思科路由器安全配置规范文档格式.doc
《思科路由器安全配置规范文档格式.doc》由会员分享,可在线阅读,更多相关《思科路由器安全配置规范文档格式.doc(33页珍藏版)》请在冰点文库上搜索。
2.4.2 路由协议安全 22
2.4.3 SNMP协议安全 25
2.4.4 MPLS安全 27
2.5 其他安全要求 27
前言
本标准由中国移动通信有限公司网络部提出并归口。
本标准由标准提出并归口部门负责解释。
本标准起草单位:
中国移动通信有限公司网络部。
本标准解释单位:
同提出单位。
本标准主要起草人:
中国移动集团上海公司刘金根13761080195
中国移动集团公司 陈敏时13911773802
中国移动思科路怄气安全配置规范
1概述
1.1适用范围
本规范适用于中国移动通信网、业务系统和支撑系统的思科路由器。
本规范明确了思科路由器安全配置方面的基本要求。
1.2内部适用性说明
本规范是在《中国移动设备通用设备安全功能和配置规范》(以下简称《通用规范》)各项设备配置要求的基础上,提出的思科路由器安全配置要求。
以下分项列出本规范对《通用规范》设备配置要求的修订情况:
设备通用安全配置要求编号
采纳意见
备注
安全要求-设备-通用-配置-1-可选
增强要求
安全要求-设备-思科路由器-配置-1
安全要求-设备-通用-配置-2-可选
增强功能
安全要求-设备-思科路由器-配置-2
安全要求-设备-通用-配置-3-可选
完全采纳
安全要求-设备-通用-配置-4
安全要求-设备-通用-配置-5
不采纳
设备不支持
安全要求-设备-通用-配置-6-可选
安全要求-设备-通用-配置-7-可选
安全要求-设备-通用-配置-9
安全要求-设备-通用-配置-12
安全要求-设备-通用-配置-13-可选
安全要求-设备-通用-配置-24-可选
安全要求-设备-思科路由器-配置-7-可选
安全要求-设备-通用-配置-14-可选
安全要求-设备-通用-配置-16-可选
安全要求-设备-通用-配置-17-可选
安全要求-设备-通用-配置-19-可选
安全要求-设备-思科路由器-配置-22
安全要求-设备-通用-配置-20-可选
安全要求-设备-通用-配置-27-可选
安全要求-设备-思科路由器-配置-23
本规范新增的安全配置要求,如下:
安全要求-设备-思科路由器-配置-3
安全要求-设备-思科路由器-配置-4-可选
安全要求-设备-思科路由器-配置-5-可选
安全要求-设备-思科路由器-配置-6-可选
安全要求-设备-思科路由器-配置-8-可选
安全要求-设备-思科路由器-配置-9
安全要求-设备-思科路由器-配置-10-可选
安全要求-设备-思科路由器-配置-11
安全要求-设备-思科路由器-配置-12-可选
安全要求-设备-思科路由器-配置-13
安全要求-设备-思科路由器-配置-14-可选
安全要求-设备-思科路由器-配置-15
安全要求-设备-思科路由器-配置-16
安全要求-设备-思科路由器-配置-17
安全要求-设备-思科路由器-配置-18-可选
安全要求-设备-思科路由器-配置-19
安全要求-设备-思科路由器-配置-20
安全要求-设备-思科路由器-配置-21-可选
安全要求-设备-思科路由器-配置-24
本规范还针对直接引用《通用规范》的配置要求,给出了在思科路由器上的具体配置方法和检测方法。
1.3外部引用说明
《中国移动通用安全功能和配置规范》
1.4术语和定义
BGPRouteflapdamping:
由RFC2439定义,当BGP接口翻转后,其他BGP系统就会在一段可配置的时间内不接受从这个问题网络发出的路由信息。
1.5符号和缩略语
缩写
英文描述
中文描述
2思科路由器设备安全配置要求
2.1直接引用《通用规范》的配置要求
编号:
要求内容
限制具备管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到管理员权限账号后执行相应操作。
操作指南
1.参考配置操作
Router#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#servicepassword-encryption
Router(config)#usernamenormaluserpassword3d-zirc0nia
Router(config)#usernamenormaluserprivilege1
Router(config)#linevty04
Router(config-line)#loginlocal
Router(config-line)#exec-timeout50
Router(config-line)#end
2.补充操作说明
设定账号密码加密保存
创建normaluser账号并指定权限级别为1;
设定远程登录启用路由器账号验证;
设定超时时间为5分钟;
检测方法
1.判定条件
I.VTY使用用户名和密码的方式进行连接验证
II.2、账号权限级别较低,例如:
I
2.检测操作
使用showrunning-config命令,如下例:
router#showrunning-config
Buildingconfiguration...
