Cisco路由器安全配置基線

1、Cisco路由器安全配置基線中國移動通信有限公司管理信息系統(tǒng)部2012年04月版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年1月V2.0更新2012年4月備注：1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。TOC o 1-5 h z HYPERLINK l bookmark2 第1章概述1目的1適用范圍1適用版本1實施1例外條款1 HYPERLINK l bookmark4 第2章帳號管理、認證授權安全要求2 HYPERLINK l bookmark6 帳號管理2 HYPERLINK l bookmark8 用戶帳號分配*2. HYPERLINK l b

2、ookmark10 刪除無關的帳號*3. HYPERLINK l bookmark12 限制具備管理員權限的用戶遠程登錄*4.口令5 HYPERLINK l bookmark14 靜態(tài)口令以密文形式存放5. HYPERLINK l bookmark16 帳號、口令和授權6. HYPERLINK l bookmark18 密碼復雜度7.授權8 HYPERLINK l bookmark20 用IP協(xié)議進行遠程維護的設備使用SH等加密協(xié)議8 HYPERLINK l bookmark22 第3章日志安全要求11 HYPERLINK l bookmark24 日志安全11 HYPERLINK l boo

3、kmark26 對用戶登錄進行記錄1.1. HYPERLINK l bookmark28 記錄用戶對設備的操作1.2. HYPERLINK l bookmark30 開啟NTP服務保證記錄的時間的準確性1.3 HYPERLINK l bookmark32 遠程日志功能*1.4. HYPERLINK l bookmark34 第4章IP協(xié)議安全要求17 HYPERLINK l bookmark36 IP協(xié)議17 HYPERLINK l bookmark38 配置路由器防止地址欺騙1.7. HYPERLINK l bookmark40 系統(tǒng)遠程服務只允許特定地址訪問1.9 HYPERLINK l

4、bookmark42 過濾已知攻擊2.0.功能配置21功能禁用*2.1. HYPERLINK l bookmark44 啟用協(xié)議的認證加密功能*2.3. HYPERLINK l bookmark46 啟用路由協(xié)議認證功能*2.4. HYPERLINK l bookmark48 防止路由風暴2.6. HYPERLINK l bookmark50 防止非法路由注入2.7. HYPERLINK l bookmark52 SNMP的Community默認通行字口令強度28 HYPERLINK l bookmark54 只與特定主機進行SNMP協(xié)議交互29 HYPERLINK l bookmark56

5、配置SNMPV2或以上版本30 HYPERLINK l bookmark58 關閉未使用的SNMP協(xié)議及未使用RW權限31 HYPERLINK l bookmark60 LDP協(xié)議認證功能3L HYPERLINK l bookmark62 第5章其他安全要求33其他安全配置33關閉未使用的接口3.3. HYPERLINK l bookmark67 修改路由缺省器缺省BANNER語34 HYPERLINK l bookmark69 配置定時賬戶自動登出3.4. HYPERLINK l bookmark71 配置consol口密碼保護功能36 HYPERLINK l bookmark73 關閉不必

6、要的網絡服務或功能3.7 HYPERLINK l bookmark75 端口與實際應用相符3.8. HYPERLINK l bookmark77 第6章評審與修訂40第1章概述1.1目的本文檔規(guī)定了中國移動管理信息系統(tǒng)部所維護管理的Cisco路由器應當遵循的設備安全性設置標準，本文檔旨在指導系統(tǒng)管理人員進行Cisco路由器的安全配置。適用范圍本配置標準的使用者包括：網絡管理員、網絡安全管理員、網絡監(jiān)控人員。本配置標準適用的范圍包括：中國移動總部和各省公司信息化部門維護管理的Cisco路由器。適用版本Cisco路由器。實施本標準的解釋權和修改權屬于中國移動集團管理信息系統(tǒng)部，在本標準的執(zhí)行過程中

