Cisco路由器/交换机
帐号口令
编号:NE-Cisco-帐号口令-01 |
要求内容: 应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。 |
操作指南: Router # config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# service password-encryption Router(config)# username ruser1 password 3d-zirc0nia Router(config)# username ruser1 privilege 1 Router(config)# username ruser2 password 2B-or-3B Router(config)# username ruser2 privilege 1 Router(config)# end Router# |
检测方法: 使用show running-config router# show running-config Building configuration... Current configuration: ! service password-encryption username ruser1 password 3d-zirc0nia username ruser1 privilege 1 username ruser2 password 2B-or-3B username ruser2 privilege 1 |
判定条件: I.配置文件中,存在不同的帐号分配。 II.网络管理员确认用户与帐号分配关系明确。 |
补充说明: 使用共享帐号容易造成职责不清。 |
编号:NE-Cisco-帐号口令-02 |
要求内容: 应删除与设备运行、维护等工作无关的帐号。 |
操作指南: Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# no username ruser3 |
检测方法: 使用show running-config router# show running-config Building configuration… Current configuration: ! username user1 privilege 1 password password1 username nobodyuse privilege 1 password password1 |
判定条件: I.配置文件存在多帐号。 II.网络管理员确认所有帐号与设备运行、维护等工作有关。 |
补充说明: 删除不用的帐号,避免被利用。 |
编号:NE-Cisco-帐号口令-03 |
要求内容: 应配置定时账户自动登出,如TELNET、SSH、HTTP管理连接和CONSOLE口登录连接等。 |
操作指南: 1.参考配置操作: I. Console登录连接超时。 Router# config t Enter configuration commands,one per line. End with CNTL/Z. Router(config)# line con 0 Router(config-line)# exec-timeout 5 0 II. 远程登录连接超时。 Router# config t Enter configuration commands,one per line. End with CNTL/Z. Router(config)# line vty 0 4 Router(config-line)# exec-timeout 5 0 2.补充操作说明: 本例配置连接超时时间为5分钟。 |
检测方法: 使用show running-config router# show running-config Building configuration... Current configuration: ! … line con 0 login local exec-timeout 10 0 exit … line vty 0 4 login local access-class 2 in exec-timeout 10 0 exit … ip ssh timeout 90 … |
判定条件: 每种登录方式均设置了timeout值。 |
补充说明: 账户永久在线,会造成不合法的登录。 |
编号:NE-Cisco-帐号口令-04 |
要求内容: 静态口令应使用不可逆加密算法加密,以密文形式存放。如使用enable secret配置Enable密码,不使用enable password配置Enable密码。 |
操作指南: Router# config t Enter configuration commands,one per line. End with CNTL/Z. Router(config)# enable secret 2-mAny-rOUtEs Router(config)# no enable password Router(config)# end |
检测方法: 使用show running-config router# show running-config Building configuration... Current configuration: ! service password-encryption enable secret 5 $1oxphetTb$rTsF$EdvjtWbi0qA2g username ciscoadmin password 7 Wbi0qA1$rTsF$Edvjt2gpvyhetTb |
判定条件: 配置文件无明文密码字段。 |
补充说明: 如果不加密,使用show running-config可以看到未加密的密码。 |
编号:NE-Cisco-帐号口令-05 |
要求内容: 应配置consol口密码保护功能。 |
操作指南: 启用密码保护命令。 Router# config t Enter configuration commands,one per line. End with CNTL/Z. Router(config)# username brian privilege 1 password g00d+pa55w0rd Router(config)# line con 0 Router(config-line)# login local Router(config-line)# end Router # |
检测方法: 使用show running-config router# show running-config Building configuration... Current configuration: ! service password-encryption username myuser1 password mypassword line con 0 login local exec-timeout 10 0 exit |
判定条件: 通过consol登录,需要密码。 |
补充说明: 不设置密码保护,则无须输入密码就可以登录到设备,并获得低级权限。 |
日志安全
编号:NE-Cisco-日志安全-01 |
要求内容: 应配置远程日志功能,所有设备日志均能通过远程日志功能传输到日志服务器,并支持至少一种通用的远程标准日志接口,如SYSLOG、FTP等。 |
操作指南: 1.参考配置操作: 路由器/交换机侧配置。 Router# config t Enter configuration commands,one per line. End with CNTL/Z. Router(config)# logging on Router(config)# logging trap information Router(config)# logging 192.168.0.100 Router(config)# logging facility local6 Router(config)# logging source-interface loopback0 Router(config)# exit Router# show logging Syslog logging: enabled (0 messages dropped, 11 flushes, 0overruns) Console logging: level notifications, 35 messages logged Monitor logging: level debugging, 35 messages logged Buffer logging: level informational, 31 messages logged Logging to 192.168.0.100, 28 message lines logged … Router# 2.补充操作说明: 假设把router日志存储在192.168.0.100的syslog服务器上。 I.路由器/交换机侧配置描述如下。 启用日志。 记录日志级别设定“information”。 记录日志类型设定“local6”。 日志发送到192.168.0.100。 日志发送源loopback0。 配置完成可以使用“show logging”验证。 II.服务器侧配置描述如下。 Syslog服务器配置参考。 在Syslog.conf上增加一行。 # Save router messages to routers.log local6.debug var/log/routers.log 创建日志文件。 # touch var/log/routers.log III.如果使用snmp存储日志配置描述如下。 Router# config t Enter configuration commands,one per line. End with CNTL/Z. Router(config)# logging trap information Router(config)# snmp-server host 192.168.0.100 traps public Router(config)# snmp-server trap-source loopback0 Router(config)# snmp-server enable traps syslog Router(config)# exit Router# |
