Cisco路由安全配置风险评估检查表.doc

CiscoCisco 路由器安全配置基线路由器安全配置基线 目目 录录 第第 1 章章概述概述 1 1 1目的 1 1 2适用范围 1 1 3适用版本 1 第第 2 章章账号管理 认证授权安全要求账号管理 认证授权安全要求 2 2 1账号管理 2 2 1 1用户账号分配 2 2 1 2删除无关的账号 2 2 1 3管理具备管理员权限的用户账户 3 2 2口令 3 2 2 1静态口令以密文形式存放 3 2 2 2帐号 口令和授权 4 2 2 3密码复杂度 4 2 3授权 4 2 3 1根据业务需要配置所需的最小权限 4 2 3 2用IP协议进行远程维护的设备使用SSH等加密协议 5 第第 3 章章日志安全要求日志安全要求 6 3 1日志安全 6 3 1 1对用户登录进行记录 6 3 1 2记录用户对设备的操作 6 3 1 3开启NTP服务保证记录的时间的准确性 7 3 1 4远程日志功能 7 第第 4 章章IP 协议安全要求协议安全要求 9 4 1IP 协议 9 4 1 1配置路由器防止地址欺骗 9 4 1 2配置路由器只允许特定主机访问 9 4 1 3过滤已知攻击 9 4 1 4过滤所有和业务不相关的流量 10 4 2功能配置 11 4 2 1功能禁用 11 4 2 2启用协议的认证加密功能 11 4 2 3启用路由协议认证功能 12 4 2 4防止路由风暴 12 4 2 5防止非法路由注入 13 4 2 6SNMP的Community默认通行字口令强度 13 4 2 7只与特定主机进行SNMP协议交互 13 4 2 8未使用SNMP的写功能时禁用SNMP的写功能 14 4 2 9LDP协议认证功能 14 第第 5 章章其他安全要求其他安全要求 16 5 1其他安全配置 16 5 1 1关闭未使用的接口 16 5 1 2修改路由缺省器缺省BANNER语 16 5 1 3配置定时账户自动登出 16 5 1 4配置consol口密码保护功能 17 5 1 5关闭不必要的网络服务或功能 17 第第 1 章章概述概述 1 1 目的目的 本文档规定了 Cisco 路由器应当遵循的设备安全性设置标准 本文档旨在指导系统管 理人员进行 Cisco 路由器的安全配置 1 2 适用范围适用范围 本配置标准的使用者包括 网络管理员 网络安全管理员 网络监控人员 1 3 适用版本适用版本 Cisco 路由器 第第 2 章章账号管理 认证授权安全要求账号管理 认证授权安全要求 2 1 账号管理账号管理 2 1 1 用户账号分配用户账号分配 安全基线项安全基线项 目名称目名称 用户账号分配安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 02 01 01 安全基线项安全基线项 说明说明 应按照用户分配账号 避免不同用户间共享账号 避免用户账号和设备间通 信使用的账号共享 检测操作步检测操作步 骤骤 I 配置文件中 存在不同的帐号分配 II 网络管理员确认用户与帐号分配关系明确 基线符合性基线符合性 判定依据判定依据 备注备注 2 1 2 删除无关的账号删除无关的账号 安全基线项安全基线项 目名称目名称 无关的账号安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 02 01 02 安全基线项安全基线项 说明说明 应删除与设备运行 维护等工作无关的账号 检测操作步检测操作步 骤骤 I 配置文件存在多帐号 II 网络管理员确认所有帐号与设备运行 维护等工作有关 基线符合性基线符合性 判定依据判定依据 备注备注 2 1 3 管理具备管理员权限的用户账户管理具备管理员权限的用户账户 安全基线项安全基线项 目名称目名称 管理员权限的账户安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 02 01 03 安全基线项安全基线项 说明说明 限制具备管理员权限的用户远程登录 远程执行管理员权限操作 应先以普 通权限用户远程登录后 再通过 enable 命令进入相应级别再后执行相应操 作 检测操作步检测操作步 骤骤 设定账号密码加密保存 创建 normaluser 账号并指定权限级别为 1 设定远程登录启用路由器账号验证 设定超时时间为 5 分钟 基线符合性基线符合性 判定依据判定依据 I VTY 使用用户名和密码的方式进行连接验证 II 账号权限级别较低 例如 1 备注备注 2 2 口令口令 2 2 1 静态口令以密文形式存放静态口令以密文形式存放 安全基线项安全基线项 目名称目名称 静态口令安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 02 02 01 安全基线项安全基线项 说明说明 静态口令必须使用不可逆加密算法加密 以密文形式存放 如使用 enable secret 配置 Enable 密码 不使用 enable password 配置 Enable 密码 检测操作步检测操作步 骤骤 配置文件无明文密码字段 基线符合性基线符合性 