1、CiscoCisco 路由器安全配置基線路由器安全配置基線 目目 錄錄 第第 1 章章概述概述.1 1.1目的.1 1.2適用范圍.1 1.3適用版本.1 第第 2 章章賬號管理、認證授權安全要求賬號管理、認證授權安全要求.2 2.1賬號管理.2 2.1.1用戶賬號分配.2 2.1.2刪除無關的賬號.2 2.1.3管理具備管理員權限的用戶賬戶.3 2.2口令.3 2.2.1靜態(tài)口令以密文形式存放.3 2.2.2帳號、口令和授權.4 2.2.3密碼復雜度.4 2.3授權.4 2.3.1根據(jù)業(yè)務需要配置所需的最小權限。.4 2.3.2用IP協(xié)議進行遠程維護的設備使用SSH等加密協(xié)議.5 第第 3

2、章章日志安全要求日志安全要求.6 3.1日志安全.6 3.1.1對用戶登錄進行記錄.6 3.1.2記錄用戶對設備的操作.6 3.1.3開啟NTP服務保證記錄的時間的準確性.7 3.1.4遠程日志功能.7 第第 4 章章IP 協(xié)議安全要求協(xié)議安全要求 .9 4.1IP 協(xié)議.9 4.1.1配置路由器防止地址欺騙.9 4.1.2配置路由器只允許特定主機訪問.9 4.1.3過濾已知攻擊.9 4.1.4過濾所有和業(yè)務不相關的流量。.10 4.2功能配置.11 4.2.1功能禁用.11 4.2.2啟用協(xié)議的認證加密功能.11 4.2.3啟用路由協(xié)議認證功能.12 4.2.4防止路由風暴.12 4.2.5

3、防止非法路由注入.13 4.2.6SNMP的Community默認通行字口令強度.13 4.2.7只與特定主機進行SNMP協(xié)議交互.13 4.2.8未使用SNMP的寫功能時禁用SNMP的寫功能.14 4.2.9LDP協(xié)議認證功能.14 第第 5 章章其他安全要求其他安全要求.16 5.1其他安全配置.16 5.1.1關閉未使用的接口.16 5.1.2修改路由缺省器缺省BANNER語.16 5.1.3配置定時賬戶自動登出.16 5.1.4配置consol口密碼保護功能.17 5.1.5關閉不必要的網(wǎng)絡服務或功能.17 第第 1 章章概述概述 1.1 目的目的 本文檔規(guī)定了 Cisco 路由器應當

4、遵循的設備安全性設置標準，本文檔旨在指導系統(tǒng)管 理人員進行 Cisco 路由器的安全配置。 1.2 適用范圍適用范圍 本配置標準的使用者包括：網(wǎng)絡管理員、網(wǎng)絡安全管理員、網(wǎng)絡監(jiān)控人員。 1.3 適用版本適用版本 Cisco 路由器； 第第 2 章章賬號管理、認證授權安全要求賬號管理、認證授權安全要求 2.1 賬號管理賬號管理 2.1.1 用戶賬號分配用戶賬號分配 安全基線項安全基線項 目名稱目名稱 用戶賬號分配安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-02-01-01 安全基線項安全基線項 說明說明 應按照用戶分配賬號。避免不同用戶間共享賬號。避免用戶賬號和設

5、備間通 信使用的賬號共享。 檢測操作步檢測操作步 驟驟 I. 配置文件中，存在不同的帳號分配 II. 網(wǎng)絡管理員確認用戶與帳號分配關系明確 基線符合性基線符合性 判定依據(jù)判定依據(jù) 備注備注 2.1.2 刪除無關的賬號刪除無關的賬號 安全基線項安全基線項 目名稱目名稱 無關的賬號安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-02-01-02 安全基線項安全基線項 說明說明 應刪除與設備運行、維護等工作無關的賬號。 檢測操作步檢測操作步 驟驟 I. 配置文件存在多帳號 II. 網(wǎng)絡管理員確認所有帳號與設備運行、維護等工作有關 基線符合性基線符合性 判定依據(jù)判定依據(jù) 備

6、注備注 2.1.3 管理具備管理員權限的用戶賬戶管理具備管理員權限的用戶賬戶 安全基線項安全基線項 目名稱目名稱 管理員權限的賬戶安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-02-01-03 安全基線項安全基線項 說明說明 限制具備管理員權限的用戶遠程登錄。遠程執(zhí)行管理員權限操作，應先以普 通權限用戶遠程登錄后，再通過 enable 命令進入相應級別再后執(zhí)行相應操 作。 檢測操作步檢測操作步 驟驟 設定賬號密碼加密保存； 創(chuàng)建 normaluser 賬號并指定權限級別為 1； 設定遠程登錄啟用路由器賬號驗證； 設定超時時間為 5 分鐘。 基線符合性基線符合性 判

