Cisco路由器安全配置基线

1、Cisco路由器安全配置基线中国移动通信有限公司管理信息系统部2012年04月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月V2.0更新2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。TOC o 1-5 h z HYPERLINK l bookmark2 第1章概述1目的1适用范围1适用版本1实施1例外条款1 HYPERLINK l bookmark4 第2章帐号管理、认证授权安全要求2 HYPERLINK l bookmark6 帐号管理2 HYPERLINK l bookmark8 用户帐号分配*2. HYPERLINK l b

2、ookmark10 删除无关的帐号*3. HYPERLINK l bookmark12 限制具备管理员权限的用户远程登录*4.口令5 HYPERLINK l bookmark14 静态口令以密文形式存放5. HYPERLINK l bookmark16 帐号、口令和授权6. HYPERLINK l bookmark18 密码复杂度7.授权8 HYPERLINK l bookmark20 用IP协议进行远程维护的设备使用SH等加密协议8 HYPERLINK l bookmark22 第3章日志安全要求11 HYPERLINK l bookmark24 日志安全11 HYPERLINK l boo

3、kmark26 对用户登录进行记录1.1. HYPERLINK l bookmark28 记录用户对设备的操作1.2. HYPERLINK l bookmark30 开启NTP服务保证记录的时间的准确性1.3 HYPERLINK l bookmark32 远程日志功能*1.4. HYPERLINK l bookmark34 第4章IP协议安全要求17 HYPERLINK l bookmark36 IP协议17 HYPERLINK l bookmark38 配置路由器防止地址欺骗1.7. HYPERLINK l bookmark40 系统远程服务只允许特定地址访问1.9 HYPERLINK l

4、bookmark42 过滤已知攻击2.0.功能配置21功能禁用*2.1. HYPERLINK l bookmark44 启用协议的认证加密功能*2.3. HYPERLINK l bookmark46 启用路由协议认证功能*2.4. HYPERLINK l bookmark48 防止路由风暴2.6. HYPERLINK l bookmark50 防止非法路由注入2.7. HYPERLINK l bookmark52 SNMP的Community默认通行字口令强度28 HYPERLINK l bookmark54 只与特定主机进行SNMP协议交互29 HYPERLINK l bookmark56

5、配置SNMPV2或以上版本30 HYPERLINK l bookmark58 关闭未使用的SNMP协议及未使用RW权限31 HYPERLINK l bookmark60 LDP协议认证功能3L HYPERLINK l bookmark62 第5章其他安全要求33其他安全配置33关闭未使用的接口3.3. HYPERLINK l bookmark67 修改路由缺省器缺省BANNER语34 HYPERLINK l bookmark69 配置定时账户自动登出3.4. HYPERLINK l bookmark71 配置consol口密码保护功能36 HYPERLINK l bookmark73 关闭不必

6、要的网络服务或功能3.7 HYPERLINK l bookmark75 端口与实际应用相符3.8. HYPERLINK l bookmark77 第6章评审与修订40第1章概述1.1目的本文档规定了中国移动管理信息系统部所维护管理的Cisco路由器应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Cisco路由器的安全配置。适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的Cisco路由器。适用版本Cisco路由器。实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中

7、若有任何疑问或建议，应及时反馈。本标准发布之日起生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。第2章帐号管理、认证授权安全要求帐号管理用户帐号分配*安全基线项目名称用户帐号分配安全基线要求项安全基线编号SBL-CiscoRouter-02-01-01安全基线项说明应按照用户分配帐号。避免不同用户间共享帐号。避免用户帐号和设备间通信使用的帐号共享。检测操作步骤.参考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.R

8、outer(config)#servicepassword-encryptionRouter(config)#usernameruser1password3d-zirc0niaRouter(config)#usernameruser1privilege1Router(config)#usernameruser2password2B-or-3BRouter(config)#usernameruser2privilege1Router(config)#endRouter#.补充操作说明基线符合性判定依据.判定条件.配置文件中，存在不同的帐号分配.网络管理员确认用户与帐号分配关系明确.检测操作使用s