判定依据判定依据 备注备注 2 2 2 帐号 口令和授权帐号 口令和授权 安全基线项安全基线项 目名称目名称 帐号 口令和授权安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 02 02 02 安全基线项安全基线项 说明说明 设备通过相关参数配置 与认证系统联动 满足帐号 口令和授权的强制要 求 检测操作步检测操作步 骤骤 与外部 TACACS server 192 168 6 18 联动 远程登录使用 TACACS serverya 验证 基线符合性基线符合性 判定依据判定依据 帐号 口令配置 指定了认证系统 备注备注 2 2 3 密码复杂度密码复杂度 安全基线项安全基线项 目名称目名称 密码复杂度安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 02 02 03 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 口令长度至少 6 位 并包括数字 小写 字母 大写字母和特殊符号 4 类中至少 2 类 检测操作步检测操作步 骤骤 与外部 TACACS server 192 168 6 18 联动 远程登录使用 TACACS serverya 验证 口令强度由 TACACS server 控制 基线符合性基线符合性 判定依据判定依据 备注备注 此项无法通过配置实现 建议通过管理实现 2 3 授权授权 2 3 1 根据业务需要配置所需的最小权限 根据业务需要配置所需的最小权限 安全基线项安全基线项 目名称目名称 业务需要配置所需的最小权限安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 02 03 01 安全基线项安全基线项 说明说明 在设备权限配置能力内 根据用户的业务需要 配置其所需的最小权限 检测操作步检测操作步 骤骤 基本思想是创建账号并赋予不同的权限级别 并将各命令绑定在不同的权限 级别上 上例操作过程如下 设定账号密码加密保存 创建 normaluser 账号并指定权限级别为 1 将 connect telnet rlogin show ip access lists show access lists show logging ssh 指定仅当账号权限级别为 15 时才可使用 将 show ip 指定为仅当账号权限级别大于 1 时才可使用 基线符合性基线符合性 判定依据判定依据 I 用户名绑定权限级别 II 操作命令划分权限级别 备注备注 2 3 2 用用 IP 协议进行远程维护的设备使用协议进行远程维护的设备使用 SSH 等加密协议等加密协议 安全基线项安全基线项 目名称目名称 IP 协议进行远程维护的设备安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 02 03 02 安全基线项安全基线项 说明说明 对于使用 IP 协议进行远程维护的设备 设备应配置使用 SSH 等加密协议 检测操作步检测操作步 骤骤 I 存在 rsa 密钥对 II 远程登录指定 ssh 协议 基线符合性基线符合性 判定依据判定依据 备注备注 第第 3 章章日志安全要求日志安全要求 3 1 日志安全日志安全 3 1 1 对用户登录进行记录对用户登录进行记录 安全基线项安全基线项 目名称目名称 用户登录进行记录安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 03 01 01 安全基线项安全基线项 说明说明 与记账服务器 如 RADIUS 服务器或 TACACS 服务器 配合 设备应配置日 志功能 对用户登录进行记录 记录内容包括用户登录使用的账号 登录是 否成功 登录时间 以及远程登录时 用户使用的 IP 地址 检测操作步检测操作步 骤骤 Router configure terminal Enter configuration commands one per line End with CNTL Z Router config aaa new model Router config aaa accounting connection default start stop group tacacs Router config aaa accounting exec default start stop group tacacs Router config end 基线符合性基线符合性 判定依据判定依据 备注备注 3 1 2 记录用户对设备的操作记录用户对设备的操作 安全基线项安全基线项 目名称目名称 用户对设备记录安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 03 01 02 安全基线项安全基线项 说明说明 与记账服务器 如 TACACS 服务器 配合 设备应配置日志功能 记录用户 对设备的操作 如账号创建 删除和权限修改 口令修改 读取和修改设备 配置 读取和修改业务用户的话费数据 