文件中关于logging服务的配置。实施方案:1、参考配置操作!开启日志Router(Config)#loggingon!设置日志服务器地址Router(Config)#logginga.b.c.d!日志记录级别,可用”?”查看详细内容Router(Config)#loggingtrapnotifications!日志发出用的源IP地址Router(Config)#loggingsource-interfacee0!日志记录的时间戳设置,可根据需要具体配置Router(Config)#servicetimestampslogdatetimelocaltime回退方案:还原系统配置文件。判断依据:查看配置文件,核对参考配置操作。实施风险:中重要等级:★★★第7页共21页3通信协议3.1.1SHG-Cisco-03-01-01编号:SHG-Cisco-03-01-01名称:SNMP服务器配置实施目的:如不需要提供SNMP服务的,要求禁止SNMP协议服务,注意在禁止时删除一些SNMP服务的默认配置。问题影响:被欺骗的基于数据包的协议。系统当前状态:查看备份的系统配置文件中关于SNMP服务的配置。实施方案:1、参考配置操作Router(Config)#noSNMP-servercommunitypublicRoRouter(Config)#noSNMP-servercommunityprivateRWRouter(Config)#noSNMP-serverenabletrapsRouter(Config)#noSNMP-serversystem-shutdownRouter(Config)#noSNMP-server关闭,网管系统无法采集到相关管理数据,不能进行告警监控回退方案:还原系统配置文件。判断依据:service–status-all//看所有服务程序状态netstat–an//看snmp的udp是否打开实施风险:中重要等级:★3.1.2SHG-Cisco-03-01-02编号:SHG-Cisco-03-01-02名称:更改SNMPTRAP协议端口;实施目的:如开启SNMP协议,要求更改SNMPtrap协议的标准端口号,以增强其安全性。第8页共21页问题影响:容易引起拒绝服务攻击。系统当前状态:查看备份的系统配置文件中关于SNMP服务的配置。实施方案:1、参考配置操作Router(config)#SNMP-serverhost10.0.0.1trapsversionudp-port1661回退方案:还原系统配置文件。判断依据:ShowSNMP实施风险:高重要等级:★3.1.3SHG-Cisco-03-01-03编号:SHG-Cisco-03-01-03名称:限制发起SNMP连接的源地址实施目的:如开启SNMP协议,要求更改SNMP连接的源地址,以增强其安全性。问题影响:容易被非法攻击。系统当前状态:查看备份的系统配置文件中关于SNMP服务的配置。实施方案:1、参考配置操作outer(Config)#access-list10permit192.168.0.1Router(Config)#access-list10denyanyRouter(Config)#SNMP-servercommunityMoreHardPublicRo10【影响】:只有指定的网管网段才能使用SNMP维护回退方案:还原系统配置文件。判断依据:查看配置文件,核对参考配置操作。实施风险:中第9页共21页重要等级:★3.1.4SHG-Cisco-03-01-04编号:SHG-Cisco-03-01-04名称:设置SNMP密码实施目的:如开启SNMP协议,要求设置并定期更改SNMPCommunity(至少半年一次),以增强其安全性,不建议开启SNMPrw特性。问题影响:密码泄露,造成不一定的危险。系统当前状态:查看备份的系统配置文件中关于SNMP服务的配置。实施方案:1、参考配置操作Router(Config)#SNMP-servercommunityMoreHardPublicro!不建议实施Router(Config)#SNMP-servercommunityMoreHardPublicrw回退方案:还原系统配置文件。判断依据:查看配置文件,核对参考配置操作。实施风险:中重要等级:★3.1.5SHG-Cisco-03-01-05编号:SHG-Cisco-03-01-05名称:源地址路由检查实施目的:为了防止利用IPSpoofing手段假冒源地址进行的攻击对整个网络造成的冲击,要求在所有的边缘路由设备(即直接与终端用户网络互连的路由设备)上,根据用户网段规划添加源路由检查。Cisco路由器提供全局模式下启用URPF(UnicastReversePathForwarding单播反向路径转发)的功能。问题影响:会对设备负荷造成影响。系统当前状态:查看备份的系统配置文件中关于CEF服务的配置。实施方案:1、参考配置操作第10页共21页Router#configt!启用CEF,要使用VRVF功能必须启用CEF(CiscoExpressForwarding)Router(Config)#ipcef!启用UnicastReverse-PathVerificationRouter(Config)#interfaceeth0/1Router(Config-if)#ipverifyunicastreverse-path回退方案:还原系统配置文件。判断依据:查看配置文件,核对参考配置操作。