风险评估详细模板案例报告.doc

5.1.2物理脆弱性检测（完成）物理脆弱性分析主要是通过对场所环境（计算机网络专用机房内部环境、外部环境和各网络终端工作间）、电磁环境（内部电磁信息泄露、外部电磁信号的干扰或冲击）、设备实体（网络设备、安全防护设备、办公设备）、线路进行检测，通过问卷调查和现场查看方式，分析出物理方面存在的脆弱性。检测对象本部分对以下内容进行安全性分析： XXXX主机房的物理环境 XXXX的主机、网络设备、网络安全设备及环境设备等 XXXX使用的磁盘阵列、磁带机、U盘、活动硬盘等检测用例序号名称V-001-001环境脆弱性检测V-001-002设备管控脆弱性检测V-001-003存储介质管控脆弱性检测表1 检测用例检测结果本次检测仅对物理环境、设备、移动存储介质进行了检测。检查中发现大部分情况良好，但是在防电磁、设备管控等方面存在安全隐患。（1）环境脆弱性检测1）门禁：门禁系统由主机、门锁和读卡器等组成。机房主门、操作间、主机房关键部位都设有门禁系统，但门口无门卫看守，外来人员进入需要进行登记、刷卡，内部工作人员通过刷卡进行记录，且主机房只有管理人员及巡检人员有相应的进入权限，其他人进入主机房需申请登记。2）供电：XXXX主机房供电由市电，UPS，小型机电源三部分组成，其供电为两路供电，UPS电源在断电后理论上可持续供电8小时，实际供电为4小时左右，但无法带动精密空调等设备，同时XXXX配备有柴油发电机。对于电力设备的维护只有机房人员平时做检查，UPS电源为厂家定期巡检。3）消防：机房内部署了自动气体灭火装置以及深圳中联通的声光报警装置，当有人员在机房时为手动控制，无人时为自动控制。同时在走廊、操作间、配电间都设有单独的干粉灭火器，但配电间的灭火设备较为陈旧。在配电间发现堆放有装设备的纸箱等外包。在与主机房相连的配电间设置了专门的安全出口。XXXX内部有巡检人员定期对消防设备进行检查，并有记录。4）防鼠：主机房内无防鼠设施，在配电间的管线出口处放置有鼠夹。5）防雷：机房达到三集防雷，在建筑物屋顶安置有避雷针，且市电、UPS电源、小型机电源均配备有防雷设置。6）防尘防静电：机房为全封闭环境，并架设有通风换气设备，基本防尘设施满足需要。机房全部铺设防静电地板，人工操作和检查设备时未发现静电感应，防静电措施总体来说较为理想。7）温湿度：主机房内部的温湿度监控由2台艾默生牌精密空调确保机房环境温湿度的可控式调节。操作间安装的为大金牌空调。无工作人员巡检记录，但安装有环境检测设备，一般工作环境下，温度保持在24.5左右，湿度保持在35.6%左右，当超过一定的范围会自动报警。8）防水防潮：机房为全封闭环境，并设置了通风和防潮设施，空调漏水与环境检测设备相关联，具备一定的防雨水、防潮能力。9）应急制度：UPS电源、电池组、发电机、空调、应急照明灯等均无冗余备份措施；制定了相关的应急制度，针对重要系统的应急预案演练每年至少一次到两次。但在操作间及主机房内没有将机房管理制度及应急流程等制度上墙。10）发电设备：配备有自己的柴油发电机，当断电并使用UPS电源1小时后使用柴油机供电。11）监控设施：XXXX机房的重要位置均安装了摄像头，共有11个监控点，监控录像为硬盘保存，录像可存储90天。但在监控室未发现与主机房相对的测试机房的监控录像。12）监控室：可以监视机房内各个地方的安全情况、火警情况、温湿度情况，有工作人员7*24小时值班。13）保安：大楼内部有保安人员24小时值班，机房内有工作人员7*24小时在位。（2）设备脆弱性检测1）线缆：线缆布设总体合理整齐，有些机柜临时性网线布置有些凌乱，存在多余的网线接头，同时发现机房内部强电线与网线有交错现象。2）标签：机房中设备标签的标签整体明确，分类清楚，张贴明显，其编码方式统一，但是部分标签不统一。（3）存储介质脆弱性检测1）磁盘阵列、磁带机：磁盘阵列、磁带机等属于大型设备，由机房人员负责维护管理。针对磁盘/磁带设备还需制定更为严格的管理制度，尤其需要配备一些专门的存储介质监控系统或设备来进行辅助安全管理。脆弱性分析（1）环境脆弱性检测1）经调查发现，机房按照相关规章制度作了防火、防潮、防雷、防静电措施，总体来说较为理想，但是某些细节措施仍需进一步完善和改进，比如更换陈旧的消防设备。2）经现场查看发现，在机房配电间存放有纸箱等杂物，不利于防火消防及人员疏散。3）经调查发现，在主机房内部缺少必要的防鼠措施，不能有效的防止鼠害。4）经调查发现，在机房内部未发现无防电磁干扰设备，未发现其他的无线保护措施，存在一定的安全隐患。