Currentconfiguration:
!
servicepassword-encryption
usernamenormaluserpassword3d-zirc0nia
usernamenormaluserprivilege1
linevty04
loginlocal
编号:
安全要求-设备-通用-配置-4
对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
1.参考配置操作
Router#configureterminal
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#aaanew-model
Router(config)#aaaauthenticationlogindefaultgrouptacacs+
Router(config)#aaaauthenticationenabledefaultgrouptacacs+
Router(config)#tacacs-serverhost192.168.6.18
Router(config)#tacacs-serverkeyIr3@1yh8n#w9@swD
Router(config)#end
Router#
2.补充操作说明
与外部TACACS+server192.168.6.18联动,远程登录使用TACACS+serverya验证;
口令强度由TACACS+server控制
此项无法通过配置实现,建议通过管理实现
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
Router(config)#privilegeexeclevel15connect
Router(config)#privilegeexeclevel15telnet
Router(config)#privilegeexeclevel15rlogin
Router(config)#privilegeexeclevel15showipaccess-lists
Router(config)#privilegeexeclevel15showaccess-lists
Router(config)#privilegeexeclevel15showlogging
Router(config)#!
ifSSHissupported..
Router(config)#privilegeexeclevel15ssh
Router(config)#privilegeexeclevel1showip
基本思想是创建账号并赋予不同的权限级别,并将各命令绑定在不同的权限级别上;
上例操作过程如下:
将connect、telnet、rlogin、showipaccess-lists、showaccess-lists、showlogging、ssh指定仅当账号权限级别为15时才可使用;
将showip指定为仅当账号权限级别大于1时才可使用;
I.用户名绑定权限级别
II.操作命令划分权限级别
privilegeexeclevel15connect
privilegeexeclevel15telnet
privilegeexeclevel15rlogin
privilegeexeclevel15showipaccess-lists
privilegeexeclevel15showaccess-lists
privilegeexeclevel15showlogging
privilegeexeclevel15ssh
privilegeexeclevel1showip
设备应支持远程日志功能。
所有设备日志均能通过远程日志功能传输到日志服务器。
设备应支持至少一种通用的远程标准日志接口,如SYSLOG、FTP等。
路由器侧配置:
Enterconfigurationcommands,oneperline.EndwithCNTL/Z
Router(config)#loggingon
Router(config)#loggingtrapinformation
Router(config)#logging192.168.0.100
Router(config)#loggingfacilitylocal6
Router(config)#loggingsource-interfaceloopback0
Router(config)#exit
Router#showlogging
Sysloglogging:
enabled(0messagesdropped,11flushes,0overruns)
Consolelogging:
levelnotifications,35messageslogged
Monitorlogging:
leveldebugging,35messageslogged
Bufferlogging:
levelinformational,31messageslogged
Loggingto192.168.0.100,28messagelineslogged
..