实施风险:高重要等级:★3.1.6SHG-Cisco-03-01-06编号:SHG-Cisco-03-01-06名称:配置路由器防止地址欺骗实施目的:防止地址欺骗问题影响:会对设备负荷造成影响,恶意攻击。系统当前状态:查看备份的系统配置文件中关于CEF服务的配置。实施方案:如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(127.0.0.0/8);RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);科学文档作者测试用地址(192.0.2.0/24);不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);全网络地址(0.0.0.0/8)。Router(Config)#access-list100denyip127.0.0.00.255.255.255anyRouter(Config)#access-list100denyip192.168.0.00.0.255.255anyRouter(Config)#access-list100denyip172.16.0.00.15.255.255any第11页共21页Router(Config)#access-list100denyip10.0.0.00.255.255.255anyRouter(Config)#access-list100denyip169.254.0.00.0.255.255anyRouter(Config)#access-list100denyip192.0.2.00.0.0.255anyRouter(Config)#access-list100denyip224.0.0.015.255.255.255anyRouter(Config)#access-list100denyip20.20.20.00.0.0.255anyRouter(Config)#access-list100denyip204.152.64.00.0.2.255anyRouter(Config)#access-list100denyip0.0.0.00.255.255.255anyRouter(Config)#access-list100permitipanyanyRouter(Config-if)#ipaccess-group100in2建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。(可选)如:Router(Config)#noaccess-list101Router(Config)#access-list101permitip192.168.0.00.0.255.255anyRouter(Config)#access-list101denyipanyanyRouter(Config)#interfaceeth0/1Router(Config-if)#description“internetEthernet”Router(Config-if)#ipaddress192.168.0.254255.255.255.0Router(Config-if)#ipaccess-group101in其他可选项:回退方案:还原系统配置文件。判断依据:各接口只转发属于自己ip范围内的源地址数据包流出实施风险:高重要等级:★第12页共21页4设备其它安全要求4.1.1SHG-Cisco-04-01-01编号:SHG-Cisco-04-01-01名称:禁止CDP(CiscoDiscoveryProtocol)实施目的:由于CDP服务可能被攻击者利用获得路由器的版本等信息,从而进行攻击,所以如果没有必要使用CDP服务,则应关闭CDP服务。问题影响:增加攻击的成功率。系统当前状态:查看备份的系统配置文件cdp当前配置的状态。实施步骤:1、参考配置操作!全局CDP的关闭Router(Config)#nocdprun!特定端口CDP的关闭Router(Config)#interfacef0/0Router(Config-if)#nocdpenable【影响】:无法发现网络邻居的详细信息,造成维护不便。回退方案:!全局CDP的恢复Router(Config)#cdprun特定端口CDP的恢复Router(Config)#interfacef0/0Router(Config-if)#cdpenable判断依据:ShowCDP但看是否还有相关信息实施风险:中重要等级:★4.1.2SHG-Cisco-04-01-02编号:SHG-Cisco-04-01-02第13页共21页名称:禁止TCP、UDPSmall服务实施目的:Cisco路由器提供一些基于TCP和UDP协议的小服务如:echo、chargen和discard。这些小服务很少被使用,而且容易被攻击者利用来越过包过滤机制。要求关闭这些服务。问题影响:增加攻击者的利用率。系统当前状态:查看备份的系统配置文件servicetcp-small-serversserviceudp-samll-servers当前配置的状态。实施方案:1、参考配置操作Router(Config)#noservicetcp-small-serversRouter(Config)#noserviceudp-samll-servers回退方案:Router(Config)#servicetcp-small-serversRouter(Config)#nserviceudp-samll-servers判断依据:查看配置文件,核对参考配置操作。