Cisco IOS 安全检查标准.docx
《Cisco IOS 安全检查标准.docx》由会员分享,可在线阅读,更多相关《Cisco IOS 安全检查标准.docx(16页珍藏版)》请在冰点文库上搜索。
CiscoIOS安全检查标准
1目的
本标准是为了规范网络设备的安全检查,提高网络设备的安全性而提出的。
2范围
本标准适用于Cisco路由器和基于CiscoIOS的交换机及其三层处理模块,其软件版本为CISCOIOS12.0及以上版本。
配置标准
关闭不必要的服务
2.1.1禁止CDP(CiscoDiscoveryProtocol)
✧默认状态:
默认打开。
✧正确配置:
方法一:
全局关闭CDP。
全局模式配置如下命令:
Router(Config)#nocdprun
方法二:
所有端口关闭CDP。
接口模式下配置如下命令:
Router(Config)#interfaceinterface_name
Router(Config-if)#nocdpenable
✧检查条件:
方法:
查看配置文件。
✧判定条件:
“不符合”条件:
默认配置;存在一个或多个激活端口未关闭。
“符合”条件:
全局关闭CDP;所有接口关闭CDP。
✧弱点概述:
会造成网络设备信息失密。
2.1.2禁止TCP、UDPSmall服务
✧默认状态:
默认关闭。
✧正确配置:
全局模式下启用如下命令:
Router(Config)#noservicetcp-small-servers
Router(Config)#noserviceudp-samll-servers
✧检查条件:
方法:
查看配置文件。
✧判定条件:
“不符合”条件:
已经配置“servicetcp-small-servers”“serviceudp-small-servers”。
“符合”条件:
默认配置
✧弱点概述:
会造成为网络服务不安全。
2.1.3禁止Finger服务
✧默认状态:
默认关闭。
✧正确配置:
全局模式下启用如下命令:
Router(Config)#noipfinger
✧检查条件:
方法:
查看配置文件。
✧判定条件:
“不符合”条件:
配置文件中存在“ipfinger”
“符合”条件:
默认配置。
✧弱点概述:
该服务会造成网络设备信息和数据信息失密。
2.1.4禁止NTP服务
✧默认状态:
默认关闭。
✧正确配置:
Router(Config)#nontp
✧检查条件:
方法:
查看配置文件。
✧判定条件:
“不符合”条件:
含有如下命令之一。
Ntpserverx.x.x.x
Ntppeerx.x.x.x
“符合”条件:
默认配置;所有端口端口模式下启用“ntpdisable”。
✧弱点概述:
该服务会对网络设备时间造成影响。
2.1.5禁止BOOTp服务(路由器适用)
✧默认状态:
默认打开。
✧正确配置:
全局模式下启用如下命令:
Router(Config)#noipbootpserver
✧检查条件:
方法:
查看配置文件
✧判定条件:
“不符合”条件:
默认配置。
“符合”条件:
全局模式下使用“noipbootpserver”
“不适用”条件:
Cisco4000系列交换机以下不适用。
✧弱点概述:
该服务会造成网络不稳定。
2.1.6禁止IPSourceRouting
✧默认状态:
默认打开。
✧正确配置:
Router(Config)#noipsource-route
✧检查条件:
方法:
查看配置文件
✧判定条件:
“不符合”条件:
默认配置。
“符合”条件:
全局模式下使用“noipsource-route”
✧弱点概述:
会造成网络不稳定。
2.1.7禁止IPDirectedBroadcast(路由器和三层交换机适用)
✧默认状态:
默认关闭。
✧正确配置:
接口配置模式下:
Router(Config-if)#noipdirected-broadcast
✧检查条件:
方法:
查看配置文件
✧判定条件:
“不符合”条件:
在三层接口模式下启用“ipdirected-broadcast”
“符合”条件:
默认配置。
“不适用”条件:
二层交换机不适用。
✧弱点概述:
会造成网络信息失密。
2.1.8启用servicepassword-encryption
✧默认状态:
默认关闭。
✧正确配置:
Router(Config)#servicepassword-encryption
✧检查条件:
方法:
查看配置文件
✧判定条件:
“不符合”条件:
默认配置:
noservicepassword-encryption。
“符合”条件:
全局模式下启用“servicepassword-encryption”
✧弱点概述:
造成网络设备配置信息失密。
2.1.9关闭WINS和DNS服务
✧默认状态:
默认打开。
✧正确配置:
Router(Config)#noipdomain-lookup
或
Router(Config)#noipdomainlookup
✧检查:
方法:
查看配置文件
✧判定条件:
“不符合”条件:
默认配置。
“符合”条件:
全局模式下启用“noipdomain-lookup”或”“noipdomainlookup”
✧弱点概述:
造成网络设备配置信息失密。
2.1.10关闭ARP-Proxy服务
✧默认状态:
默认打开。
✧正确配置:
接口模式下配置
Router(Config-if)#noipproxy-arp
✧检查条件:
方法:
查看配置文件
✧判定条件:
“不符合”条件:
默认配置。
“符合”条件:
每个接口在接口模式下使用“noipproxy-arp”
✧弱点概述:
会造成网络信息失密和网络不稳定。
登录要求和帐号管理
2.1.11采用enablesecret设置密码
✧默认状态:
默认没有配置。
✧正确配置:
全局模式下配置如下命令:
Router(Config)#enablesecretxxxxxxxx
✧检查条件:
方法:
查看配置文件
✧判定条件:
“不符合”条件:
