目錄
? 賬號管理、認證授權?本機認證和授權ELK-Cisco-01-01-01
設置特權口令?ELK-Cisco-01-02-01
ELK-Cisco-01-02-02
???????登錄要求?ELK-Cisco-01-03-01
???????ELK-Cisco-01-03-02
ELK-Cisco-01-03-03
日志配置?ELK-Cisco-02-01-01
通信協議?ELK-Cisco-03-01-01
???????ELK-Cisco-03-01-02
???????ELK-Cisco-03-01-03
???????ELK-Cisco-03-01-04
???????ELK-Cisco-03-01-05
???????ELK-Cisco-03-01-06
設備其它安全要求?ELK-Cisco-04-01-01
???????ELK-Cisco-04-01-02
???????ELK-Cisco-04-01-03
???????ELK-Cisco-04-01-04
???????ELK-Cisco-04-01-05
???????ELK-Cisco-04-01-06
???????ELK-Cisco-04-01-07
???????ELK-Cisco-04-01-08
???????ELK-Cisco-04-01-09
???????ELK-Cisco-04-01-10
?
本建議用于Cisco路由器和基于Cisco IOS的交換機及其三層處理模塊,其軟件版本為CISCO IOS 12.0及以上版本。加固前應該先備份系統配置文件。
?
? 賬號管理、認證授權?本機認證和授權ELK-Cisco-01-01-01
| 編號: | ELK-Cisco-01-01-01 |
| 名稱: | 本機認證和授權設置 |
| 實施目的: | 初始模式下,設備內一般建有沒有密碼的管理員賬號,該賬號只能用于Console連接,不能用于遠程登錄。強烈建議用戶應在初始化配置時為它們加添密碼。一般而言,設備允許用戶自行創建本機登錄賬號,并為其設定密碼和權限。同時,為了AAA服務器出現問題時,對設備的維護工作仍可正常進行,建議保留必要的維護用戶。 |
| 問題影響: | 非法訪問文件或目錄。 |
| 系統當前狀態: | 查看備份的系統配置文件中關于管理員賬號配置。 |
| 實施方案: |
配置本地用戶BluShin,密碼GoodPa55w0rd,權限為10 Router(Config)#username BluShin privilege 10 password G00dPa55w0rd? Router(Config)#privilege EXEC level 10 telnet Router(Config)#privilege EXEC level 10 show ip access-list ? |
| 回退方案: | 還原系統配置文件。 |
| 判斷依據 | 帳號、口令配置,指定了認證系統 ? |
| 實施風險: | 低 |
| 重要等級: | ★ |
?
?
設置特權口令????????ELK-Cisco-01-02-01
| 編號: | ELK-Cisco-01-02-01 |
| 名稱: | 設置特權口令 |
| 實施目的: | 不要采用enable password設置密碼,而采用enable secret命令設置,enable secret 命令用于設定具有管理員權限的口令,而enable password采用的加密算法比較弱。而要采用enable secret命令設置。并且要啟用Service password-encryption,這條命令用于對存儲在配置文件中的所有口令和類似數據進行加密。避免當配置文件被不懷好意者看見,從而獲得這些數據的明文。 |
| 問題影響; | 密碼容易被非法利用。? |
| 系統當前狀態: | 查看備份的系統配置文件中關于密碼配置狀態。 |
| 實施方案: |
Router(Config)#enable secret xxxxxxxx Router(Config)#Service password-encryption ? |
| 回退方案: | 還原系統配置文件。 |
| 判斷依據: | 查看配置文件,核對參考配置操作。 |
| 實施風險: | 低 |
| 重要等級: | ★★★ |
?
?
???????ELK-Cisco-01-02-02
| 編號: | ELK-Cisco-01-02-02 |
| 名稱: | 賬號、口令授權 |
| 實施目的: | 設備通過相關參數配置,與認證系統聯動,滿足帳號、口令和授權的強制要求。 |
| 問題影響; | 密碼容易被非法利用。? |
| 系統當前狀態: | ? |
| 實施方案: | 與外部TACACS+ server 192.168.6.18 聯動,遠程登錄使用TACACS+ serverya驗證; |
| 回退方案: | 還原系統配置文件。 |
| 判斷依據: | 帳號、口令配置,指定了認證系統。 |
| 實施風險: | 低 |
| 重要等級: | ★★★ |
?