5）经现场查看发现，在机房内部没有将机房管理及应急流程等规章制度上墙。（2）针对设备管控脆弱性检测的结果分析1）经现场查看发现，有些机柜临时性网线布置凌乱，存在多余的网线接头，同时发现机房内部强电线与网线有交错现象。（3）针对存储介质管控脆弱性检测的结果分析1）经调查发现，缺少对磁盘/磁带设备的详细管理制度，建议配备一些专门的存储介质监控系统或设备来进行辅助安全管理。5.1.2 网络脆弱性网络脆弱性分析主要是通过对网络拓扑结构及基本安全策略和网络设备（网管服务器、交换机、负载均衡设备、路由器、防火墙等）进行安全漏洞扫描、配置文件查看、访问控制规则分析，分析出以上设备及网络安全策略中存在的脆弱性。 检测对象资产编号IP地址资产名称厂家设备型号1XX0.3.3核心路由器CISCO76092XX0.3.1核心交换机CISCO65093XX0.3.5生产6509ACISCO65094XX0.3.7楼层4507ACISCO45075XX0.3.90楼层交换机CISCO35506XX0.3.11操作4948ACISCO49487XX0.3.13测试核心3560CISCO35608XX0.4.162INTERNET防火墙CISCOPIX5259XX0.4.114外联防火墙CISCOPIX5 检测用例序号名称V-002-001网络拓扑及边界脆弱性检测V-002-002网络设备的脆弱性检测V-002-003网络安全设备的脆弱性检测 检测结果本次检测主要是对XXXX的网络拓扑结构进行详细分析，并对网络结构中的部分交换机、路由器、防火墙的访问控制规则进行查看。.1 网络拓扑结构分析XXXX核心网络主要由4台CISCO的6509交换核心，2台PIX 525防火墙，2台4507、2台7609构成。其中2台6509和2台4507主要负责各服务器及办公OA之间的数据交换和三层路由，是整个生产网络的骨干设备，互为备份；2台PIX 525防火墙都是采用failover的备份方式，其中一台负责外联机构访问我行内部网络的安全控制，另外一台负责Internet及对外提供公共服务的网银访问安全控制；7609主要是连接各分支行。 在安全性方面，2台核心6509采用双机热备份，之间通过port-channel连接，且3层网管全部采用HSRP连接，任何一台机器的故障不会影响到网络的正常运作，PIX 防火墙全部采用Failover的连接方式，在正常的使用中，两台防火墙就当作一台来使用，当任何一台出现故障的时候，另外一台会自动接管，从而保证稳定可靠的工作，另外为了保护XXXX重要业务主机，防止内部用户对核心设备的攻击，在核心区加装了入侵检测保护系统IDP，该系统可以监控核心区域的主机，当核心区域内的设备受到攻击时，会在第一时间内发出告警信息。在日常的网络监控和维护中，主要采用了NETVIEW来监控网络的健康状态，发现网络问题时会有声音和图形界面同时告警，进而第一时间内通知网络管理员。.2 网络设备配置分析核心路由器（XX0.3.3）设备名称：XXXX版本：12.2 基本信息描述设置HostnameXXXXIOS Version12.2Service Password Encryption开启IP Source Routing开启BOOTP开启Service Config关闭TCP Keep Alives (In)关闭TCP Keep Alives (Out)关闭Cisco Express Forwarding关闭Gratuitous ARPs关闭Classless Routing开启 服务ServiceStatusTelnet关闭SSH关闭HTTP关闭Finger关闭TCP Small Services关闭UDP Small Services关闭SNMP开启CDP开启PAD开启开启了一些不必要的服务（如BOOTP、CDP），不必要的服务容易给网络设备带来一定安全风险。未启用TCP连接存活验证，有可能使攻击者通过开启足够多的连接耗尽系统资源，使设备拒绝服务。缺省情况下CISCO路由器并不去测试以前建立的TCP连接是否仍然可达，如果TCP连接的一端超时或者异常中断，那么另一端可能认为会话仍然可用，这种“孤儿”式的会话会占用路由器资源，也容易被攻击者利用。 Internet Operating System (IOS)版本及可能存在漏洞描述CVE 编号Bugtraq IDCisco IOS Web配置接口安全认证可被绕过漏洞CVE-2001-05372936SSH 拒绝服务CVE-2002-102451142GB HTTP读取缓存溢出CVE-2003-06478373Telnet远程检测拒绝服务CVE-2004-146411060IPv4版本TCP监听拒绝服务CVE-2007-047922208攻击者可能利用上述漏洞对路由器进行远程控制访问或者DDoS拒绝服务攻击。