cisco网络设备安全加固手册

1、对网络设备的管理权限进行划分和限制，将登录口令密帐号权 文保存在配置文件限加固 中，确保系统帐号口令长度和复杂度满足安全要求 , 避免使用弱口令1、加强用户认证，对网络设备的管理权限进行划分和限制2、修改帐号存在的弱口令（包括 SNMP社区串），设置网络系统的口令长度 8 位3、禁用不需要的用户4、对口令进行加密存储1、 Central(config)#username brian privilege 5 passwordg00d+pa55w0rdCentral(config)#linecon0Central(config-line)#loginlocalCentral(config-line

2、)#endenablesecretlevel5privilegeexeclevel15 show logging2、 password Enable sec Snmp-server community 3、 no usernameservice password-encryption; 例外： SNMPcommunity strings 、 RADIUSkeys 、TACACS+keys1、禁用 httpserver，或者对httpserver进行访问控制关闭网络设备中不安全的服务，确保网络设网络服备只开务加固启承载业务所必需的网络服务1.Central(config)#no iphttpse

3、rverSetup usernames and passwordsCreate and applyan IP accesslist tolimitaccessto thewebserver.Configure and enable syslog loggingSample:Central(config)#!Add web admin users,thenturnon httpauthCentral(config)#username nzWebpriv15 password 0 C5-A1rCarg0Central(config)#iphttpauthlocalCentral(config)#!

4、Createan IP accesslistfor web accessCentral(config)#no access-list29Central(config)#access-list29permithost 8logCentral(config)#access-list29permit55logCentral(config)#access-list29 deny any logCentral(config)#!Applytheaccess listthen starttheserverCentral(config)#iphttpaccess-class29Central(config)

5、#iphttpserver2、关闭不必要的 SNMP服务，若Central(config)#exit必须使用，应采用 SNMPv3以 ? Explicitlyunset(erase)allexistingcommunity strings.上版本并启用身份验证、更? DisableSNMPsystem shutdown and trapfeatures.改默认社区串? DisableSNMPsystem processing.Central(config)#!eraseoldcommunity stringsCentral(config)#no snmp-servercommunity pub

6、licROCentral(config)#no snmp-servercommunity admin RWCentral(config)#Central(config)#!disableSNMPtrapand system-shutdownfeaturesCentral(config)#no snmp-serverenabletrapsCentral(config)#no snmp-serversystem-shutdownCentral(config)#no snmp-servertrap-authCentral(config)#Central(config)#!disablethe SNM

7、PserviceCentral(config)#no snmp-serverCentral(config)#endEast(config)#access-list20 permitEast(config)#snmp-servergroupadministratorv3authreadadminview writeadminviewEast(config)#snmp-serveruserrootadministratorv3auth md5“secret ” access 20East(config)#snmp-serverview adminview internetincludedEast(

8、config)#snmp-serverview adminview ip.ipAddrTableexclEast(config)#snmp-serverview adminview ip.ipRouteTableexclEast(config)#exit3、禁用与承载业务无关的服务（例如 dhcp-relay 、IGMP、CDPRUN、bootp服务等）3.no cdp runNo servicedhcpNo ip bootpserver停掉 tcp 、udpsmallservers ，类似echo、 daytime 、chargen 、discard 等；no servicetcp-smal

9、l-serversno serviceudp-small-serversnoservicefingernoip httpserver远程控制有安全机网络访制保证，限制能够问控制访问本机的用户或加固IP 地址1、对可管理配置网络设备的网South(config)#no access-list92段通过访问控制列表进行限South(config)#access-list92permit制South(config)#access-list92permitSouth(config)#linevty0 4South(config-line)#access-class 92 in2、使用 SSH等安全方式

10、登录用 TELNET方式, 禁 North(config)#no access-list12North(config)#access-list12permithost logNorth(config)#linevty0 4North(config-line)#access-class 12inNorth(config)#username joeadmin password 0 1-g00d-pa$wordNorth(config)#linevty 04North(config-line)#loginlocalNorth(config-line)#exitNorth(config)#hostno

11、rthNorth(config)#ipdomain-name North(config)#cryptokeygeneratersaThe name forthekeyswillbe: NChoose thesize of the key modulusin the range of 360 to 2048foryourGeneralPurpose Keys. Choosinga key modulus greaterthan512 may takea few minutes.Howmany bitsinthemodulus 512:2048GeneratingRSAKeys .OKNorth(

12、config)#If thiscommandsucceeds,the SSHserveris enabledandrunning.By default,theSSHservicewillbe presenton the3、对 SNMP进行 ACL控制配置网络设备的安4. 审计策1、为网络设备指定日志服务器全审计略加固功能，设置日志缓2、合理配置日志缓冲区大小routerwhenever an RSAkeypairexists,but itwillnotbeused untilyou configureit,asdetailedbelow.Ifyoudeletethe routers RSAke

13、ypair,thentheSSHserverwillstop.cryptokeyzeroizersa.North(config)#ipsshtime-out90North(config)#ipsshauthentication-retries2North(config)#linevty04North(config-line)#transportinputsshNorth(config-line)#exitNorth(config)#linevty515North(config-line)#transportinputnoneNorth(config-line)#exitsnmp-serverc

14、ommunity publicrosnmp-servercommunity ourCommStr rosnmp-servercommunity topsecretrw 60snmp-servercommunity hideitroviewnoRouteTableaccess-list60 permitaccess-list60 permitsnmp-serverviewnoRouteTableinternet includedsnmp-serverviewnoRouteTableip.21excludedsnmp-serverviewnoRouteTableip.22excludedsnmp-

15、serverviewnoRouteTableifMIBexcludedCentral(config)#loggingonCentral(config)#loggingCentral(config)#loggingbuffered 16000存大小，指定日志服务器配置访问控制策，对蠕虫1、屏蔽病毒常用的网络端口5. 恶意代 端口进行屏蔽，关、使用TCPkeepalives服务以闭不安2杀死僵连接码防范全的服务避免被入3、禁止 IP 源路由功能侵者利用Central(config)#loggingconsolecriticalCentral(config)#loggingtrap informat

16、ionalCentral(config)#loggingfacilitylocal1ACLservice tcp-keepalives-in. 3.no ip source-routeRouter SecurityChecklistThissecuritychecklistisdesigned tohelpyou reviewyour routersecurityconfiguration,and remind you ofanysecurityarea you mighthave missed.?Router securitypolicywritten,approved,distribute

17、d.?Router IOS versionchecked and up todate.?Router configurationkept off-line,backed up,access toitlimited.?Router configurationiswell-documented,commented.?Routerusersand passwordsconfiguredand maintained.?Password encryptionin use,enablesecret inuse.?Enablesecretdifficulttoguess,knowledgeofit stri

18、ctlylimited. (if not, change the enable secretimmediately)?Accessrestrictionsimposed on Console, Aux,VTYs.?Unneeded networkserversand facilitiesdisabled.?Necessary networkservicesconfiguredcorrectly(e.g. DNS)?Unused interfacesand VTYs shut down or disabled.?Riskyinterfaceservicesdisabled.?Port and protocolneeds ofthenetworkidentifiedand checked.?Accesslistslimittraffictoidentifiedportsand protocols.?Accesslistsblockreservedand inappropriateaddresses.?Staticroutesconfiguredwhere necessary.?Routingprotocolsconfiguredtouse inte