???????登錄要求?ELK-Cisco-01-03-01
| 編號: | ELK-Cisco-01-03-01 |
| 名稱: | 加固CON端口的登錄 |
| 實施目的: | 控制CON端口的訪問,給CON口設置高強度的登錄密碼,修改默認參數,配置認證策略。 |
| 問題影響: | 增加密碼被破解的成功率。 |
| 系統當前狀態: | 查看備份的系統配置文件中關于CON配置狀態。 |
| 實施方案: | 1、參考配置操作 Router(Config)#line con 0 Router(Config-line)#Transport input none Router(Config-line)#Login Router(Config-line)#password XXXXXXX Router(Config-line)#Exec-timeoute 3 0 Router(Config-line)#session-limit 5 |
| 回退方案: | 還原系統配置文件。 |
| 判斷依據: | 查看配置文件,核對參考配置操作。 |
| 實施風險: | 高 |
| 重要等級: | ★ |
?
???????ELK-Cisco-01-03-02
| 編號: | ELK-Cisco-01-03-02 |
| 名稱: | 加固AUX端口的管理 |
| 實施目的: | 除非使用撥號接入時使用AUX端口,否則禁止這個端口。 |
| 問題影響: | 容易被攻擊者利用。 |
| 系統當前狀態: | 查看備份的系統配置文件中關于CON配置狀態。 |
| 實施方案: |
Router(Config)#line aux 0 Router(Config-line)#transport input none Router(Config-line)#no exec 設置完成后無法通過AUX撥號接入路由器 |
| 回退方案: | 還原系統配置文件。 |
| 判斷依據: | 查看配置文件,核對參考配置操作。 |
| 實施風險: | 中 |
| 重要等級: | ★ |
?
ELK-Cisco-01-03-03
| 編號: | ELK-Cisco-01-03-03 |
| 名稱: | HTTP登錄安全加固 |
| 實施目的: | 如非要采用HTTP服務,要求對HTTP服務進行嚴格的控制 如果必須選擇使用HTTP進行管理,最好用ip http access-class命令限定訪問地址且用ip http authentication命令配置認證,修改HTTP的默認端口。 |
| 問題影響: | 容易被非法用戶獲取口令進行違規操作。 |
| 系統當前狀態: | 查看備份的系統配置文件中關于HTTP登錄配置狀態。 |
| 實施方案: |
!修改默認端口 Router(Config)# ip http port 50000 Router(Config)# access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny any !啟用ACL嚴格控制可以登陸的維護地址 Router(Config)# ip http access-class 10 !配置本地數據庫 Router(Config)# username BluShin privilege 10 password G00dPa55w0rd !啟用本地認證 Router(Config)# ip http auth local Router(Config)# ip http server啟用HTTP服務 |
| 回退方案: | 還原系統配置文件。 |
| 判斷依據: | 查看配置文件,核對參考配置操作。 |
| 實施風險: | 中 |
| 重要等級: | ★ |
?
日志配置?ELK-Cisco-02-01-01
| 編號: | ELK-Cisco-03-01-01 |
| 名稱: | 開啟日志功能 |
| 實施目的: | 為了實現對設備安全的管理,要求對設備的安全審計進行有效管理。根據設備本身具有的屬性和實際維護經驗,建議相關安全審計信息應包括設備登錄信息日志和設備事件信息日志,同時提供SYSLOG服務器的設置方式。 Cisco設備將LOG信息分成八個級別,由低到高分別為debugging、informational、notifications、warnings、errors、critical、alerts、emergencies。考慮到日志信息的種類和詳細程度,并且日志開啟對設備的負荷有一定影響,在這建議獲取有意義的日志信息,并將其發送到網管主機或日志服務器并進行分析,建議將notifications及以上的LOG信息送到日志服務器。 |
| 問題影響: | 無法對用戶的登陸進行日志記錄。 |
| 系統當前狀態: | 查看備份的系統配置文件中關于logging服務的配置。 |
| 實施方案: |
!開啟日志 Router(Config)#logging on !設置日志服務器地址 Router(Config)#logging a.b.c.d !日志記錄級別,可用”?”查看詳細內容 Router(Config)#logging trap notifications !日志發出用的源IP地址 Router(Config)#logging source-interface e0 !日志記錄的時間戳設置,可根據需要具體配置 Router(Config)#service timestamps log datetime localtime ? |
| 回退方案: | 還原系統配置文件。 |
| 判斷依據: | 查看配置文件,核對參考配置操作。 |
| 實施風險: | 中 |
| 重要等級: | ★★★ |
?
?
