Cisco安全配置标准.docx

Cisco安全配置标准.docx

《Cisco安全配置标准.docx》由会员分享，可在线阅读，更多相关《Cisco安全配置标准.docx（10页珍藏版）》请在冰点文库上搜索。

Cisco安全配置标准

XX信息安全管理体系文档

XX

Cisco安全配置标准

编号：

XX

二○XX年十月

版本控制信息

版本

日期

拟稿和修改

说明

A

初版发行

XXX

1.目的

通过建立系统的安全基线标准，规范网安公司网络环境Cisco路由器和交换机的安全配置，并提出相应的指导；降低系统存在的风险，确保Cisco路由器和交换器可靠的运行。

2.范围

适合网安公司网络环境的所有Cisco路由器和交换机。

3.术语定义

ICMP：

InternetControlMessageProtocol）Internet控制报文协议

SNMP：

SimpleNetworkManagementProtocol,简单网络管理协议

SSH：

SecureShellProtocol加密通道配置代理服务器安全外壳协议

4.参考文件

无

5.角色与职责

角色

职责

网络管理员

依据此标准进行安全配置Cicso路由器、交换机等型号产品

6.内容

6.1设置加密口令

（config）#enablesecretXXX

（config）#servicepassword-encryption

6.2配置文件的离线备份

6.3远程维护安全

1）关闭AUX端口

（config）#lineaux0

（config-line）#noexec

（config-line）#transportinputnone

（config-line）#exit

2）SNMP安全

如需使用SNMP，建议使用v3，如不能提供v3支持的，建议关闭或加强访问控制列表,更改默认团体字，关闭snmp的写功能，关闭shutdown和trap功能

（config）#showsnmp

（config）#nosnmp-servercommunityadminRW

（config）#nosnmp-serverenabletraps

（config）#nosnmp-serversystem-shutdown

（config）#nosnmp-servertrap-auth

（config）#nosnmp-server

3）SSH远程管理

使用SSH进行远程管理并严格控制允许的IP，并记录日志

（config）#access-list50permithostXX.XX.XX.XX

（config）#access-list50permithostXX.XX.XX.XX

（config）#access-list50denyany

（config）#linevty04

（config-line）#loginlocal

（config-line）#transportinputSSH

（config-line）#access-class50in

6.4关闭不活动的链接

servicetcp-keepalives

6.5Con终端和vty终端配置登录超时10分钟

（config-line）exec-timeout10

6.6配置时间同步服务

clocktimezoneCST+8//设置时区

ntpserverX.X.X.X

6.7关闭维护网络管理的所有端口

关闭除用于网络维护管理的所有端口（可在使用端口扫描后或使用showproc命令，有选择的使用下列命令关闭不需要的服务）

noftp-serverenable

noipfinger

noiphttpserver

noipbootpserver//关闭BOOTP服务，BOOTP服务允许设置作为其他设备的IOS下载服务器

noservicetcp-small-servers

noserviceudp-small-servers

notftp-server

noprinter//禁用LPD服务（TCP515端口）

6.8在日志中记录完整时间

servicetimestampsdebugdatetimemseclocaltimeshow-timezone

servicetimestampslogdatetimemseclocaltimeshow-timezone

6.9关闭源路由

noipsource-route

6.10关闭ICMP重定向

noipredirect

6.11禁止ARP-Proxy

noipproxy-arp（需要在每个端口进行设置）

6.12禁止IPDirectedBroadcast

防止类似smurf的攻击。

（攻击者发送源为被攻击地址，目的为一个网络的广播地址，让网络内所有设备向攻击者反馈数据包）

noipdirected-broadcast

6.13禁止网络启动和下载配置

路由器：

nobootnetwork

noserviceconfig

交换机：

noboothost

nobootnetwork

nobootsystem

noserviceconfig

6.14关闭PAD服务

数据包的装配/分解（packetassembler/disassembler-PAD），在大多数CISCO设备上都是缺省启用的，该服务用来和其他网络设备间的X.25连接，攻击者可以利用PAD接口来破坏路由过程和设备和稳定性，因此，如果不需要X.25网络连接话，应该明确禁止PAD服务：

router（config）#noservicepad

6.15关闭DNS服务

router（config）#noipdomain-lookup

6.16交互机选项

设置vtp密码

vtppasswordXX

6.17路由器选项

1）关闭MOP服务

在CISCO路由器以太网接口上，DEC的维护操作协议（MaintenanceOperationProtocol）MOP服务缺省情况下是启用的，MOP是一个潜在的攻击因素，如果不需要应该在所有接口上明确禁止：

