CISCO网络设备加固手册

精选优质文档-----倾情为你奉上精选优质文档-----倾情为你奉上专心---专注---专业专心---专注---专业精选优质文档-----倾情为你奉上专心---专注---专业CISCO网络设备安全手册二零零五年十一月

目录TOC\o"1-3"\h\z

IOS版本升级确保设备操作系统软件版本及时更新，软件版本较低会带来安全性和稳定性方面的隐患，因此要求在设备的FLASH容量允许的情况下升级到较新的版本。必要情况下可升级设备的FLASH容量。确保所有的网络设备维护在本地进行。对于允许远程登陆管理的网络设备，必须设置口令保护和相应的ACL，限定可远程登录的主机IP地址范围，并使用支持加密的登陆方式，如SSL等。关闭服务关闭设备上不需要的服务：Smallservices(echo,discard,chargen,etc.)Router(config)#noservicetcp-small-serversRouter(config)#noserviceudp-small-serversFingerRouter(config)#noservicefingerRouter(config)#noipfingerHTTPRouter(config)#noiphttpserverSNMPRouter(config)#nosnmp-serverCDPRouter(config)#nocdprunRemoteconfigRouter(config)#noserviceconfigSourceroutingRouter(config)#noipsource-routePadRouter(config)#noservicepadICMPRouter(config)#noipicmpredirectDNSRouter(config)#noipname-server如果需要使用HTTP管理设备，建议采用以下认证方式：确保使用iphttpaccess-class命令来限制只有授权的地址可以访问；确保使用TACACS+或RADIUS对登录进行认证；Router(config)#iphttpaccess-classRouter(config)#iphttpauthentication<enable,local,tacacs>Router(config)#iphttpport11111Router(config)#iphttpserver用户名如果没有使用用户名,增加用户名认证:Router(config)#usernamemynamepasswordmypass不同的路由器使用不同的方式激活，可能需要使用linevty，然后设置loginlocal，也可能需要启用AAA模式，配置aaanew-model来激活AAA模式。同样将其它的登录console、AUX等，设为需要用户名和口令认证。口令确保所有使用的口令必须为健壮口令，password和enable的口令都需要加密存放，对consoleline、auxiliaryline和virtualterminallines访问设置密码并加密保护：EnablesecretRouter(config)#enablesecret02manyRt3sConsoleLineRouter(config)#linecon0Router(config-line)#passwordSoda-4-jimmYAuxiliaryLineRouter(config)#lineaux0Router(config-line)#passwordPopcorn-4-saraVTYLinesRouter(config)#linevty04Router(config-line)#passwordDots-4-georg3保护口令不以明文显示Router(config)#servicepassword-encryption确保对consoleline、auxiliaryline和virtualterminallines的安全配置：ConsoleLineRouter(config)#linecon0Router(config-line)#exec-timeout50Router(config-line)#loginRouter(config-line)#transportinputtelnetAuxiliaryLineRouter(config)#lineaux0Router(config-line)#exec-timeout01Router(config-line)#noexecRouter(config-line)#transportinputnoneVTYlinesRouter(config)#noaccess-list92Router(config)#access-list92permitRouter(config)#access-list92permitRouter(config)#linevty04Router(config-line)#access-class92inRouter(config-line)#exec-timeout50Router(config-line)#loginRouter(config-line)#transportinputtelnetRouter(config-line)#servicetcp-keepalives-in访问控制配置access-list,设置允许登录的IP地址和登录类型,例如允许A.B.C.D地址的ssh登录本IP():Router(config)#access-list110permittcpA.B.C.Deq22配置防ipspoof的access-list,假设叶子节点网的IP地址段为A.B.C.Dmask/24,那么在out的端口上设置:Router(config)#access-list110permitipA.B.C.D55anyRouter(config)#access-list110denyipanyany在in的端口上设置:Router(config)#access-list110denyipA.B.C.D55anyRouter(config)#access-list110permitipanyany配置防CISCO漏洞的拒绝服务攻击:Router(config)#access-list110deny55anyanyRouter(config)#access-list110deny77anyany如果有必要，可以对某些拒绝服务攻击的包进行log。