通信協議?ELK-Cisco-03-01-01
| 編號: | ELK-Cisco-03-01-01 |
| 名稱: | SNMP服務器配置 |
| 實施目的: | 如不需要提供SNMP服務的,要求禁止SNMP協議服務,注意在禁止時刪除一些SNMP服務的默認配置。 |
| 問題影響: | 被欺騙的基于數據包的協議。 |
| 系統當前狀態: | 查看備份的系統配置文件中關于SNMP服務的配置。 |
| 實施方案: |
Router(Config)# no SNMP-server community public Ro Router(Config)# no SNMP-server community private RW Router(Config)# no SNMP-server enable traps Router(Config)# no SNMP-server system-shutdown Router(Config)# no SNMP-server 關閉,網管系統無法采集到相關管理數據,不能進行告警監控 |
| 回退方案: | 還原系統配置文件。 |
| 判斷依據: | service –status-all??//看所有服務程序狀態 |
| 實施風險: | 中 |
| 重要等級: | ★ |
?
???????ELK-Cisco-03-01-02
| 編號: | ELK-Cisco-03-01-02 |
| 名稱: | 更改SNMP TRAP協議端口; |
| 實施目的: | 如開啟SNMP協議,要求更改SNMP trap協議的標準端口號,以增強其安全性。 |
| 問題影響: | 容易引起拒絕服務攻擊。 |
| 系統當前狀態: | 查看備份的系統配置文件中關于SNMP服務的配置。 |
| 實施方案: |
Router(config)#SNMP-server host 10.0.0.1 traps version udp-port 1661 |
| 回退方案: | 還原系統配置文件。 |
| 判斷依據: | Show SNMP |
| 實施風險: | 高 |
| 重要等級: | ★ |
?
???????ELK-Cisco-03-01-03
| 編號: | ELK-Cisco-03-01-03 |
| 名稱: | 限制發起SNMP連接的源地址 |
| 實施目的: | 如開啟SNMP協議,要求更改SNMP 連接的源地址,以增強其安全性。 |
| 問題影響: | 容易被非法攻擊。 |
| 系統當前狀態: | 查看備份的系統配置文件中關于SNMP服務的配置。 |
| 實施方案: |
outer(Config)# access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny any Router(Config)# SNMP-server community MoreHardPublic Ro 10 【影響】:只有指定的網管網段才能使用SNMP維護 |
| 回退方案: | 還原系統配置文件。 |
| 判斷依據: | 查看配置文件,核對參考配置操作。 |
| 實施風險: | 中 |
| 重要等級: | ★ |
?
???????ELK-Cisco-03-01-04
| 編號: | ELK-Cisco-03-01-04 |
| 名稱: | 設置SNMP密碼 |
| 實施目的: | 如開啟SNMP協議,要求設置并定期更改SNMP Community(至少半年一次),以增強其安全性,不建議開啟SNMP rw特性。 |
| 問題影響: | 密碼泄露,造成不一定的危險。 |
| 系統當前狀態: | 查看備份的系統配置文件中關于SNMP服務的配置。 |
| 實施方案: |
Router(Config)# SNMP-server community MoreHardPublic ro !不建議實施 Router(Config)# SNMP-server community MoreHardPublic rw |
| 回退方案: | 還原系統配置文件。 |
| 判斷依據: | 查看配置文件,核對參考配置操作。 |
| 實施風險: | 中 |
| 重要等級: | ★ |
?
?
???????ELK-Cisco-03-01-05
| 編號: | ELK-Cisco-03-01-05 |
| 名稱: | 源地址路由檢查 |
| 實施目的: | 為了防止利用IP Spoofing手段假冒源地址進行的攻擊對整個網絡造成的沖擊,要求在所有的邊緣路由設備(即直接與終端用戶網絡互連的路由設備)上,根據用戶網段規劃添加源路由檢查。Cisco路由器提供全局模式下啟用URPF(Unicast Reverse Path Forwarding單播反向路徑轉發)的功能。 ? |
| 問題影響: | 會對設備負荷造成影響。 |
| 系統當前狀態: | 查看備份的系統配置文件中關于CEF 服務的配置。 |
| 實施方案: |
Router# config t !啟用CEF,要使用VRVF功能必須啟用CEF(Cisco Express Forwarding) Router(Config)# ip cef !啟用Unicast Reverse-Path Verification Router(Config)# interface eth0/1 Router(Config-if)# ip verify unicast reverse-path |
| 回退方案: | 還原系統配置文件。 |
| 判斷依據: | 查看配置文件,核對參考配置操作。 |
| 實施風險: | 高 |
| 重要等級: | ★ |
?