检测方法: 使用show logging Router# show logging Syslog logging: enabled Console logging: disabled Monitor logging: level debugging, 266 messages logged. Trap logging: level informational, 266 messages logged. Logging to 192.180.2.238 SNMP logging: disabled, retransmission after 30 seconds 0 messages logged Router# |
判定条件: I.Syslog logging和SNMP logging至少有一个为“enabled”。 II.Logging to后面的主机名或IP指向日志服务器。 III.通常记录日志数不为0。 |
补充说明: |
编号:NE-Cisco-日志安全-02 |
要求内容: 与记账服务器(如TACACS服务器)配合,应配置日志功能,记录用户对设备的操作,如帐号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户帐号,操作时间,操作内容以及操作结果。 |
操作指南: 1.参考配置操作: Router# configure terminal Enter configuration commands,one per line. End with CNTL/Z. Router(config)# aaa new-model Router(config)# aaa accounting commands 1 default start-stop group tacacs+ Router(config)# aaa accounting commands 15 default start-stop group tacacs+ Router(config)# end Router1# 2.补充操作说明: 使用TACACS+server |
检测方法: 使用show running-config router1# show runn|include aaa Building configuration... Current configuration: ! aaa new-model aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ |
判定条件: 配置了AAA模板的上述具体条目。 |
补充说明: |
编号:NE-Cisco-日志安全-03 |
要求内容: 应开启NTP服务,保证日志功能记录的时间的准确性。 |
操作指南: 1.参考配置操作: Router# config t Enter configuration commands,one per line. End with CNTL/Z. Router(config)# interface eth0/0 Router(config-if)# no ntp disable Router(config-if)# exit Router(config)# ntp server 14.2.9.2 source loopback0 Router(config)# exit 2.补充操作说明: 需要到每个端口开启NTP。 |
检测方法: I.使用show running-config router# show running-config Building configuration... Current configuration: ! … no ntp disable ntp update-calendar ntp server 128.237.32.2 ntp server 142.182.31.6 II.使用show logging|include NTP 000019: Jan 29 10:57:52.633 EST: %NTP-5-PEERSYNC: NTP synced to peer 172.25.1.5 000020: Jan 29 10:57:52.637 EST: %NTP-6-PEERREACH: Peer 172.25.1.5 is reachable |
判定条件: I.存在ntp server配置条目。 II.日志记录时间准确。 |
补充说明: 日志时间不准确导致安全事件定位的不准确。 |
协议安全
编号:NE-Cisco-协议安全-01 |
要求内容: 应配置路由器/交换机,以防止地址欺骗。 |
操作指南: 1.参考配置操作: I.对向内流量配置。 Router(config)# no access-list 100 Router(config)# access-list 100 deny ip 192.168.10.0 0.0.0.255 any log Router(config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any log Router(config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any log Router(config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any log Router(config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any log Router(config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any log Router(config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any log Router(config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any log Router(config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any log Router(config)# access-list 100 deny ip host 255.255.255.255 any log Router(config)# access-list 100 permit ip any 192.168.10.0 0.0.0.255 Router(config)# access-list 100 deny ip any any log Router(config)# interface eth0 Router(config-if)# description External interface to 192.168.0./16 net Router(config-if)# ip address 192.168.10.20 255.255.0.0 Router(config-if)# ip access-group 100 in Router(config-if)# exit Router(config)# interface eth1 Router(config-if)# description Internal interface to 192.168.10.0/24 net Router(config-if)# ip address 192.168.10.250 255.255.255.0 Router(config-if)# end II.对向外流量配置。 Router(config)# no access-list 102 Router(config)# access-list 102 permit ip 192.168.10.0 0.0.0.255 any Router(config)# access-list 102 deny ip any any log Router(config)# interface eth 0/1 Router(config-if)# description "internal interface" Router(config-if)# ip address 192.168.10.250 255.255.255.0 Router(config-if)# ip access-group 102 in 2.补充操作说明: 假设内部网络是192.168.10.0。 |