身份数据 涉及通信隐私数据 记 录需要包含用户账号 操作时间 操作内容以及操作结果 检测操作步检测操作步 骤骤 Router configure terminal Enter configuration commands one per line End with CNTL Z Router config aaa new model Router config aaa accounting commands 1 default start stop group tacacs Router config aaa accounting commands 15 default start stop group tacacs Router config end Router1 基线符合性基线符合性 判定依据判定依据 备注备注 3 1 3 开启开启 NTP 服务保证记录的时间的准确性服务保证记录的时间的准确性 安全基线项安全基线项 目名称目名称 记录的时间的准确性安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 03 01 03 安全基线项安全基线项 说明说明 开启 NTP 服务 保证日志功能记录的时间的准确性 检测操作步检测操作步 骤骤 需要到每个端口开启 NTP 基线符合性基线符合性 判定依据判定依据 I 存在 ntp server 配置条目 II 日志记录时间准确 备注备注 3 1 4 远程日志功能远程日志功能 安全基线项安全基线项 目名称目名称 远程日志功能安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 03 01 04 安全基线项安全基线项 说明说明 设备应支持远程日志功能 所有设备日志均能通过远程日志功能传输到日志 服务器 设备应支持至少一种通用的远程标准日志接口 如 SYSLOG FTP 等 检测操作步检测操作步 I 假设把 router 日志存储在 192 168 0 100 的 syslog 服务器上 骤骤 路由器侧配置描述如下 启用日志 记录日志级别设定 information 记录日志类型设定 local6 日志发送到 192 168 0 100 日志发送源是 loopback0 II 如果使用 snmp 存储日志参考配置如下 Router config t Enter configuration commands one per line End with CNTL Z Router config logging trap information Router config snmp server host 192 168 0 100 traps public Router config snmp server trap source loopback0 Router config snmp server enable traps syslog Router config exit 基线符合性基线符合性 判定依据判定依据 I Syslog logging 和 SNMP logging 至少有一个为 enabled II Logging to 后面的主机名或 IP 指向日志服务器 III 通常记录日志数不为 0 备注备注 第第 4 章章IP 协议安全要求协议安全要求 4 1 IP 协议协议 4 1 1 配置路由器防止地址欺骗配置路由器防止地址欺骗 安全基线项安全基线项 目名称目名称 配置路由器防止地址欺骗安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 04 01 01 安全基线项安全基线项 说明说明 配置路由器 防止地址欺骗 检测操作步检测操作步 骤骤 配置路由器 防止地址欺骗 基线符合性基线符合性 判定依据判定依据 各接口只转发属于自己 ip 范围内的源地址数据包流出 备注备注 4 1 2 配置路由器只允许特定主机访问配置路由器只允许特定主机访问 安全基线项安全基线项 目名称目名称 配置路由器只允许特定主机访问安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 04 01 02 安全基线项安全基线项 说明说明 路由器以 UDP TCP 协议对外提供服务 供外部主机进行访问 如作为 NTP 服务器 TELNET 服务器 TFTP 服务器 FTP 服务器 SSH 服务器等 应 配置路由器 只允许特定主机访问 检测操作步检测操作步 骤骤 基线符合性基线符合性 判定依据判定依据 相关服务存在 access 绑定 备注备注 4 1 3 过滤已知攻击过滤已知攻击 安全基线项安全基线项 过滤已知攻击安全基线要求项 目名称目名称 安全基线编安全基线编 号号 SBL CiscoRouter 04 01 03 安全基线项安全基线项 说明说明 过滤已知攻击 在网络边界 设置安全访问控制 过滤掉已知安全攻击数据包 例如 udp 1434 端口 防止 SQL slammer 蠕虫 tcp445 5800 5900 防止 Della 蠕虫 检测操作步检测操作步 