9、howrunning-config命令，如下例：router#showrunning-configBuildingconfiguration.Currentconfiguration:!servicepassword-encryptionusernameruseripassword3dzirc0niausernameruseriprivilege1usernameruser2password2Bor3Busernameruser2privilege13.补充说明使用共享帐号容易造成职责不清备注需要手工检查，由管理员确认帐号分配关系。2.1.2删除无关的帐号*安全基线项目名称无关的帐号安全基线要

10、求项安全基线编号SBL-CiscoRouter-02-01-02安全基线项说明应删除与设备运行、维护等工作无关的帐号。检测操作步骤.参考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#nousernameruser3.补充操作说明基线符合性判定依据.判定条件.配置文件存在多帐号.网络管理员确认所有帐号与设备运行、维护等工作有关.检测操作使用showrunning-config命令，如下例：router#showrunning-configBuildingconfigurat

11、ion.Currentconfiguration:!usernameuseriprivilege1passwordpasswordiusernamenobodyuseprivilege1passwordpasswordi.补充说明删除不用的帐号，避免被利用备注需要手工检查，由管理员判断是否存在无关帐号备注备注需要手工检查，由管理员判断是否存在无关帐号2.1.3限制具备管理员权限的用户远程登录*安全基线项目名称限制具备管理员权限的用户远程登录安全基线要求项安全基线编号SBL-CiscoRouter-02-01-03安全基线项说明限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通

12、权限用户远程登录后，再通过enable命令进入相应级别再后执行相应操作。检测操作步骤.参考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#linevty04Router(config-line)#login

13、localRouter(config-line)#exec-timeout50Router(config-line)#end.补充操作说明设定帐号密码加密保存创建normaluser帐号并指定权限级别为1；设定远程登录启用路由器帐号验证；设定超时时间为5分钟；基线符合性判定依据.判定条件VTY使用用户名和密码的方式进行连接验证2、帐号权限级别较低，例如：I.检测操作使用showrunning-config命令，如下例：router#showrunning-configBuildingconfiguration.Currentconfiguration:!servicepassword-encr

14、yptionusernamenormaluserpassword3d-zirc0niausernamenormaluserprivilege1linevty04loginlocal3.补充说明会导致远程攻击者通过黑客工具猜解帐号口令备注根据业务场景，自动化系统如果无法实现可不选此项，人工登录操作需要遵守此项规范。口令静态口令以密文形式存放安全基线项目名称静态口令安全基线要求项安全基线编号SBL-CiscoRouter-02-02-01安全基线项说明静态口令必须使用不可逆加密算法加密，以密文形式存放。如使用enablesecret配置Enable密码，不使用enablepassword配置Ena

15、ble密码。检测操作步骤.参考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#enablesecret2-mAny-rOUtEsRouter(config)#noenablepasswordRouter(config)#end.补充操作说明基线符合性判定依据.判定条件配置文件无明文密码字段.检测操作使用showrunning-config命令，如下例：router#showrunning-co

16、nfigBuildingconfiguration.Currentconfiguration:!servicepassword-encryptionenablesecret5$1oxphetTb$rTsF$EdvjtWbi0qA2gusernameciscoadminpassword7Wbi0qA1$rTsF$Edvjt2gpvyhetTb3.补充说明如果不加密，使用showrunning-config命令,可以看到未加密的密码备注帐号、口令和授权安全基线项目名称帐号、口令和授权安全基线要求项安全基线编号SBL-CiscoRouter-02-02-02安全基线项说明设备通过相关参数配置，与认证

17、系统联动，满足帐号、口令和授权的强制要求。检测操作步骤.参考配置操作Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaauthenticationlogindefaultgrouptacacs+Router(config)#aaaauthenticationenabledefaultgrouptacacs+Router(config)#tacacs-serverhost8Router(config)#ta

18、cacs-serverkeyIr31yh8n#w9swDRouter(config)#endRouter#.补充操作说明与外部TACACS+server8联动，远程登录使用TACACS+serverya验证基线符合性判定依据.判定条件帐号、口令配置，指定了认证系统.检测操作使用showrunning-config命令，如下例：router#showrunning-configBuildingconfiguration.Currentconfiguration:!aaanew-modelaaaauthenticationlogindefaultgrouptacacs+aaaauthenticat