检测方法: 使用show running-config router# show running-config … access-list 10 deny ip 192.168.0.0 0.0.0.255 any log access-list 10 deny ip 127.0.0.0 0.255.255.255 any log … int f1/1 description the outside interface of permeter router ip access-group 10 in … access-list 11 permit ip 192.168.0.0 0.0.0.255 any access-list 11 deny ip any any log interface s1/1 description inside interface of perimeter router ip address 192.168.0.254 255.255.255.0 ip access-group 11 in |
判定条件: 各接口只转发属于自己ip范围内的源地址数据包流出 |
补充说明: 地址欺骗可以造成内部网络的混乱,让某些被欺骗的计算机无法正常访问内外网,让网关无法和客户端正常通信。 |
编号:NE-Cisco-协议安全-02 |
要求内容: 路由器/交换机以UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置路由器/交换机,只允许特定主机访问。 |
操作指南: I.要配置允许目的为14.1.1.2的所有DNS访问流量。 Router(config)# no access-list 140 Router(config)# access-list 140 permit udp any host 14.1.1.2 eq 53 Router(config)# access-list 140 deny udp any any log II.要配置仅允许192.168.0.200访问路由器/交换机。 Router(config)# no access-list 12 Router(config)# access-list 12 permit host 192.168.0.200 |
检测方法: 使用show running-config router# show running-config … !telnet 、ssh服务器 line vty 0 4 login local access-class 2 in exec-timeout 10 0 exit … !NTP服务器 access-list 1 permit 10.1.1.1 0.0.0.255 ntp access-group query-only 1 … !ftp、tftp服务器 ip ftp source-interface fastEthernet 0/0 ip tftp source-interface fastEthernet 0/0 |
判定条件: 相关服务存在access绑定。 |
补充说明: 对不信任的主机开启NTP、FTP等服务,会加大设备的危险。 |
编号:NE-Cisco-协议安全-03 |
要求内容: 对于具备TCP/UDP协议功能的设备,应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。 |
操作指南: 1.参考配置操作: I.要配置允许目的为14.1.1.2的所有DNS访问流量。 Router(config)# access-list 140 permit udp any host 14.1.1.2 eq 53 Router(config)# access-list 140 deny udp any any log II.要配置允许目的为14.1.0.0/16的所有DNS访问流量。 Router(config)# access-list 140 permit tcp any 14.1.0.0 0.0.255.255 Router(config)# access-list 140 deny ip any any log 2.补充操作说明: 访问控制列表命令格式。 I.标准访问控制列表。 access-list list-number {deny | permit} source [source-wildcard] [log] II.扩展访问控制列表。 access-list list-number {deny | permit} protocol source source-wildcard source-qualifiers destination destination-wildcard destination-qualifiers [ log | log-input] |
检测方法: 使用show ip access-list[access-list-number | name] Router# show ip access-list Extended IP access list 101 deny udp any any eq ntp permit tcp any any permit udp any any eq tftp permit icmp any any permit udp any any eq domain |
判定条件: I.针对每个业务所需通讯,存在一条acl。 II.对于非公共性服务,源IP和目标IP不能含有any。 III.目标端口明确。 |
补充说明: 防止非正常业务占用过多带宽流量。 |
编号:NE-Cisco-协议安全-04 |
要求内容: 对于使用IP协议进行远程维护的设备,应配置使用SSH等加密协议。 |
操作指南: 1.参考配置操作: I.配置主机名和域名。 router# config t Enter configuration commands, one per line. End with CNTL/Z. router(config)# hostname Router Router(config)# ip domain-name Router.domain-name II.配置访问控制列表。 Router(config)# no access-list 12 Router(config)# access-list 12 permit host 192.168.0.200 Router(config)# line vty 0 4 Router(config-line)# access-class 12 in Router(config-line)# exit III.配置帐号和连接超时。 Router(config)# service password-encryption Router(config)# username normaluser password 3d-zirc0nia Router(config)# username normaluser privilege 1 Router(config)# line vty 0 4 Router(config-line)# login local Router(config-line)# exec-timeout 5 0 IV.生成rsa密钥对。 Router(config)# crypto key generate rsa The name for the keys will be: Router.domain-name Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 2048 Generating RSA Keys ... [OK] V.配置仅允许ssh远程登录。 Router(config)# line vty 0 4 Router(config-line)# transport input ssh Router(config-line)# exit Router(config)# 2.补充操作说明: I.配置ssh要求路由器/交换机已经存在主机名和域名。 II.配置访问控制列表,仅授权192.168.0.200访问192.168.0.100 ssh。 III.配置远程访问里连接超时。 IV.生成rsa密钥对,如果已经存在可以使用以前的。默认存在rsa密钥对sshd就启用,不存在rsa密钥对sshd就停用。 V.配置远程访问协议为ssh。 |