骤骤 Router config no access list 102 Router config access list 102 deny tcp any any eq 445 log Router config access list 102 deny tcp any any eq 5800 log Router config access list 102 deny tcp any any eq 5900 log Router config access list 102 deny udp any any eq 1434 log 基线符合性基线符合性 判定依据判定依据 存在类似 acl 拒绝上述端口 备注备注 4 1 4 过滤所有和业务不相关的流量 过滤所有和业务不相关的流量 安全基线项安全基线项 目名称目名称 业务不相关的流量安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 04 01 04 安全基线项安全基线项 说明说明 对于具备 TCP UDP 协议功能的设备 设备应根据业务需要 配置基于源 IP 地址 通信协议 TCP 或 UDP 目的 IP 地址 源端口 目的端口的流量过滤 过滤所有和业务不相关的流量 检测操作步检测操作步 骤骤 使用 show ip access list access list number name 命令 如下例 Router show ip access list Extended IP access list 101 deny udp any any eq ntp permit tcp any any permit udp any any eq tftp permit icmp any any permit udp any any eq domain 基线符合性基线符合性 判定依据判定依据 I 针对每个业务所需通讯 存在一条 acl II 对于非公共性服务 源 IP 和目标 IP 不能含有 any III 目标端口明确 备注备注 4 2 功能配置功能配置 4 2 1 功能禁用功能禁用 安全基线项安全基线项 目名称目名称 功能禁用安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 04 02 01 安全基线项安全基线项 说明说明 功能禁用 检测操作步检测操作步 骤骤 禁用 IP 源路由功能 除非特别需要 禁用 PROXY ARP 功能 除非路由器端口工作在桥接模式 禁用直播 IP DIRECTED BROADCAST 功能 在非可信网段内禁用 IP 重定向功能 在非可信网段内禁用 IP 掩码响应功能 基线符合性基线符合性 判定依据判定依据 上述条目 在相应版本 IOS 中是 no 掉的 备注备注 4 2 2 启用协议的认证加密功能启用协议的认证加密功能 安全基线项安全基线项 目名称目名称 启用协议的认证加密功能安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 04 02 02 安全基线项安全基线项 说明说明 启用协议的认证 加密功能 设备与 RADIUS 服务器 TACACS 服务器 NTP 服务器 SNMP V3 主机等 支持认证加密功能的主机进行通信时 尽可能启用协议的认证加密功能 保 证通信安全 检测操作步检测操作步 骤骤 启用 TACACS 服务器 RADIUS 服务器认证 基线符合性基线符合性 判定依据判定依据 I 指定了服务器 II 设定了认证 key 备注备注 4 2 3 启用路由协议认证功能启用路由协议认证功能 安全基线项安全基线项 目名称目名称 启用路由协议认证功能安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 04 02 03 安全基线项安全基线项 说明说明 启用动态 IGP RIPV2 OSPF ISIS 等 或 EGP BGP 协议时 启用路 由协议认证功能 如 MD5 加密 确保与可信方进行路由协议交互 检测操作步检测操作步 骤骤 基线符合性基线符合性 判定依据判定依据 有 ip rip ospf eigrp 等 md5 的字段 备注备注 4 2 4 防止路由风暴防止路由风暴 安全基线项安全基线项 目名称目名称 防止路由风暴安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 04 02 04 安全基线项安全基线项 说明说明 采用 BGP 协议作为 EGP 协议时 使用 Route flap damping 功能防止路由风 暴 检测操作步检测操作步 骤骤 Router config router bgp 27701 Router config router neighbor 14 2 0 20 remote as 26625 Router config router bgp dampening Router config router end 基线符合性基线符合性 判定依据判定依据 做了 bgp dampening 