I.假设把router日志存储在192.168.0.100的syslog服务器上
路由器侧配置描述如下:
启用日志
记录日志级别设定“information”
记录日志类型设定“local6”
日志发送到192.168.0.100
日志发送源是loopback0
配置完成可以使用“showlogging”验证
服务器侧配置参考如下:
Syslog服务器配置参考:
在Syslog.conf上增加一行
#Saveroutermessagestorouters.log
local6.debug/var/log/routers.log
创建日志文件
#touch/var/log/routers.log
II.如果使用snmp存储日志参考配置如下:
Router(config)#snmp-serverhost192.168.0.100trapspublic
Router(config)#snmp-servertrap-sourceloopback0
Router(config)#snmp-serverenabletrapssyslog
I.Sysloglogging和SNMPlogging至少有一个为“enabled”
II.Loggingto后面的主机名或IP指向日志服务器
III.通常记录日志数不为0
使用showlogging命令,如下例:
enabled
Consolelogging:
disabled
Monitorlogging:
leveldebugging,266messageslogged.
Traplogging:
levelinformational,266messageslogged.
Loggingto192.180.2.238
SNMPlogging:
disabled,retransmissionafter30seconds
0messageslogged
对于具备TCP/UDP协议功能的设备,设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。
例如:
要配置允许目的为14.1.1.2的所有DNS访问流量
Router(config)#access-list140permitudpanyhost14.1.1.2eq53
Router(config)#access-list140denyudpanyanylog
要配置允许目的为14.1.0.0/16的所有DNS访问流量
Router(config)#access-list140permittcpany14.1.0.00.0.255.255
Router(config)#access-list140denyipanyanylog
访问控制列表命令格式:
I.标准访问控制列表
access-listlist-number{deny|permit}source[source-wildcard][log]
II.扩展访问控制列表
access-listlist-number{deny|permit}protocol
sourcesource-wildcardsource-qualifiers
destinationdestination-wildcarddestination-qualifiers[log|log-input]
I.针对每个业务所需通讯,存在一条acl;
II.对于非公共性服务,源IP和目标IP不能含有any
III.目标端口明确
使用showipaccess-list[access-list-number|name]命令,如下例:
Router#showipaccess-list
ExtendedIPaccesslist101
denyudpanyanyeqntp
permittcpanyany
permitudpanyanyeqtftp
permiticmpanyany
permitudpanyanyeqdomain
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议。
I.配置主机名和域名
router#configt
router(config)#hostnameRouter
Router(config)#ipdomain-nameRouter.domain-name
II.配置访问控制列表
Router(config)#noaccess-list12
Router(config)#access-list12permithost192.168.0.200
Router(config)#linevty04
Router(config-line)#access-class12in
Router(config-line)#exit
III.配置账号和连接超时
IV.生成rsa密钥对
Router(config)#cryptokeygeneratersa
Thenameforthekeyswillbe:
Router.domain-name
Choosethesizeofthekeymodulusintherangeof360to
2048foryourGeneralPurposeKeys.Choosingakeymodulus
greaterthan512maytakeafewminutes.
Howmanybitsinthemodulus[512]:
2048
GeneratingRSAKeys...
[OK]
V.配置仅允许ssh远程登录
Router(config-line)#transportinputssh
Router(config)#
配置描述:
I.配置ssh要求路由器已经存在主机名和域名
II.配置访问控制列表,仅授权192.168.0.200访问192.168.0.100ssh
III.配置远程访问里连接超时
IV.生成rsa密钥对,如果已经存在可以使用以前的。
默认存在rsa密钥对sshd就启用,不存在rsa密钥对sshd就停用。
V.配置远程访问协议为ssh
I.存在rsa密钥对
II.远程登录指定ssh协议
I.使用showcryptokeymypubkeyrsa命令,如下例:
Router(config)#showcryptokeymypubkeyrsa
%Keypairwasgeneratedat:
06:
07:
49UTCJan131996
Keyname:
Usage:
SignatureKey
KeyData:
005C300D06092A864886F70D0101010500034B0030480