思科交换机安全配置基线.doc

思科交换机安全配置基线 页号 1 of 19 目录 1概述概述 1 1 1适用范围 1 1 2术语和定义 1 1 3符号和缩略语 1 2思科交换机设备安全配置要求思科交换机设备安全配置要求 2 2 1账号管理 认证授权 2 2 1 1账户 2 2 1 2口令 3 2 1 3认证 4 2 2日志安全要求 5 2 3IP 协议安全要求 7 2 3 1基本协议安全 7 2 3 2SNMP 协议安全 9 2 4访问控制安全要求 10 2 5VLAN安全要求 14 2 6其他安全要求 16 第 1 页 共 19 页 1 概述概述 1 1 适用范围适用范围 本规范适用于思科交换机 本规范明确了思科交换机安全配置方面的基本 要求 基线配置项中的 可选 项 可以根据具体系统和应用环境 选择是否遵 守 1 2 术语和定义术语和定义 BGP Route flap damping 由 RFC2439 定义 当 BGP 接口翻转后 其他 BGP 系统就会在一段可配置的时间内不接受从这个问题网络发出的路由信息 1 3 符号和缩略语符号和缩略语 缩写英文描述中文描述 第 2 页 共 19 页 2 思科交换机设备安全配置思科交换机设备安全配置要求要求 2 12 1 账号管理 认证授权账号管理 认证授权 2 1 1 账户账户 编号 安全要求编号 安全要求 设备设备 思科交换机思科交换机 配置配置 1 1 可选可选 要求内容要求内容 限制具备管理员权限的用户远程登录 远程执行管理员权限操作 应先 以普通权限用户远程登录后 再切换到管理员权限账号后执行相应操作 操作指南操作指南 1 参考配置操作 参考配置操作 privilege exec level 15 connect privilege exec level 15 telnet privilege exec level 15 rlogin privilege exec level 7 show ip access lists privilege exec level 15 show access lists privilege exec level 15 show logging privilege exec level 1 show ip username user1 privilege 7 password password1 username switchadmin privilege 15 password password2 2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 所有账号权限分配合理 不存在权限过大账号 2 检测操作检测操作 无 现状说明现状说明 IT 也可以通过 VPN 远程登录交换机 符合要求 网络管理员和基础架构 主管知道账号 编号 安全要求编号 安全要求 设备设备 思科交换机思科交换机 配置配置 2 要求内容要求内容 应按照用户分配账号 避免不同用户间共享账号 避免用户账号和设备 间通信使用的账号共享 删除与设备运行 维护等工作无关的账号 第 3 页 共 19 页 操作指南操作指南 1 参考配置操作 参考配置操作 username rsmith password 3d zirc0nia username rsmith privilege 1 username bjones password 2B or 3B username bjones privilege 1 no username brian 2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 I 配置文件中 存在不同的帐号分配 II 网络管理员确认用户与帐号分配关系明确 2 检测操作检测操作 无 现状说明现状说明都是公用账号 没有根据每个人设置一个账号 2 1 2 口令口令 编号编号 安全要求安全要求 设备设备 思科交换机思科交换机 配置配置 3 要求内容要求内容 对于采用静态口令认证技术的设备 口令长度至少 6 位 并包括数字 小写字母 大写字母和特殊符号 4 类中至少 2 类 操作指南操作指南 1 参考配置操作参考配置操作 此项无法通过配置实现 建议通过管理实现 2 补充操作说明补充操作说明 检测方法检测方法 1 判定条件判定条件 无 2 检测操作检测操作 无 现状说明现状说明口令 8 位以上 数字字母 与路由器密码内容一致 第 4 页 共 19 页 编号 安全要求编号 安全要求 设备设备 思科交换机思科交换机 配置配置 4 要求内容要求内容 静态口令必须使用不可逆加密算法加密 以密文形式存放 操作指南操作指南 1 参考配置操作 参考配置操作 service password encryption 2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 配置文件无明文密码字段 2 检测操作检测操作 使用 show running config 命令 如下例 Switch show running config Building configuration Current configuration service password encryption enable secret 5 1oxphetTb rTsF EdvjtWbi0qA2g username ciscoadmin password 7 Wbi0qA1 rTsF Edvjt2gpvyhetTb 现状说明现状说明是加密的 2 1 3 认证认证 编号 安全要求编号 安全要求 设备设备 思科交换机思科交换机 配置配置 5 可选可选 要求内容要求内容 设备通过相关参数配置 与认证系统联动 满足帐号 口令和授权的强 制要求 操作指南操作指南 1 参考配置操作 参考配置操作 set tacacs server 192 168 6 18 set tacacs key xxxxxx telnet 认证 set authentication login tacacs enable telnet 2 补充操作说明补充操作说明 与外部 TACACS server 192 168 6 18 联动 远程登录使用 TACACS serverya 验证 检测方法检测方法 1 判定条件判定条件 帐号 口令配置 指定了认证系统 