Cisco路由器安全配置基線

1、Cisco路由器安全配置基線中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部2012年04月版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年1月V2.0更新2012年4月備注：1.若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。TOC o 1-5 h z HYPERLINK l bookmark2 第1章概述1目的1適用范圍1適用版本1實(shí)施1例外條款1 HYPERLINK l bookmark4 第2章帳號(hào)管理、認(rèn)證授權(quán)安全要求2 HYPERLINK l bookmark6 帳號(hào)管理2 HYPERLINK l bookmark8 用戶帳號(hào)分配*2. HYPERLINK l b

2、ookmark10 刪除無(wú)關(guān)的帳號(hào)*3. HYPERLINK l bookmark12 限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄*4.口令5 HYPERLINK l bookmark14 靜態(tài)口令以密文形式存放5. HYPERLINK l bookmark16 帳號(hào)、口令和授權(quán)6. HYPERLINK l bookmark18 密碼復(fù)雜度7.授權(quán)8 HYPERLINK l bookmark20 用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備使用SH等加密協(xié)議8 HYPERLINK l bookmark22 第3章日志安全要求11 HYPERLINK l bookmark24 日志安全11 HYPERLINK l boo

3、kmark26 對(duì)用戶登錄進(jìn)行記錄1.1. HYPERLINK l bookmark28 記錄用戶對(duì)設(shè)備的操作1.2. HYPERLINK l bookmark30 開啟NTP服務(wù)保證記錄的時(shí)間的準(zhǔn)確性1.3 HYPERLINK l bookmark32 遠(yuǎn)程日志功能*1.4. HYPERLINK l bookmark34 第4章IP協(xié)議安全要求17 HYPERLINK l bookmark36 IP協(xié)議17 HYPERLINK l bookmark38 配置路由器防止地址欺騙1.7. HYPERLINK l bookmark40 系統(tǒng)遠(yuǎn)程服務(wù)只允許特定地址訪問1.9 HYPERLINK l

4、bookmark42 過(guò)濾已知攻擊2.0.功能配置21功能禁用*2.1. HYPERLINK l bookmark44 啟用協(xié)議的認(rèn)證加密功能*2.3. HYPERLINK l bookmark46 啟用路由協(xié)議認(rèn)證功能*2.4. HYPERLINK l bookmark48 防止路由風(fēng)暴2.6. HYPERLINK l bookmark50 防止非法路由注入2.7. HYPERLINK l bookmark52 SNMP的Community默認(rèn)通行字口令強(qiáng)度28 HYPERLINK l bookmark54 只與特定主機(jī)進(jìn)行SNMP協(xié)議交互29 HYPERLINK l bookmark56

5、配置SNMPV2或以上版本30 HYPERLINK l bookmark58 關(guān)閉未使用的SNMP協(xié)議及未使用RW權(quán)限31 HYPERLINK l bookmark60 LDP協(xié)議認(rèn)證功能3L HYPERLINK l bookmark62 第5章其他安全要求33其他安全配置33關(guān)閉未使用的接口3.3. HYPERLINK l bookmark67 修改路由缺省器缺省BANNER語(yǔ)34 HYPERLINK l bookmark69 配置定時(shí)賬戶自動(dòng)登出3.4. HYPERLINK l bookmark71 配置consol口密碼保護(hù)功能36 HYPERLINK l bookmark73 關(guān)閉不必

6、要的網(wǎng)絡(luò)服務(wù)或功能3.7 HYPERLINK l bookmark75 端口與實(shí)際應(yīng)用相符3.8. HYPERLINK l bookmark77 第6章評(píng)審與修訂40第1章概述1.1目的本文檔規(guī)定了中國(guó)移動(dòng)管理信息系統(tǒng)部所維護(hù)管理的Cisco路由器應(yīng)當(dāng)遵循的設(shè)備安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行Cisco路由器的安全配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國(guó)移動(dòng)總部和各省公司信息化部門維護(hù)管理的Cisco路由器。適用版本Cisco路由器。實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過(guò)程中