建议及时升级IOS版本并对漏洞进行修复。 SNMP问题TypeServiceUsernamePasswordCommunitySNMP(read-only)publicCommunitySNMP(read/write)srpwCommunitySNMP(read-only)chinaCommunitySNMPHost: XX0.0.5public系统启用了SNMP服务，并且为V1版本，该版本传输信息为明文，建议使用V3版本，该设备使用了SNMP默认的public作为所有网络设备的只读名称（community），未在ACL定义IP地址范围，任何人均可以无需猜测即可直接访问到网络设备，查看到交换机的所有信息，存在网络配置信息密使的安全隐患。并且SNMP服务使用了RW权限，一旦攻击者知道该密码甚至就可以直接控制该设备。 连接超时连接连接超时Console line 0未设置VTY lines 0 to 4未设置由于意外掉线或不良习惯，部分登录连接长时间悬挂在设备上，造成安全隐患。如果悬空的登录连接过多，会导致后续的登录无法实施，影响对系统管理。要求设定登录连接空闲时间限制，让系统自动检查当前连接是否长时间处于空闲状态，若是则自动将其拆除。检测发现部分连接端口没有启用连接超时。建议启用连接超时断开，并设置为10分钟内空闲断开，Timeout具体取值应视实际需要而定。 OSPF认证问题Process IDArea ID认证1000未认证1001未认证 OSPF动态路由协议未进行加密认证，未启用认证机制不能够保护路由信息的正确性，存在一定安全风险。 ARP 代理问题接口描述GigabitEthernet1/1ZJZH76R01_G1/1 To ZJZH65S01_G9/2 GigabitEthernet1/2ZJZH76R01_G1/2 To ZJZH65S02_G9/2 GigabitEthernet1/41Link to hangzhou(CTC) GigabitEthernet1/43connect to yuquan GigabitEthernet1/44connect to jiubao GigabitEthernet1/45connect to jianguo GigabitEthernet1/46connect to chengxi GigabitEthernet1/47connect to yuhang GigabitEthernet1/48connect to xiaoshan Serial3/0/0:1link to NB0026RO01 Serial3/0/1:1connect to wenzhou Serial3/0/2:1connect to yiwu Serial3/0/3:1connect to chengdu Serial3/0/5:1Connect to ShangHai(CTC ISP) Serial3/0/6:1Connect to NanJing(CTC) Serial3/0/7:1connect to shaoxing Serial3/1/0:1Connect to XiAn_CTC Serial3/1/1:1Connect to TianJin(CTC ISP) 存在ARP代理。ARP代理增加了某一网段上ARP流量，同时也容易导致ARP欺骗等安全问题。Cisco默认都是开启了ARP代理功能，建议通过“no ip proxy-arp”这个命令关闭ARP代理；网络的主机使用地址解析协议（ARP）将网络地址翻译成Media Address。在正常情况下， ARP协议的数据包只限于发件人的网段。CISCO路由器缺省在所有接口上都启用了代理ARP，代理ARP可以让来自不同网段的主机看起来就像在同一网段上，攻击者可能会利用代理ARP的信任特性，伪装成一台可信主机，中途截获数据包，打破了周边安全。核心交换机（XX0.3.1）设备名称：XXXX1版本：12.2 基本信息描述设置HostnameXXXX1IOS Version12.2Service Password Encryption开启BOOTP开启Service Config关闭TCP Keep Alives (In)关闭TCP Keep Alives (Out)关闭Gratuitous ARPs关闭 服务服务StatusTelnet关闭SSH关闭HTTP开启Finger关闭TCP Small Services关闭UDP Small Services关闭NTP开启SNMP开启CDP开启PAD开启开启了一些不必要的服务（如BOOTP、CDP、HTTP），不必要的服务容易给网络设备带来一定安全风险。