7、若有任何疑問或建議，應及時反饋。本標準發(fā)布之日起生效。例外條款欲申請本標準的例外條款，申請人必須準備書面申請文件，說明業(yè)務需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進行審批備案。第2章帳號管理、認證授權安全要求帳號管理用戶帳號分配*安全基線項目名稱用戶帳號分配安全基線要求項安全基線編號SBL-CiscoRouter-02-01-01安全基線項說明應按照用戶分配帳號。避免不同用戶間共享帳號。避免用戶帳號和設備間通信使用的帳號共享。檢測操作步驟.參考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.R

8、outer(config)#servicepassword-encryptionRouter(config)#usernameruser1password3d-zirc0niaRouter(config)#usernameruser1privilege1Router(config)#usernameruser2password2B-or-3BRouter(config)#usernameruser2privilege1Router(config)#endRouter#.補充操作說明基線符合性判定依據(jù).判定條件.配置文件中，存在不同的帳號分配.網絡管理員確認用戶與帳號分配關系明確.檢測操作使用s

9、howrunning-config命令，如下例：router#showrunning-configBuildingconfiguration.Currentconfiguration:!servicepassword-encryptionusernameruseripassword3dzirc0niausernameruseriprivilege1usernameruser2password2Bor3Busernameruser2privilege13.補充說明使用共享帳號容易造成職責不清備注需要手工檢查，由管理員確認帳號分配關系。2.1.2刪除無關的帳號*安全基線項目名稱無關的帳號安全基線要

10、求項安全基線編號SBL-CiscoRouter-02-01-02安全基線項說明應刪除與設備運行、維護等工作無關的帳號。檢測操作步驟.參考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#nousernameruser3.補充操作說明基線符合性判定依據(jù).判定條件.配置文件存在多帳號.網絡管理員確認所有帳號與設備運行、維護等工作有關.檢測操作使用showrunning-config命令，如下例：router#showrunning-configBuildingconfigurat

11、ion.Currentconfiguration:!usernameuseriprivilege1passwordpasswordiusernamenobodyuseprivilege1passwordpasswordi.補充說明刪除不用的帳號，避免被利用備注需要手工檢查，由管理員判斷是否存在無關帳號備注備注需要手工檢查，由管理員判斷是否存在無關帳號2.1.3限制具備管理員權限的用戶遠程登錄*安全基線項目名稱限制具備管理員權限的用戶遠程登錄安全基線要求項安全基線編號SBL-CiscoRouter-02-01-03安全基線項說明限制具備管理員權限的用戶遠程登錄。遠程執(zhí)行管理員權限操作，應先以普通

12、權限用戶遠程登錄后，再通過enable命令進入相應級別再后執(zhí)行相應操作。檢測操作步驟.參考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#linevty04Router(config-line)#login

13、localRouter(config-line)#exec-timeout50Router(config-line)#end.補充操作說明設定帳號密碼加密保存創(chuàng)建normaluser帳號并指定權限級別為1；設定遠程登錄啟用路由器帳號驗證；設定超時時間為5分鐘；基線符合性判定依據(jù).判定條件VTY使用用戶名和密碼的方式進行連接驗證2、帳號權限級別較低，例如：I.檢測操作使用showrunning-config命令，如下例：router#showrunning-configBuildingconfiguration.Currentconfiguration:!servicepassword-encr

14、yptionusernamenormaluserpassword3d-zirc0niausernamenormaluserprivilege1linevty04loginlocal3.補充說明會導致遠程攻擊者通過黑客工具猜解帳號口令備注根據(jù)業(yè)務場景，自動化系統(tǒng)如果無法實現(xiàn)可不選此項，人工登錄操作需要遵守此項規(guī)范。口令靜態(tài)口令以密文形式存放安全基線項目名稱靜態(tài)口令安全基線要求項安全基線編號SBL-CiscoRouter-02-02-01安全基線項說明靜態(tài)口令必須使用不可逆加密算法加密，以密文形式存放。如使用enablesecret配置Enable密碼，不使用enablepassword配置Ena