2 检测操作检测操作 使用 show running config 命令 如下例 Switch show running config 第 5 页 共 19 页 现状说明现状说明没有其他的认证方式 2 22 2 日志日志安全要求安全要求 编号 安全要求编号 安全要求 设备设备 思科交换机思科交换机 配置配置 6 可选可选 要求内容要求内容 设备应支持远程日志功能 所有设备日志均能通过远程日志功能传输到 日志服务器 设备应支持至少一种通用的远程标准日志接口 如 SYSLOG FTP 等 至少 0 4 级别的日志应传送至日志服务器 条件允 许的情况下所有日志应发送到日志服务器 操作指南操作指南 1 参考配置操作 参考配置操作 交换机侧配置 Switch config t Enter configuration commands one per line End with CNTL Z Switch config logging on Switch config logging trap information Switch config logging 192 168 0 100 Switch config logging facility local6 Switch config logging source interface loopback0 Switch config exit Switch show logging Syslog logging enabled 0 messages dropped 11 flushes 0overruns Console logging level notifications 35 messages logged Monitor logging level debugging 35 messages logged Buffer logging level informational 31 messages logged Logging to 192 168 0 100 28 message lines logged Switch 2 补充操作说明 补充操作说明 I 假设把 Switch 日志存储在 192 168 0 100 的 syslog 服务器上 交换机侧配置描述如下 启用日志 记录日志级别设定 information 记录日志类型设定 local6 日志发送到 192 168 0 100 日志发送源是 loopback0 配置完成可以使用 show logging 验证 服务器侧配置参考如下 Syslog 服务器配置参考 在 Syslog conf 上增加一行 Save Switch messages to Switchs log 第 6 页 共 19 页 local6 debug var log Switchs log 创建日志文件 touch var log Switchs log II 如果使用 snmp 存储日志参考配置如下 Switch config t Enter configuration commands one per line End with CNTL Z Switch config logging trap information Switch config snmp server host 192 168 0 100 traps public Switch config snmp server trap source loopback0 Switch config snmp server enable traps syslog Switch config exit Switch 检测方法检测方法 1 判定条件判定条件 I Syslog logging 和 SNMP logging 至少有一个为 enabled II Logging to 后面的主机名或 IP 指向日志服务器 III 通常记录日志数不为 0 2 检测操作检测操作 使用 show logging 命令 如下例 Switch show logging Syslog logging enabled Console logging disabled Monitor logging level debugging 266 messages logged Trap logging level informational 266 messages logged Logging to 192 180 2 238 SNMP logging disabled retransmission after 30 seconds 0 messages logged Switch 现状说明现状说明没有日志服务器 保存在交换机本机上 保存时间取决于设备的空间 编号 安全要求编号 安全要求 设备设备 思科交换机思科交换机 配置配置 7 可选可选 要求内容要求内容 开启 NTP 服务 保证日志功能记录的时间的准确性 操作指南操作指南 1 参考配置操作 参考配置操作 配置命令如下 Switch config t Enter configuration commands one per line End with CNTL Z Switch config interface eth0 0 第 7 页 共 19 页 Switch config if no ntp disable Switch config if exit Switch config ntp server 14 2 9 2 source loopback0 Switch config exit 2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 I 存在 ntp server 配置条目 II 日志记录时间准确 2 检测操作检测操作 I 使用 show running config 命令 如下例 Switch show running config Building configuration Current configuration no ntp disable ntp update calendar ntp server 128 237 32 2 ntp server 142 182 31 6 II show logging include NTP 