Cisco路由器交换机基准安全配置标准.doc

Cisco 路由器路由器/交换机交换机 基准安全配置标准基准安全配置标准 TMT 中国业务中心中国业务中心 信息管理部信息管理部 2006 年年 12 月月 5 日日 目的目的 通过建立系统的安全基线标准，规范TMT中国业务中心网络环境Cisco路由 器和交换机的安全配置，并提供相应的指导；降低系统存在的安全风险，确保 Cisco路由器和交换机安全可靠的运行。 范围范围 适合TMT中国业务中心网络环境的所有Cisco路由器和交换机。 标准维护与解释标准维护与解释 1. 本标准由 TMT 中国业务中心每年审视 1 次，根据审视结果修订标准，并颁 布执行； 2. 本标准的解释权归 TMT 中国业务中心； 3. 本标准自签发之日起生效。 目录目录 1.设置强壮的管理口令设置强壮的管理口令.4 2.控制控制 VTY4 3.确保确保 SNMP 协议的安全协议的安全5 4.禁用禁用 WEB 管理功能管理功能5 5.禁用不必要的服务禁用不必要的服务.5 6.及时的升级和修补及时的升级和修补 IOS 软件软件6 1. 设置强壮的管理口令设置强壮的管理口令 口令是路由器是用来防止对于路由器的非授权访问的主要手段，是路由器 本身安全的一部分。必须修改默认的口令，并避免使用普通的口令，并且 使用大小写字母+数字+特别符号混合的方式作为更强大的口令规则。保护 路由器的密码，并配置如下： 禁用 enable password 命令，改密码加密机制已经很古老，存在极大安 全漏洞，必须禁用，做法是:no enable password； 利用 enable secret 命令设置密码,并选择一个长的口令字（至少 8 位） ， 该加密机制是 IOS 采用了 MD5 散列算法进行加密,具体语法是:enable secretlevel level password|encryption-type encrypted- password； 使用 service password-encryption，这条命令用于对存储在配置文件 中的所有口令和类似数据（如 CHAP）进行加密。避免当配置文件被不 怀好意者看见，从而获得这些数据的明文。 2. 控制控制 VTY 为了保证安全，任何 VTY 应该仅允许指定的协议建立连结。 利用 transport input 命令。如一个 VTY 只支持 Telnet 服务，可以如 下设置：transport input telnet； 配置 VTY 的 Telnet 访问控制安全，利用 ip access-class 限制访问 VTY 的 ip 地址范围； 利用 exec-timeout 命令，配置 VTY 的超时。避免一个空闲的任务一直 占用 VTY； 如果路由器操作系统支持 SSH，最好只支持这个协议，避免使用明文传 送的 Telnet 服务，可以如下设置：transport input ssh。 3. 确保确保 SNMP 协议的安全协议的安全 如果没有用到 SNMP 功能，建议禁止 SNMP 协议服务。 尽量采用 Snmp V3 。 如果必需采用 Snmp V1，必须修改默认的 community，如 public，private 等。 4. 禁用禁用 web 管理功能管理功能 由于早期版本的路由器操作系统存在多个严重的安全漏洞，使得攻击者可 以远程越权获取到路由器的完整配置文件，因此建议在路由器上使用命令： no ip http server 禁止 HTTP 服务。 5. 禁用不必要的服务禁用不必要的服务 思科的设备通过网络操作系统默认地提供一些小的服务，如 echo(回波), chargen(字符发生器协议)和 discard(抛弃协议)。这些服务，特别是它们 的 UDP 服务，很少用于合法的目的。但是，这些服务能够用来实施拒绝服 务攻击和其它攻击。路由器网络服务安全配置： 禁止 CDP(Cisco Discovery Protocol)： Router(Config)#no cdp run Router(Config-if)# no cdp enable 禁止其他的 TCP、UDP Small 服务： Router(Config)# no service tcp-small-servers Router(Config)# no service udp-small-servers 禁止 Finger 服务： Router(Config)# no ip finger Router(Config)# no service finger 禁止 BOOTP 服务： Router(Config)# no ip bootp server 禁止从网络启动和自动从网络下载初始配置文件。 Router(Config)# no boot network Router(Config)# no servic config 禁止 IP Source Routing： Router(Config)# no ip source-route 建议如果不需要 ARP-Proxy 服务则禁止它，路由器默认识开启的： Router(Config)# no ip proxy-arp Router(Config-if)# no ip proxy-arp 明确的禁止 IP Directed Broadcast： Router(Config)# no ip directed-broadcast 禁止 IP Classless： Router(Config)# no ip classless 禁止 ICMP 协议的 IP Unreachables,Redirects,Mask Replies： Router(Config-if)# no ip unreacheables Router(Config-if)#