15、ble密碼。檢測操作步驟.參考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#enablesecret2-mAny-rOUtEsRouter(config)#noenablepasswordRouter(config)#end.補充操作說明基線符合性判定依據(jù).判定條件配置文件無明文密碼字段.檢測操作使用showrunning-config命令，如下例：router#showrunning-co

16、nfigBuildingconfiguration.Currentconfiguration:!servicepassword-encryptionenablesecret5$1oxphetTb$rTsF$EdvjtWbi0qA2gusernameciscoadminpassword7Wbi0qA1$rTsF$Edvjt2gpvyhetTb3.補充說明如果不加密，使用showrunning-config命令,可以看到未加密的密碼備注帳號、口令和授權安全基線項目名稱帳號、口令和授權安全基線要求項安全基線編號SBL-CiscoRouter-02-02-02安全基線項說明設備通過相關參數(shù)配置，與認證

17、系統(tǒng)聯(lián)動，滿足帳號、口令和授權的強制要求。檢測操作步驟.參考配置操作Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaauthenticationlogindefaultgrouptacacs+Router(config)#aaaauthenticationenabledefaultgrouptacacs+Router(config)#tacacs-serverhost8Router(config)#ta

18、cacs-serverkeyIr31yh8n#w9swDRouter(config)#endRouter#.補充操作說明與外部TACACS+server8聯(lián)動，遠程登錄使用TACACS+serverya驗證基線符合性判定依據(jù).判定條件帳號、口令配置，指定了認證系統(tǒng).檢測操作使用showrunning-config命令，如下例：router#showrunning-configBuildingconfiguration.Currentconfiguration:!aaanew-modelaaaauthenticationlogindefaultgrouptacacs+aaaauthenticat

19、ionenabledefaultgrouptacacs+tacacs-serverhost8tacacs-serverkeyIr31yh8n#w9swD補充說明備注2.2.3密碼復雜度安全基線項目名稱密碼復雜度安全基線要求項安全基線編號SBL-CiscoRouter-02-02-03安全基線項說明對于采用靜態(tài)口令認證技術的設備，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內不得設置相同的口令。密碼應至少每90天進行更換。檢測操作步驟.參考配置操作Router#configureterminalEnterconfigurationcommands,onepe

20、rline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaauthenticationlogindefaultgrouptacacs+Router(config)#aaaauthenticationenabledefaultgrouptacacs+Router(config)#tacacs-serverhost8Router(config)#tacacs-serverkeyIr31yh8n#w9swDRouter(config)#endRouter#.補充操作說明與外部TACACS+server8聯(lián)動，遠程登錄使用TACA

21、CS+serverya驗證；口令強度由TACACS+server控制基線符合性判定依據(jù)備注2.3授權2.3.1用IP協(xié)議進行遠程維護的設備使用SSH等加密協(xié)議安全基線項目名稱IP協(xié)議進行遠程維護的設備安全基線要求項安全基線編號SBL-CiscoRouter-02-03-01安全基線項說明對于使用IP協(xié)議進行遠程維護的設備，設備應配置使用SSH等加密協(xié)議。檢測操作步驟.參考配置操作.配置主機名和域名router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.router(config)#hostnameRouterRoute

22、r(config)#ipdomain-nameRouter.domain-name.配置訪問控制列表Router(config)#noaccess-list12Router(config)#access-list12permithost00Router(config)#linevty04Router(config-line)#access-class12inRouter(config-line)#exit.配置帳號和連接超時Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-z

23、irc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#linevty04Router(config-line)#loginlocalRouter(config-line)#exec-timeout50.生成rsa密鑰對Router(config)#cryptokeygeneratersaThenameforthekeyswillbe:Router.domain-nameChoosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.C

24、hoosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus512:2048GeneratingRSAKeys.OK.配置僅允許ssh遠程登錄Router(config)#linevty04Router(config-line)#transportinputsshRouter(config-line)#exitRouter(config)#2.補充操作說明配置描述：.配置ssh要求路由器已經存在主機名和域名.配置訪問控制列表，僅授權00訪問00ssh.配置遠程訪問里連接超時.生成rsa密鑰對，如果已經存在可