000019 Jan 29 10 57 52 633 EST NTP 5 PEERSYNC NTP synced to peer 172 25 1 5 000020 Jan 29 10 57 52 637 EST NTP 6 PEERREACH Peer 172 25 1 5 is reachable 现状说明现状说明 没有启动 NTP 服务 使用默认的时间 交换机没有做时间设置 当前 时间是 有一些楼层交换机时间不对 1993 年时间 部分设置了正确的 时间 大部分都没有设置 2 32 3 IPIP 协议安全要求协议安全要求 2 3 1 基本协议安全基本协议安全 编号 安全要求编号 安全要求 设备设备 思科交换机思科交换机 配置配置 8 可选可选 要求内容要求内容 对于使用 IP 协议进行远程维护的设备 设备应配置使用 SSH 等加密协 议 第 8 页 共 19 页 操作指南操作指南 1 参考配置操作 参考配置操作 配置仅允许 ssh 远程登录 Switch config line vty 0 4 Switch config line transport input ssh Switch config line exit Switch config 2 补充操作说明 补充操作说明 I 检测方法检测方法 1 判定条件判定条件 I 远程登录指定 ssh 协议 2 检测操作检测操作 使用 show running config 命令 如下例 Switch show running config Building configuration Current configuration line vty 0 4 transport input ssh 现状说明现状说明使用 telnet 编号 安全要求编号 安全要求 设备设备 思科交换机思科交换机 配置配置 9 可选可选 要求内容要求内容 启用协议的认证 加密功能 设备与 TACACS 服务器 NTP 服务器 SNMP V3 主机等支持认证加密 功能的主机进行通信时 尽可能启用协议的认证加密功能 保证通信安 全 操作指南操作指南 1 参考配置操作 参考配置操作 TACACS 服务器 Switch configure terminal Enter configuration commands one per line End with CNTL Z Switch config tacacs server host 192 168 6 18 Switch config tacacs server key Ir3 1yh8n w9 swD Switch config end Switch 2 补充操作说明 补充操作说明 启用 TACACS 服务器 RADIUS 服务器认证 检测方法检测方法 1 判定条件判定条件 I 指定了服务器 第 9 页 共 19 页 II 设定了认证 key 2 检测操作检测操作 使用 show running config 命令 如下例 Switch show running config TACACS 服务器 tacacs server host 192 168 6 18 acacs server key Ir3 1yh8n w9 swD 现状说明现状说明未采取相关措施 2 3 2 SNMP 协议安全协议安全 编号 安全要求编号 安全要求 设备设备 思科交换机思科交换机 配置配置 10 可选可选 要求内容要求内容 交换机可以配置成 SNMP 客户端接受 SNMP 服务器管理 该服务启用 网络管理工具可以通过获得交换机配置信息 路由表 交换机流量负载 等等信息 SNMP 应该只用在内部接口 如果可能尽量使用 SNMPV3 以提供最高的安全性 建议禁止 SNMP 协议服务 启用时必须删除一些 SNMP 服务的默认配置 或者需要访问列表来过滤 操作指南操作指南 1 参考配置操作 参考配置操作 禁用 snmp 服务 no snmp server community no snmp server enable traps no snmp server system shutdown no snmp server 启用的配置 SNMP V3 首先定义用来管理的 SNMP 服务器访问列表 然 后定义一个组 对客户机具有读和写的权利 然后添加用户 用户的密 码通过 MD5 加密 并且受访问表 12 的限制 然后添加被管理组引用的 VIEW no access list 12 access list 12 permit 10 1 6 1 access list 12 permit 10 1 6 2 snmp server group admins v3 auth read adminview write adminview snmp server user root admins v3 auth md5 5ecret 5TR1N access 12 snmp server view adminview internet included snmp server view adminview ipAddrEntry excluded snmp server view adminview ipRouteEntry excluded 如果只支持 SNMP 第 10 页 共 19 页 erase old community strings no snmp server community public RO no snmp server community private RW use access list access list 3 permit host 10 1 1 1 access list 3 deny any log snmp server community MoreHardPublic Ro 3 disable SNMP trap and system shutdown features no snmp server enable traps no snmp server system shutdown no snmp server trap auth2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 无 2 检测操作检测操作 无 现状说明现状说明 启用了 