19、ionenabledefaultgrouptacacs+tacacs-serverhost8tacacs-serverkeyIr31yh8n#w9swD补充说明备注2.2.3密码复杂度安全基线项目名称密码复杂度安全基线要求项安全基线编号SBL-CiscoRouter-02-02-03安全基线项说明对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤.参考配置操作Router#configureterminalEnterconfigurationcommands,onepe

20、rline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaauthenticationlogindefaultgrouptacacs+Router(config)#aaaauthenticationenabledefaultgrouptacacs+Router(config)#tacacs-serverhost8Router(config)#tacacs-serverkeyIr31yh8n#w9swDRouter(config)#endRouter#.补充操作说明与外部TACACS+server8联动，远程登录使用TACA

21、CS+serverya验证；口令强度由TACACS+server控制基线符合性判定依据备注2.3授权2.3.1用IP协议进行远程维护的设备使用SSH等加密协议安全基线项目名称IP协议进行远程维护的设备安全基线要求项安全基线编号SBL-CiscoRouter-02-03-01安全基线项说明对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。检测操作步骤.参考配置操作.配置主机名和域名router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.router(config)#hostnameRouterRoute

22、r(config)#ipdomain-nameRouter.domain-name.配置访问控制列表Router(config)#noaccess-list12Router(config)#access-list12permithost00Router(config)#linevty04Router(config-line)#access-class12inRouter(config-line)#exit.配置帐号和连接超时Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-z

23、irc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#linevty04Router(config-line)#loginlocalRouter(config-line)#exec-timeout50.生成rsa密钥对Router(config)#cryptokeygeneratersaThenameforthekeyswillbe:Router.domain-nameChoosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.C

24、hoosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus512:2048GeneratingRSAKeys.OK.配置仅允许ssh远程登录Router(config)#linevty04Router(config-line)#transportinputsshRouter(config-line)#exitRouter(config)#2.补充操作说明配置描述：.配置ssh要求路由器已经存在主机名和域名.配置访问控制列表，仅授权00访问00ssh.配置远程访问里连接超时.生成rsa密钥对，如果已经存在可

25、以使用以前的。默认存在”密钥对sshd就启用，不存在密钥对sshd就停用。.配置远程访问协议为ssh基线符合性判定依据.判定条件.存在”密钥对.远程登录指定ssh协议.检测操作.使用showcryptokeymypubkeyrsa命令，如下例：Router(config)#showcryptokeymypubkeyrsa%Keypairwasgeneratedat:06:07:49UTCJan131996Keyname:Usage:SignatureKeyKeyData:005C300D06092A864886F70D0101010500034B003048024100C5E23B55D6AB

26、2204AEF1BAA54028A69ACC01C5129D99E464CAB820847EDAD9DF0B4E4c73A05DD2BD62A8A9FA603DD2E2A8A6F898F76E28D58AD221B583D7A4710203010001%Keypairwasgeneratedat:06:07:50UTCJan131996Keyname:Usage:EncryptionKeyKeyData:003020174A7D385B1234EF29335FC9732DD50A37C4F4B0FD9DADE748429618D518242BA32EDFBDD34296142ADDF7D3D8

27、084076852F2190A00B43F1BD9A8A26DB07953829791FCDE9A98420F06A82045B90288A26DBC644687789F76EEE21.使用showrunning-config命令，如下例：router#showrunning-configBuildingconfiguration.Currentconfiguration:!linevty04transportinputssh3.补充说明使用非加密协议在传输过程中容易被截获口令备注第3章日志安全要求日志安全对用户登录进行记录安全基线项目名称用户登录进行记录安全基线要求项安全基线编号SBL-Ci

28、scoRouter-03-01-01安全基线项说明与记账服务器（如RADIUS服务器或TACACS服务器）配合，设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步骤.参考配置操作Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaaccountingconnectiondefaultstart-stopgroupta

29、cacs+Router(config)#aaaaccountingexecdefaultstart-stopgrouptacacs+Router(config)#endRouter1#.补充操作说明使用TACACS+server基线符合性判定依据.判定条件配置了AAA模板的上述具体条目.检测操作使用showrunning-config命令，如下例：router1#showrunn|includeaaaBuildingconfiguration.Currentconfiguration:!aaanew-modelaaaauthenticationlogindefaultgrouptacacs+a

