Cisco路由器交换机基准安全配置标准.docVIP

Cisco路由器/交换机 基准安全配置标准 TMT中国业务中心 信息管理部 2006年12月5日 目的 通过建立系统的安全标准，规范网络环境的安全配置，并提供相应的指导；降低系统存在的安全风险，确保安全可靠的运行。范围 适合网络环境的所有。标准维护与解释 本标准由中心每年审视次，根据审视结果修订标准，并颁布执行； 本标准的解释权归中心； 本标准自签发之日起生效。 1. 设置强壮的管理口令 4 2. 控制VTY 4 3. 确保SNMP协议的安全 5 4. 禁用web管理功能 5 5. 禁用不必要的服务 5 6. 及时的升级和修补IOS软件 6 设置强壮的管理口令 口令是路由器是用来防止对于路由器的非授权访问的主要手段，是路由器本身安全的一部分。修改默认的口令避免使用普通的口令，并且使用大小写字母混合的方式作为更强大的口令规则。保护路由器的密码禁用enable password命令改密码加密机制已经很古老存在极大安全漏洞必须禁用做法是:no enable password利用enable secret命令设置密码,选择一个长的口令字该加密机制是IOS采用了MD5散列算法进行加密,具体语法是:enable secret[level level] {password|encryption-type encrypted-password}使用service password-encryption这条命令用于对存储在配置文件中的所有口令和类似数据（如CHAP）进行加密。避免当配置文件被不怀好意者看见，从而获得这些数据的明文。控制VTY为了保证安全，任何VTY应该仅允许指定的协议建立连结。利用transport input命令。如一个VTY只支持Telnet服务，可以如下设置transport input telnet； 配置VTY的Telnet访问控制安全，利用ip access-class限制访问VTY的ip地址范围利用exec-timeout命令，配置VTY的超时。避免一个空闲的任务一直占用VTY如果路由器操作系统支持SSH，最好只支持这个协议，避免使用明文传送的Telnet服务如下设置：transport input ssh。协议服务。尽量采用Snmp VSnmp V1，必须修改默认的community，如public，private等。路由器操作系统no ip http server禁止HTTP服务。禁用不必要的服务思科的设备通过网络操作系统默认地提供一些小的服务，如echo(回波), chargen(字符发生器协议)和discard(抛弃协议)。这些服务，特别是它们的UDP服务，很少用于合法的目的。但是，这些服务能够用来实施拒绝服务攻击和其它攻击。路由器网络服务安全配置禁止CDP(Cisco Discovery Protocol)： Router(Config)#no cdp run Router(Config-if)# no cdp enable 禁止其他的TCP、UDP Small服务 Router(Config)# no service tcp-small-servers Router(Config)# no service udp-small-servers 禁止Finger服务 Router(Config)# no ip finger Router(Config)# no service finger 禁止BOOT服务 Router(Config)# no ip bootp server 禁止从网络启动和自动从网络下载初始配置文件。 Router(Config)# no boot network Router(Config)# no servic config 禁止IP Source RoutingRouter(Config)# no ip source-route 建议如果不需要ARP-Proxy服务则禁止它，路由器默认识开启的Router(Config)# no ip proxy-arp Router(Config-if)# no ip proxy-arp 明确的禁止IP Directed BroadcastRouter(Config)# no ip directed-broadcast 禁止IP ClasslessRouter(Config)# no ip classless 禁止ICMP协议的IP Unreachables,Redirects,Mask RepliesRouter(Config-if)# no ip unreacheables Router(Config-if)# no ip redirects