检测方法: I.使用show crypto key mypubkey rsa Router(config)# show crypto key mypubkey rsa % Key pair was generated at: 06:07:49 UTC Jan 13 1996 Key name: myrouter.example.com Usage: Signature Key Key Data: 005C300D 06092A86 4886F70D 01010105 00034B00 30480241 00C5E23B 55D6AB22 04AEF1BA A54028A6 9ACC01C5 129D99E4 64CAB820 847EDAD9 DF0B4E4C 73A05DD2 BD62A8A9 FA603DD2 E2A8A6F8 98F76E28 D58AD221 B583D7A4 71020301 0001 % Key pair was generated at: 06:07:50 UTC Jan 13 1996 Key name: myrouter.example.com Usage: Encryption Key Key Data: 00302017 4A7D385B 1234EF29 335FC973 2DD50A37 C4F4B0FD 9DADE748 429618D5 18242BA3 2EDFBDD3 4296142A DDF7D3D8 08407685 2F2190A0 0B43F1BD 9A8A26DB 07953829 791FCDE9 A98420F0 6A82045B 90288A26 DBC64468 7789F76E EE21 II.使用show running-config router# show running-config Building configuration... Current configuration: ! line vty 0 4 transport input ssh |
判定条件 I.存在rsa密钥对。 II.远程登录指定ssh协议。 |
补充说明: 使用非加密协议在传输过程中容易被截获口令。 |
编号:NE-Cisco-协议安全-05 |
要求内容: 网络边界应配置安全访问控制,过滤已知安全攻击数据包,例如udp 1434端口(防止SQL slammer蠕虫)、tcp445,5800,5900(防止Della蠕虫)。 |
操作指南: Router(config)# no access-list 102 Router(config)# access-list 102 deny tcp any any eq 445 log Router(config)# access-list 102 deny tcp any any eq 5800 log Router(config)# access-list 102 deny tcp any any eq 5900 log Router(config)# access-list 102 deny udp any any eq 1434 log Router(config)# access-list 102 deny udp destination-port eq tftp log Router(config)# access-list 102 deny tcp destination-port eq 135 log Router(config)# access-list 102 deny udp destination-port eq 137 log Router(config)# access-list 102 deny udp destination-port eq 138 log Router(config)# access-list 102 deny tcp destination-port eq 139 log Router(config)# access-list 102 deny udp destination-port eq netbios-ssn log Router(config)# access-list 102 deny tcp destination-port eq 539 log Router(config)# access-list 102 deny udp destination-port eq 539 log Router(config)# access-list 102 deny tcp destination-port eq 593 log |
检测方法: 使用show running-config router# show running-config … access-list 102 access-list 102 deny tcp any any eq 445 log access-list 102 deny tcp any any eq 5800 log access-list 102 deny tcp any any eq 5900 log access-list 102 deny udp any any eq 1434 log … |
判定条件: 存在类似acl,拒绝上述端口。 |
补充说明: 如果不进行上述设置将导致远程攻击者对部分常见应用发功攻击或病毒感染。 |
编号:NE-Cisco-协议安全-06 |
要求内容: 应禁用IP源路由功能,除非特别需要。 应禁用PROXY ARP功能,除非路由器/交换机端口工作在桥接模式。 应禁用直播(IP DIRECTED BROADCAST)功能。 应在非可信网段内禁用IP重定向功能。 应在非可信网段内禁用IP掩码响应功能。 |
操作指南: I.禁用IP源路由。 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# no ip source-route II.禁用PROXY ARP。 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# interface eth 0/0 Router(config-if)# no ip proxy-arp Router(config-if)# exit Router(config)# interface eth 0/1 Router(config-if)# no ip proxy-arp Router(config-if)# exit Router(config)# interface eth 0/2 Router(config-if)# no ip proxy-arp Router(config-if)# exit Router(config)# interface eth 0/3 Router(config-if)# no ip proxy-arp Router(config-if)# end III.禁用直播功能。 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# interface eth 0/0 Router(config-if)# no ip directed-broadcast Router(config-if)# end IV.禁用IP重定向。 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# interface eth 0/0 Router(config-if)# no ip redirects Router(config-if)# end V.禁用IP掩码响应。 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# interface eth 0/0 Router(config-if)# no ip mask-reply Router(config-if)# end |
检测方法: I.禁用IP源路由。 no ip source-route … II.禁用PROXY ARP。 int s0/0 no ip proxy-arp … III.禁用直播功能,12.0之后默认。 int s0 no ip directed-broadcast … IV.禁用IP重定向。 int s0 no ip unreachable no ip redirects V.禁用IP掩码响应。 no ip mask-repy |
判定条件: 上述条目,在相应版本IOS中是“no”掉的。 |
补充说明: |
编号:NE-Cisco-协议安全-07 |
要求内容: 与RADIUS服务器、TACACS服务器、NTP服务器、SNMP V3主机等支持认证加密功能的主机进行通信时,应配置协议的认证加密功能,保证通信安全。 |
操作指南: 1.参考配置操作: I.TACACS服务器。 Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# tacacs-server host 192.168.6.18 Router(config)# tacacs-server key Ir3@1yh8n#w9@swD Router(config)# end Router# II.RADIUS服务器。 Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# radius-server host 192.168.6.18 Router(config)# radius-server key i*Ma5in@u9p#s5wD 2.补充操作说明: 启用TACACS服务器、RADIUS服务器认证。 |