未启用TCP连接存活验证，有可能使攻击者通过开启足够多的连接耗尽系统资源，使设备拒绝服务。缺省情况下CISCO路由器并不去测试以前建立的TCP连接是否仍然可达，如果TCP连接的一端超时或者异常中断，那么另一端可能认为会话仍然可用，这种“孤儿”式的会话会占用路由器资源，也容易被攻击者利用。 Internet Operating System (IOS)版本及可能存在漏洞描述CVE 编号Bugtraq IDCisco IOS Web配置接口安全认证可被绕过漏洞CVE-2001-05372936SSH 拒绝服务CVE-2002-102451142GB HTTP读取缓存溢出CVE-2003-06478373Telnet远程检测拒绝服务CVE-2004-146411060IPv4版本TCP监听拒绝服务CVE-2007-047922208攻击者可能利用上述漏洞对路由器进行远程控制访问或者DDoS拒绝服务攻击。建议及时升级IOS版本并对漏洞进行修复。 连接超时连接连接超时Console line 0未设置VTY lines 0 to 4设置为60分钟由于意外掉线或不良习惯，部分登录连接长时间悬挂在设备上，造成安全隐患。如果悬空的登录连接过多，会导致后续的登录无法实施，影响对系统管理。要求设定登录连接空闲时间限制，让系统自动检查当前连接是否长时间处于空闲状态，若是则自动将其拆除。检测发现部分连接端口没有启用连接超时。建议启用连接超时断开，并设置为10分钟内空闲断开，Timeout具体取值应视实际需要而定。 SNMP问题TypeServiceUsernamePasswordCommunitySNMP(read-only)publicCommunitySNMP(read/write)srpwCommunitySNMPHost: XX0.0.31publicCommunitySNMPHost: XX0.0.5public系统启用了SNMP服务，并且为V1版本，该版本传输信息为明文，建议使用V3版本，该设备使用了SNMP默认的public作为所有网络设备的只读名称（community），未在ACL定义IP地址范围，任何人均可以无需猜测即可直接访问到网络设备，查看到交换机的所有信息，存在网络配置信息密使的安全隐患。并使用了RW权限，一旦攻击者知道该密码甚至就可以直接控制该设备。 OSPF认证问题接口描述IP Address认证GigabitEthernet3/3To DXjijia03_G0/1XX0.4.25 52未认证GigabitEthernet3/5Link To ZH-PD-SW-C65-A G1/3XX0.4.17 52未认证GigabitEthernet3/6Link to 4948A gig1/46XX0.4.29 52未认证GigabitEthernet3/9LINK to ZH-CL-RT-C45-A G1/1XX0.4.49 52未认证GigabitEthernet3/16Link To ZB-IR-SW-C45-A G1/3XX0.4.33 52未认证GigabitEthernet8/48ZJZH65S01_gi8/48 To ZJZH 7609B_gi1/1XX0.4.5 52未认证GigabitEthernet9/2ZJZH65S01_G9/2 To ZJZH76R01_G1/1XX0.4.1 52未认证Vlan10XX0.4.21 52未认证OSPF动态路由协议未进行加密认证，未启用认证机制不能够保护路由信息的正确性，存在一定安全风险。 ARP 代理问题接口描述GigabitEthernet3/3To DXjijia03_G0/1 GigabitEthernet3/5Link To ZH-PD-SW-C65-A G1/3 GigabitEthernet3/6Link to 4948A gig1/46 GigabitEthernet3/9LINK to ZH-CL-RT-C45-A G1/1 GigabitEthernet3/16Link To ZB-IR-SW-C45-A G1/3 GigabitEthernet8/48ZJZH65S01_gi8/48 To ZJZH 7609B_gi1/1 GigabitEthernet9/2ZJZH65S01_G9/2 To ZJZH76R01_G1/1 Vlan10Vlan144Vlan145存在ARP代理。