30、aaauthorizationexecdefaultgrouptacacs+aaasession-idcommon补充说明备注3.1.2记录用户对设备的操作安全基线项目名称用户对设备记录安全基线要求项安全基线编号SBL-CiscoRouter-03-01-02安全基线项说明与记账服务器（如TACACS服务器）配合，设备应配置日志功能，记录用户对设备的操作，如帐号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户帐号，操作时间，操作内容以及操作结果。检测操作步骤.参考配置操作Router#configuretermina

31、lEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaaccountingcommands1defaultstart-stopgrouptacacs+Router(config)#aaaaccountingcommands15defaultstart-stopgrouptacacs+Router(config)#endRouter1#.补充操作说明使用TACACS+server基线符合性判定依据L判定条件配置了AAA模板的上述具体条目2.检测操作使用sh

32、owrunning-config命令，如下例：router1#showrunn|includeaaaBuildingconfiguration.Currentconfiguration:!aaanew-modelaaaaccountingcommands1defaultstart-stopgrouptacacs+aaaaccountingcommands15defaultstart-stopgrouptacacs+补充说明备注3.1.3开启NTP服务保证记录的时间的准确性安全基线项目名称记录的时间的准确性安全基线要求项安全基线编号SBL-CiscoRouter-03-01-03安全基线项说明开

33、启NTP服务，保证日志功能记录的时间的准确性。检测操作步骤.参考配置操作配置命令如下：Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfaceeth0/0Router(config-if)#nontpdisableRouter(config-if)#exitRouter(config)#ntpserversourceloopback。Router(config)#exit.补充操作说明需要到每个端口开启NTP基线符合性判定依据.判定条件.存在ntpserver配置条目.日

34、志记录时间准确.检测操作.使用showrunning-config命令，如下例：router#showrunning-configBuildingconfiguration.Currentconfiguration:!nontpdisablentpupdate-calendarntpserverntpserverII.showlogging|includeNTP000019:Jan2910:57:52.633EST:%NTP-5-PEERSYNC:NTPsyncedtopee000020:Jan2910:57:52.637EST:%NTP-6-PEERREACH:Peerisreachable

35、3.补充说明日志时间不准确导致安全事件定位的不准确备注3.1.4远程日志功能*安全基线项目名称远程日志功能安全基线要求项安全基线编号SBL-CiscoRouter-03-01-04安全基线项说明设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP等。检测操作步骤.参考配置操作路由器侧配置：Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/ZRouter(config)#loggingonRouter(config)#loggingt

36、rapinformationRouter(config)#logging00Router(config)#loggingfacilitylocal6Router(config)#loggingsource-interfaceloopback。Router(config)#exitRouter#showloggingSysloglogging:enabled(0messagesdropped,11flushes,0overruns)Consolelogging:levelnotifications,35messagesloggedMonitorlogging:leveldebugging,35m

37、essagesloggedBufferlogging:levelinformational,31messagesloggedLoggingto00,28messagelineslogged.Router#.补充操作说明I.假设把router日志存储在00的syslog服务器上路由器侧配置描述如下：启用日志记录日志级别设定“information”记录日志类型设定“local6”日志发送到00日志发送源是loopback。配置完成可以使用“showlogging”验证服务器侧配置参考如下：Syslog服务器配置参考：在Syslog.conf上增加一行#Saveroutermessagestoro

38、uters.loglocal6.debug/var/log/routers.log创建日志文件#touch/var/log/routers.logII.如果使用snmp存储日志参考配置如下：Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#loggingtrapinformationRouter(config)#snmp-serverhost00trapspublicRouter(config)#snmp-servertrap-sourceloopback0Router(config

39、)#snmp-serverenabletrapssyslogRouter(config)#exit基线符合性判定依据.判定条件Sysloglogging和SNMPlogging至少有一个为“enabled”Loggingto后面的主机名或IP指向日志服务器通常记录日志数不为0.检测操作使用showlogging命令，如下例：Router#showloggingSysloglogging:enabledConsolelogging:disabledMonitorlogging:leveldebugging,266messageslogged.Traplogging:levelinformatio

