網(wǎng)絡(luò)設(shè)備加固手冊(cè)_第1頁
網(wǎng)絡(luò)設(shè)備加固手冊(cè)_第2頁
網(wǎng)絡(luò)設(shè)備加固手冊(cè)_第3頁
網(wǎng)絡(luò)設(shè)備加固手冊(cè)_第4頁
網(wǎng)絡(luò)設(shè)備加固手冊(cè)_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、CISCO網(wǎng)絡(luò)設(shè)備安全手冊(cè)二零零五年十一月目 錄1IOS版本升級(jí)32關(guān)閉服務(wù)33用戶名44口令45訪問控制56使用SSH67使用路由協(xié)議md5認(rèn)證68網(wǎng)絡(luò)設(shè)備日志79SNMP810修改設(shè)備網(wǎng)絡(luò)標(biāo)簽81 IOS版本升級(jí)Ø 確保設(shè)備操作系統(tǒng)軟件版本及時(shí)更新,軟件版本較低會(huì)帶來安全性和穩(wěn)定性方面的隱患,因此要求在設(shè)備的FLASH容量允許的情況下升級(jí)到較新的版本。必要情況下可升級(jí)設(shè)備的FLASH容量。Ø 確保所有的網(wǎng)絡(luò)設(shè)備維護(hù)在本地進(jìn)行。Ø 對(duì)于允許遠(yuǎn)程登陸管理的網(wǎng)絡(luò)設(shè)備,必須設(shè)置口令保護(hù)和相應(yīng)的ACL,限定可遠(yuǎn)程登錄的主機(jī)IP地址范圍,并使用支持加密的登陸方式,如SSL

2、等。2 關(guān)閉服務(wù)Ø 關(guān)閉設(shè)備上不需要的服務(wù):Small services (echo, discard, chargen, etc.) Router(config)#no service tcp-small-servers Router(config)#no service udp-small-servers FingerRouter(config)#no service fingerRouter(config)#no ip finger HTTP Router(config)#no ip http server SNMP Router(config)#no snmp-server

3、CDPRouter(config)# no cdp run Remote configRouter(config)# no service config Source routingRouter(config)#no ip source-route PadRouter(config)#no service pad ICMPRouter(config)#no ip icmp redirect DNSRouter(config)#no ip name-serverØ 如果需要使用HTTP管理設(shè)備,建議采用以下認(rèn)證方式:確保使用ip http access-class命令來限制只有授權(quán)的地

4、址可以訪問;確保使用TACACS+或RADIUS對(duì)登錄進(jìn)行認(rèn)證; Router(config)#ip http access-class Router(config)#ip http authentication <enable, local, tacacs> Router(config)#ip http port 11111 Router(config)#ip http server3 用戶名Ø 如果沒有使用用戶名,增加用戶名認(rèn)證:Router(config)#username myname password mypass Ø 不同的路由器使用不同的方式激活,

5、可能需要使用line vty,然后設(shè)置login local,也可能需要啟用AAA模式,配置aaa new-model來激活A(yù)AA模式。同樣將其它的登錄console、AUX等,設(shè)為需要用戶名和口令認(rèn)證。4 口令Ø 確保所有使用的口令必須為健壯口令,password和enable的口令都需要加密存放,對(duì)console line、auxiliary line 和virtual terminal lines訪問設(shè)置密碼并加密保護(hù):Enable secret Router(config)#enable secret 0 2manyRt3s Console Line Router(confi

6、g)#line con 0 Router(config-line)#password Soda-4-jimmY Auxiliary Line Router(config)#line aux 0 Router(config-line)#password Popcorn-4-sara VTY LinesRouter(config)#line vty 0 4 Router(config-line)#password Dots-4-georg3 保護(hù)口令不以明文顯示Router(config)#service password-encryptionØ 確保對(duì)console line、auxi

7、liary line 和virtual terminal lines的安全配置:Console LineRouter(config)# line con 0 Router(config-line)# exec-timeout 5 0Router(config-line)# loginRouter(config-line)# transport input telnet Auxiliary LineRouter(config)# line aux 0 Router(config-line)# exec-timeout 0 1Router(config-line)# no execRouter(c

8、onfig-line)# transport input none VTY lines Router(config)# no access-list 92 Router(config)# access-list 92 permit .1 Router(config)# access-list 92 permit .2 Router(config)# line vty 0 4 Router(config-line)# access-class 92 in Router(config-line)# exec-timeout 5 0Router(config-line)# loginRouter(c

9、onfig-line)# transport input telnetRouter(config-line)#service tcp-keepalives-in5 訪問控制Ø 配置access-list,設(shè)置允許登錄的IP地址和登錄類型,例如允許A.B.C.D地址的ssh登錄本IP(.4):Router(config)# access-list 110 permit tcp A.B.C.D .4 eq 22Ø 配置防ip spoof的access-list,假設(shè)葉子節(jié)點(diǎn)網(wǎng)的IP地址段為A.B.C.D mask /24,那么在out的端口上設(shè)置:Router(config)#