实施风险:低重要等级:★★4.1.3SHG-Cisco-04-01-03编号:SHG-Cisco-04-01-03名称:禁止Finger、NTP服务实施目的:Finger服务可能被攻击者利用查找用户和口令攻击。NTP不是十分危险的,但是如果没有一个很好的认证,则会影响路由器正确时间,导致日志和其他任务出错。要求关闭这些服务。问题影响:增加密码被破解的成功率。系统当前状态:查看备份的系统配置文件Finger、NTP服务当前配置的状态。实施方案:1、参考配置操作Router(Config)#noipfingerRouter(Config)#noservicefingerRouter(Config)#nontp回退方案:Router(Config)#ipfingerRouter(Config)#servicefingerRouter(Config)#ntp第14页共21页判断依据查看配置文件,核对参考配置操作。实施风险:低重要等级:★4.1.4SHG-Cisco-04-01-04编号:SHG-Cisco-04-01-04名称:禁止BOOTp服务实施目的:禁用自启动服务问题影响:会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”(man-in-middle)方式进行攻击系统当前状态:查看备份的系统配置文件BOOTp服务当前配置的状态。实施方案:1、参考配置操作Router(Config)#noipbootpserver回退方案:Router(Config)#ipbootpserver判断依据:查看配置文件,核对参考配置操作。实施风险:低重要等级:★4.1.5SHG-Cisco-04-01-05编号:SHG-Cisco-04-01-05名称:禁止IPSourceRouting实施目的:禁用源路由,防止路由信息泄露问题影响:容易泄露一些信息,造成一定的威胁。第15页共21页系统当前状态:查看备份的系统配置文件中关于IPSourceRouting服务当前的配置状态。实施方案:1、参考配置操作Router(Config)#noipsource-route回退方案:还原系统配置文件。判断依据:查看配置文件,核对参考配置操作。实施风险:低重要等级:★4.1.6SHG-Cisco-04-01-06编号:SHG-Cisco-04-01-06名称:禁止IPDirectedBroadcast实施目的:禁用定向广播,防止smurf攻击问题影响:增加smurf攻击的利用率。系统当前状态:查看备份的系统配置文件中关于IPDirectedBroadcast服务当前的配置状态。实施方案:1、参考配置操作Router(Config)#noipdirected-broadcast回退方案:还原系统配置文件。判断依据:查看配置文件,核对参考配置操作。实施风险:低重要等级:★第16页共21页4.1.7SHG-Cisco-04-01-07编号:SHG-Cisco-04-01-07名称:禁止IPClassless实施目的:禁止无类路由问题影响:有利于被攻击者利用系统当前状态:查看备份的系统配置文件中关于IPClassless服务当前的配置状态。实施方案:1、参考配置操作Router(Config)#noipclassless回退方案:还原系统配置文件。判断依据:查看配置文件,核对参考配置操作。实施风险:低重要等级:★4.1.8SHG-Cisco-04-01-08编号:SHG-Cisco-04-01-08名称:WINS和DNS服务加固实施目的:如果没必要通过网络进行名字查询则禁止WINS和DNS服务问题影响:安全性被降低。系统当前状态:查看备份的系统配置文件中关于WINS和DNS服务当前的配置状态。第17页共21页实施方案:1、参考配置操作Router(Config)#noipdomain-lookup回退方案:还原系统配置文件。判断依据:查看配置文件,核对参考配置操作。实施风险:低重要等级:★4.1.9SHG-Cisco-04-01-09编号:SHG-Cisco-04-01-09名称:ARP-Proxy服务加固实施目的:建议如果不需要ARP-Proxy服务则禁止它,否则容易引起路由表的混乱,路由器默认识开启的安全影响:容易引起路由的混乱。系统当前状态:查看备份的系统配置文件中关于ARP-Proxy服务当前的配置状态。实施方案:1、参考配置操作!全局配置Router(Config)#noipproxy-arp!接口配置Router(Config)#interfaceeth0/2Router(Config-if)#noipproxy-arp回退方案:还原系统配置文件。判断依据:查看配置文件,核对参考配置操作。实施风险:低重要等级:★第18页共21页4.1.10SHG-Cisco-04-01-10编号:SHG-Cisco-04-01-10名称:禁止从网络启动和自动从网络下载初始配置文件实施目的:禁止下载非法文件。问题影响:配置文件被非法下载。系统当前状态:查看备份的系统配置文件中关于bootservice服务的配置。实施方案:1、参考配置操作Router(Config)#nobootnetworkRouter(Config)#noserviceconfig回退方案:还原系统配置文件。判断依据:查看配置文件,核对参考配置操作。实施风险:中重要等级:★★★第19页共21页