40、nal,266messageslogged.Loggingto38SNMPlogging:disabled,retransmissionafter30seconds0messagesloggedRouter#3.补充说明备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。建议核心设备必选，其它根据实际情况启用第4章IP协议安全要求4.1IP协议4.1.1配置路由器防止地址欺骗安全基线项目名称配置路由器防止地址欺骗安全基线要求项安全基线编号SBL-CiscoRouter-04-01-01安全基线项说明配置路由器，防止地址欺骗。检测操作步骤1.参考配置操作对向内流量配置：Router(

41、config)#noaccess-list100Router(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#acc

42、ess-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyiphost55anylogRouter(config)#access-list100permitipany55Router(config)#access-list100denyipanyanylogRouter(config)#interfaceeth0Router(config-if)#descriptio

43、nExternalinterfaceto192.168.0./16netRouter(config-if)#ipaddress0Router(config-if)#ipaccess-group100inRouter(config-if)#exitRouter(config)#interfaceethlRouter(config-if)#descriptionInternalinterfaceto/24netRouter(config-if)#ipaddress50Router(config-if)#end对向外流量配置：Router(config)#noaccess-list102Router

44、(config)#access-list102permitip55anyRouter(config)#access-list102denyipanyanylogRouter(config)#interfaceeth0/1Router(config-if)#descriptioninternalinterfaceRouter(config-if)#ipaddress50Router(config-if)#ipaccess-group102in2.补充操作说明假设内部网络是基线符合性判定依据.判定条件各接口只转发属于自己ip范围内的源地址数据包流出.检测操作使用showrunning-config

45、命令，如下例：router#showrunning-configaccess-list10denyip55anylogaccess-list10denyip55anylogintf1/1descriptiontheoutsideinterfaceofpermeterrouteripaccess-group10inaccess-list11permitip55anyaccess-list11denyipanyanyloginterfaces1/1descriptioninsideinterfaceofperimeterrouteripaddress54ipaccess-group11in.补充说

46、明地址欺骗可以造成内部网络的混乱，让某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。备注4.1.2系统远程服务只允许特定地址访问安全基线项目名称系统远程服务只允许特定地址访问安全基线要求项安全基线编号SBL-CiscoRouter-04-01-02安全基线项说明路由器以UDP/TCP协议对外提供服务，供外部主机进行访问，如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等，应配置路由器，只允许特定主机访问。检测操作步骤.参考配置操作例如：要配置允许目的为的所有DNS访问流量Router(config)#noaccess-list140Route

47、r(config)#access-list140permitudpanyhosteq53Router(config)#access-list140denyudpanyanylog例如：要配置仅允许00访问路由器Router(config)#noaccess-list12Router(config)#access-list12permithost00.补充操作说明基线符合性判定依据.判定条件相关服务存在access绑定.检测操作使用showrunning-config命令，如下例：router#showrunning-config！telnet、ssh服务器linevty04loginlocal

48、access-class2inexec-timeout100exit！NTP服务器access-list1permit55ntpaccess-groupquery-only1！ftp、tftp服务器ipftpsource-interfacefastEthernet0/0iptftpsource-interfacefastEthernet0/03.补充说明对不信任的主机开启NTP、FTP等服务，会加大设备的危险备注4.1.3过滤已知攻击安全基线项目名称过滤已知攻击安全基线要求项安全基线编号SBL-CiscoRouter-04-01-03安全基线项说明过滤已知攻击：在网络边界，设置安全访问控制，过

49、滤掉已知安全攻击数据包，例如udp1434端口（防止SQLslammer蠕虫）、tcp445,5800,5900（防止Della蠕虫）。检测操作步骤1.参考配置操作屏蔽常见的漏洞端口1433、4444,tftpUDP69,135,137,138,139,445,593,1434，5000，5554，5800,5900,6667,9996等：Router(config)#noaccess-list102Router(config)#access-list102denytcpanyanyeq445logRouter(config)#access-list102denytcpanyanyeq5800

50、logRouter(config)#access-list102denytcpanyanyeq5900logRouter(config)#access-list102denyudpanyanyeq1434logRouter(config)#access-list102denyudpdestination-porteqtftplogRouter(config)#access-list102denytcpdestination-porteq135logRouter(config)#access-list102denyudpdestination-porteq137logRouter(config)

