Cisco安全配置标准Word文档格式.docx
《Cisco安全配置标准Word文档格式.docx》由会员分享,可在线阅读,更多相关《Cisco安全配置标准Word文档格式.docx(10页珍藏版)》请在冰点文库上搜索。
SecureShellProtocol加密通道配置代理服务器安全外壳协议
4.参考文件
无
5.角色与职责
角色
职责
网络管理员
依据此标准进行安全配置Cicso路由器、交换机等型号产品
6.内容
6.1设置加密口令
(config)#enablesecretXXX
(config)#servicepassword-encryption
6.2配置文件的离线备份
6.3远程维护安全
1)关闭AUX端口
(config)#lineaux0
(config-line)#noexec
(config-line)#transportinputnone
(config-line)#exit
2)SNMP安全
如需使用SNMP,建议使用v3,如不能提供v3支持的,建议关闭或加强访问控制列表,更改默认团体字,关闭snmp的写功能,关闭shutdown和trap功能
(config)#showsnmp
(config)#nosnmp-servercommunityadminRW
(config)#nosnmp-serverenabletraps
(config)#nosnmp-serversystem-shutdown
(config)#nosnmp-servertrap-auth
(config)#nosnmp-server
3)SSH远程管理
使用SSH进行远程管理并严格控制允许的IP,并记录日志
(config)#access-list50permithostXX.XX.XX.XX
(config)#access-list50denyany
(config)#linevty04
(config-line)#loginlocal
(config-line)#transportinputSSH
(config-line)#access-class50in
6.4关闭不活动的链接
servicetcp-keepalives
6.5Con终端和vty终端配置登录超时10分钟
(config-line)exec-timeout10
6.6配置时间同步服务
clocktimezoneCST+8//设置时区
ntpserverX.X.X.X
6.7关闭维护网络管理的所有端口
关闭除用于网络维护管理的所有端口(可在使用端口扫描后或使用showproc命令,有选择的使用下列命令关闭不需要的服务)
noftp-serverenable
noipfinger
noiphttpserver
noipbootpserver//关闭BOOTP服务,BOOTP服务允许设置作为其他设备的IOS下载服务器
noservicetcp-small-servers
noserviceudp-small-servers
notftp-server
noprinter//禁用LPD服务(TCP515端口)
6.8在日志中记录完整时间
servicetimestampsdebugdatetimemseclocaltimeshow-timezone
servicetimestampslogdatetimemseclocaltimeshow-timezone
6.9关闭源路由
noipsource-route
6.10关闭ICMP重定向
noipredirect
6.11禁止ARP-Proxy
noipproxy-arp(需要在每个端口进行设置)
6.12禁止IPDirectedBroadcast
防止类似smurf的攻击。
(攻击者发送源为被攻击地址,目的为一个网络的广播地址,让网络内所有设备向攻击者反馈数据包)
noipdirected-broadcast
6.13禁止网络启动和下载配置
路由器:
nobootnetwork
noserviceconfig
交换机:
noboothost
nobootnetwork
nobootsystem
noserviceconfig
6.14关闭PAD服务
数据包的装配/分解(packetassembler/disassembler-PAD),在大多数CISCO设备上都是缺省启用的,该服务用来和其他网络设备间的X.25连接,攻击者可以利用PAD接口来破坏路由过程和设备和稳定性,因此,如果不需要X.25网络连接话,应该明确禁止PAD服务:
router(config)#noservicepad
6.15关闭DNS服务
router(config)#noipdomain-lookup
6.16交互机选项
设置vtp密码
vtppasswordXX
6.17路由器选项
1)关闭MOP服务
在CISCO路由器以太网接口上,DEC的维护操作协议(MaintenanceOperationProtocol)MOP服务缺省情况下是启用的,MOP是一个潜在的攻击因素,如果不需要应该在所有接口上明确禁止:
router(config-if)#nomopenable
2)外网口地址过滤
过滤内部地址、私有地址、本地地址、组播地址、DHCP自定义地址、科学文档作者测试用地址进,过滤非内网地址出:
interfacexy
ipaccess-group101in
access-list101denyip10.0.0.00.255.255.255any
access-list101denyip192.168.0.00.0.255.255any
access-list101denyip172.16.0.00.15.255.255any
access-list101denyip127.0.0.00.255.255.255any
access-list101denyip0.0.0.00.255.255.255any(全网地址)
access-list101denyip224.0.0.015.255.255.255any(组播地址)
access-list101denyip169.254.0.00.0.255.255any(DHCP自定义地址)