默认配置;配置“enablepasswordxxx”
“符合”条件:
全局模式下使用“Router(Config)#enablesecretxxxxxxxx”
✧弱点概述:
会造成网络设备配置信息失密。
2.1.12采用认证
✧默认状态:
默认没有配置。
✧正确配置:
方法一:
Switch(config-line)#passwordxxxx
Switch(config-line)#login(初始化默认是存在的)
方法二:
Router(Config)#usernameadminpasswordabc
Router(config-line)#loginlocal
方法三:
Router(config)#aaanew-model
Router(config)#aaaauthenticationloginxxx
Router(config-line)#loginauthenticationxxx
✧检查条件:
方法:
查看配置文件
✧判定条件:
“不符合”条件:
console未采用认证。
“符合”条件:
console采用以上方式认证。
✧弱点概述:
会造成网络设备配置信息失密。
2.1.13设置exec-timeout(5分钟及以内)
✧默认状态:
默认10分钟。
✧正确配置:
接口模式下配置。
Router(config-line)#exec-timeout3
✧检查条件:
方法:
查看配置文件
✧判定条件:
“不符合”条件:
默认配置;时间大于5分钟
“符合”条件:
接口模式下配置“exec-timeoutx”x不大于5
✧弱点概述:
容易造成网络设备配置信息失密。
2.1.14采用访问控制措施,限制可登录的源地址
✧默认状态:
默认未启用
✧正确配置:
配置一段管理地址用于登录,其他地址禁止登录,如果该访问列表不存在,则默认是都允许,但是不符合。
方法一:
Router(Config)#access-list22permit192.168.0.22
Router(Config)#access-list22denyany
Router(Config)#linevty04
Router(Config-line)#access-class22in
方法二:
Router(config)#ipaccess-liststandardloginpermit
Router(config-std-nacl)#permit192.168.0.22
Router(config-line)#access-classloginpermit
✧检查条件:
方法:
查看配置文件
✧判定条件:
“不符合”条件:
默认配置。
“符合”条件:
Router(config-std-nacl)#permit192.168.0.22
Router(config-line)#access-classloginpermit
或
Router(Config)#linevty04
Router(Config-line)#access-class22in
✧弱点概述:
容易造成网络设备配置信息失密。
2.1.15关闭HTTP服务
✧默认状态:
默认关闭。
✧正确配置:
全局模式下配置。
Router(config)#noiphttpserver
✧检查条件:
方法:
查看配置文件
✧判定条件:
“不符合”条件:
全局模式下配置了“iphttpserver”
“符合”条件:
默认配置
✧弱点概述:
容易造成信息失密。
2.1.16远程登录采用加密传输(SSH)
✧默认状态:
默认关闭。
✧正确配置:
全局模式下配置。
Router(Config)#cryptokeygeneratersa
Router(Config)#ipsshtime-out120
Router(Config)#ipsshauthentication-retries3
Router(Config)#linevty04
Router(Config-line)#transportinputssh
Router(Config-line)#login
✧检查条件:
方法:
查看配置文件
✧判定条件:
“不符合”条件:
未启用。
“符合”条件:
Router(Config)#ipsshtime-out120
Router(Config)#ipsshauthentication-retries3
Router(Config)#linevty04
Router(Config-line)#transportinputssh
Router(Config-line)#login
✧弱点概述:
容易造成信息失密。
2.1.17采用多用户分权管理
✧默认状态:
默认关闭。
✧正确配置:
全局模式下配置。
建立不同用户,分配用户不同的权限。
Router(Config)#usernameadminprivilege15password714151F080F
或
Router(Config)#usernameadminpassword714151F080F
Router(Config)#privilegeexeclevel15admin
✧检查条件:
方法:
查看配置文件
✧判定条件:
“不符合”条件:
没有建立用户。
“符合”条件:
建立了用户,并分配了权限。
✧弱点概述:
容易造成信息失密。
SNMP协议设置和日志审计
2.1.18设置SNMP读写密码
✧默认状态:
默认关闭。
✧正确配置:
全局模式下配置。
Router(config)#snmp-servercommunityxxxxxro
Router(config)#snmp-servercommunityyyyyyrw(不建议使用)
✧检查条件:
方法:
查看配置文件
✧判定条件:
“不符合”条件:
默认配置
“符合”条件:
配置了
Router(config)#snmp-servercommunityxxxxxro或
Router(config)#snmp-servercommunityyyyyyrw
“不适用”条件:
未启用SNMP。