51、#access-list102denyudpdestination-porteq138logRouter(config)#access-list102denytcpdestination-porteq139logRouter(config)#access-list102denyudpdestination-porteqnetbios-ssnlogRouter(config)#access-list102denytcpdestination-porteq539logRouter(config)#access-list102denyudpdestination-porteq539logRouter

52、(config)#access-list102denytcpdestination-porteq593log2.补充操作说明基线符合性判定依据1.判定条件存在类似acl，拒绝上述端口.检测操作使用showrunning-config命令，如下例：router#showrunning-configaccess-list102access-list102denytcpanyanyeq445logaccess-list102denytcpanyanyeq5800logaccess-list102denytcpanyanyeq5900logaccess-list102denyudpanyanyeq14

53、34log.补充说明如果不进行上述设置将导致远程攻击者对部分常见应用发功攻击.或病毒感染备注4.2功能配置4.2.1功能禁用*安全基线项目名称功能禁用安全基线要求项安全基线编号SBL-CiscoRouter-04-02-01安全基线项说明功能禁用检测操作步骤.参考配置操作.禁用IP源路由Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#noipsource-route.禁用PROXYARPRouter#configtEnterconfigurationcommands,oneperl

54、ine.EndwithCNTL/Z.Router(config)#interfaceeth0/0Router(config-if)#noipproxy-arpRouter(config-if)#exitRouter(config)#interfaceeth0/1Router(config-if)#noipproxy-arpRouter(config-if)#exitRouter(config)#interfaceeth0/2Router(config-if)#noipproxy-arpRouter(config-if)#exitRouter(config)#interfaceeth0/3Rou

55、ter(config-if)#noipproxy-arpRouter(config-if)#end.禁用直播功能Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfaceeth0/0Router(config-if)#noipdirected-broadcastRouter(config-if)#end.禁用IP重定向Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config

56、)#interfaceeth0/0Router(config-if)#noipredirectsRouter(config-if)#end.禁用IP掩码响应Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfaceeth0/0Router(config-if)#noipmask-replyRouter(config-if)#end2.补充操作说明基线符合性判定依据.判定条件上述条目，在相应版本IOS中是“no”掉的.检测操作.禁用IP源路由noipsource-route.

57、禁用PROXYARPints0/0noipproxy-arpIII.禁用直播功能，12.0之后默认ints0noipdirected-broadcast.禁用IP重定向ints0noipunreachablenoipredirects.禁用IP掩码响应noipmask-repy3.补充说明备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。4.2.2启用协议的认证加密功能*安全基线项目名称启用协议的认证加密功能安全基线要求项安全基线编号SBL-CiscoRouter-04-02-02安全基线项说明启用协议的认证，加密功能设备与RADIUS服务器、TACACS服务器、NTP服务器、S

58、NMPV2或V3主机等支持认证加密功能的主机进行通信时，尽可能启用协议的认证加密功能，保证通信安全。检测操作步骤.参考配置操作TACACS服务器：Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#tacacs-serverhost8Router(config)#tacacs-serverkeyIr31yh8n#w9swDRouter(config)#endRouter#RADIUS服务器：Router#configureterminalEnterconfigura

59、tioncommands,oneperline.EndwithCNTL/Z.Router(config)#radius-serverhost8Router(config)#radius-serverkeyi*Ma5inu9p#s5wD.补充操作说明启用TACACS服务器、RADIUS服务器认证基线符合性判定依据.判定条件.指定了服务器.设定了认证key.检测操作使用showrunning-config命令，如下例：router#showrunning-config！TACACS服务器：tacacs-serverhost8acacs-serverkeyIr31yh8n#w9swD！RADIUS服

60、务器：radius-serverhost8radius-serverkeyi*Ma5inu9p#s5wD.补充说明备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。4.2.3启用路由协议认证功能*安全基线项目名称启用路由协议认证功能安全基线要求项安全基线编号SBL-CiscoRouter-04-02-03安全基线项说明启用动态IGP（RIPV2、OSPF、ISIS等）或EGP（BGP）协议时，启用路由协议认证功能，如皿5加密，确保与可信方进行路由协议交互。检测操作步1.参考配置操作骤I,配置Router1和Router2间Ospf启用MD5验证Router1配置：Router1#