ARP代理增加了某一网段上ARP流量，同时也容易导致ARP欺骗等安全问题。Cisco默认都是开启了ARP代理功能，建议通过“no ip proxy-arp”这个命令关闭ARP代理；网络的主机使用地址解析协议（ARP）将网络地址翻译成Media Address。在正常情况下， ARP协议的数据包只限于发件人的网段。CISCO路由器缺省在所有接口上都启用了代理ARP，代理ARP可以让来自不同网段的主机看起来就像在同一网段上，攻击者可能会利用代理ARP的信任特性，伪装成一台可信主机，中途截获数据包，打破了周边安全。生产6509A（XX0.3.5）设备名称：XXXX版本：12.2 基本信息描述设置HostnameXXXIOS Version12.2Service Password Encryption开启BOOTP关闭Service Config关闭TCP Keep Alives (In)开启TCP Keep Alives (Out)关闭Gratuitous ARPs关闭 服务服务StatusTelnet开启SSH关闭HTTP关闭Finger关闭TCP Small Services关闭UDP Small Services关闭NTP开启SNMP开启CDP开启PAD开启开启了一些不必要的服务（如CDP），不必要的服务容易给网络设备带来一定安全风险。 Internet Operating System (IOS)版本及可能存在漏洞描述CVE 编号Bugtraq IDCisco IOS Web配置接口安全认证可被绕过漏洞CVE-2001-05372936SSH 拒绝服务CVE-2002-102451142GB HTTP读取缓存溢出CVE-2003-06478373Telnet远程检测拒绝服务CVE-2004-146411060IPv4版本TCP监听拒绝服务CVE-2007-047922208攻击者可能利用上述漏洞对路由器进行远程控制访问或者DDoS拒绝服务攻击。建议及时升级IOS版本并对漏洞进行修复。 弱口令问题TypeServiceUsernamePasswordPasswordUserschenbinchenbinPasswordUserslqylqyPasswordLineVTY lines 0 - 4ciscoPasswordLineVTY lines 5 - 15cisco存在不安全口令的问题，攻击者可能使用密码字典或者暴力破解获得交换机路由器访问权限，建议使用MD5加密，口令应具有一定长度和复杂度。远程登录口令为默认口令，有一定安全风险应及时更改。 连接超时连接连接超时Console line 0未设置VTY lines 0 to 4设置为30分钟VTY lines 5 to 15设置为30分钟由于意外掉线或不良习惯，部分登录连接长时间悬挂在设备上，造成安全隐患。如果悬空的登录连接过多，会导致后续的登录无法实施，影响对系统管理。要求设定登录连接空闲时间限制，让系统自动检查当前连接是否长时间处于空闲状态，若是则自动将其拆除。检测发现部分连接端口没有启用连接超时。建议启用连接超时断开，并设置为10分钟内空闲断开，Timeout具体取值应视实际需要而定。 SNMP问题TypeServiceUsernamePasswordCommunitySNMP(read-only)public系统启用了SNMP服务，并且为V1版本，该版本传输信息为明文，建议使用V3版本，该设备使用了SNMP默认的public作为所有网络设备的只读名称（community），未在ACL定义IP地址范围，任何人均可以无需猜测即可直接访问到网络设备，查看到交换机的所有信息，存在网络配置信息密使的安全隐患。如果不需要SNMP服务，建议关闭该服务。 ARP 代理问题接口描述GigabitEthernet1/3Link to ZH-IR-SW-C65-A G3/5 L3 EtherNet Vlan110Vlan111Vlan113Vlan114Vlan115Vlan116Vlan117Vlan118Vlan119Vlan121Vlan130Vlan180Vlan191CallCenter Vlan Vlan195ChinaMobile Message Plateform Vlan196存在ARP代理。ARP代理增加了某一网段上ARP流量，同时也容易导致ARP欺骗等安全问题。