其它类型的拒绝服务，都可以使用相应的访问控制列表进行过滤，但对系统性能可能会有一些影响。其中一些拒绝服务现在操作系统已基本都能防范，不需要特别设置。例如对SYN：Router(Config)#access-list110permittcpany55establishedLAND：Router(Config)#access-list110denyiphost11host11SMURF：Router(Config)#access-list110denyipanyhost55使用SSHIOS必需为支持IPSEC的版本。设置SSH的超时间隔和尝试登录次数Router(Config)#ipsshtimeout90Router(Config)#ipsshanthentication-retries2Router(Config)#linevty04Router(Config-line)#access-class22inRouter(Config-line)#transportinputsshRouter(Config-line)#loginlocalRouter(Config-line)#exit启用SSH服务，生成RSA密钥对。Router(Config)#cryptokeygeneratersaThenameforthekeyswillbe:Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposekeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:2048GeneratingRSAKeys...[OK]Router#使用路由协议md5认证对于网络Router(Config)#routerospf100Router(Config-router)#network55area100启用MD5认证。areaarea-idauthentication启用认证，是明文密码认证。areaarea-idauthenticationmessage-digestRouter(Config-router)#area100authenticationmessage-digestRouter(Config)#exitRouter(Config)#interfaceeth0/1启用MD5密钥Key为routerospfkey。ipospfauthentication-keykey启用认证密钥，但会是明文传输。ipospfmessage-digest-keykey-id(1-255)md5keyRouter(Config-if)#ipospfmessage-digest-key1md5routerospfkey如果使用了RIP协议，也使用类似的命令进行设置Router(Config)#keychainmykeychainnameRouter(Config-keychain)#key1Router(Config-leychain-key)#key-stringMyFirstKeyStringRouter(Config-keyschain)#key2Router(Config-keychain-key)#key-stringMySecondKeyString！注意使用version2的RIP。Router(Config)#routerripRouter(Config-router)#version2Router(Config)#interfaceeth0/1Router(Config-if)#ipripauthenticationmodemd5Router(Config-if)#ipripanthenticationkey-chainmykeychainname网络设备日志确保网络设备开启日志功能。若设备没有足够的空间，需要将日志传送到日志服务器上保存（可选）若边界路由器未配合防火墙、IDS、Sniffer等技术使用，必须支持详尽的日志信息；在日志文件中需要记录登录过该设备的用户名、时间和所作的命令操作等详细信息，为发现潜在攻击者的不良行为提供有力依据；确保启用控制列表的日志功能。Router(config)#loggingonRouter(config)#logging00Router(config)#loggingbufferedRouter(config)#loggingconsolecriticalRouter(config)#loggingtrapdebuggingRouter(config)#loggingfacilitylocal7确保配置日志的时间信息：（可选）Router(config)#servicetimestampslogdatetimelocaltimeshow-timezoneRouter(config)#clocktimezoneEST＋8Router(config)#clocksummer-timeEDTrecurringRouter(config)#ntpsourceEthernet0/1Router(config)#ntpserverXXX.XXX.XXX.XXXRouter(config)#ntpserverXXX.XXX.XXX.XXXSNMP尽可能的禁用SNMP；对于支持SNMP，提供网管功能的设备，必须确保MIB库的读／写密码必须设定为非缺省值，同时，允许对MIB库进行读／写操作的主机也可通过ACL设置限定在指定网段范围内；确保使用SNMP版本2，因为SNMPV2使用了较强的MD5认证技术；必须确保MIB库的读／写密码（CommunityStringPassword）必须设定为非缺省值（PublicandPrivate）；CommunityStringPassword必须为健壮口令，并定期更换；确保授权使用SNMP进行管