25、以使用以前的。默認存在”密鑰對sshd就啟用，不存在密鑰對sshd就停用。.配置遠程訪問協(xié)議為ssh基線符合性判定依據(jù).判定條件.存在”密鑰對.遠程登錄指定ssh協(xié)議.檢測操作.使用showcryptokeymypubkeyrsa命令，如下例：Router(config)#showcryptokeymypubkeyrsa%Keypairwasgeneratedat:06:07:49UTCJan131996Keyname:Usage:SignatureKeyKeyData:005C300D06092A864886F70D0101010500034B003048024100C5E23B55D6AB

26、2204AEF1BAA54028A69ACC01C5129D99E464CAB820847EDAD9DF0B4E4c73A05DD2BD62A8A9FA603DD2E2A8A6F898F76E28D58AD221B583D7A4710203010001%Keypairwasgeneratedat:06:07:50UTCJan131996Keyname:Usage:EncryptionKeyKeyData:003020174A7D385B1234EF29335FC9732DD50A37C4F4B0FD9DADE748429618D518242BA32EDFBDD34296142ADDF7D3D8

27、084076852F2190A00B43F1BD9A8A26DB07953829791FCDE9A98420F06A82045B90288A26DBC644687789F76EEE21.使用showrunning-config命令，如下例：router#showrunning-configBuildingconfiguration.Currentconfiguration:!linevty04transportinputssh3.補充說明使用非加密協(xié)議在傳輸過程中容易被截獲口令備注第3章日志安全要求日志安全對用戶登錄進行記錄安全基線項目名稱用戶登錄進行記錄安全基線要求項安全基線編號SBL-Ci

28、scoRouter-03-01-01安全基線項說明與記賬服務器（如RADIUS服務器或TACACS服務器）配合，設備應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的帳號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。檢測操作步驟.參考配置操作Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaaccountingconnectiondefaultstart-stopgroupta

29、cacs+Router(config)#aaaaccountingexecdefaultstart-stopgrouptacacs+Router(config)#endRouter1#.補充操作說明使用TACACS+server基線符合性判定依據(jù).判定條件配置了AAA模板的上述具體條目.檢測操作使用showrunning-config命令，如下例：router1#showrunn|includeaaaBuildingconfiguration.Currentconfiguration:!aaanew-modelaaaauthenticationlogindefaultgrouptacacs+a

30、aaauthorizationexecdefaultgrouptacacs+aaasession-idcommon補充說明備注3.1.2記錄用戶對設備的操作安全基線項目名稱用戶對設備記錄安全基線要求項安全基線編號SBL-CiscoRouter-03-01-02安全基線項說明與記賬服務器（如TACACS服務器）配合，設備應配置日志功能，記錄用戶對設備的操作，如帳號創(chuàng)建、刪除和權限修改，口令修改，讀取和修改設備配置，讀取和修改業(yè)務用戶的話費數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄需要包含用戶帳號，操作時間，操作內容以及操作結果。檢測操作步驟.參考配置操作Router#configuretermina

31、lEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaaccountingcommands1defaultstart-stopgrouptacacs+Router(config)#aaaaccountingcommands15defaultstart-stopgrouptacacs+Router(config)#endRouter1#.補充操作說明使用TACACS+server基線符合性判定依據(jù)L判定條件配置了AAA模板的上述具體條目2.檢測操作使用sh

32、owrunning-config命令，如下例：router1#showrunn|includeaaaBuildingconfiguration.Currentconfiguration:!aaanew-modelaaaaccountingcommands1defaultstart-stopgrouptacacs+aaaaccountingcommands15defaultstart-stopgrouptacacs+補充說明備注3.1.3開啟NTP服務保證記錄的時間的準確性安全基線項目名稱記錄的時間的準確性安全基線要求項安全基線編號SBL-CiscoRouter-03-01-03安全基線項說明開