检测方法: 使用show running-config router# show running-config … !TACACS服务器 tacacs-server host 192.168.6.18 acacs-server key Ir3@1yh8n#w9@swD … !RADIUS服务器 radius-server host 192.168.6.18 radius-server key i*Ma5in@u9p#s5wD |
判定条件: I.指定了服务器。 II.设定了认证key。 |
补充说明: |
编号:NE-Cisco-协议安全-08 |
要求内容: 启用动态IGP(RIPV2、OSPF、ISIS等)或EGP(BGP)协议时,应配置路由协议认证功能,如MD5加密,确保与可信方进行路由协议交互。 |
操作指南: I.配置Router1和Router2间Ospf启用MD5验证。 1)Router1配置。 Router1# config t Enter configuration commands, one per line. End with CNTL/Z. Router1(config)# router ospf 1 Router1(config-router)# network 14.1.0.0 0.0.255.255 area 0 Router1(config-router)# area 0 authentication message-digest Router1(config-router)# exit Router1(config)# int eth0/1 Router1(config-if)# ip ospf message-digest-key 1 md5 r0utes-4-all Router1(config-if)# end Router1# 2)Router2配置。 Router2# config t Enter configuration commands, one per line. End with CNTL/Z. Router2(config)# router ospf 1 Router2(config-router)# area 0 authentication message-digest Router2(config-router)# network 14.1.0.0 0.0.255.255 area 0 Router2(config-router)# network 14.2.6.0 0.0.0.255 area 0 Router2(config-router)# exit Router2(config)# int eth0 Router2(config-if)# ip ospf message-digest-key 1 md5 r0utes-4-all Router2(config-if)# end Router2# II.配置Router1和Router2间EIGRP启用MD5验证。 1)Router1配置。 Router1# config t Enter configuration commands, one per line.End with CNTL/Z. Router1(config)# router eigrp 100 Router1(config-router)# network 14.1.0.0 255.255.0.0 Router1(config-router)# exit Router1(config)# interface eth 0/1 Router1(config-if)# ip authentication mode eigrp 100 md5 Router1(config-if)# ip authentication key-chain eigrp 100 Router1-KC Router1(config-if)# exit Router1(config)# key chain Router1-KC Router1(config-keychain)# key 1 Router1(config-keychain-key)# key-string my-secret-key Router1(config-keychain-key)# send-lifetime 00:00:00 Oct 1 2003 00:00:00 Jan 1 2004 Router1(config-keychain-key)# accept-lifetime 00:00:00 Oct 1 2003 00:00:00 Jan 7 2004 Router1(config-keychain-key)# end Router1# 2)Router2配置。 Router2# config t Enter configuration commands, one per line. End with CNTL/Z. Router2(config)# router eigrp 100 Router2(config-router)# network 14.1.0.0 255.255.0.0 Router2(config-router)# network 14.2.6.0 255.255.255.0 Router2(config-router)# passive-interface eth1 Router2(config-router)# exit Router2(config)# interface eth 0 Router2(config-if)# ip authentication mode eigrp 100 md5 Router2(config-if)# ip authentication key-chain eigrp 100 Router2-KC Router2(config-if)# exit Router2(config)# key chain Router2-KC Router2(config-keychain)# key 1 Router2(config-keychain-key)# key-string my-secret-key Router2(config-keychain-key)# send-lifetime 00:00:00 Oct 1 2003 00:00:00 Jan 1 2004 Router2(config-keychain-key)# accept-lifetime 00:00:00 Oct 1 2003 00:00:00 Jan 7 2004 Router2(config-keychain-key)# end Router2# |
检测方法: 使用show running-config router# show running-config … !RIPV2 router rip version 2 network 1.0.0.0 int ethernet0/1 ip rip authentication key-chain xxxx ip rip authentication mode md5 … !OSPF ip ospf message-digest-key 1 md5 xxxxx … !EIGRP ip authentication mode eigrp 1 md5 |
判定条件: 有ip rip(ospf、eigrp等) md5的字段。 |
补充说明: |
编号:NE-Cisco-协议安全-09 |
要求内容: 采用BGP协议作为EGP协议时,应使用Route flap damping功能防止路由风暴。 |
操作指南: Router(config)# router bgp 27701 Router(config-router)# neighbor 14.2.0.20 remote-as 26625 Router(config-router)# bgp dampening Router(config-router)# end |
检测方法: 使用show running-config router# show running-config … router bgp 27701 neighbor 14.2.0.20 remote-as 26625 bgp dampening |
判定条件: 做了bgp dampening配置。 |
补充说明: bgp dampening用来抑制频繁浮动路由,当超过抑制阀值时就被抑制,从而防止bgp表的抖动。 |
编号:NE-Cisco-协议安全-10 |
要求内容: 在网络边界运行IGP或EGP动态路由协议时,应配置路由更新策略,只接受合法的路由更新,防止非法路由注入;应只发布所需的路由更新,防止路由信息泄漏。 |
操作指南: 使用ACL限制EIGRP不能向192.168.10.0/24传递。 Router(config)# access-list 10 deny 192.168.10.0 0.0.0.255 Router(config)# access-list 10 permit any Router(config)# router eigrp 100 Router(config-router)# distribute-list 10 out Router(config-router)# end |