router（config-if）#nomopenable

2）外网口地址过滤

过滤内部地址、私有地址、本地地址、组播地址、DHCP自定义地址、科学文档作者测试用地址进，过滤非内网地址出：

interfacexy

ipaccess-group101in

access-list101denyip10.0.0.00.255.255.255any

access-list101denyip192.168.0.00.0.255.255any

access-list101denyip172.16.0.00.15.255.255any

access-list101denyip127.0.0.00.255.255.255any

access-list101denyip0.0.0.00.255.255.255any（全网地址）

access-list101denyip224.0.0.015.255.255.255any（组播地址）

access-list101denyip169.254.0.00.0.255.255any（DHCP自定义地址）

access-list101denyip192.0.2.00.0.0.255any（科学文档作者测试用地址）

access-list101permitipanyany

3）动态路由安全

建议使用OSPF或RIP-V2，并采用MD5认证

6.18设备命名规则

办公网骨干交换机命名规则：

NFJJ-BGW-设备型号-编号，例如NFJJ-BGW-6506-1

交易网骨干交换机命名规则：

NFJJ-JYW-设备型号-编号，例如：

NFJJ-JYW-4506-1

楼层办公网交换机命名规则：

楼层-OA-SW-编号，例如31F-OA-SW-1

楼层交易网交换机命名规则：

楼层-JY-SW-编号，例如31F-JY-SW-1

机房内办公网交换机命名规则：

NFJJ-BGW-IDC-设备型号-编号，

例如：

NFJJ-BGW-IDC-3560G-1

机房内交易网交换机命名规则：

NFJJ-JYW-IDC-设备型号-编号，

例如：

NFJJ-JYW-IDC-3560G-1

其他功能性交换机命名规则：

NFJJ-功能-设备型号，例如：

NFJJ-DMZ-A3560G

路由器命名规则：

设备名称中需含有链接对端的信息。

如总部到北京分公司两段路由器：

总部端为“hq_to_bjbranch”，北京分公司端为“bjbranch_to_hq”

6.19附录-默认开放的服务

Feature

Description

Default

Recommendation

CiscoDiscovery

Protocol（CDP）

Proprietarylayer2protocol

betweenCiscodevices

Enabled

CDPisalmostnever

needed,disableit.

TCPsmallservers

StandardTCPnetwork

services:

echo,chargen,etc.

11.3:

disabled

11.2:

enabled

Thisisalegacyfeature,

disableitexplicitly.

UDPsmall

servers

StandardUDPnetwork

services:

echo,discard,etc.

11.3:

disabled

11.2:

enabled

Thisisalegacyfeature,

disableitexplicitly.

Finger

Unixuserlookupservice,

allowsremotelistingof

loggedinusers.

Enabled

Unauthorizedpersons

don’tneedtoknowthis,

disableit.

HTTPserver

SomeCiscoIOSdevices

offerweb-based

configuration.

Variesby

device

Ifnotinuse,explicitly

disable,otherwiserestrict

access.

Bootpserver

Servicetoallowother

routerstobootfromthis

one.

Enabled

Thisisrarelyneededand

mayopenasecurityhole,

disableit.

Configuration

auto-loading

Routerwillattempttoload

itsconfigurationviaTFTP.

Disabled

Thisisrarelyused,disable

itifitisnotinuse.

IPsourcerouting

IPfeaturethatallows

packetstospecifytheirown

routes.

Enabled

Thisrarely-usedfeature

canbehelpfulinattacks,

disableit.

ProxyARP

Routerwillactasaproxy

forlayer2address

resolution.

Enabled

DisablethisserviceunlesstherouterisservingasaLANbridge.

IPdirected

broadcast

Packetscanidentifyatarget

LANforbroadcasts.

Enabled

（11.3&earlier）

Directedbroadcastcanbeusedforattacks,disableit.

IPunreachable

notifications

Routerwillexplicitlynotify

sendersofincorrectIP

addresses.

Enabled

Canaidnetworkmapping,

disableoninterfacesto

IPmaskreply

Routerwillsendan

interface’sIPaddressmask

inresponsetoanICMP

maskrequest.

Disabled

CanaidIPaddress

mapping;explicitlydisableoninterfacestountrustednetworks.

IPredirects

RouterwillsendanICMP

redirectmessageinresponse

tocertainroutedIPpackets.

Enabled

Canaidnetworkmapping,

disableoninterfacesto

untrustednetworks.

NTPservice

Routercanactasatime

serverforotherdevicesand

hosts.

Enabled

（ifNTPis

configured）

Ifnotinuse,explicitly

disable,otherwiserestrictaccess.

SimpleNetwork

Mgmt.Protocol

RouterscansupportSNMP

remotequeryand

configuration.

Enabled

Ifnotinuse,remove

defaultcommunitystringsandexplicitlydisable,otherwiserestrictaccess.

DomainName

Service

RouterscanperformDNS

nameresolution.

Enabled

（broadcast）

SettheDNSserver

addressesexplicitly,or

disableDNSlookup.

7.附件

无

1