33、啟NTP服務，保證日志功能記錄的時間的準確性。檢測操作步驟.參考配置操作配置命令如下：Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfaceeth0/0Router(config-if)#nontpdisableRouter(config-if)#exitRouter(config)#ntpserversourceloopback。Router(config)#exit.補充操作說明需要到每個端口開啟NTP基線符合性判定依據(jù).判定條件.存在ntpserver配置條目.日

34、志記錄時間準確.檢測操作.使用showrunning-config命令，如下例：router#showrunning-configBuildingconfiguration.Currentconfiguration:!nontpdisablentpupdate-calendarntpserverntpserverII.showlogging|includeNTP000019:Jan2910:57:52.633EST:%NTP-5-PEERSYNC:NTPsyncedtopee000020:Jan2910:57:52.637EST:%NTP-6-PEERREACH:Peerisreachable

35、3.補充說明日志時間不準確導致安全事件定位的不準確備注3.1.4遠程日志功能*安全基線項目名稱遠程日志功能安全基線要求項安全基線編號SBL-CiscoRouter-03-01-04安全基線項說明設備應支持遠程日志功能。所有設備日志均能通過遠程日志功能傳輸?shù)饺罩痉掌?。設備應支持至少一種通用的遠程標準日志接口，如SYSLOG、FTP等。檢測操作步驟.參考配置操作路由器側配置：Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/ZRouter(config)#loggingonRouter(config)#loggingt

36、rapinformationRouter(config)#logging00Router(config)#loggingfacilitylocal6Router(config)#loggingsource-interfaceloopback。Router(config)#exitRouter#showloggingSysloglogging:enabled(0messagesdropped,11flushes,0overruns)Consolelogging:levelnotifications,35messagesloggedMonitorlogging:leveldebugging,35m

37、essagesloggedBufferlogging:levelinformational,31messagesloggedLoggingto00,28messagelineslogged.Router#.補充操作說明I.假設把router日志存儲在00的syslog服務器上路由器側配置描述如下：啟用日志記錄日志級別設定“information”記錄日志類型設定“l(fā)ocal6”日志發(fā)送到00日志發(fā)送源是loopback。配置完成可以使用“showlogging”驗證服務器側配置參考如下：Syslog服務器配置參考：在Syslog.conf上增加一行#Saveroutermessagestoro

38、uters.loglocal6.debug/var/log/routers.log創(chuàng)建日志文件#touch/var/log/routers.logII.如果使用snmp存儲日志參考配置如下：Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#loggingtrapinformationRouter(config)#snmp-serverhost00trapspublicRouter(config)#snmp-servertrap-sourceloopback0Router(config

39、)#snmp-serverenabletrapssyslogRouter(config)#exit基線符合性判定依據(jù).判定條件Sysloglogging和SNMPlogging至少有一個為“enabled”Loggingto后面的主機名或IP指向日志服務器通常記錄日志數(shù)不為0.檢測操作使用showlogging命令，如下例：Router#showloggingSysloglogging:enabledConsolelogging:disabledMonitorlogging:leveldebugging,266messageslogged.Traplogging:levelinformatio

40、nal,266messageslogged.Loggingto38SNMPlogging:disabled,retransmissionafter30seconds0messagesloggedRouter#3.補充說明備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。建議核心設備必選，其它根據(jù)實際情況啟用第4章IP協(xié)議安全要求4.1IP協(xié)議4.1.1配置路由器防止地址欺騙安全基線項目名稱配置路由器防止地址欺騙安全基線要求項安全基線編號SBL-CiscoRouter-04-01-01安全基線項說明配置路由器，防止地址欺騙。檢測操作步驟1.參考配置操作對向內流量配置：Router(

41、config)#noaccess-list100Router(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#acc

42、ess-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyiphost55anylogRouter(config)#access-list100permitipany55Router(config)#access-list100denyipanyanylogRouter(config)#interfaceeth0Router(config-if)#descriptio

43、nExternalinterfaceto192.168.0./16netRouter(config-if)#ipaddress0Router(config-if)#ipaccess-group100inRouter(config-if)#exitRouter(config)#interfaceethlRouter(config-if)#descriptionInternalinterfaceto/24netRouter(config-if)#ipaddress50Router(config-if)#end對向外流量配置：Router(config)#noaccess-list102Router