检测方法: 使用show running-config router# show running-config … access-list 10 deny 192.168.10.0 0.0.0.255 access-list 10 permit any router eigrp 100 distribute-list 10 out |
判定条件: 做了distribute-list的acl控制。 |
补充说明: 不进行访问控制容易引起非法路由注入和路由信息泄漏。 |
编号:NE-Cisco-协议安全-11 |
要求内容: 应修改SNMP的Community默认通行字,通行字符串应符合口令强度要求。 |
操作指南: 修改SNMP的Community默认通行字命令。 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# snmp-server community my_readonly RO Router(config)# snmp-server community my_readwrite RW |
检测方法: Router# show ru|include snmp-server community snmp-server community FullHardPassword |
判定条件: Fullhardpassword非默认,密码有一定强度。 |
补充说明: Fullhardpassword非默认,密码有一定强度。 |
编号:NE-Cisco-协议安全-12 |
要求内容: 应只与特定主机进行SNMP协议交互。 |
操作指南: 1.参考配置操作: 使用ACL限制只与特定主机进行SNMP协议交互。 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# access-list 75 permit host 14.2.6.60 Router(config)# access-list 75 deny any log 2. 2.补充操作说明: 仅允许14.2.6.60收集路由器/交换机SNMP信息。 |
检测方法: Router# show running …. access-list 3 permit host 10.1.1.1 access-list 3 deny any log snmp-server community testc 3 |
判定条件: snmp绑定了acl。 |
补充说明: 有效设置对snmp服务的访问控制可以减少信息泄露。 |
编号:NE-Cisco-协议安全-13 |
要求内容: 未使用SNMP的WRITE功能时,应禁用SNMP的写(WRITE)功能。 |
操作指南: Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router (config)# no snmp-server community admin RW |
检测方法: Router# show running|include snmp-server …. snmp-server community test ro |
判定条件: snmp权限为RO。 |
补充说明: |
编号:NE-Cisco-协议安全-14 |
要求内容: 启用LDP标签分发协议时,应配置LDP协议认证功能,如MD5加密,确保与可信方进行LDP协议交互。 |
操作指南: 1.参考配置操作: Router# mpls ldp vrf vpn1 password required Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# mpls ldp neighbor vrf vpn1 10.1.1.1 password 7 nbrce1pwd 2.补充操作说明: Router(config)# mpls ldp neighbor[vrf vrf-name]ip-address password[0|7]password- |
检测方法: 使用show running-config router# show running-config|include mpls Building configuration... mpls ldp vrf vpn1 password required mpls ldp neighbor vrf vpn1 10.1.1.1 password 7 nbrce1pwd |
判定条件: 配置认证功能及密码。 |
补充说明: |
其他安全
编号:NE-Cisco-其他安全-01 |
要求内容: 应关闭未使用的端口,如路由器/交换机的AUX口。 |
操作指南: 关闭AUX。 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# line aux 0 Router(config-line)# transport input none Router(config-line)# login local Router(config-line)# exec-timeout 0 1 Router(config-line)# no exec Router(config-line)# exit |
检测方法: 使用show running-config router# show running-config Building configuration... Current configuration: ! … line aux 0 no exec transport input none exit |
判定条件: Line aux应该设置为transport input none。 |
补充说明: 开启太多不必要的接口,很容易被外界扫描后被利用。 |
编号:NE-Cisco-其他安全-02 |
要求内容: 应修改路由缺省BANNER语,BANNER应没有系统平台或地址等有碍安全的信息。 |
操作指南: 修改banner命令。 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# banner motd ^T Legal Notice: Access to this device is restricted. ^T |
检测方法: 通过vty,consol登录到路由器/交换机。 |
判定条件: 欢迎界面、提示符等不包含敏感信息。 |
补充说明: |
编号:NE-Cisco-其他安全-03 |
要求内容: 应关闭不必要的网络服务或功能。 应禁用TCP SMALL SERVERS。 应禁用UDP SMALL SERVERS。 应禁用Finger。 应禁用HTTP SERVER。 应禁用BOOTP SERVER。 应关闭DNS查询功能;如要使用该功能,则显式配置DNS SERVER。 |
操作指南: 1.参考配置操作: I.禁用tcp/udp small服务。 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# no service tcp-small-servers Router(config)# no service udp-small-servers Router(config)# exit II.禁用Finger。 Router(config)# no ip finger Router(config)# no service finger III.禁用HTTP SERVER。 Router(config)# no ip http server IV.禁用BOOTP SERVER。 Router(config)# no ip bootp server V.关闭DNS查询功能。 Router(config)# no ip domain-lookup VI.显式配置DNS SERVER。 Router(config)# ip name-server 192.168.0.1 Router(config)# ip domain-lookup 2.补充操作说明: 显式配置DNS SERVER指向192.168.0.1 |
检测方法: Router2# show auto secure config或show running … !禁用tcp/udp small服务。 no service udp-small-servers no service tcp-small-servers … !禁用Finger。 no service finger … !禁用HTTP SERVER。 no ip http server … !禁用BOOTP SERVER。 no ip bootp server !关闭DNS查询功能。 no ip domain-lookup !显式配置DNS SERVER。 ip name-server 192.168.0.1 ip domain-lookup |
判定条件: 上述条目的状态全部都是“no”。 |
补充说明: 不必要的服务会加大设备的危险。 |
HUAWEI路由器/交换机
帐号口令
编号:NE-HUAWEI-帐号口令-01 |
要求内容: 应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。 |