Cisco默认都是开启了ARP代理功能，建议通过“no ip proxy-arp”这个命令关闭ARP代理；网络的主机使用地址解析协议（ARP）将网络地址翻译成Media Address。在正常情况下， ARP协议的数据包只限于发件人的网段。CISCO路由器缺省在所有接口上都启用了代理ARP，代理ARP可以让来自不同网段的主机看起来就像在同一网段上，攻击者可能会利用代理ARP的信任特性，伪装成一台可信主机，中途截获数据包，打破了周边安全。楼层4507A（XX0.3.7）设备名称：XXXX版本：12.2 基本信息描述设置HostnameXXXAIOS Version12.2Service Password Encryption开启BOOTP关闭Service Config关闭TCP Keep Alives (In)关闭TCP Keep Alives (Out)关闭Gratuitous ARPs关闭 服务服务StatusTelnet关闭SSH关闭HTTP关闭Finger关闭TCP Small Services关闭UDP Small Services关闭NTP开启SNMP开启CDP开启PAD开启开启了一些不必要的服务（如CDP），不必要的服务容易给网络设备带来一定安全风险。未启用TCP连接存活验证，有可能使攻击者通过开启足够多的连接耗尽系统资源，使设备拒绝服务。缺省情况下CISCO路由器并不去测试以前建立的TCP连接是否仍然可达，如果TCP连接的一端超时或者异常中断，那么另一端可能认为会话仍然可用，这种“孤儿”式的会话会占用路由器资源，也容易被攻击者利用。 Internet Operating System (IOS)版本及可能存在漏洞描述CVE 编号Bugtraq IDCisco IOS Web配置接口安全认证可被绕过漏洞CVE-2001-05372936SSH 拒绝服务CVE-2002-102451142GB HTTP读取缓存溢出CVE-2003-06478373Telnet远程检测拒绝服务CVE-2004-146411060IPv4版本TCP监听拒绝服务CVE-2007-047922208攻击者可能利用上述漏洞对路由器进行远程控制访问或者DDoS拒绝服务攻击。建议及时升级IOS版本并对漏洞进行修复。 弱口令问题TypeServiceUsernamePasswordPasswordUserschenbinchenbinPasswordUserslqylqyPasswordLineVTY lines 0 - 4ciscoPasswordLineVTY lines 5 - 15cisco存在不安全口令的问题，攻击者可能使用密码字典或者暴力破解获得交换机路由器访问权限，建议使用MD5加密，口令应具有一定长度和复杂度。远程登录口令为默认口令，有一定安全风险应及时更改。 连接超时连接连接超时Console line 0未设置VTY lines 0 to 4未设置VTY lines 5 to 15未设置由于意外掉线或不良习惯，部分登录连接长时间悬挂在设备上，造成安全隐患。如果悬空的登录连接过多，会导致后续的登录无法实施，影响对系统管理。要求设定登录连接空闲时间限制，让系统自动检查当前连接是否长时间处于空闲状态，若是则自动将其拆除。检测发现部分连接端口没有启用连接超时。建议启用连接超时断开，并设置为10分钟内空闲断开，Timeout具体取值应视实际需要而定。 SNMP问题TypeServiceUsernamePasswordCommunitySNMP(read-only)public系统启用了SNMP服务，并且为V1和V2版本，该版本传输信息为明文，建议使用V3版本，该设备使用了SNMP默认的public作为所有网络设备的只读名称（community），未在ACL定义IP地址范围，任何人均可以无需猜测即可直接访问到网络设备，查看到交换机的所有信息，存在网络配置信息密使的安全隐患。如果不需要SNMP服务，建议关闭该服务。操作4948A（XX0.3.11）设备名称：XXXX版本：12.2 基本信息描述SettingHostnameXXXXIOS Version12.2Service Password Encryption开启BOOTP关闭Service Config关闭TCP Keep Alives (In)开启TCP Keep Alives (Out)关闭Gratuitous ARPs关闭 服务服务StatusTelnet开启SSH关闭HTTP关闭Finger关闭TCP Small Services关闭UDP Small Services关闭NTP开启SNMP开启CDP开启PADDisabled开启了一些不必要的服务（如CDP），不必要的服务容易给网络设备带来一定安全风险。 