✧弱点概述:
容易造成信息失密。
2.1.19更改SNMP协议端口
✧默认状态:
默认关闭。
✧正确配置:
全局模式下配置。
Router(config)#SNMP-serverhost10.0.0.1trapsversionudp-port1661
✧检查条件:
方法:
查看配置文件
✧判定条件:
“不符合”条件:
默认配置。
“符合”条件:
未启用SNMP或使用了“SNMP-serverhost10.0.0.1trapsversionudp-port1661”命令修改默认端口。
“不适用”条件:
未启用SNMP。
✧弱点概述:
容易造成信息失密。
2.1.20限制SNMP发起连接源地址
✧默认状态:
默认关闭。
✧正确配置:
全局模式下配置,如果该访问列表不存在,则默认是都允许,但是不符合。
Router(Config)#access-list10permit192.168.0.1
Router(Config)#access-list10denyany
Router(Config)#SNMP-servercommunityMoreHardPublicRo10
✧检查条件:
方法:
查看配置文件
✧判定条件:
“不符合”条件:
默认配置。
“符合”条件:
已经配置如“Router(Config)#SNMP-servercommunityMoreHardPublicRo10”,启用ACL限制发起源。
“不适用”条件:
未启用SNMP。
✧弱点概述:
容易造成信息失密。
2.1.21开启日志审计功能
✧默认状态:
默认关闭。
✧正确配置:
全局模式下配置。
Router(Config)#loggingon
Router(Config)#logginga.b.c.d
Router(Config)#loggingtrapnotifications
Router(Config)#loggingsource-interfacee0
Router(Config)#servicetimestampslogdatetimelocaltime
✧检查条件:
方法:
查看配置文件
✧判定条件:
“不符合”条件:
默认配置。
“符合”条件:
启用了“Router(Config)#loggingon”命令。
✧弱点概述:
增强审计能力。
其它安全要求
2.1.22禁止从网络启动和自动从网络下载初始配置文件。
✧默认状态:
默认关闭。
✧正确配置:
全局模式下配置。
Router(Config)#noserviceconfig
Router(Config)#nobootnetwork
✧检查条件:
方法:
查看配置文件
✧判定条件:
“不符合”条件:
启用了
Router(Config)#serviceconfig
Router(config)#boothelperabc.aaa
“符合”条件:
默认配置。
✧弱点概述:
会造成网络设备的失密和网络不稳定。
2.1.23禁止未使用或空闲的端口
✧默认状态:
默认打开。
✧正确配置:
在不使用的端口启用如下命令:
Router(Config)#interfaceeth0/3
Router(Config-if)#shutdown
✧检查条件:
方法:
查看端口连接和配置文件。
✧判定条件:
“不符合”条件:
未关闭不使用的端口。
“符合”条件:
对不使用的端口已经关闭。
“不适用”条件:
不能查看端口连接,无法进行检查。
✧弱点概述:
会造成信息失密。
2.1.24符合banner的设置要求
✧默认状态:
默认打开。
✧正确配置:
全局模式下配置。
Router(Config)#banner“xxxxxxxxxxxxxxxxxxx”
“XXXXXX”符合以下如下标准:
设备Banner不应当出现对攻击者有价值的信息。
如:
1.设备厂商和型号
2.单位(部门)名称或者简称
3.设备功能
4.地理位置
5.管理员信息
6.欢迎访问类信息等
✧检查条件:
方法:
查看配置文件。
✧判定条件:
“不符合”条件:
不符合标准。
“符合”条件:
符合标准。
✧弱点概述:
会造成信息失密。
2.1.25符合设备提示符的设置要求
✧默认状态:
默认“Router”或“Switch”。
✧正确配置:
全局模式下配置。
Router(Config)#hostname“xxxxxxxxxxxxxxxxxxx”
“XXXXXX”符合以下如下标准:
设备不应当出现对攻击者有价值的信息。
如:
1.设备厂商和型号
2.单位(部门)名称或者简称
3.设备功能
4.地理位置
5.管理员信息
6.欢迎访问类信息等
✧检查条件:
方法:
查看配置文件。
✧判定条件:
“不符合”条件:
不符合标准。
“符合”条件:
符合标准。
✧弱点概述:
会造成信息失密。
2.1.26启用源地址路由检查(路由器适用)
✧默认状态:
默认关闭。
✧正确配置:
Router(Config)#ipcef
Router(Config)#interfaceeth0/1
Router(Config-if)#ipverifyunicastreverse-path99
✧检查条件:
方法:
查看配置文件。
✧判定条件:
“不符合”条件:
默认配置。
“符合”条件:
启用“ipverifyunicastreverse-path99”
“不适用”条件:
交换机不适用。
✧弱点概述:
会造成信息失密。
2.1.27VTP设置密码(交换机适用)
✧默认状态:
默认没有配置密码。
✧正确配置:
全局模式下启用如下命令:
Switch(Config)#vtppasswordpassword-value
✧检查条件:
方法:
查看配置“showvtppassword”命令。
✧判定条件:
“不符合”条件:
默认配置。
“符合”条件:
启用“vtppasswordpassword-value”
“不适用”条件:
路由器不适用。
“未检查”条件:
没有得到“showvtppassword”输出
✧弱点概述:
会造成网络设备交换信息的失密。
升级会员 