操作指南: aaa local-user user1 password cipher PWD1 local-user user1 service-type telnet local-user user2 password cipher PWD2 local-user user2 service-type ftp # user-interface vty 0 4 authentication-mode aaa |
检测方法: display current-configuration configuration aaa |
判定条件: 用配置中没有的帐号去登录,结果是不能登录。 |
补充说明: |
编号:NE-HUAWEI-帐号口令-02 |
要求内容: 应删除与设备运行、维护等工作无关的帐号。 |
操作指南: aaa undo local-user test |
检测方法: display current-configuration configuration aaa |
判定条件: 配置中用户信息被删除。 |
补充说明: |
编号:NE-HUAWEI-帐号口令-03 |
要求内容: 应配置定时账户自动登出,登出后用户需再次登录才能进入系统。 |
操作指南: user-interface vty 0 4 idle-timeout 20 0 user-interface con 0 idle-timeout 20 0 |
检测方法: display current-configuration configuration user-interface |
判定条件: 在超出设定时间后,用户自动登出设备。 |
补充说明: |
编号:NE-HUAWEI-帐号口令-04 |
要求内容: 对于采用静态口令认证技术的设备,口令长度应至少8位,并包括数字、小写字母、大写字母、标点和特殊符号4类中至少3类,且与帐号无相关性,同时应定期更换口令,更换周期不大于90天。 |
操作指南: aaa local-user user1 password cipher NumABC%$ |
检测方法: display current-configuration configuration aaa |
判定条件: 查看用户的口令长度是否至少8位,并包括数字、小写字母、大写字母、标点和特殊符号5类中至少2类,且与帐号无相关性;同时是否定期更换口令,更换周期不大于90天。对于加密的口令,通过登陆检测。 |
补充说明: |
编号:NE-HUAWEI-帐号口令-05 |
要求内容: 静态口令应使用不可逆加密算法加密后保存于配置文件中。 |
操作指南: local-user 8011 password cipher N`C55QK<`=/Q=^Q`MAF4<1!! |
检测方法: display current-configuration configuration aaa |
判定条件: 用户的加密口令在buildrun中显示的密文。 |
补充说明: |
编号:NE-HUAWEI-帐号口令-06 |
要求内容: 应配置consol口密码保护功能。 |
操作指南: user-interface con 0 set authentication password cipher consolPWD |
检测方法: display current-configuration configuration user-interface |
判定条件: 用consol口登录,密码输入错误,不能登录。 |
补充说明: |
认证授权
编号:NE-HUAWEI-认证授权-01 |
要求内容: 在设备权限配置能力内,应根据用户的业务需要,配置其所需的最小权限。 |
操作指南: aaa local-user 8011 password cipher 8011 local-user 8011 service-type telnet local-user 8011 level 0 # user-interface vty 0 4 authentication-mode aaa |
检测方法: display current-configuration configuration aaa |
判定条件: 查看所有用户的级别都配置为其所需的最小权限。 |
补充说明: |
编号:NE-HUAWEI-认证授权-02 |
要求内容: 系统远程管理服务TELNET、SSH应只允许特定地址访问。 |
操作指南: Acl 2000 Rule permit ip source 10.0.0.1 0 User-interface vty 0 4 acl 2000 inbound |
检测方法: display current-configuration configuration user-interface |
判定条件: 通过设定acl,成功过滤非法访问。 |
补充说明: |
编号:NE-HUAWEI-认证授权-03 |
要求内容: 应通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。 |
操作指南: # 对远程登录用户先用RADIUS服务器进行认证,如果没有响应,则不认证。 # 认证服务器IP地址为129.7.66.66,无备用服务器,端口号为默认值1812。 # 配置RADIUS服务器模板。 [Router]radius-server template shiva # 配置RADIUS认证服务器IP地址和端口。 [Router-radius-shiva]radius-server authentication 129.7.66.66 1812 # 配置RADIUS服务器密钥、重传次数。 [Router-radius-shiva]radius-server shared-key it-is-my-secret [Router-radius-shiva]radius-server retransmit 2 [Router-radius-shiva]quit # 进入AAA视图。 [Router]aaa # 配置认证方案r-n,认证方法为先RADIUS,如果没有响应,则采用本地认证。 [Router–aaa]authentication-scheme r-n [Router-aaa-authen-r-n]authentication-mode radius local [Router-aaa-authen-r-n]quit # 配置default域,在域下采用r-n认证方案、缺省的计费方案(不计费),shiva的RADIUS模板。 [Router-aaa]domain default [Router-aaa-domain-default] authentication-scheme r-n [Router-aaa-domain-default]radius-server shiva |
检测方法: display current-configuration |
判定条件: 对远程登陆用户先用RADIUS服务器进行认证,非法用户不可以登录。 |
补充说明: |
日志安全
编号:NE-HUAWEI-日志安全-01 |
要求内容: 应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的帐号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。 |
操作指南: info-center console channel 0 |
检测方法: display logbuffer |
判定条件: 在日志缓存上正确记录了日志信息。 |
补充说明: |
编号:NE-HUAWEI-日志安全-02 |
要求内容: 应配置日志功能,记录对与设备相关的安全事件。 |
操作指南: 1.参考配置操作: info-center enable 2.补充操作说明: 在系统模式下进行操作。 |
检测方法: display logbuffer |
判定条件: 在日志缓存上正确记录了日志信息。 |
补充说明: |
编号:NE-HUAWEI-日志安全-03 |
要求内容: 应配置远程日志功能,所有设备日志均能通过远程日志功能传输到日志服务器,并支持至少一种通用的远程标准日志接口,如SYSLOG、FTP等。 |
操作指南: 1.参考配置操作: info-center loghost 202.38.1.10 facility local4 language english 2.补充操作说明: 在系统模式下进行操作。 |
检测方法: display current-configuration |
判定条件: 是否正确配置了相应的日志服务器地址,日志服务器正确记录了日志信息。 |
补充说明: |
编号:NE-HUAWEI-日志安全-04 |
要求内容: 应开启NTP服务,保证日志功能记录的时间的准确性。路由器/交换机与NTP SERVER之间应开启认证功能。 |
操作指南: 1.参考配置操作: ntp-service authentication-keyid 1 authentication-mode md5 N`C55QK<`=/Q=^Q`MAF4<1!! ntp-service unicast-server 2.2.2.2 authentication-keyid 1 2.补充操作说明: 在系统模式下进行操作。 |