7、若有任何疑問或建議，應(yīng)及時(shí)反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款，申請(qǐng)人必須準(zhǔn)備書面申請(qǐng)文件，說(shuō)明業(yè)務(wù)需求和原因，送交中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。第2章帳號(hào)管理、認(rèn)證授權(quán)安全要求帳號(hào)管理用戶帳號(hào)分配*安全基線項(xiàng)目名稱用戶帳號(hào)分配安全基線要求項(xiàng)安全基線編號(hào)SBL-CiscoRouter-02-01-01安全基線項(xiàng)說(shuō)明應(yīng)按照用戶分配帳號(hào)。避免不同用戶間共享帳號(hào)。避免用戶帳號(hào)和設(shè)備間通信使用的帳號(hào)共享。檢測(cè)操作步驟.參考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.R

8、outer(config)#servicepassword-encryptionRouter(config)#usernameruser1password3d-zirc0niaRouter(config)#usernameruser1privilege1Router(config)#usernameruser2password2B-or-3BRouter(config)#usernameruser2privilege1Router(config)#endRouter#.補(bǔ)充操作說(shuō)明基線符合性判定依據(jù).判定條件.配置文件中，存在不同的帳號(hào)分配.網(wǎng)絡(luò)管理員確認(rèn)用戶與帳號(hào)分配關(guān)系明確.檢測(cè)操作使用s

9、howrunning-config命令，如下例：router#showrunning-configBuildingconfiguration.Currentconfiguration:!servicepassword-encryptionusernameruseripassword3dzirc0niausernameruseriprivilege1usernameruser2password2Bor3Busernameruser2privilege13.補(bǔ)充說(shuō)明使用共享帳號(hào)容易造成職責(zé)不清備注需要手工檢查，由管理員確認(rèn)帳號(hào)分配關(guān)系。2.1.2刪除無(wú)關(guān)的帳號(hào)*安全基線項(xiàng)目名稱無(wú)關(guān)的帳號(hào)安全基線要

10、求項(xiàng)安全基線編號(hào)SBL-CiscoRouter-02-01-02安全基線項(xiàng)說(shuō)明應(yīng)刪除與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的帳號(hào)。檢測(cè)操作步驟.參考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#nousernameruser3.補(bǔ)充操作說(shuō)明基線符合性判定依據(jù).判定條件.配置文件存在多帳號(hào).網(wǎng)絡(luò)管理員確認(rèn)所有帳號(hào)與設(shè)備運(yùn)行、維護(hù)等工作有關(guān).檢測(cè)操作使用showrunning-config命令，如下例：router#showrunning-configBuildingconfigurat

11、ion.Currentconfiguration:!usernameuseriprivilege1passwordpasswordiusernamenobodyuseprivilege1passwordpasswordi.補(bǔ)充說(shuō)明刪除不用的帳號(hào)，避免被利用備注需要手工檢查，由管理員判斷是否存在無(wú)關(guān)帳號(hào)備注備注需要手工檢查，由管理員判斷是否存在無(wú)關(guān)帳號(hào)2.1.3限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄*安全基線項(xiàng)目名稱限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄安全基線要求項(xiàng)安全基線編號(hào)SBL-CiscoRouter-02-01-03安全基線項(xiàng)說(shuō)明限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通

12、權(quán)限用戶遠(yuǎn)程登錄后，再通過(guò)enable命令進(jìn)入相應(yīng)級(jí)別再后執(zhí)行相應(yīng)操作。檢測(cè)操作步驟.參考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#linevty04Router(config-line)#login

13、localRouter(config-line)#exec-timeout50Router(config-line)#end.補(bǔ)充操作說(shuō)明設(shè)定帳號(hào)密碼加密保存創(chuàng)建normaluser帳號(hào)并指定權(quán)限級(jí)別為1；設(shè)定遠(yuǎn)程登錄啟用路由器帳號(hào)驗(yàn)證；設(shè)定超時(shí)時(shí)間為5分鐘；基線符合性判定依據(jù).判定條件VTY使用用戶名和密碼的方式進(jìn)行連接驗(yàn)證2、帳號(hào)權(quán)限級(jí)別較低，例如：I.檢測(cè)操作使用showrunning-config命令，如下例：router#showrunning-configBuildingconfiguration.Currentconfiguration:!servicepassword-encr