因为要做监控 有一个简单监控 network monitor 另外有一个 交换机通断检查工具 2 42 4 访问控制安全要求访问控制安全要求 编号 安全要求编号 安全要求 设备设备 思科交换机思科交换机 配置配置 11 要求内容要求内容 关闭未使用的接口 如交换机的 AUX 口 操作指南操作指南 1 参考配置操作参考配置操作 关闭 AUX 命令如下 Switch config t Enter configuration commands one per line End with CNTL Z Switch config line aux 0 Switch config line transport input none Switch config line login local Switch config line exec timeout 0 1 Switch config line no exec Switch config line exit 2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 Line aux 应该设置为 transport input none 2 检测操作检测操作 第 11 页 共 19 页 使用 show running config 命令 如下例 Switch show running config 现状说明现状说明未采取相关措施 编号 安全要求编号 安全要求 设备设备 思科交换机思科交换机 配置配置 12 可选可选 要求内容要求内容 要修改交换机缺省器缺省 BANNER 语 BANNER 最好不要有系统平台 或地址等有碍安全的信息 操作指南操作指南 1 参考配置操作参考配置操作 修改 banner 命令如下 Switch config t Enter configuration commands one per line End with CNTL Z Switch config banner motd T Legal Notice Access to this device is restricted T 2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 欢迎界面 提示符等不包含敏感信息 2 检测操作检测操作 通过 vty consol 登录到交换机 现状说明现状说明Ft core 4506 编号 安全要求编号 安全要求 设备设备 思科交换机思科交换机 配置配置 13 要求内容要求内容 配置定时账户自动登出 如 TELNET SSH HTTP 等管理连接和 CONSOLE 口登录连接等 操作指南操作指南 1 参考配置操作参考配置操作 I Console 登录连接超时 Switch config t Enter configuration commands one per line End with CNTL Z Switch config line con 0 Switch config line exec timeout 5 0 II 远程登录连接超时 Switch config t Enter configuration commands one per line End with CNTL Z Switch config line vty 0 4 Switch config line exec timeout 5 0 2 补充操作说明 补充操作说明 本例配置连接超时时间为 5 分钟 检测方法检测方法1 判定条件判定条件 第 12 页 共 19 页 每种登录方式均设置了 timeout 值 2 检测操作检测操作 使用 show running config 命令 如下例 Switch show running config 现状说明现状说明已采取相关措施 编号 安全要求编号 安全要求 设备设备 思科交换机思科交换机 配置配置 14 要求内容要求内容 配置 consol 口密码保护功能 且口令应符合一定长度和复杂度要求 遵 循口令规范 操作指南操作指南 1 参考配置操作参考配置操作 启用密码保护命令如下 Switch config t Enter configuration commands one per line End with CNTL Z Switch config username brian privilege 1 password g00d pa55w0rd Switch config line con 0 Switch config line login local Switch config line end Switch 2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 通过 consol 登录 需要密码 2 检测操作检测操作 使用 show running config 命令 如下例 Switch show running config 现状说明现状说明插上 console 口 必须 admin 的密码才能操作 编号 安全要求编号 安全要求 设备设备 思科交换机思科交换机 配置配置 15 可选可选 要求内容要求内容 接口安全配置 要求不能在 SPAN SPAN 技术主要是用来监控交换机 上的数据流 目标端口配置端口安全端 也不能将已经配置端口安全的 端口配置成 SPAN 目标端口 不能在安全端口上配置任何动态 静态和 永久的 CAM 条目 操作指南操作指南 1 参考配置操作参考配置操作 PORT SECURITY 手动输入 MAC 地址端口模式下 switchport port security switchport port security violation shutdown switchport port security maxmium 1 switchport port security mac address 0000 0000 0900 第 13 页 共 19 页 switchport port security aging time 10 switchport port security aging type inactivity PORT SECURITY 动态学习 MAC 地址端口模式下 switchport port