检测方法: disp ntp-service status |
判定条件: 本地时钟与时钟源同步。 |
补充说明: |
协议安全
编号:NE-HUAWEI-协议安全-01 |
要求内容: 为防止ARP欺骗攻击,不使用ARP代理的路由器/交换机应关闭该功能。 |
操作指南: arp-proxy disable |
检测方法: display current-configuration configuration user-interface |
判定条件: 不使用ARP代理服务的路由器/交换机关闭了该功能。 |
补充说明: |
编号:NE-HUAWEI-协议安全-02 |
要求内容: 对于具备TCP/UDP协议功能的设备,应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。 |
操作指南: 1.参考配置操作: acl number 20000 rule tcp source 1.1.1.1 0.0.0.0 destination 2.2.2.2 0.0.0.0 source-port eq ftp-data destination-port eq 30 traffic classifier dd if-match acl 20000 traffic behavior dd car cir 2000 cbs 12288 green pass yellow remark red discard traffic policy dd classifier dd behavior dd precedence 0 interface GigabitEthernet4/0/0 undo shutdown ip address 4.4.4.4 255.255.255.0 traffic-policy dd inbound 2.补充操作说明: 在系统模式下进行操作。 |
检测方法: display traffic policy |
判定条件: 通过测试打流,相关流被成功过滤。 |
补充说明: |
编号:NE-HUAWEI-协议安全-03 |
要求内容: 对于使用IP协议进行远程维护的设备,应配置使用SSH等加密协议。 |
操作指南: # rsa peer-public-key quidway002 public-key-code begin 308186028180739A291ABDA704F5D93DC8FDF84C427463199 1C164B0DF178C55FA833591C7D47D5381D09CE82913D7EDF9 C08511D83CA4ED2B30B809808EB0D1F52D045DE40861B74A0 E135523CCD74CAC61F8E58C452B2F3F2DA0DCC48E3306367F E187BDD944018B3B69F3CBB0A573202C16BB2FC1ACF3EC8F8 28D55A36F1CDDC4BB45504F020125 public-key-code end peer-public-key end # aaa local-user client001 password simple HUAWEI local-user client002 password simple quidway authentication-scheme default # authorization-scheme default # accounting-scheme default # domain default # ssh user client002 assign rsa-key quidway002 ssh user client001 authentication-type password ssh user client002 authentication-type RSA # user-interface con 0 user-interface vty 0 4 authentication-mode aaa protocol inbound ssh # |
检测方法: disp current-configuration|begin ssh |
判定条件: 通过抓包确定ssh登录的信息为加密信息。 |
补充说明: |
编号:NE-HUAWEI-协议安全-04 |
要求内容: 动态路由协议口令应配置MD5加密。 |
操作指南: ospf 2 area 0.0.0.0 authentication-mode md5 1 cipher N`C55QK<`=/Q=^Q`MAF4<1!! |
检测方法: display current-configuration configuration ospf |
判定条件: Md5验证不通过的ospf邻居建立部不成功。 |
补充说明: |
编号:NE-HUAWEI-协议安全-05 |
要求内容: 应制定路由策略,禁止发布或接收不安全的路由信息。 |
操作指南: acl number 2000 rule 5 permit source 2.2.2.2 0 route-policy dd permit node 0 if-match acl 2000 ospf 2 area 0.0.0.0 authentication-mode md5 1 cipher N`C55QK<`=/Q=^Q`MAF4<1!! filter route-policy dd import |
检测方法: display current-configuration configuration ospf display route-policy |
判定条件: 被禁止接收和发布的路由成功。 |
补充说明: |
编号:NE-HUAWEI-协议安全-06 |
要求内容: 应关闭未使用的SNMP协议及未使用RW权限。 |
操作指南: Undo snmp enable undo snmp-agent community RWuser |
检测方法: display current-configuration |
判定条件: 关闭snmp的设备不能被网管检测,关闭写权限的设备不能进行写操作。 |
补充说明: |
编号:NE-HUAWEI-协议安全-07 |
要求内容: 应修改SNMP的Community默认通行字,通行字应符合口令强度要求。 |
操作指南: snmp-agent community read XXXX01 |
检测方法: display current-configuration |
判定条件: 系统成功修改SNMP的Community为用户定义口令,非常规private或者public,并且符合口令强度要求。 |
补充说明: |
编号:NE-HUAWEI-协议安全-08 |
要求内容: 应配置为SNMPV2或以上版本。 |
操作指南: snmp-agent sys-info version v3 |
检测方法: display current-configuration |
判定条件: 成功使能snmpv2c、和v3版本。 |
补充说明: |
编号:NE-HUAWEI-协议安全-09 |
要求内容: 应配置SNMP访问安全限制,只允许特定主机通过SNMP访问网络设备。 |
操作指南: snmp-agent community read XXXX01 acl 2000 |
检测方法: display current-configuration |
判定条件: 通过设定acl来成功过滤特定的源才能进行访问。 |
补充说明: |
编号:NE-HUAWEI-协议安全-10 |
要求内容: 启用LDP标签分发协议时,应配置LDP协议认证功能,如MD5加密,确保与可信方进行LDP协议交互。 |
操作指南: Mpls ldp md5-password chiper LDPpwdMd5 |
检测方法: display current-configuration configuration mpls |
判定条件: 认证不匹配的ldp邻居不能成功建立。 |
补充说明: |
其他安全
编号:NE-HUAWEI-其他安全-01 |
要求内容: 应关闭未使用的端口。 |
操作指南: [HW-Ethernet3/0/0]shutdown |
检测方法: Display interface |
判定条件: 未使用端口状态为admin down。 |
补充说明: |
编号:NE-HUAWEI-其他安全-02 |
要求内容: 应关闭不必要的服务,如FTP、TFTP服务等。 |
操作指南: undo ftp server |
检测方法: display current-configuration |
判定条件: 不能访问设备的ftp等服务。 |
补充说明: |
编号:NE-HUAWEI-其他安全-03 |
要求内容: 系统使用的端口应添加符合实际应用的描述。 |
操作指南: set port name module/number description-string |
检测方法: display current-configuration configuration user-interface |
判定条件: 正在使用中的端口配置了相应描述。 |
补充说明: |