14、yptionusernamenormaluserpassword3d-zirc0niausernamenormaluserprivilege1linevty04loginlocal3.補(bǔ)充說(shuō)明會(huì)導(dǎo)致遠(yuǎn)程攻擊者通過(guò)黑客工具猜解帳號(hào)口令備注根據(jù)業(yè)務(wù)場(chǎng)景，自動(dòng)化系統(tǒng)如果無(wú)法實(shí)現(xiàn)可不選此項(xiàng)，人工登錄操作需要遵守此項(xiàng)規(guī)范。口令靜態(tài)口令以密文形式存放安全基線項(xiàng)目名稱靜態(tài)口令安全基線要求項(xiàng)安全基線編號(hào)SBL-CiscoRouter-02-02-01安全基線項(xiàng)說(shuō)明靜態(tài)口令必須使用不可逆加密算法加密，以密文形式存放。如使用enablesecret配置Enable密碼，不使用enablepassword配置Ena

15、ble密碼。檢測(cè)操作步驟.參考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#enablesecret2-mAny-rOUtEsRouter(config)#noenablepasswordRouter(config)#end.補(bǔ)充操作說(shuō)明基線符合性判定依據(jù).判定條件配置文件無(wú)明文密碼字段.檢測(cè)操作使用showrunning-config命令，如下例：router#showrunning-co

16、nfigBuildingconfiguration.Currentconfiguration:!servicepassword-encryptionenablesecret5$1oxphetTb$rTsF$EdvjtWbi0qA2gusernameciscoadminpassword7Wbi0qA1$rTsF$Edvjt2gpvyhetTb3.補(bǔ)充說(shuō)明如果不加密，使用showrunning-config命令,可以看到未加密的密碼備注帳號(hào)、口令和授權(quán)安全基線項(xiàng)目名稱帳號(hào)、口令和授權(quán)安全基線要求項(xiàng)安全基線編號(hào)SBL-CiscoRouter-02-02-02安全基線項(xiàng)說(shuō)明設(shè)備通過(guò)相關(guān)參數(shù)配置，與認(rèn)證

17、系統(tǒng)聯(lián)動(dòng)，滿足帳號(hào)、口令和授權(quán)的強(qiáng)制要求。檢測(cè)操作步驟.參考配置操作Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaauthenticationlogindefaultgrouptacacs+Router(config)#aaaauthenticationenabledefaultgrouptacacs+Router(config)#tacacs-serverhost8Router(config)#ta

18、cacs-serverkeyIr31yh8n#w9swDRouter(config)#endRouter#.補(bǔ)充操作說(shuō)明與外部TACACS+server8聯(lián)動(dòng)，遠(yuǎn)程登錄使用TACACS+serverya驗(yàn)證基線符合性判定依據(jù).判定條件帳號(hào)、口令配置，指定了認(rèn)證系統(tǒng).檢測(cè)操作使用showrunning-config命令，如下例：router#showrunning-configBuildingconfiguration.Currentconfiguration:!aaanew-modelaaaauthenticationlogindefaultgrouptacacs+aaaauthenticat

19、ionenabledefaultgrouptacacs+tacacs-serverhost8tacacs-serverkeyIr31yh8n#w9swD補(bǔ)充說(shuō)明備注2.2.3密碼復(fù)雜度安全基線項(xiàng)目名稱密碼復(fù)雜度安全基線要求項(xiàng)安全基線編號(hào)SBL-CiscoRouter-02-02-03安全基線項(xiàng)說(shuō)明對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換。檢測(cè)操作步驟.參考配置操作Router#configureterminalEnterconfigurationcommands,onepe

20、rline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaauthenticationlogindefaultgrouptacacs+Router(config)#aaaauthenticationenabledefaultgrouptacacs+Router(config)#tacacs-serverhost8Router(config)#tacacs-serverkeyIr31yh8n#w9swDRouter(config)#endRouter#.補(bǔ)充操作說(shuō)明與外部TACACS+server8聯(lián)動(dòng)，遠(yuǎn)程登錄使用TACA