44、(config)#access-list102permitip55anyRouter(config)#access-list102denyipanyanylogRouter(config)#interfaceeth0/1Router(config-if)#descriptioninternalinterfaceRouter(config-if)#ipaddress50Router(config-if)#ipaccess-group102in2.補充操作說明假設內部網絡是基線符合性判定依據(jù).判定條件各接口只轉發(fā)屬于自己ip范圍內的源地址數(shù)據(jù)包流出.檢測操作使用showrunning-config

45、命令，如下例：router#showrunning-configaccess-list10denyip55anylogaccess-list10denyip55anylogintf1/1descriptiontheoutsideinterfaceofpermeterrouteripaccess-group10inaccess-list11permitip55anyaccess-list11denyipanyanyloginterfaces1/1descriptioninsideinterfaceofperimeterrouteripaddress54ipaccess-group11in.補充說

46、明地址欺騙可以造成內部網絡的混亂，讓某些被欺騙的計算機無法正常訪問內外網，讓網關無法和客戶端正常通信。備注4.1.2系統(tǒng)遠程服務只允許特定地址訪問安全基線項目名稱系統(tǒng)遠程服務只允許特定地址訪問安全基線要求項安全基線編號SBL-CiscoRouter-04-01-02安全基線項說明路由器以UDP/TCP協(xié)議對外提供服務，供外部主機進行訪問，如作為NTP服務器、TELNET服務器、TFTP服務器、FTP服務器、SSH服務器等，應配置路由器，只允許特定主機訪問。檢測操作步驟.參考配置操作例如：要配置允許目的為的所有DNS訪問流量Router(config)#noaccess-list140Route

47、r(config)#access-list140permitudpanyhosteq53Router(config)#access-list140denyudpanyanylog例如：要配置僅允許00訪問路由器Router(config)#noaccess-list12Router(config)#access-list12permithost00.補充操作說明基線符合性判定依據(jù).判定條件相關服務存在access綁定.檢測操作使用showrunning-config命令，如下例：router#showrunning-config！telnet、ssh服務器linevty04loginlocal

48、access-class2inexec-timeout100exit！NTP服務器access-list1permit55ntpaccess-groupquery-only1！ftp、tftp服務器ipftpsource-interfacefastEthernet0/0iptftpsource-interfacefastEthernet0/03.補充說明對不信任的主機開啟NTP、FTP等服務，會加大設備的危險備注4.1.3過濾已知攻擊安全基線項目名稱過濾已知攻擊安全基線要求項安全基線編號SBL-CiscoRouter-04-01-03安全基線項說明過濾已知攻擊：在網絡邊界，設置安全訪問控制，過

49、濾掉已知安全攻擊數(shù)據(jù)包，例如udp1434端口（防止SQLslammer蠕蟲）、tcp445,5800,5900（防止Della蠕蟲）。檢測操作步驟1.參考配置操作屏蔽常見的漏洞端口1433、4444,tftpUDP69,135,137,138,139,445,593,1434，5000，5554，5800,5900,6667,9996等：Router(config)#noaccess-list102Router(config)#access-list102denytcpanyanyeq445logRouter(config)#access-list102denytcpanyanyeq5800

50、logRouter(config)#access-list102denytcpanyanyeq5900logRouter(config)#access-list102denyudpanyanyeq1434logRouter(config)#access-list102denyudpdestination-porteqtftplogRouter(config)#access-list102denytcpdestination-porteq135logRouter(config)#access-list102denyudpdestination-porteq137logRouter(config)

51、#access-list102denyudpdestination-porteq138logRouter(config)#access-list102denytcpdestination-porteq139logRouter(config)#access-list102denyudpdestination-porteqnetbios-ssnlogRouter(config)#access-list102denytcpdestination-porteq539logRouter(config)#access-list102denyudpdestination-porteq539logRouter