access-list101denyip192.0.2.00.0.0.255any(科学文档作者测试用地址)
access-list101permitipanyany
3)动态路由安全
建议使用OSPF或RIP-V2,并采用MD5认证
6.18设备命名规则
办公网骨干交换机命名规则:
NFJJ-BGW-设备型号-编号,例如NFJJ-BGW-6506-1
交易网骨干交换机命名规则:
NFJJ-JYW-设备型号-编号,例如:
NFJJ-JYW-4506-1
楼层办公网交换机命名规则:
楼层-OA-SW-编号,例如31F-OA-SW-1
楼层交易网交换机命名规则:
楼层-JY-SW-编号,例如31F-JY-SW-1
机房内办公网交换机命名规则:
NFJJ-BGW-IDC-设备型号-编号,
例如:
NFJJ-BGW-IDC-3560G-1
机房内交易网交换机命名规则:
NFJJ-JYW-IDC-设备型号-编号,
NFJJ-JYW-IDC-3560G-1
其他功能性交换机命名规则:
NFJJ-功能-设备型号,例如:
NFJJ-DMZ-A3560G
路由器命名规则:
设备名称中需含有链接对端的信息。
如总部到北京分公司两段路由器:
总部端为“hq_to_bjbranch”,北京分公司端为“bjbranch_to_hq”
6.19附录-默认开放的服务
Feature
Description
Default
Recommendation
CiscoDiscovery
Protocol(CDP)
Proprietarylayer2protocol
betweenCiscodevices
Enabled
CDPisalmostnever
needed,disableit.
TCPsmallservers
StandardTCPnetwork
services:
echo,chargen,etc.
11.3:
disabled
11.2:
enabled
Thisisalegacyfeature,
disableitexplicitly.
UDPsmall
servers
StandardUDPnetwork
echo,discard,etc.
Finger
Unixuserlookupservice,
allowsremotelistingof
loggedinusers.
Unauthorizedpersons
don’tneedtoknowthis,
disableit.
HTTPserver
SomeCiscoIOSdevices
offerweb-based
configuration.
Variesby
device
Ifnotinuse,explicitly
disable,otherwiserestrict
access.
Bootpserver
Servicetoallowother
routerstobootfromthis
one.
Thisisrarelyneededand
mayopenasecurityhole,
Configuration
auto-loading
Routerwillattempttoload
itsconfigurationviaTFTP.
Disabled
Thisisrarelyused,disable
itifitisnotinuse.
IPsourcerouting
IPfeaturethatallows
packetstospecifytheirown
routes.
Thisrarely-usedfeature
canbehelpfulinattacks,
ProxyARP
Routerwillactasaproxy
forlayer2address
resolution.
DisablethisserviceunlesstherouterisservingasaLANbridge.
IPdirected
broadcast
Packetscanidentifyatarget
LANforbroadcasts.
(11.3&
earlier)
Directedbroadcastcanbeusedforattacks,disableit.
IPunreachable
notifications
Routerwillexplicitlynotify
sendersofincorrectIP
addresses.
Canaidnetworkmapping,
disableoninterfacesto
IPmaskreply
Routerwillsendan
interface’sIPaddressmask
inresponsetoanICMP
maskrequest.
CanaidIPaddress
mapping;
explicitlydisableoninterfacestountrustednetworks.
IPredirects
RouterwillsendanICMP
redirectmessageinresponse
tocertainroutedIPpackets.
untrustednetworks.
NTPservice
Routercanactasatime
serverforotherdevicesand
hosts.
(ifNTPis
configured)
disable,otherwiserestrictaccess.
SimpleNetwork
Mgmt.Protocol
RouterscansupportSNMP
remotequeryand
Ifnotinuse,remove
defaultcommunitystringsandexplicitlydisable,otherwiserestrictaccess.
DomainName
Service
RouterscanperformDNS
nameresolution.
(broadcast)
SettheDNSserver
addressesexplicitly,or
disableDNSlookup.
7.附件
1