配置 备注备注 4 2 5 防止非法路由注入防止非法路由注入 安全基线项安全基线项 目名称目名称 防止非法路由注入安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 04 02 05 安全基线项安全基线项 说明说明 在网络边界运行 IGP 或 EGP 动态路由协议时 配置路由更新策略 只接受 合法的路由更新 防止非法路由注入 只发布所需的路由更新 防止路由信 息泄漏 检测操作步检测操作步 骤骤 使用 ACL 限制 EIGRP 不能向 192 168 10 0 24 传递 Router config access list 10 deny 192 168 10 0 0 0 0 255 Router config access list 10 permit any Router config router eigrp 100 Router config router distribute list 10 out Router config router end 基线符合性基线符合性 判定依据判定依据 做了 distribute list 的 acl 控制 备注备注 4 2 6 SNMP 的的 Community 默认通行字口令强度默认通行字口令强度 安全基线项安全基线项 目名称目名称 SNMP 的 Community 默认通行字口令强度安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 04 02 06 安全基线项安全基线项 说明说明 修改 SNMP 的 Community 默认通行字 通行字符串应符合口令强度要求 检测操作步检测操作步 骤骤 修改 SNMP 的 Community 默认通行字 通行字符串应符合口令强度要求 基线符合性基线符合性 判定依据判定依据 SNMP 的 Community 非默认 且有一定强度 备注备注 4 2 7 只与特定主机进行只与特定主机进行 SNMP 协议交互协议交互 安全基线项安全基线项 只与特定主机进行 SNMP 协议交互安全基线要求项 目名称目名称 安全基线编安全基线编 号号 SBL CiscoRouter 04 02 07 安全基线项安全基线项 说明说明 只与特定主机进行 SNMP 协议交互 检测操作步检测操作步 骤骤 使用 ACL 限制只与特定主机进行 SNMP 协议交互 Router config t Enter configuration commands one per line End with CNTL Z Router config access list 75 permit host 14 2 6 60 Router config access list 75 deny any log 2 基线符合性基线符合性 判定依据判定依据 snmp 绑定了 acl 备注备注 4 2 8 未使用未使用 SNMP 的写功能时禁用的写功能时禁用 SNMP 的写功能的写功能 安全基线项安全基线项 目名称目名称 未使用 SNMP 的写功能时禁用 SNMP 的写功能安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 04 02 08 安全基线项安全基线项 说明说明 未使用 SNMP 的 WRITE 功能时 禁用 SNMP 的写 WRITE 功能 检测操作步检测操作步 骤骤 禁用 SNMP 的写 WRITE 功能 基线符合性基线符合性 判定依据判定依据 snmp 权限为 RO 备注备注 4 2 9 LDP 协议认证功能协议认证功能 安全基线项安全基线项 目名称目名称 LDP 协议认证功能安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 04 02 09 安全基线项安全基线项 说明说明 启用 LDP 标签分发协议时 打开 LDP 协议认证功能 如 MD5 加密 确保 与可信方进行 LDP 协议交互 检测操作步检测操作步 骤骤 Router mpls ldp vrf vpn1 password required Router configure terminal Enter configuration commands one per line End with CNTL Z Router config mpls ldp neighbor vrf vpn1 10 1 1 1 password 7 nbrce1pwd 基线符合性基线符合性 判定依据判定依据 配置认证功能及密码 备注备注 第第 5 章章其他安全要求其他安全要求 5 1 其他安全配置其他安全配置 5 1 1 关闭未使用的接口关闭未使用的接口 安全基线项安全基线项 目名称目名称 关闭未使用的接口安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 05 01 01 安全基线项安全基线项 说明说明 关闭未使用的接口 如路由器的 AUX 口 检测操作步检测操作步 骤骤 关闭未使用的接口 Line aux 应该设置为 t