一、Cisco网络设备安全基线规范
本建议用于Cisco路由器和基于Cisco IOS的交换机及其三层处理模块,其软件版本为CISCO IOS 12.0及以上版本。加固前应该先备份系统配置文件。
01账号管理、认证授权
1.1.本机认证和授权
初始模式下,设备内一般建有没有密码的管理员账号,该账号只能用于
Console连接,不能用于远程登录。强烈建议用户应在初始化配置时为它们加添密码。一般而言,设备允许用户自行创建本机登录账号,并为其设定密码和权限。同时,为了AAA服务器出现问题时,对设备的维护工作仍可正常进行,建议保留必要的维护用户
操作方式:
配置本地用户ShiRan,密码ShiRanIT.com,权限为10
Router(config)#username ShiRan privilege 10 password ShiRanIT.com
Router(config)#privilege exec level 10 telnet
Router(config)#privilege exec level 10 show ip access-list
1.2设置特权口令
不要采用enable password设置密码,而采用enable secret命令设置,enable secret命令用于设定具有管理员权限的口令,而enable password采用的加密算法比较弱。而要采用enable secret命令设置。并且要启用Service password-encryption,这条命令用于对存储在配置文件中的所有口令和类似数据进行加密。避免当配置文件被不怀好意者看见,从而获得这些数据的明文。
操作方式:
Router(Config)#enable secret xxxxxxxx
Router(Config)#Service password-encryption
对比enable password和enabl esecret :
1.3登陆要求
控制CON端口的访问,给CON口设置高强度的登录密码,修改默认参数,配置认证策略。
操作方式:
Router(Config)#line con 0
Router(config-line)#password ShiRanIT.com
Router(config-line)#exec-timeout 300
Router(config-line)#session-limit 5
除非使用拨号接入时使用AUX端口,否则禁止这个端口。
操作方式:
Router(config)#line aux 0
Router(config-line)#transport input none
Router(config-line)#no exec
设置完成后无法通过AUX拨号接入路由器
如非要采用HTTP服务,要求对HTTP服务进行严格的控制,如果必须选择使用HTTP进行管理,最好用ip http access-class命令限定访问地址且用ip http authentication命令配置认证,修改HTTP的默认端口。
操作方式:
修改默认端口
Router(Config)# ip http port 50000
Router(Config)# access-list 10 permit 192.168.0.1
Router(Config)# access-list 10 deny any
启用ACL严格控制可以登陆的维护地址
Router(Config)# ip http access-class 10
配置本地数据库
Router(Config)# username ShiRan privilege 10 password ShiRanIT.com
启用本地认证
Router(config)#ip http authentication local
Router(Config)# ip http server启用HTTP服务
02日志配置
2.1开启日志功能
为了实现对设备安全的管理,要求对设备的安全审计进行有效管理。根据设备本身具有的属性和实际维护经验,建议相关安全审计信息应包括设备登录信息日志和设备事件信息日志,同时提供SYSLOG服务器的设置方式。
Cisco设备将LOG信息分成八个级别,由低到高分别为debugging、informational、notifications、warnings、errors、critical、alerts、emergencies。考虑到日志信息的种类和详细程度,并且日志开启对设备的负荷有一定影响,在这建议获取有意义的日志信息,并将其发送到网管主机或日志服务器并进行分析,建议将notifications及以上的LOG信息送到日志服务器。
操作方式:
开启日志
Router(Config)#logging on
设置日志服务器地址
Router(Config)#logging 192.168.0.254
日志记录级别,可用”?”查看详细内容
Router(Config)#logging trap notifications
日志发出用的源IP地址
Router(Config)#logging source-interface g0/0
日志记录的时间戳设置,可根据需要具体配置
Router(Config)#service timestamps log datetime localtime
03通信协议
3.1SNMP服务配置
如不需要提供SNMP服务的,要求禁止SNMP协议服务,注意在禁止时删除一些SNMP服务的默认配置。
操作方式:
Router(Config)# no snmp-server community public Ro
Router(Config)# no snmp-server community private RW
Router(Config)# no snmp-server enable traps
Router(Config)# no snmp-server system-shutdown
Router(Config)# no snmp-server
关闭,网管系统无法采集到相关管理数据,不能进行告警监控
如开启SNMP协议,要求更改SNMP trap协议的标准端口号,以增强其安全性。
操作方式:
Router(config)# snmp-server host 192.168.0.254 traps version 2c public udp-port 1661
如开启SNMP协议,要求更改SNMP连接的源地址,以增强其安全性。
操作方式:
Router(Config)# access-list 10 permit 192.168.0.1
Router(Config)# access-list 10 deny any
Router(Config)# SNMP-server community MoreHardPublic Ro 10
【影响】:只有指定的网管网段才能使用SNMP维护
如开启SNMP协议,要求设置并定期更改SNMP Community(至少半年一次),以增强其安全性,不建议开启SNMP rw特性。
操作方式:
Router(Config)# SNMP-server community MoreHardPublic ro
!不建议实施
Router(Config)# SNMP-server community MoreHardPublic rw
3.2源地址路由检查
为了防止利用IP Spoofing手段假冒源地址进行的攻击对整个网络造成的冲击,要求在所有的边缘路由设备(即直接与终端用户网络互连的路由设备)上,根据用户网段规划添加源路由检查。Cisco路由器提供全局模式下启用URPF(Unicast Reverse Path Forwarding单播反向路径转发)的功能。
操作方式:
启用CEF,要使用VRVF功能必须启用CEF(Cisco Express Forwarding)
Router(config)#ip cef
启用Unicast Reverse-Path Verification
Router(config)#interface g0/0
Router(config-if)#ip verify unicast reverse-path
3.3防止地址欺骗
操作方式:
如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(127.0.0.0/8);RFC1918私有地址;DHCP自定义地址 (169.254.0.0/16);不用的组播地址(224.0.0.0/4);全网络地址(0.0.0.0/8)。
Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any
Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any
Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any
Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any
Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any
Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any
Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any
Router(Config)# access-list 100 permit ip any any
Router(config)#interface g0/0
Router(Config-if)# ip access-group 100 in
建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。(可选)如:
Router(Config)# no access-list 101
Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.255.255 any
04设备其他安全要求
4.1禁止CDP(Cisco Discovery Protocol)
由于CDP服务可能被攻击者利用获得路由器的版本等信息,从而进行攻击,所以如果没有必要使用CDP服务,则应关闭CDP服务。
操作方式:
全局CDP的关闭
Router(Config)#no cdp run
特定端口CDP的关闭
Router(Config)#interface g0/0
Router(Config-if)# no cdp enable
【影响】:无法发现网络邻居的详细信息,造成维护不便。
4.2禁止TCP、UDP Small服务
Cisco路由器提供一些基于TCP和UDP协议的小服务如:echo、chargen和discard。这些小服务很少被使用,而且容易被攻击者利用来越过包过滤机制。要求关闭这些服务。
操作方式:
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-samll-servers
4.3禁止Finger、NTP服务
Finger服务可能被攻击者利用查找用户和口令攻击。NTP不是十分危险的,但是如果没有一个很好的认证,则会影响路由器正确时间,导致日志和其他任务出错。要求关闭这些服务。
操作方式:
Router(config)#no ip finger
Router(config)#no service finger
Router(config)#no ntp
4.4禁止IP Source Routing
禁用源路由,防止路由信息泄露
操作方式:
Router(Config)# no ip source-route
4.5禁止IP Classless
禁止无类路由
操作方式:
Router(Config)# no ip classless
4.6WINS和DNS服务加固
如果没必要通过网络进行名字查询则禁止WINS和DNS服务
操作方式:
Router(Config)# no ip domain-lookup
二、Huawei网络设备安全基线规范
01账号管理
1.1.无效帐户清理
删除与设备运行、维护等工作无关的账号
操作方式:
[Huawei]aaa
[Huawei-aaa]undo local-user test
1.2认证和授权设置
设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。
操作方式:
#对远程登录用户先用RADIUS服务器进行认证,如果没有响应,则不认证。
#认证服务器IP地址为129.7.66.66,无备用服务器,端口号为默认值1812。
# 配置RADIUS服务器模板。
[Router] radius-server template shiva
# 配置RADIUS认证服务器IP地址和端口。
Router-radius-shiva]radius-server authentication 129.7.66.66 1812
# 配置RADIUS服务器密钥、重传次数。
[Router-radius-shiva] radius-server shared-key cipher shiran.com
[Router-radius-shiva] radius-server retransmit 2
[Router-radius-shiva] quit
# 进入AAA视图。
[Router] aaa
# 配置认证方案shiran,认证方法为先RADIUS,如果没有响应,则不认证。
[Router–aaa] authentication-scheme shiran
[Router-aaa-authen-r-n] authentication-mode radius local
[Router-aaa-authen-r-n] quit
# 配置default域,在域下采用r-n认证方案、缺省的计费方案(不计费),shiva的RADIUS模板。
[Router-aaa] domain default
[Router-aaa-domain-default] authentication-scheme shiran
[Router-aaa-domain-default]radius-server shiva
02日志配置
2.1开启日志功能
支持数据日志,可以记录系统日志与用户日志。系统日志指系统运行过程中记录的相关信息,用以对运行情况、故障进行分析和定位,日志文件可以通过XModem、FTP、TFTP协议,远程传送到网管中心。
操作方式:
[Huawei]info-center enable ;默认已启动
[Huawei]info-center console channel 0;向控制台输出日志
[Huawei]info-center logbuffer ;向路由器内部缓冲器输出日志
[Huawei]info-center loghost 192.168.0.254;向日志主机输出日志
[Huawei]info-center monitor channel monitor ; 向telnet终端或哑终端输出日志
03通信协议
3.1限定特定主机访问
路由器以UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置路由器,只允许特定主机访问。
操作方式:
acl number 1
rule 1 deny ip 127.0.0.0 0.255.255.255 any log
…
int f1/1
firewall packet-filter 3001 inbound(outbound)
3.2过滤高危端口
过滤已知攻击:在网络边界,设置安全访问控制,过滤掉已知安全攻击数据包,例如udp 1434端口(防止SQL slammer蠕虫)、tcp445,5800,5900(防止Della蠕虫)。
操作方式:
全局模式下是否启用如下命令:
acl number 3001
rule 1 deny tcp destination-port eq 135
rule 2 deny udp destination-port eq 135
rule 5 deny tcp destination-port eq 139
rule 7 deny tcp destination-port eq 445
rule 8 deny udp destination-port eq 445
rule 9 deny tcp destination-port eq 539
rule 10 deny udp destination-port eq 539
rule 11 deny udp destination-port eq 593
rule 12 deny tcp destination-port eq 593
rule 13 deny udp destination-port eq 1434
rule 14 deny tcp destination-port eq 4444
rule 15 deny tcp destination-port eq 9996
rule 16 deny tcp destination-port eq 5554
rule 17 deny udp destination-port eq 9996
[Quidway-接口] firewall packet-filter 3001 inbound(outbound)
04其他设备安全要求
4.1禁用端口
禁止未使用或空闲的端口
操作方式:
不用端口模式下是否启用如下命令:
# shutdown(不用端口)
4.2启用源地址检查
启用源地址路由检查(二层不适用)
操作方式:
不用端口模式下是否启用如下命令:
# urpf enable