Cisco IOS设备安全加固指南.pdf

用來強化CiscoIOS裝置的思科指南

目錄

簡介

必要條件

需求

採用元件

背景資訊

安全操作

監控思科資安諮詢

利用身份驗證、授權和記帳

集中日誌收集和監控

儘可能使用安全協定

通過NetFlow獲得流量可視性

組態管理

管理平面

一般管理平面強化

密碼管理

增強型密碼安全

登入密碼重試鎖定

無服務密碼—恢復

禁用未使用的服務

EXEC超時

TCP作業階段的Keepalive

管理介面使用

記憶體閾值通知

CPU閾值通知

為控制檯訪問保留記憶體

儲存器洩漏檢測器

緩衝區溢位：紅色區域損壞的檢測和糾正

增強型Crashinfo檔案收集

網路時間協定

禁用智慧安裝

使用基礎架構ACL限制對網路的訪問

ICMP封包過濾

篩選IP片段

適用於篩選IP選項的ACL支援

可依照TTL值過濾的ACL支援

安全的互動式管理會話

管理平面保護

控制平面保護

加密管理會話

SSHv2

適用於RSA金鑰的SSHv2增強功能

控制檯和AUX埠

控制vty和tty線路

vty和tty線路的控制傳輸

警告橫幅

驗證、授權及記帳

TACACS+驗證

驗證後援

使用7類密碼

TACACS+命令授權

TACACS+指令計量

冗餘AAA伺服器

強化簡單網路管理協定

SNMP社群字串

使用ACL的SNMP社群字串

基礎架構ACL

SNMP檢視

SNMP版本3

管理平面保護

記錄最佳實踐

將日誌傳送到中心位置

日誌記錄級別

不登入到控制檯或監控會話

使用緩衝日誌記錄

配置日誌記錄源介面

配置日誌記錄時間戳

CiscoIOS軟體組態管理

配置替換和配置回滾

獨佔配置更改訪問

CiscoIOS軟體彈性組態

數位簽章的思科軟體

組態變更通知和記錄

控制平面

一般控制平面加固

IPICMP重新導向

ICMP不可達

代理ARP

限制控制平面流量對CPU的影響

瞭解控制平面流量

基礎架構ACL

接收ACL

CoPP

控制平面保護

硬體速率限制器

安全BGP

基於TTL的安全保護

使用MD5的BGP對等驗證

配置最大字首

使用字首清單過濾BGP字首

使用自主系統路徑存取清單篩選BGP字首

安全內部閘道通訊協定

使用消息摘要5的路由協定身份驗證和驗證

Passive-Interface命令

路由篩選

工藝路線流程資源消耗

安全第一躍點備援通訊協定

資料平面

一般資料平面強化

IP選項選擇性捨棄

禁用IP源路由

禁用ICMP重定向

禁用或限制IP定向廣播

使用傳輸ACL過濾傳輸流量

ICMP封包過濾

篩選IP片段

適用於篩選IP選項的ACL支援

反欺騙保護

單點傳播RPF

IP來源防護

連線埠安全性

動態ARP檢測

反欺騙ACL

限制資料平面流量對CPU的影響

影響CPU的功能和流量型別

按TTL值篩選

根據是否存在IP選項進行過濾

控制平面保護

流量識別和回溯

Netflow

分類ACL

使用VLAN對映和埠訪問控制清單進行訪問控制

使用VLAN對映進行訪問控制

使用PACL進行訪問控制

使用MAC的存取控制

專用VLAN使用

隔離VLAN

社群VLAN

混雜埠

結論

確認

附錄：CiscoIOS裝置加固檢查表

管理平面

控制平面

資料平面

簡介

本文件說明的資訊可協助您保護CiscoIOS®系統裝置的安全，能夠提高您網路的整體資安。本文

檔圍繞網路裝置功能可分類的三個平面進行設計，概述了每個功能並參考了相關文檔。

必要條件

需求

本文件沒有特定需求。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設

）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

背景資訊

網路的三個功能平面（管理平面、控制平面和資料平面）均提供需要保護的不同功能。

管理平面—管理平面管理傳送到CiscoIOS裝置的流量，該流量由應用程式和協定組成，例如

安全外殼(SSH)和簡單網路管理協定(SNMP)。

控制平面—網路裝置的控制平面處理對維護網路基礎設施的功能至關重要的流量。控制平面由

網路裝置之間的應用程式和協定組成，包括邊界網關協定(BGP)以及內部網關協定(IGP)，如增

強型內部網關路由協定(EIGRP)和開放最短路徑優先(OSPF)。

資料平面—資料平面通過網路裝置轉發資料。資料平面