7、定依據(jù)判定依據(jù) I. VTY 使用用戶名和密碼的方式進行連接驗證 II. 賬號權限級別較低，例如：1 備注備注 2.2 口令口令 2.2.1 靜態(tài)口令以密文形式存放靜態(tài)口令以密文形式存放 安全基線項安全基線項 目名稱目名稱 靜態(tài)口令安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-02-02-01 安全基線項安全基線項 說明說明 靜態(tài)口令必須使用不可逆加密算法加密，以密文形式存放。如使用 enable secret 配置 Enable 密碼，不使用 enable password 配置 Enable 密碼。 檢測操作步檢測操作步 驟驟 配置文件無明文密碼字段 基線符合

8、性基線符合性 判定依據(jù)判定依據(jù) 備注備注 2.2.2 帳號、口令和授權帳號、口令和授權 安全基線項安全基線項 目名稱目名稱 帳號、口令和授權安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-02-02-02 安全基線項安全基線項 說明說明 設備通過相關參數(shù)配置，與認證系統(tǒng)聯(lián)動，滿足帳號、口令和授權的強制要 求。 檢測操作步檢測操作步 驟驟 與外部 TACACS+ server 8 聯(lián)動，遠程登錄使用 TACACS+ serverya 驗證； 基線符合性基線符合性 判定依據(jù)判定依據(jù) 帳號、口令配置，指定了認證系統(tǒng) 備注備注 2.2.3 密碼復雜度密

9、碼復雜度 安全基線項安全基線項 目名稱目名稱 密碼復雜度安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-02-02-03 安全基線項安全基線項 說明說明 對于采用靜態(tài)口令認證技術的設備，口令長度至少 6 位，并包括數(shù)字、小寫 字母、大寫字母和特殊符號 4 類中至少 2 類。 檢測操作步檢測操作步 驟驟 與外部 TACACS+ server 8 聯(lián)動，遠程登錄使用 TACACS+ serverya 驗證；口令強度由 TACACS+ server 控制 基線符合性基線符合性 判定依據(jù)判定依據(jù) 備注備注 此項無法通過配置實現(xiàn)，建議通過管理實現(xiàn) 2.3

10、 授權授權 2.3.1 根據(jù)業(yè)務需要配置所需的最小權限。根據(jù)業(yè)務需要配置所需的最小權限。 安全基線項安全基線項 目名稱目名稱 業(yè)務需要配置所需的最小權限安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-02-03-01 安全基線項安全基線項 說明說明 在設備權限配置能力內(nèi)，根據(jù)用戶的業(yè)務需要，配置其所需的最小權限。 檢測操作步檢測操作步 驟驟 基本思想是創(chuàng)建賬號并賦予不同的權限級別，并將各命令綁定在不同的權限 級別上；上例操作過程如下： 設定賬號密碼加密保存 創(chuàng)建 normaluser 賬號并指定權限級別為 1； 將 connect、telnet、rlogin、sho

11、w ip access-lists、show access-lists、show logging、ssh 指定僅當賬號權限級別為 15 時才可使用； 將 show ip 指定為僅當賬號權限級別大于 1 時才可使用； 基線符合性基線符合性 判定依據(jù)判定依據(jù) I. 用戶名綁定權限級別 II. 操作命令劃分權限級別 備注備注 2.3.2 用用 IP 協(xié)議進行遠程維護的設備使用協(xié)議進行遠程維護的設備使用 SSH 等加密協(xié)議等加密協(xié)議 安全基線項安全基線項 目名稱目名稱 IP 協(xié)議進行遠程維護的設備安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-02-03-02 安全基線項安

12、全基線項 說明說明 對于使用 IP 協(xié)議進行遠程維護的設備，設備應配置使用 SSH 等加密協(xié)議。 檢測操作步檢測操作步 驟驟 I. 存在 rsa 密鑰對 II. 遠程登錄指定 ssh 協(xié)議 基線符合性基線符合性 判定依據(jù)判定依據(jù) 備注備注 第第 3 章章日志安全要求日志安全要求 3.1 日志安全日志安全 3.1.1 對用戶登錄進行記錄對用戶登錄進行記錄 安全基線項安全基線項 目名稱目名稱 用戶登錄進行記錄安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-03-01-01 安全基線項安全基線項 說明說明 與記賬服務器(如 RADIUS 服務器或 TACACS 服務器)配