security switchport port security violation shutdown switchport port security maxmium 1 switchport port security mac address stricky 2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 无 2 检测操作检测操作 无 现状说明现状说明不适用 安全要求安全要求 设备设备 思科交换机思科交换机 配置配置 16 可选可选 要求内容要求内容 开启 Cisco 交换机 IP Source Guard 功能 进行 IP 源防护 防止局域网 内的 IP 地址欺骗攻击 操作指南操作指南 1 参考配置操作参考配置操作 IP Source Guard 的配置 IPSG 配置前必须先配置 ip dhcp snooping Switch config if ip verify source Switch config if ip verify source vlan dhcp snooping 接口级命令 在该 接口下开启 IP 源防护功能 说明 I 这两条语句的作用是一样的 不同的是 ip verify source 是 35 系列交换机的命令 ip verify source vlan dhcp snooping 是 45 65 系列交换机以及 76 系列 路由器的命令 II 这两条命令后还有个参数 port security 即命令 Switch config if ip verify source port security Switch config if ip verify source vlan dhcp snooping port security 不加 port security 参数 表示 IP 源防护功能只执行 源 IP 地址过 滤 模式 加上 port security 参数以后 就表示 IP 源防护功能执行 源 IP 和 源 MAC 地址过滤 模式 另外 在执行这两条命令之前需要先执行 switchport port security 命 令 III 当执行 源 IP 和源 MAC 地址过滤 模式时 还可以通过以下 命令限制非法 MAC 包的速度 Switch config if switchport port security limit rate invalid source mac 50 接口级命令 限制非法二层报文的速度为每秒 50 个 可以用参数 none 第 14 页 共 19 页 表示不限制 只在 源 IP 和源 MAC 地址过滤 模式下有效 并且只有 45 系列及以 上才支持该命令 IV 另外 在发生 IP 地址欺骗时 35 45 系列交换机不会提供任 何报错信息 只是丢弃数据报文 而 65 系列交换机会发出 IP 地址违背 的报错信息 添加一条静态 IP 源绑定条目 Switch config ip source binding 000f 1fc5 1008 vlan 10 192 168 10 131 interface fa0 2 全局命令 对应关系为 vlan10 000f 1f05 1008 192 168 10 131 fa0 2 2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 无无 2 检测操作检测操作 无 现状说明现状说明未采取相关措施 2 52 5 VlanVlan 安全要求安全要求 安全要求安全要求 设备设备 思科交换机思科交换机 配置配置 17 可选可选 要求内容要求内容 禁止用默认的 VLAN1 做带内管理 VLAN 设置专门的 VLAN 做带内 管理 不要将管理 VLAN 配置到中继端口 同时不要在管理 VLAN 内 连接实际用户 所有访问端口 要禁用 TRUNK 配置 TRUNK 端口 必须配置专用的 NATIVE 端口 要禁用不用的 VLAN 同时对于不需要 的 VLAN 要进行修剪 操作指南操作指南 1 参考配置操作参考配置操作 interface VLAN1 no ip address shutdown interface VLAN10 ip address 10 0 1 10 255 255 255 0 no shutdown Interface FastEthernet0 2 description Access Port switchport mode access switch access vlan 2 no shutdown 第 15 页 共 19 页 Interface FastEthernet0 23 description Trunk Port no ip address no cdp enable switchport trunk encapsulation dot1q switchport mode trunk switchport trunk native vlan 55 switchport trunk allowed vlan remove 10 switchport trunk allowed vlan 6 7 9 10 switchport trunk nonegi no shutdown interface FastEthernet0 5 switchport mode access switchport access vlan 999 shutdown 2 补充操作说明补充操作说明 端口 VLAN 配置两种形式 TRUNK 模式和访问模式 VLAN 主要 关注的有 管理 VLAN 配置 访问 VLAN 配置 VLAN TRUNK 端口配置 检测方法检测方法 1 判定条件判定条件 禁止用默认的 VLAN1 做带内管理 VLAN 所有访问端口 要禁用 TRUNK 配置 2 检测操作检测操作 现状说明现状说明不适用 安全要求安全要求 设备设备 思科交换机思科交换机 配置配置 18 可选可选 要求内容要求内容 禁用 VTP VTP 会简化管理 但也具备安全隐患 如果可能 尽量禁用 VTP 功能 如果启用 应该配置验证密码 操作指南操作指南 1 参考配置操作参考配置操作 no vtp mode no vtp password no vtp prun