網(wǎng)絡設備安全配置規(guī)范

網(wǎng)絡設備安全配置規(guī)范CISCO路由器及基于CISCOIOS的三層交換模塊部分目錄TOC\o"1-3"\h\z第一部分設備的安全機制 81 訪問控制 82 數(shù)據(jù)加密 83 日志問題 84 防攻擊能力 9第二部分設備安全配置建議 101 訪問控制列表及其管理 101.1 訪問控制列表特性 101.2 訪問控制列表應用 101.3 實施原則 123 網(wǎng)管及認證問題 223.1 遠程登錄 223.1.1 遠程登錄的原則 223.1.2 啟用SSH服務 223.1.3 登錄空閑時間 233.1.4 登錄嘗試次數(shù) 243.1.5 并發(fā)登錄個數(shù) 243.1.6 采用訪問列表嚴格控制訪問的地址 243.2 帳號和密碼管理 253.3 帳號認證和授權(quán) 263.3.1 本機認證和授權(quán) 263.3.2 AAA認證 263.3.3 RADIUS認證方式 263.3.4 TACACS+認證方式 27第一部分設備的安全機制該部分內(nèi)容對Cisco路由器和基于CiscoIOS的交換機及其三層處理模塊自身的安全機制進行簡單描述，對每種安全機制可以解決什么問題進行闡述。訪問控制Cisco設備具有強大的訪問控制能力，具體如下：可以實現(xiàn)對遠程登錄并發(fā)個數(shù)和空閑時長的限制；支持使用SSH代替Telnet，并提供ACL對用戶登陸進行嚴格控制；支持AAA認證和授權(quán)；支持snmp管理認證、限制TRAP主機，修改TRAP端口等；路由協(xié)議的認證支持RIP、OSPF和BGPMD5認證，同時也支持密碼明文認證；數(shù)據(jù)加密 CISCO設備的數(shù)據(jù)加密能力主要有：支持SSH替代Telnet,可以在網(wǎng)絡中傳遞加密的用戶名和密碼；對于enable密碼，使用加密的enablesecret,并且密碼可以通過servicepassword-encryption命令，進行密碼加密；提供Cisco加密技術(shù)（CET）；IPSec技術(shù)實現(xiàn)數(shù)據(jù)傳輸?shù)募用芗夹g(shù)。日志問題Cisco設備將LOG信息分成八個級別，由低到高分別為debugging、informational、notifications、warnings、errors、critical、alerts、emergencies?？梢栽O置將一定級別的LOG消息通過SYSLOG、SNMPTRAP傳遞給SERVER長期保存，對SERVER的地址可以進行嚴格控制。防攻擊能力Cisco設備的防攻擊能力主要體現(xiàn)如下：可以通過對Q0S技術(shù)的配置，起到自身的防護的能力，它支持排隊技術(shù)、CAR和GTS等；結(jié)合強大的ACL命令，用于自身以及網(wǎng)絡的防攻擊，支持標準訪問控制列表、擴展的訪問控制列表、動態(tài)訪問列表、自反訪問列表、基于時間的訪問控制列表、基于上下文的訪問控制列表，從而保證了強大的防攻擊能力；支持黑洞路由；支持源路由檢查。對QOS屬性的說明如下：Cisco設備通過配置QOS屬性具有一定的自動攻擊檢測和防范機制。如排隊技術(shù)、CAR、GTS，都通過對網(wǎng)絡流量控制，在一定程度上實現(xiàn)對攻擊的防護。排隊技術(shù)允許用戶按照報文優(yōu)先級的順序，定義報文從接口發(fā)送的順序，從而控制路由器接口的擁塞。