21、CS+serverya驗(yàn)證；口令強(qiáng)度由TACACS+server控制基線符合性判定依據(jù)備注2.3授權(quán)2.3.1用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備使用SSH等加密協(xié)議安全基線項(xiàng)目名稱IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備安全基線要求項(xiàng)安全基線編號(hào)SBL-CiscoRouter-02-03-01安全基線項(xiàng)說(shuō)明對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議。檢測(cè)操作步驟.參考配置操作.配置主機(jī)名和域名router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.router(config)#hostnameRouterRoute

22、r(config)#ipdomain-nameRouter.domain-name.配置訪問控制列表Router(config)#noaccess-list12Router(config)#access-list12permithost00Router(config)#linevty04Router(config-line)#access-class12inRouter(config-line)#exit.配置帳號(hào)和連接超時(shí)Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-z

23、irc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#linevty04Router(config-line)#loginlocalRouter(config-line)#exec-timeout50.生成rsa密鑰對(duì)Router(config)#cryptokeygeneratersaThenameforthekeyswillbe:Router.domain-nameChoosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.C

24、hoosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus512:2048GeneratingRSAKeys.OK.配置僅允許ssh遠(yuǎn)程登錄Router(config)#linevty04Router(config-line)#transportinputsshRouter(config-line)#exitRouter(config)#2.補(bǔ)充操作說(shuō)明配置描述：.配置ssh要求路由器已經(jīng)存在主機(jī)名和域名.配置訪問控制列表，僅授權(quán)00訪問00ssh.配置遠(yuǎn)程訪問里連接超時(shí).生成rsa密鑰對(duì)，如果已經(jīng)存在可

25、以使用以前的。默認(rèn)存在”密鑰對(duì)sshd就啟用，不存在密鑰對(duì)sshd就停用。.配置遠(yuǎn)程訪問協(xié)議為ssh基線符合性判定依據(jù).判定條件.存在”密鑰對(duì).遠(yuǎn)程登錄指定ssh協(xié)議.檢測(cè)操作.使用showcryptokeymypubkeyrsa命令，如下例：Router(config)#showcryptokeymypubkeyrsa%Keypairwasgeneratedat:06:07:49UTCJan131996Keyname:Usage:SignatureKeyKeyData:005C300D06092A864886F70D0101010500034B003048024100C5E23B55D6AB

26、2204AEF1BAA54028A69ACC01C5129D99E464CAB820847EDAD9DF0B4E4c73A05DD2BD62A8A9FA603DD2E2A8A6F898F76E28D58AD221B583D7A4710203010001%Keypairwasgeneratedat:06:07:50UTCJan131996Keyname:Usage:EncryptionKeyKeyData:003020174A7D385B1234EF29335FC9732DD50A37C4F4B0FD9DADE748429618D518242BA32EDFBDD34296142ADDF7D3D8

27、084076852F2190A00B43F1BD9A8A26DB07953829791FCDE9A98420F06A82045B90288A26DBC644687789F76EEE21.使用showrunning-config命令，如下例：router#showrunning-configBuildingconfiguration.Currentconfiguration:!linevty04transportinputssh3.補(bǔ)充說(shuō)明使用非加密協(xié)議在傳輸過(guò)程中容易被截獲口令備注第3章日志安全要求日志安全對(duì)用戶登錄進(jìn)行記錄安全基線項(xiàng)目名稱用戶登錄進(jìn)行記錄安全基線要求項(xiàng)安全基線編號(hào)SBL-Ci

28、scoRouter-03-01-01安全基線項(xiàng)說(shuō)明與記賬服務(wù)器（如RADIUS服務(wù)器或TACACS服務(wù)器）配合，設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的帳號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址。檢測(cè)操作步驟.參考配置操作Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaaccountingconnectiondefaultstart-stopgroupta

29、cacs+Router(config)#aaaaccountingexecdefaultstart-stopgrouptacacs+Router(config)#endRouter1#.補(bǔ)充操作說(shuō)明使用TACACS+server基線符合性判定依據(jù).判定條件配置了AAA模板的上述具體條目.檢測(cè)操作使用showrunning-config命令，如下例：router1#showrunn|includeaaaBuildingconfiguration.Currentconfiguration:!aaanew-modelaaaauthenticationlogindefaultgrouptacacs+a