???????ELK-Cisco-03-01-06
| 編號: | ELK-Cisco-03-01-06 |
| 名稱: | 配置路由器防止地址欺騙 |
| 實施目的: | 防止地址欺騙 |
| 問題影響: | 會對設備負荷造成影響,惡意攻擊。 |
| 系統當前狀態: | 查看備份的系統配置文件中關于CEF 服務的配置。 |
| 實施方案: | 如過濾非公有地址訪問內部網絡。過濾自己內部網絡地址;回環地址(127.0.0.0/8);RFC1918私有地址;DHCP自定義地址 (169.254.0.0/16);科學文檔作者測試用地址(192.0.2.0/24);不用的組播地址(224.0.0.0/4);SUN公司的古老 的測試地址(20.20.20.0/24;204.152.64.0/23);全網絡地址(0.0.0.0/8)。 |
| 回退方案: | 還原系統配置文件。 |
| 判斷依據: | 各接口只轉發屬于自己ip范圍內的源地址數據包流出 |
| 實施風險: | 高 |
| 重要等級: | ★ |
?
設備其它安全要求?ELK-Cisco-04-01-01
| 編號: | ELK-Cisco-04-01-01 |
| 名稱: | 禁止CDP(Cisco Discovery Protocol) |
| 實施目的: | 由于CDP服務可能被攻擊者利用獲得路由器的版本等信息,從而進行攻擊,所以如果沒有必要使用CDP服務,則應關閉CDP服務。 |
| 問題影響: | 增加攻擊的成功率。 |
| 系統當前狀態: | 查看備份的系統配置文件cdp當前配置的狀態。 |
| 實施步驟: | 1、參考配置操作 !全局CDP的關閉 Router(Config)#no cdp run !特定端口CDP的關閉 Router(Config)#interface f0/0 Router(Config-if)# no cdp enable 【影響】:無法發現網絡鄰居的詳細信息,造成維護不便。 |
| 回退方案: | !全局CDP的恢復 Router(Config)#cdp run 特定端口CDP的恢復 Router(Config)#interface f0/0 Router(Config-if)# cdp enable ? |
| 判斷依據: | Show?CDP 但看是否還有相關信息 |
| 實施風險: | 中 |
| 重要等級: | ★ |
?
???????ELK-Cisco-04-01-02
| 編號: | ELK-Cisco-04-01-02 |
| 名稱: | 禁止TCP、UDP Small服務 |
| 實施目的: | Cisco路由器提供一些基于TCP和UDP協議的小服務如:echo、chargen和discard。這些小服務很少被使用,而且容易被攻擊者利用來越過包過濾機制。要求關閉這些服務。 |
| 問題影響: | 增加攻擊者的利用率。 |
| 系統當前狀態: | 查看備份的系統配置文件service tcp-small-servers service udp-samll-servers當前配置的狀態。 |
| 實施方案: | 1、參考配置操作 Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers |
| 回退方案: | Router(Config)# service tcp-small-servers Router(Config)# nservice udp-samll-servers |
| 判斷依據: | 查看配置文件,核對參考配置操作。 |
| 實施風險: | 低 |
| 重要等級: | ★★ |
?
?
???????ELK-Cisco-04-01-03
| 編號: | ELK-Cisco-04-01-03 |
| 名稱: | 禁止Finger、NTP服務 |
| 實施目的: | Finger服務可能被攻擊者利用查找用戶和口令攻擊。NTP不是十分危險的,但是如果沒有一個很好的認證,則會影響路由器正確時間,導致日志和其他任務出錯。要求關閉這些服務。 |
| 問題影響: | 增加密碼被破解的成功率。 |
| 系統當前狀態: | 查看備份的系統配置文件Finger、NTP服務當前配置的狀態。 |
| 實施方案: | 1、參考配置操作 Router(Config)# no ip finger Router(Config)# no service finger Router(Config)# no ntp |
| 回退方案: | Router(Config)# ?ip finger Router(Config)# service finger Router(Config)# ?ntp |
| 判斷依據 | 查看配置文件,核對參考配置操作。 |
| 實施風險: | 低 |
| 重要等級: | ★ |
?
???????ELK-Cisco-04-01-04
| 編號: | ELK-Cisco-04-01-04 |
| 名稱: | 禁止BOOTp服務 |
| 實施目的: | 禁用自啟動服務 |
| 問題影響: | 會被黑客利用分配的一個IP地址作為局部路由器通過“中間人”(man-in-middle)方式進行攻擊 |
| 系統當前狀態: | 查看備份的系統配置文件BOOTp服務當前配置的狀態。 |
| 實施方案: |
Router(Config)# no ip bootp server |
| 回退方案: | Router(Config)# ip bootp server |
| 判斷依據: | 查看配置文件,核對參考配置操作。 |
| 實施風險: | 低 |
| 重要等級: | ★ |
?