這樣我們可以對已經(jīng)明確的安全流量設置高優(yōu)先級，讓這些流量優(yōu)先通過，而丟棄低優(yōu)先級流量，在一定程度上丟棄了一些攻擊包；CAR是CommittedAccessRate的簡寫，意思是：承諾訪問速率，允許某一設備嚴格地限制流入或流出某一接口流量數(shù)量的一種技術(shù)。CAR軟件確保只有指定數(shù)量的流量被發(fā)送或接收，而其他的流量會被丟棄。流量整形技術(shù)GTS，與CAR技術(shù)相似，都是通過定義參數(shù)來對流量分類，并按這些分類來管理流量。區(qū)別在于整形試圖緩沖流量，并盡可能以不丟棄報文的方式傳送它們。和CAR一樣，可以定義平均位速率、一個正常突發(fā)率和一個異常突發(fā)率值。與CAR不同，流量整形只用在路由器接口的輸出流量上。

第二部分設備安全配置建議設備安全配置建議是本規(guī)范重要的一個部分，該部分將對Cisco路由器和基于CiscoIOS的交換機及其三層處理模塊安全配置的細節(jié)進行描述，并對配置適用的網(wǎng)絡層次、對設備性能的影響和配置實施的注意點進行詳細說明。訪問控制列表及其管理訪問控制列表特性訪問列表是網(wǎng)絡防御的前沿陣地，Cisco設備支持兩種類型的訪問控制列表：標準訪問列表和擴展訪問列表。標準訪問控制列表控制基于網(wǎng)絡地址的信息流，其分配的ACL號為1-99和1300-1999；擴展訪問列表通過網(wǎng)絡地址和傳輸中的數(shù)據(jù)類型進行信息流的控制,其分配的ACL號為100-199和2000-2699。在IOS版本12.0及其以上版本，可以使用命名的訪問表，它允許用戶為訪問表定義名稱。這類訪問表建立之后，用戶可以刪除訪問表的某個表項，而不會導致對整個訪問表的刪除。但附加的表項仍然是增加到訪問表的最后。對于路由器接口，一個訪問表必須在創(chuàng)建之后應用到某個接口上，它才能產(chǎn)生作用。因為通過接口的數(shù)據(jù)流是雙向的，所以訪問表要應用到接口的特定方向上，向外的方向或者向內(nèi)的方向。CISCO設備對于不匹配任何表項的數(shù)據(jù)包，默認是拒絕其通過的操作。訪問控制列表應用Cisco訪問控制列表提供如下應用：標準的訪問表：只允許過濾源地址，且功能十分有限。建立標準IP訪問列表有兩種方式，編號方式和命名方式。擴展訪問列表,：用于擴展報文過濾能力,一個擴展的IP訪問表允許用戶根據(jù)如下內(nèi)容過濾報文：源和目的地址、協(xié)議、源和目的端口以及在特定報文字段中允許進行特殊位比較的各種選項。它的建立也支持編號方式和命名方式。動態(tài)訪問表（lock-and-key）：能夠創(chuàng)建動態(tài)訪問表項的訪問表。傳統(tǒng)的標準訪問表和擴展的訪問表不能創(chuàng)建動態(tài)訪問表項。一旦在傳統(tǒng)訪問表中加入了一個表項，除非手工刪除，該表項將一直產(chǎn)生作用。而在動態(tài)訪問表中，可以根據(jù)用戶認證過程來創(chuàng)建特定的、臨時的訪問表。其工作方式是，用戶開啟一個到路由器的telnet會話，在用戶被認證之后，路由器關(guān)閉telnet會話，并將一個動態(tài)訪問表項置于某個訪問表中，以允許源地址為認證用戶工作站地址的報文通過。在訪問超過空閑超時或最大超時設定時，臨時的訪問入口會被動態(tài)地刪除。使用動態(tài)訪問列表必須是擴展訪問列表。基于時間的訪問表：傳統(tǒng)的訪問表存在一個缺陷，一旦訪問表應用到某個接口，如果不刪除，它們就一直保持有效。這樣，如果希望根據(jù)某一天的不同時間、某一星期的不同天來實現(xiàn)不同的規(guī)則和策略，用戶就必須刪除當前的訪問表，然后創(chuàng)建新的訪問表。