30、aaauthorizationexecdefaultgrouptacacs+aaasession-idcommon補(bǔ)充說(shuō)明備注3.1.2記錄用戶對(duì)設(shè)備的操作安全基線項(xiàng)目名稱用戶對(duì)設(shè)備記錄安全基線要求項(xiàng)安全基線編號(hào)SBL-CiscoRouter-03-01-02安全基線項(xiàng)說(shuō)明與記賬服務(wù)器（如TACACS服務(wù)器）配合，設(shè)備應(yīng)配置日志功能，記錄用戶對(duì)設(shè)備的操作，如帳號(hào)創(chuàng)建、刪除和權(quán)限修改，口令修改，讀取和修改設(shè)備配置，讀取和修改業(yè)務(wù)用戶的話費(fèi)數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄需要包含用戶帳號(hào)，操作時(shí)間，操作內(nèi)容以及操作結(jié)果。檢測(cè)操作步驟.參考配置操作Router#configuretermina

31、lEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaaccountingcommands1defaultstart-stopgrouptacacs+Router(config)#aaaaccountingcommands15defaultstart-stopgrouptacacs+Router(config)#endRouter1#.補(bǔ)充操作說(shuō)明使用TACACS+server基線符合性判定依據(jù)L判定條件配置了AAA模板的上述具體條目2.檢測(cè)操作使用sh

32、owrunning-config命令，如下例：router1#showrunn|includeaaaBuildingconfiguration.Currentconfiguration:!aaanew-modelaaaaccountingcommands1defaultstart-stopgrouptacacs+aaaaccountingcommands15defaultstart-stopgrouptacacs+補(bǔ)充說(shuō)明備注3.1.3開啟NTP服務(wù)保證記錄的時(shí)間的準(zhǔn)確性安全基線項(xiàng)目名稱記錄的時(shí)間的準(zhǔn)確性安全基線要求項(xiàng)安全基線編號(hào)SBL-CiscoRouter-03-01-03安全基線項(xiàng)說(shuō)明開

33、啟NTP服務(wù)，保證日志功能記錄的時(shí)間的準(zhǔn)確性。檢測(cè)操作步驟.參考配置操作配置命令如下：Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfaceeth0/0Router(config-if)#nontpdisableRouter(config-if)#exitRouter(config)#ntpserversourceloopback。Router(config)#exit.補(bǔ)充操作說(shuō)明需要到每個(gè)端口開啟NTP基線符合性判定依據(jù).判定條件.存在ntpserver配置條目.日

34、志記錄時(shí)間準(zhǔn)確.檢測(cè)操作.使用showrunning-config命令，如下例：router#showrunning-configBuildingconfiguration.Currentconfiguration:!nontpdisablentpupdate-calendarntpserverntpserverII.showlogging|includeNTP000019:Jan2910:57:52.633EST:%NTP-5-PEERSYNC:NTPsyncedtopee000020:Jan2910:57:52.637EST:%NTP-6-PEERREACH:Peerisreachable

35、3.補(bǔ)充說(shuō)明日志時(shí)間不準(zhǔn)確導(dǎo)致安全事件定位的不準(zhǔn)確備注3.1.4遠(yuǎn)程日志功能*安全基線項(xiàng)目名稱遠(yuǎn)程日志功能安全基線要求項(xiàng)安全基線編號(hào)SBL-CiscoRouter-03-01-04安全基線項(xiàng)說(shuō)明設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過(guò)遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如SYSLOG、FTP等。檢測(cè)操作步驟.參考配置操作路由器側(cè)配置：Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/ZRouter(config)#loggingonRouter(config)#loggingt

36、rapinformationRouter(config)#logging00Router(config)#loggingfacilitylocal6Router(config)#loggingsource-interfaceloopback。Router(config)#exitRouter#showloggingSysloglogging:enabled(0messagesdropped,11flushes,0overruns)Consolelogging:levelnotifications,35messagesloggedMonitorlogging:leveldebugging,35m