52、(config)#access-list102denytcpdestination-porteq593log2.補充操作說明基線符合性判定依據(jù)1.判定條件存在類似acl，拒絕上述端口.檢測操作使用showrunning-config命令，如下例：router#showrunning-configaccess-list102access-list102denytcpanyanyeq445logaccess-list102denytcpanyanyeq5800logaccess-list102denytcpanyanyeq5900logaccess-list102denyudpanyanyeq14

53、34log.補充說明如果不進行上述設置將導致遠程攻擊者對部分常見應用發(fā)功攻擊.或病毒感染備注4.2功能配置4.2.1功能禁用*安全基線項目名稱功能禁用安全基線要求項安全基線編號SBL-CiscoRouter-04-02-01安全基線項說明功能禁用檢測操作步驟.參考配置操作.禁用IP源路由Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#noipsource-route.禁用PROXYARPRouter#configtEnterconfigurationcommands,oneperl

54、ine.EndwithCNTL/Z.Router(config)#interfaceeth0/0Router(config-if)#noipproxy-arpRouter(config-if)#exitRouter(config)#interfaceeth0/1Router(config-if)#noipproxy-arpRouter(config-if)#exitRouter(config)#interfaceeth0/2Router(config-if)#noipproxy-arpRouter(config-if)#exitRouter(config)#interfaceeth0/3Rou

55、ter(config-if)#noipproxy-arpRouter(config-if)#end.禁用直播功能Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfaceeth0/0Router(config-if)#noipdirected-broadcastRouter(config-if)#end.禁用IP重定向Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config

56、)#interfaceeth0/0Router(config-if)#noipredirectsRouter(config-if)#end.禁用IP掩碼響應Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfaceeth0/0Router(config-if)#noipmask-replyRouter(config-if)#end2.補充操作說明基線符合性判定依據(jù).判定條件上述條目，在相應版本IOS中是“no”掉的.檢測操作.禁用IP源路由noipsource-route.

57、禁用PROXYARPints0/0noipproxy-arpIII.禁用直播功能，12.0之后默認ints0noipdirected-broadcast.禁用IP重定向ints0noipunreachablenoipredirects.禁用IP掩碼響應noipmask-repy3.補充說明備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。4.2.2啟用協(xié)議的認證加密功能*安全基線項目名稱啟用協(xié)議的認證加密功能安全基線要求項安全基線編號SBL-CiscoRouter-04-02-02安全基線項說明啟用協(xié)議的認證，加密功能設備與RADIUS服務器、TACACS服務器、NTP服務器、S

58、NMPV2或V3主機等支持認證加密功能的主機進行通信時，盡可能啟用協(xié)議的認證加密功能，保證通信安全。檢測操作步驟.參考配置操作TACACS服務器：Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#tacacs-serverhost8Router(config)#tacacs-serverkeyIr31yh8n#w9swDRouter(config)#endRouter#RADIUS服務器：Router#configureterminalEnterconfigura

59、tioncommands,oneperline.EndwithCNTL/Z.Router(config)#radius-serverhost8Router(config)#radius-serverkeyi*Ma5inu9p#s5wD.補充操作說明啟用TACACS服務器、RADIUS服務器認證基線符合性判定依據(jù).判定條件.指定了服務器.設定了認證key.檢測操作使用showrunning-config命令，如下例：router#showrunning-config！TACACS服務器：tacacs-serverhost8acacs-serverkeyIr31yh8n#w9swD！RADIUS服

60、務器：radius-serverhost8radius-serverkeyi*Ma5inu9p#s5wD.補充說明備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。4.2.3啟用路由協(xié)議認證功能*安全基線項目名稱啟用路由協(xié)議認證功能安全基線要求項安全基線編號SBL-CiscoRouter-04-02-03安全基線項說明啟用動態(tài)IGP（RIPV2、OSPF、ISIS等）或EGP（BGP）協(xié)議時，啟用路由協(xié)議認證功能，如皿5加密，確保與可信方進行路由協(xié)議交互。檢測操作步1.參考配置操作驟I,配置Router1和Router2間Ospf啟用MD5驗證Router1配置：Router1#