Internet Operating System (IOS)版本及可能存在漏洞描述CVE 编号Bugtraq IDCisco IOS Web配置接口安全认证可被绕过漏洞CVE-2001-05372936SSH 拒绝服务CVE-2002-102451142GB HTTP读取缓存溢出CVE-2003-06478373Telnet远程检测拒绝服务CVE-2004-146411060IPv4版本TCP监听拒绝服务CVE-2007-047922208攻击者可能利用上述漏洞对路由器进行远程控制访问或者DDoS拒绝服务攻击。建议及时升级IOS版本并对漏洞进行修复。 弱口令问题TypeServiceUsernamePasswordPasswordUserschenbinchenbinPasswordUserslqylqyPasswordLineVTY lines 0 - 4ciscoPasswordLineVTY lines 5 - 15cisco存在不安全口令的问题，攻击者可能使用密码字典或者暴力破解获得交换机路由器访问权限，建议使用MD5加密，口令应具有一定长度和复杂度。远程登录口令为默认口令，有一定安全风险应及时更改。 连接超时连接连接超时Console line 0未设置VTY lines 0 to 4设置为30分钟VTY lines 5 to 15设置为30分钟由于意外掉线或不良习惯，部分登录连接长时间悬挂在设备上，造成安全隐患。如果悬空的登录连接过多，会导致后续的登录无法实施，影响对系统管理。要求设定登录连接空闲时间限制，让系统自动检查当前连接是否长时间处于空闲状态，若是则自动将其拆除。检测发现部分连接端口没有启用连接超时。建议启用连接超时断开，并设置为10分钟内空闲断开，Timeout具体取值应视实际需要而定。 SNMP问题TypeServiceUsernamePasswordCommunitySNMP(read-only)public系统启用了SNMP服务，并且为V1版本，该版本传输信息为明文，建议使用V3版本，该设备使用了SNMP默认的public作为所有网络设备的只读名称（community），未在ACL定义IP地址范围，任何人均可以无需猜测即可直接访问到网络设备，查看到交换机的所有信息，存在网络配置信息密使的安全隐患。如果不需要SNMP服务，建议关闭该服务。 ARP 代理问题接口描述GigabitEthernet1/46To ZH-IR-RT-C65-A G1/6 Vlan100Vlan130存在ARP代理。ARP代理增加了某一网段上ARP流量，同时也容易导致ARP欺骗等安全问题。Cisco默认都是开启了ARP代理功能，建议通过“no ip proxy-arp”这个命令关闭ARP代理；网络的主机使用地址解析协议（ARP）将网络地址翻译成Media Address。在正常情况下， ARP协议的数据包只限于发件人的网段。CISCO路由器缺省在所有接口上都启用了代理ARP，代理ARP可以让来自不同网段的主机看起来就像在同一网段上，攻击者可能会利用代理ARP的信任特性，伪装成一台可信主机，中途截获数据包，打破了周边安全。测试核心3560（XX0.3.13）设备名称：XXXX版本：12.2 基本信息描述设置HostnameXXXXIOS Version12.2Service Password Encryption开启BOOTP开启Service Config关闭TCP Keep Alives (In)关闭TCP Keep Alives (Out)关闭Gratuitous ARPs关闭 服务服务StatusTelnet开启SSH关闭HTTP关闭Finger关闭TCP Small Services关闭UDP Small Services关闭NTP开启SNMP开启CDP开启PAD关闭开启了一些不必要的服务（如BOOTP、CDP），不必要的服务容易给网络设备带来一定安全风险。未启用TCP连接存活验证，有可能使攻击者通过开启足够多的连接耗尽系统资源，使设备拒绝服务。缺省情况下CISCO路由器并不去测试以前建立的TCP连接是否仍然可达，如果TCP连接的一端超时或者异常中断，那么另一端可能认为会话仍然可用，这种“孤儿”式的会话会占用路由器资源，也容易被攻击者利用。 