10、 access-list 110 permit ip A.B.C.D .255 anyRouter(config)# access-list 110 deny ip any any在in的端口上設(shè)置:Router(config)# access-list 110 deny ip A.B.C.D .255 anyRouter(config)# access-list 110 permit ip any anyØ 配置防CISCO漏洞的拒絕服務(wù)攻擊:Router(config)# access-list 110 deny 55 any anyRouter(config)# access-

11、list 110 deny 77 any any如果有必要,可以對(duì)某些拒絕服務(wù)攻擊的包進(jìn)行l(wèi)og。其它類型的拒絕服務(wù),都可以使用相應(yīng)的訪問控制列表進(jìn)行過濾,但對(duì)系統(tǒng)性能可能會(huì)有一些影響。其中一些拒絕服務(wù)現(xiàn)在操作系統(tǒng)已基本都能防范,不需要特別設(shè)置。例如對(duì)SYN:Router(Config)# access-list 110 permit tcp any .255 establishedLAND:Router(Config)# access-list 110 deny ip host 11 host 11SMURF:Router(

12、Config)# access-list 110 deny ip any host 556 使用SSHØ IOS必需為支持IPSEC的版本。Ø 設(shè)置SSH的超時(shí)間隔和嘗試登錄次數(shù)Router(Config)# ip ssh timeout 90Router(Config)# ip ssh anthentication-retries 2Router(Config)# line vty 0 4Router(Config-line)# access-class 22 inRouter(Config-line)# transport input sshRou

13、ter(Config-line)# login localRouter(Config-line)# exit啟用SSH服務(wù),生成RSA密鑰對(duì)。Router(Config)# crypto key generate rsaChoose the size of the key modulus in the range of 360 to 2048 for your General Purpose keys .Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus512:

14、 2048 Generating RSA Keys. OKRouter#7 使用路由協(xié)議md5認(rèn)證Ø 對(duì)于網(wǎng)絡(luò)Router(Config)# router ospf 100Router(Config-router)# network .255 area 100啟用MD5認(rèn)證。area area-id authentication 啟用認(rèn)證,是明文密碼認(rèn)證。area area-id authentication message-digestRouter(Config-router)# area 100 authentication message-diges

15、tRouter(Config)# exitRouter(Config)# interface eth0/1啟用MD5密鑰Key為routerospfkey。ip ospf authentication-key key 啟用認(rèn)證密鑰,但會(huì)是明文傳輸。ip ospf message-digest-key key-id(1-255) md5 keyRouter(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey如果使用了RIP協(xié)議,也使用類似的命令進(jìn)行設(shè)置Router(Config)# key chain mykeychainname

16、Router(Config-keychain)# key 1Router(Config-leychain-key)# key-string MyFirstKeyStringRouter(Config-keyschain)# key 2Router(Config-keychain-key)# key-string MySecondKeyString!注意使用version 2的RIP。Router(Config)# router ripRouter(Config-router)# version 2Router(Config)# interface eth0/1Router(Config-if)

17、# ip rip authentication mode md5Router(Config-if)# ip rip anthentication key-chain mykeychainname8 網(wǎng)絡(luò)設(shè)備日志Ø 確保網(wǎng)絡(luò)設(shè)備開啟日志功能。若設(shè)備沒有足夠的空間,需要將日志傳送到日志服務(wù)器上保存(可選)Ø 若邊界路由器未配合防火墻、IDS、Sniffer等技術(shù)使用,必須支持詳盡的日志信息;Ø 在日志文件中需要記錄登錄過該設(shè)備的用戶名、時(shí)間和所作的命令操作等詳細(xì)信息,為發(fā)現(xiàn)潛在攻擊者的不良行為提供有力依據(jù);Ø 確保啟用控制列表的日志功能。Router(con

18、fig)# logging onRouter(config)# logging .200Router(config)# logging bufferedRouter(config)# logging console criticalRouter(config)# logging trap debuggingRouter(config)# logging facility local7Ø 確保配置日志的時(shí)間信息: (可選)Router(config)#service timestamps log datetime localtime show-timezone Router(confi

19、g)#clock timezone EST 8 Router(config)#clock summer-time EDT recurring Router(config)#ntp source Ethernet0/1 Router(config)#ntp server XXX.XXX.XXX.XXX Router(config)#ntp server XXX.XXX.XXX.XXX 9 SNMPØ 盡可能的禁用SNMP ;Ø 對(duì)于支持SNMP,提供網(wǎng)管功能的設(shè)備,必須確保MIB庫的讀寫密碼必須設(shè)定為非缺省值,同時(shí),允許對(duì)MIB庫進(jìn)行讀寫操作的主機(jī)也可通過ACL設(shè)置限定在指定網(wǎng)段范圍內(nèi);Ø 確保使用SNMP 版本2 ,因?yàn)镾NMP V2使用了較強(qiáng)的MD5認(rèn)證技術(shù);Ø 必須確保MIB庫的讀寫密碼(Community String Password)必須設(shè)定為非缺省值(Public and Priva

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論