13、合，設備應配置日 志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是 否成功，登錄時間，以及遠程登錄時，用戶使用的 IP 地址。 檢測操作步檢測操作步 驟驟 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#aaa new-model Router(config)#aaa accounting connection default start-stop group tacacs+ Router(config)#aaa acco

14、unting exec default start-stop group tacacs+ Router(config)#end 基線符合性基線符合性 判定依據(jù)判定依據(jù) 備注備注 3.1.2 記錄用戶對設備的操作記錄用戶對設備的操作 安全基線項安全基線項 目名稱目名稱 用戶對設備記錄安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-03-01-02 安全基線項安全基線項 說明說明 與記賬服務器(如 TACACS 服務器)配合，設備應配置日志功能，記錄用戶 對設備的操作，如賬號創(chuàng)建、刪除和權限修改，口令修改，讀取和修改設備 配置，讀取和修改業(yè)務用戶的話費數(shù)據(jù)、身份數(shù)據(jù)、涉

15、及通信隱私數(shù)據(jù)。記 錄需要包含用戶賬號，操作時間，操作內(nèi)容以及操作結果。 檢測操作步檢測操作步 驟驟 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#aaa new-model Router(config)#aaa accounting commands 1 default start-stop group tacacs+ Router(config)#aaa accounting commands 15 default start-sto

16、p group tacacs+ Router(config)#end Router1# 基線符合性基線符合性 判定依據(jù)判定依據(jù) 備注備注 3.1.3 開啟開啟 NTP 服務保證記錄的時間的準確性服務保證記錄的時間的準確性 安全基線項安全基線項 目名稱目名稱 記錄的時間的準確性安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-03-01-03 安全基線項安全基線項 說明說明 開啟 NTP 服務，保證日志功能記錄的時間的準確性。 檢測操作步檢測操作步 驟驟 需要到每個端口開啟 NTP 基線符合性基線符合性 判定依據(jù)判定依據(jù) I. 存在 ntp server 配置條目 II

17、. 日志記錄時間準確 備注備注 3.1.4 遠程日志功能遠程日志功能 安全基線項安全基線項 目名稱目名稱 遠程日志功能安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-03-01-04 安全基線項安全基線項 說明說明 設備應支持遠程日志功能。所有設備日志均能通過遠程日志功能傳輸?shù)饺罩?服務器。設備應支持至少一種通用的遠程標準日志接口，如 SYSLOG、FTP 等。 檢測操作步檢測操作步 I. 假設把 router 日志存儲在 00 的 syslog 服務器上 驟驟 路由器側配置描述如下： 啟用日志 記錄日志級別設定“information” 記錄

18、日志類型設定“l(fā)ocal6” 日志發(fā)送到 00 日志發(fā)送源是 loopback0 II. 如果使用 snmp 存儲日志參考配置如下： Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# logging trap information Router(config)# snmp-server host 00 traps public Router(config)# snmp-server trap-source loo

19、pback0 Router(config)# snmp-server enable traps syslog Router(config)# exit 基線符合性基線符合性 判定依據(jù)判定依據(jù) I. Syslog logging 和 SNMP logging 至少有一個為“enabled” II. Logging to 后面的主機名或 IP 指向日志服務器 III. 通常記錄日志數(shù)不為 0 備注備注 第第 4 章章IP 協(xié)議安全要求協(xié)議安全要求 4.1 IP 協(xié)議協(xié)議 4.1.1 配置路由器防止地址欺騙配置路由器防止地址欺騙 安全基線項安全基線項 目名稱目名稱 配置路由器防止地址欺騙安全基線要求

20、項 安全基線編安全基線編 號號 SBL-CiscoRouter-04-01-01 安全基線項安全基線項 說明說明 配置路由器，防止地址欺騙。 檢測操作步檢測操作步 驟驟 配置路由器，防止地址欺騙 基線符合性基線符合性 判定依據(jù)判定依據(jù) 各接口只轉發(fā)屬于自己 ip 范圍內(nèi)的源地址數(shù)據(jù)包流出 備注備注 4.1.2 配置路由器只允許特定主機訪問配置路由器只允許特定主機訪問 安全基線項安全基線項 目名稱目名稱 配置路由器只允許特定主機訪問安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-04-01-02 安全基線項安全基線項 說明說明 路由器以 UDP/TCP 協(xié)議對外提供服