37、essagesloggedBufferlogging:levelinformational,31messagesloggedLoggingto00,28messagelineslogged.Router#.補(bǔ)充操作說(shuō)明I.假設(shè)把router日志存儲(chǔ)在00的syslog服務(wù)器上路由器側(cè)配置描述如下：?jiǎn)⒂萌罩居涗浫罩炯?jí)別設(shè)定“information”記錄日志類型設(shè)定“l(fā)ocal6”日志發(fā)送到00日志發(fā)送源是loopback。配置完成可以使用“showlogging”驗(yàn)證服務(wù)器側(cè)配置參考如下：Syslog服務(wù)器配置參考：在Syslog.conf上增加一行#Saveroutermessagestoro

38、uters.loglocal6.debug/var/log/routers.log創(chuàng)建日志文件#touch/var/log/routers.logII.如果使用snmp存儲(chǔ)日志參考配置如下：Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#loggingtrapinformationRouter(config)#snmp-serverhost00trapspublicRouter(config)#snmp-servertrap-sourceloopback0Router(config

39、)#snmp-serverenabletrapssyslogRouter(config)#exit基線符合性判定依據(jù).判定條件Sysloglogging和SNMPlogging至少有一個(gè)為“enabled”Loggingto后面的主機(jī)名或IP指向日志服務(wù)器通常記錄日志數(shù)不為0.檢測(cè)操作使用showlogging命令，如下例：Router#showloggingSysloglogging:enabledConsolelogging:disabledMonitorlogging:leveldebugging,266messageslogged.Traplogging:levelinformatio

40、nal,266messageslogged.Loggingto38SNMPlogging:disabled,retransmissionafter30seconds0messagesloggedRouter#3.補(bǔ)充說(shuō)明備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開啟此功能，則強(qiáng)制要求此項(xiàng)。建議核心設(shè)備必選，其它根據(jù)實(shí)際情況啟用第4章IP協(xié)議安全要求4.1IP協(xié)議4.1.1配置路由器防止地址欺騙安全基線項(xiàng)目名稱配置路由器防止地址欺騙安全基線要求項(xiàng)安全基線編號(hào)SBL-CiscoRouter-04-01-01安全基線項(xiàng)說(shuō)明配置路由器，防止地址欺騙。檢測(cè)操作步驟1.參考配置操作對(duì)向內(nèi)流量配置：Router(

41、config)#noaccess-list100Router(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#acc

42、ess-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyiphost55anylogRouter(config)#access-list100permitipany55Router(config)#access-list100denyipanyanylogRouter(config)#interfaceeth0Router(config-if)#descriptio

43、nExternalinterfaceto192.168.0./16netRouter(config-if)#ipaddress0Router(config-if)#ipaccess-group100inRouter(config-if)#exitRouter(config)#interfaceethlRouter(config-if)#descriptionInternalinterfaceto/24netRouter(config-if)#ipaddress50Router(config-if)#end對(duì)向外流量配置：Router(config)#noaccess-list102Router

44、(config)#access-list102permitip55anyRouter(config)#access-list102denyipanyanylogRouter(config)#interfaceeth0/1Router(config-if)#descriptioninternalinterfaceRouter(config-if)#ipaddress50Router(config-if)#ipaccess-group102in2.補(bǔ)充操作說(shuō)明假設(shè)內(nèi)部網(wǎng)絡(luò)是基線符合性判定依據(jù).判定條件各接口只轉(zhuǎn)發(fā)屬于自己ip范圍內(nèi)的源地址數(shù)據(jù)包流出.檢測(cè)操作使用showrunning-config

45、命令，如下例：router#showrunning-configaccess-list10denyip55anylogaccess-list10denyip55anylogintf1/1descriptiontheoutsideinterfaceofpermeterrouteripaccess-group10inaccess-list11permitip55anyaccess-list11denyipanyanyloginterfaces1/1descriptioninsideinterfaceofperimeterrouteripaddress54ipaccess-group11in.補(bǔ)充說(shuō)