Internet Operating System (IOS)版本及可能存在漏洞描述CVE 编号Bugtraq IDCisco IOS Web配置接口安全认证可被绕过漏洞CVE-2001-05372936SSH 拒绝服务CVE-2002-102451142GB HTTP读取缓存溢出CVE-2003-06478373Telnet远程检测拒绝服务CVE-2004-146411060IPv4版本TCP监听拒绝服务CVE-2007-047922208攻击者可能利用上述漏洞对路由器进行远程控制访问或者DDoS拒绝服务攻击。建议及时升级IOS版本并对漏洞进行修复。 连接超时连接连接超时Console line 0未设置VTY lines 0 to 4未设置VTY lines 5 to 15未设置由于意外掉线或不良习惯，部分登录连接长时间悬挂在设备上，造成安全隐患。如果悬空的登录连接过多，会导致后续的登录无法实施，影响对系统管理。要求设定登录连接空闲时间限制，让系统自动检查当前连接是否长时间处于空闲状态，若是则自动将其拆除。检测发现部分连接端口没有启用连接超时。建议启用连接超时断开，并设置为10分钟内空闲断开，Timeout具体取值应视实际需要而定。 SNMP问题TypeServiceUsernamePasswordCommunitySNMP(read-only)publicCommunitySNMPHost: XX0.0.5public系统启用了SNMP服务，并且为V1版本，该版本传输信息为明文，建议使用V3版本，该设备使用了SNMP默认的public作为所有网络设备的只读名称（community），未在ACL定义IP地址范围，任何人均可以无需猜测即可直接访问到网络设备，查看到交换机的所有信息，存在网络配置信息密使的安全隐患。如果不需要SNMP服务，建议关闭该服务。 ARP 代理问题InterfaceDescriptionGigabitEthernet0/1Uplink to 6509A G3/3 GigabitEthernet0/3Uplink to 6509B G3/3 存在ARP代理。ARP代理增加了某一网段上ARP流量，同时也容易导致ARP欺骗等安全问题。Cisco默认都是开启了ARP代理功能，建议通过“no ip proxy-arp”这个命令关闭ARP代理；网络的主机使用地址解析协议（ARP）将网络地址翻译成Media Address。在正常情况下， ARP协议的数据包只限于发件人的网段。CISCO路由器缺省在所有接口上都启用了代理ARP，代理ARP可以让来自不同网段的主机看起来就像在同一网段上，攻击者可能会利用代理ARP的信任特性，伪装成一台可信主机，中途截获数据包，打破了周边安全。.3 网络安全设备配置分析INTERNET防火墙（XX0.4.162）设备名称：XXX版本：PIX Version 7.0(6) 基本信息描述设置HostnameZXXXPIX Version7.0(6) 透明防火墙No 服务服务StatusTelnet Service开启SSH Service开启HTTP Service关闭HTTPS Service关闭SNMP Service开启 SSH配置描述设置Protocol Version1Session Timeout5分钟Management HostAnyManagement InterfaceAny except outside ACL配置Table 6: ACL acl_out ACEs permit any accessLineActiveAccessProtoSourceSrc PortDestinationDest PortTimeLog1YesPermiticmpAnyAnyAnyAnyAnyN/ATable 7: ACL acl_inside ACEs permit any accessLineActiveAccessProtoSourceSrc PortDestinationDest PortTimeLog1YesPermiticmpAnyAnyAnyAnyAnyN/ATable 8: ACL acl_dmz ACEs permit any accessLineActiveAccessProtoSourceSrc PortDestinationDest PortTimeLog1YesPermiticmpAnyAnyAnyAnyAnyN/ATable 9: ACL acl_inside_out ACEs permit any accessLineActiveAccessProtoSourceSrc PortDestinationDest PortTimeLog1YesPermiticmpA