21、務，供外部主機進行訪問，如作為 NTP 服務器、TELNET 服務器、TFTP 服務器、FTP 服務器、SSH 服務器等，應 配置路由器，只允許特定主機訪問。 檢測操作步檢測操作步 驟驟 基線符合性基線符合性 判定依據(jù)判定依據(jù) 相關服務存在 access 綁定 備注備注 4.1.3 過濾已知攻擊過濾已知攻擊 安全基線項安全基線項 過濾已知攻擊安全基線要求項 目名稱目名稱 安全基線編安全基線編 號號 SBL-CiscoRouter-04-01-03 安全基線項安全基線項 說明說明 過濾已知攻擊： 在網(wǎng)絡邊界，設置安全訪問控制，過濾掉已知安全攻擊數(shù)據(jù)包，例如 udp 1434 端口（防止 SQL

22、slammer 蠕蟲） 、tcp445,5800,5900（防止 Della 蠕蟲） 。 檢測操作步檢測操作步 驟驟 Router(config)# no access-list 102 Router(config)# access-list 102 deny tcp any any eq 445 log Router(config)# access-list 102 deny tcp any any eq 5800 log Router(config)# access-list 102 deny tcp any any eq 5900 log Router(config)# access-l

23、ist 102 deny udp any any eq 1434 log 基線符合性基線符合性 判定依據(jù)判定依據(jù) 存在類似 acl，拒絕上述端口 備注備注 4.1.4 過濾所有和業(yè)務不相關的流量。過濾所有和業(yè)務不相關的流量。 安全基線項安全基線項 目名稱目名稱 業(yè)務不相關的流量安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-04-01-04 安全基線項安全基線項 說明說明 對于具備 TCP/UDP 協(xié)議功能的設備，設備應根據(jù)業(yè)務需要，配置基于源 IP 地址、通信協(xié)議 TCP 或 UDP、目的 IP 地址、源端口、目的端口的流量過濾， 過濾所有和業(yè)務不相關的流量。 檢

24、測操作步檢測操作步 驟驟 使用 show ip access-list access-list-number | name 命令，如下例： Router# show ip access-list Extended IP access list 101 deny udp any any eq ntp permit tcp any any permit udp any any eq tftp permit icmp any any permit udp any any eq domain 基線符合性基線符合性 判定依據(jù)判定依據(jù) I. 針對每個業(yè)務所需通訊，存在一條 acl； II. 對于非公共性服

25、務，源 IP 和目標 IP 不能含有 any III. 目標端口明確 備注備注 4.2 功能配置功能配置 4.2.1 功能禁用功能禁用 安全基線項安全基線項 目名稱目名稱 功能禁用安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-04-02-01 安全基線項安全基線項 說明說明 功能禁用 檢測操作步檢測操作步 驟驟 禁用 IP 源路由功能，除非特別需要。 禁用 PROXY ARP 功能，除非路由器端口工作在橋接模式。 禁用直播（IP DIRECTED BROADCAST）功能 在非可信網(wǎng)段內(nèi)禁用 IP 重定向功能。 在非可信網(wǎng)段內(nèi)禁用 IP 掩碼響應功能 基線符合性基

26、線符合性 判定依據(jù)判定依據(jù) 上述條目，在相應版本 IOS 中是“no”掉的 備注備注 4.2.2 啟用協(xié)議的認證加密功能啟用協(xié)議的認證加密功能 安全基線項安全基線項 目名稱目名稱 啟用協(xié)議的認證加密功能安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-04-02-02 安全基線項安全基線項 說明說明 啟用協(xié)議的認證，加密功能 設備與 RADIUS 服務器、TACACS 服務器、NTP 服務器、SNMP V3 主機等 支持認證加密功能的主機進行通信時，盡可能啟用協(xié)議的認證加密功能，保 證通信安全。 檢測操作步檢測操作步 驟驟 啟用 TACACS 服務器、RADIUS 服

27、務器認證 基線符合性基線符合性 判定依據(jù)判定依據(jù) I. 指定了服務器 II. 設定了認證 key 備注備注 4.2.3 啟用路由協(xié)議認證功能啟用路由協(xié)議認證功能 安全基線項安全基線項 目名稱目名稱 啟用路由協(xié)議認證功能安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-04-02-03 安全基線項安全基線項 說明說明 啟用動態(tài) IGP（RIPV2、OSPF、ISIS 等）或 EGP（BGP）協(xié)議時，啟用路 由協(xié)議認證功能，如 MD5 加密，確保與可信方進行路由協(xié)議交互。 檢測操作步檢測操作步 驟驟 基線符合性基線符合性 判定依據(jù)判定依據(jù) 有 ip rip(ospf、ei