???????ELK-Cisco-04-01-05
| 編號: | ELK-Cisco-04-01-05 |
| 名稱: | 禁止IP Source Routing |
| 實施目的: | 禁用源路由,防止路由信息泄露 |
| 問題影響: | 容易泄露一些信息,造成一定的威脅。 |
| 系統當前狀態: | 查看備份的系統配置文件中關于IP Source Routing服務當前的配置狀態。 |
| 實施方案: |
Router(Config)# no ip source-route |
| 回退方案: | 還原系統配置文件。 |
| 判斷依據: | 查看配置文件,核對參考配置操作。 |
| 實施風險: | 低 |
| 重要等級: | ★ |
?
???????ELK-Cisco-04-01-06
| 編號: | ELK-Cisco-04-01-06 |
| 名稱: | 禁止IP Directed Broadcast |
| 實施目的: | 禁用定向廣播,防止smurf攻擊 |
| 問題影響: | 增加smurf攻擊的利用率。 |
| 系統當前狀態: | 查看備份的系統配置文件中關于IP Directed Broadcast服務當前的配置狀態。 |
| 實施方案: |
?Router(Config)# no ip directed-broadcast |
| 回退方案: | 還原系統配置文件。 |
| 判斷依據: | 查看配置文件,核對參考配置操作。 |
| 實施風險: | 低 |
| 重要等級: | ★ |
?
???????ELK-Cisco-04-01-07
| 編號: | ELK-Cisco-04-01-07 |
| 名稱: | 禁止IP Classless |
| 實施目的: | 禁止無類路由 |
| 問題影響: | 有利于被攻擊者利用 |
| 系統當前狀態: | 查看備份的系統配置文件中關于IP Classless服務當前的配置狀態。 |
| 實施方案: |
?Router(Config)# no ip classless |
| 回退方案: | 還原系統配置文件。 |
| 判斷依據: | 查看配置文件,核對參考配置操作。 |
| 實施風險: | 低 |
| 重要等級: | ★ |
?
???????ELK-Cisco-04-01-08
| 編號: | ELK-Cisco-04-01-08 |
| 名稱: | WINS和DNS服務加固 |
| 實施目的: | 如果沒必要通過網絡進行名字查詢則禁止WINS和DNS服務 |
| 問題影響: | 安全性被降低。 |
| 系統當前狀態: | 查看備份的系統配置文件中關于WINS和DNS服務當前的配置狀態。 |
| 實施方案: | 1、參考配置操作 ?Router(Config)# no ip domain-lookup |
| 回退方案: | 還原系統配置文件。 |
| 判斷依據: | 查看配置文件,核對參考配置操作。 |
| 實施風險: | 低 |
| 重要等級: | ★ |
?
???????ELK-Cisco-04-01-09
| 編號: | ELK-Cisco-04-01-09 |
| 名稱: | ARP-Proxy服務加固 |
| 實施目的: | 建議如果不需要ARP-Proxy服務則禁止它,否則容易引起路由表的混亂, 路由器默認識開啟的 |
| 安全影響: | 容易引起路由的混亂。 |
| 系統當前狀態: | 查看備份的系統配置文件中關于ARP-Proxy服務當前的配置狀態。 |
| 實施方案: | 1、參考配置操作 !全局配置 Router(Config)# no ip proxy-arp !接口配置 Router(Config)# interface eth 0/2 Router(Config-if)# no ip proxy-arp |
| 回退方案: | 還原系統配置文件。 |
| 判斷依據: | 查看配置文件,核對參考配置操作。 |
| 實施風險: | 低 |
| 重要等級: | ★ |
?
???????ELK-Cisco-04-01-10
| 編號: | ELK-Cisco-04-01-10 |
| 名稱: | 禁止從網絡啟動和自動從網絡下載初始配置文件 |
| 實施目的: | 禁止下載非法文件。 |
| 問題影響: | 配置文件被非法下載。 |
| 系統當前狀態: | 查看備份的系統配置文件中關于boot service?服務的配置。 |
| 實施方案: |
Router(Config)# no boot network Router(Config)# no service config |
| 回退方案: | 還原系統配置文件。 |
| 判斷依據: | 查看配置文件,核對參考配置操作。 |
| 實施風險: | 中 |
| 重要等級: | ★★★ |
?
?
?
)
)
)