46、明地址欺騙可以造成內(nèi)部網(wǎng)絡(luò)的混亂，讓某些被欺騙的計(jì)算機(jī)無(wú)法正常訪問內(nèi)外網(wǎng)，讓網(wǎng)關(guān)無(wú)法和客戶端正常通信。備注4.1.2系統(tǒng)遠(yuǎn)程服務(wù)只允許特定地址訪問安全基線項(xiàng)目名稱系統(tǒng)遠(yuǎn)程服務(wù)只允許特定地址訪問安全基線要求項(xiàng)安全基線編號(hào)SBL-CiscoRouter-04-01-02安全基線項(xiàng)說(shuō)明路由器以UDP/TCP協(xié)議對(duì)外提供服務(wù)，供外部主機(jī)進(jìn)行訪問，如作為NTP服務(wù)器、TELNET服務(wù)器、TFTP服務(wù)器、FTP服務(wù)器、SSH服務(wù)器等，應(yīng)配置路由器，只允許特定主機(jī)訪問。檢測(cè)操作步驟.參考配置操作例如：要配置允許目的為的所有DNS訪問流量Router(config)#noaccess-list140Route

47、r(config)#access-list140permitudpanyhosteq53Router(config)#access-list140denyudpanyanylog例如：要配置僅允許00訪問路由器Router(config)#noaccess-list12Router(config)#access-list12permithost00.補(bǔ)充操作說(shuō)明基線符合性判定依據(jù).判定條件相關(guān)服務(wù)存在access綁定.檢測(cè)操作使用showrunning-config命令，如下例：router#showrunning-config！telnet、ssh服務(wù)器linevty04loginlocal

48、access-class2inexec-timeout100exit！NTP服務(wù)器access-list1permit55ntpaccess-groupquery-only1！ftp、tftp服務(wù)器ipftpsource-interfacefastEthernet0/0iptftpsource-interfacefastEthernet0/03.補(bǔ)充說(shuō)明對(duì)不信任的主機(jī)開啟NTP、FTP等服務(wù)，會(huì)加大設(shè)備的危險(xiǎn)備注4.1.3過(guò)濾已知攻擊安全基線項(xiàng)目名稱過(guò)濾已知攻擊安全基線要求項(xiàng)安全基線編號(hào)SBL-CiscoRouter-04-01-03安全基線項(xiàng)說(shuō)明過(guò)濾已知攻擊：在網(wǎng)絡(luò)邊界，設(shè)置安全訪問控制，過(guò)

49、濾掉已知安全攻擊數(shù)據(jù)包，例如udp1434端口（防止SQLslammer蠕蟲）、tcp445,5800,5900（防止Della蠕蟲）。檢測(cè)操作步驟1.參考配置操作屏蔽常見的漏洞端口1433、4444,tftpUDP69,135,137,138,139,445,593,1434，5000，5554，5800,5900,6667,9996等：Router(config)#noaccess-list102Router(config)#access-list102denytcpanyanyeq445logRouter(config)#access-list102denytcpanyanyeq5800

50、logRouter(config)#access-list102denytcpanyanyeq5900logRouter(config)#access-list102denyudpanyanyeq1434logRouter(config)#access-list102denyudpdestination-porteqtftplogRouter(config)#access-list102denytcpdestination-porteq135logRouter(config)#access-list102denyudpdestination-porteq137logRouter(config)

51、#access-list102denyudpdestination-porteq138logRouter(config)#access-list102denytcpdestination-porteq139logRouter(config)#access-list102denyudpdestination-porteqnetbios-ssnlogRouter(config)#access-list102denytcpdestination-porteq539logRouter(config)#access-list102denyudpdestination-porteq539logRouter

52、(config)#access-list102denytcpdestination-porteq593log2.補(bǔ)充操作說(shuō)明基線符合性判定依據(jù)1.判定條件存在類似acl，拒絕上述端口.檢測(cè)操作使用showrunning-config命令，如下例：router#showrunning-configaccess-list102access-list102denytcpanyanyeq445logaccess-list102denytcpanyanyeq5800logaccess-list102denytcpanyanyeq5900logaccess-list102denyudpanyanyeq14

53、34log.補(bǔ)充說(shuō)明如果不進(jìn)行上述設(shè)置將導(dǎo)致遠(yuǎn)程攻擊者對(duì)部分常見應(yīng)用發(fā)功攻擊.或病毒感染備注4.2功能配置4.2.1功能禁用*安全基線項(xiàng)目名稱功能禁用安全基線要求項(xiàng)安全基線編號(hào)SBL-CiscoRouter-04-02-01安全基線項(xiàng)說(shuō)明功能禁用檢測(cè)操作步驟.參考配置操作.禁用IP源路由Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#noipsource-route.禁用PROXYARPRouter#configtEnterconfigurationcommands,oneperl