28、grp 等) md5 的字段 備注備注 4.2.4 防止路由風暴防止路由風暴 安全基線項安全基線項 目名稱目名稱 防止路由風暴安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-04-02-04 安全基線項安全基線項 說明說明 采用 BGP 協(xié)議作為 EGP 協(xié)議時，使用 Route flap damping 功能防止路由風 暴。 檢測操作步檢測操作步 驟驟 Router(config)# router bgp 27701 Router(config-router)# neighbor 0 remote-as 26625 Router(config-ro

29、uter)# bgp dampening Router(config-router)# end 基線符合性基線符合性 判定依據(jù)判定依據(jù) 做了 bgp dampening 配置 備注備注 4.2.5 防止非法路由注入防止非法路由注入 安全基線項安全基線項 目名稱目名稱 防止非法路由注入安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-04-02-05 安全基線項安全基線項 說明說明 在網(wǎng)絡邊界運行 IGP 或 EGP 動態(tài)路由協(xié)議時，配置路由更新策略，只接受 合法的路由更新，防止非法路由注入。只發(fā)布所需的路由更新，防止路由信 息泄漏。 檢測操作步檢測操作步 驟驟 使用

30、ACL 限制 EIGRP 不能向 /24 傳遞 Router(config)# access-list 10 deny 55 Router(config)# access-list 10 permit any Router(config)# router eigrp 100 Router(config-router)# distribute-list 10 out Router(config-router)# end 基線符合性基線符合性 判定依據(jù)判定依據(jù) 做了 distribute-list 的 acl 控制 備注備注 4.2.

31、6 SNMP 的的 Community 默認通行字口令強度默認通行字口令強度 安全基線項安全基線項 目名稱目名稱 SNMP 的 Community 默認通行字口令強度安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-04-02-06 安全基線項安全基線項 說明說明 修改 SNMP 的 Community 默認通行字，通行字符串應符合口令強度要求。 檢測操作步檢測操作步 驟驟 修改 SNMP 的 Community 默認通行字，通行字符串應符合口令強度要求。 基線符合性基線符合性 判定依據(jù)判定依據(jù) SNMP 的 Community 非默認，且有一定強度 備注備注 4.2

32、.7 只與特定主機進行只與特定主機進行 SNMP 協(xié)議交互協(xié)議交互 安全基線項安全基線項 只與特定主機進行 SNMP 協(xié)議交互安全基線要求項 目名稱目名稱 安全基線編安全基線編 號號 SBL-CiscoRouter-04-02-07 安全基線項安全基線項 說明說明 只與特定主機進行 SNMP 協(xié)議交互 檢測操作步檢測操作步 驟驟 使用 ACL 限制只與特定主機進行 SNMP 協(xié)議交互 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# access-list

33、75 permit host 0 Router(config)# access-list 75 deny any log 2 基線符合性基線符合性 判定依據(jù)判定依據(jù) snmp 綁定了 acl 備注備注 4.2.8 未使用未使用 SNMP 的寫功能時禁用的寫功能時禁用 SNMP 的寫功能的寫功能 安全基線項安全基線項 目名稱目名稱 未使用 SNMP 的寫功能時禁用 SNMP 的寫功能安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-04-02-08 安全基線項安全基線項 說明說明 未使用 SNMP 的 WRITE 功能時，禁用 SNMP 的寫（WRITE

34、）功能。 檢測操作步檢測操作步 驟驟 禁用 SNMP 的寫（WRITE）功能。 基線符合性基線符合性 判定依據(jù)判定依據(jù) snmp 權限為 RO 備注備注 4.2.9 LDP 協(xié)議認證功能協(xié)議認證功能 安全基線項安全基線項 目名稱目名稱 LDP 協(xié)議認證功能安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-04-02-09 安全基線項安全基線項 說明說明 啟用 LDP 標簽分發(fā)協(xié)議時，打開 LDP 協(xié)議認證功能，如 MD5 加密，確保 與可信方進行 LDP 協(xié)議交互。 檢測操作步檢測操作步 驟驟 Router# mpls ldp vrf vpn1 password re

35、quired Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# mpls ldp neighbor vrf vpn1 password 7 nbrce1pwd 基線符合性基線符合性 判定依據(jù)判定依據(jù) 配置認證功能及密碼 備注備注 第第 5 章章其他安全要求其他安全要求 5.1 其他安全配置其他安全配置 5.1.1 關閉未使用的接口關閉未使用的接口 安全基線項安全基線項 目名稱目名稱 關閉未使用的接口安全基線要求項 安全基線編安全基線編 號號 SBL-CiscoRouter-05-01-01 安全基線項安全基線項 說明說明 關閉未使用的接口，如路由器的 AUX 口。 檢測操作步檢測操作步 驟驟 關閉未使用的接口，Li