54、ine.EndwithCNTL/Z.Router(config)#interfaceeth0/0Router(config-if)#noipproxy-arpRouter(config-if)#exitRouter(config)#interfaceeth0/1Router(config-if)#noipproxy-arpRouter(config-if)#exitRouter(config)#interfaceeth0/2Router(config-if)#noipproxy-arpRouter(config-if)#exitRouter(config)#interfaceeth0/3Rou

55、ter(config-if)#noipproxy-arpRouter(config-if)#end.禁用直播功能Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfaceeth0/0Router(config-if)#noipdirected-broadcastRouter(config-if)#end.禁用IP重定向Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config

56、)#interfaceeth0/0Router(config-if)#noipredirectsRouter(config-if)#end.禁用IP掩碼響應(yīng)Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfaceeth0/0Router(config-if)#noipmask-replyRouter(config-if)#end2.補(bǔ)充操作說(shuō)明基線符合性判定依據(jù).判定條件上述條目，在相應(yīng)版本IOS中是“no”掉的.檢測(cè)操作.禁用IP源路由noipsource-route.

57、禁用PROXYARPints0/0noipproxy-arpIII.禁用直播功能，12.0之后默認(rèn)ints0noipdirected-broadcast.禁用IP重定向ints0noipunreachablenoipredirects.禁用IP掩碼響應(yīng)noipmask-repy3.補(bǔ)充說(shuō)明備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開啟此功能，則強(qiáng)制要求此項(xiàng)。4.2.2啟用協(xié)議的認(rèn)證加密功能*安全基線項(xiàng)目名稱啟用協(xié)議的認(rèn)證加密功能安全基線要求項(xiàng)安全基線編號(hào)SBL-CiscoRouter-04-02-02安全基線項(xiàng)說(shuō)明啟用協(xié)議的認(rèn)證，加密功能設(shè)備與RADIUS服務(wù)器、TACACS服務(wù)器、NTP服務(wù)器、S

58、NMPV2或V3主機(jī)等支持認(rèn)證加密功能的主機(jī)進(jìn)行通信時(shí)，盡可能啟用協(xié)議的認(rèn)證加密功能，保證通信安全。檢測(cè)操作步驟.參考配置操作TACACS服務(wù)器：Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#tacacs-serverhost8Router(config)#tacacs-serverkeyIr31yh8n#w9swDRouter(config)#endRouter#RADIUS服務(wù)器：Router#configureterminalEnterconfigura

59、tioncommands,oneperline.EndwithCNTL/Z.Router(config)#radius-serverhost8Router(config)#radius-serverkeyi*Ma5inu9p#s5wD.補(bǔ)充操作說(shuō)明啟用TACACS服務(wù)器、RADIUS服務(wù)器認(rèn)證基線符合性判定依據(jù).判定條件.指定了服務(wù)器.設(shè)定了認(rèn)證key.檢測(cè)操作使用showrunning-config命令，如下例：router#showrunning-config！TACACS服務(wù)器：tacacs-serverhost8acacs-serverkeyIr31yh8n#w9swD！RADIUS服

60、務(wù)器：radius-serverhost8radius-serverkeyi*Ma5inu9p#s5wD.補(bǔ)充說(shuō)明備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開啟此功能，則強(qiáng)制要求此項(xiàng)。4.2.3啟用路由協(xié)議認(rèn)證功能*安全基線項(xiàng)目名稱啟用路由協(xié)議認(rèn)證功能安全基線要求項(xiàng)安全基線編號(hào)SBL-CiscoRouter-04-02-03安全基線項(xiàng)說(shuō)明啟用動(dòng)態(tài)IGP（RIPV2、OSPF、ISIS等）或EGP（BGP）協(xié)議時(shí)，啟用路由協(xié)議認(rèn)證功能，如皿5加密，確保與可信方進(jìn)行路由協(xié)議交互。檢測(cè)操作步1.參考配置操作驟I,配置Router1和Router2間Ospf啟用MD5驗(yàn)證Router1配置：Router1#