使用基于時間的訪問表可以實現(xiàn)根據(jù)一天中的不同時間，或者根據(jù)一星期中的不同天，或者二者的結(jié)合，來控制對網(wǎng)絡資源的訪問。值得注意的是，Cisco7500系列路由器不支持該功能。自反訪問表：是擴展的IP命名訪問表的一個重要的功能特性，自反訪問表創(chuàng)建開啟表項并用于從路由器的不可信方（某個接口），在正常的操作模式下，這些開啟表項并沒有啟用，即從路由器不可信方的數(shù)據(jù)包不能通過路由器，只有當路由器的可信方向的數(shù)據(jù)包通過路由器與外部不可信設備創(chuàng)建一個會話后，這些開啟表項被觸發(fā)，路由器允許不可信方對應于該會話的返回包通過路由器，會話結(jié)束或者超時后，臨時的開啟表項入口被關(guān)閉。注意的是，自訪問列表只支持單通道的會話，對于那些在會話過程中改變所使用端口號的應用程序來說，自反訪問列表不能與之工作。如FTP是使用過程中改變端口號的TCP應用程序，如果使用自反訪問列表，則從可信方向不可信方發(fā)起的FTP請求將無法完成，必須使用被動FTP來取代它?；谏舷挛牡脑L問控制（Context-BasedAccessControl,CBAC）：工作方式類似于自反訪問表，它會檢查向外的會話，并且創(chuàng)建臨時開啟表項來允許返回的通信報文；其不同之處在于，自反訪問表表與傳統(tǒng)的訪問表一樣，不能檢測高于第4層的信息，并且只支持單通道的會話，CBAC克服了自反訪問列表的缺點，可以基于上層信息進行檢測，以及可以安全地處理多通道的應用，其支持的審查協(xié)議有FTP、H.323、Java、RealAudio、RPC、SMTP、SQL*Net、StreamWorks、TFTP、VDOLive。CBAC只檢查TCP或UDP報文。路由器只有安裝了CiscoSecureIntegratedSoftware（CSIS）才能使用CBAC功能，可以使用showversion命令中查看軟件，必須含有字母“O”，如IOS(tm)2500Software(C2500-JOS56I-L)，在版本12.0T中，CBAC可運用于2500、2600、3600、7100和7200系列的路由器平臺上。此外，Cisco的訪問控制列表還大量的應用于TCP攔截，Cisco加密技術(shù)（CET），IPSec技術(shù)以及各種QOS技術(shù)（如排隊技術(shù)、CAR、GTS），從而達到攻擊防護的目的，保護設備的安全。實施原則訪問控制列表的實施原則是：只允許合法的網(wǎng)管網(wǎng)段或網(wǎng)管和維護主機地址作為源地址發(fā)起對設備的遠程連接，如Telnet、SSH、Http、SNMP、Syslog等；只允許需要的協(xié)議端口能進入（如OSPF、BGP、RSVP等）；指定設備自身發(fā)包的源地址，如loopbackIP；同時只允許在設備間使用這些地址來互相遠程登錄；對ICMP數(shù)據(jù)包的限制對非法IP的限制除此之外所有以設備端口IP地址為目的地址數(shù)據(jù)包都被拒收。上述要求，部分在配置實例中說明，部分在后面的各主題中體現(xiàn)。但ACL的設置會可能對路由器設備性能造成影響，CISCO的ACL設置過多，設備性能會嚴重下降。對于不同設備，建議在實施ACL時，要獲取相關(guān)設備提供商的建議。需要強調(diào)的是，對網(wǎng)絡病毒和攻擊的防范，并不能單靠路由器或交換機來完成，應盡量保證受管理主機及時得到系統(tǒng)加固，從源頭上減少網(wǎng)絡病毒和攻擊發(fā)生的可能性。匯聚網(wǎng)絡或核心網(wǎng)絡中，每一條鏈路上都承載大量各種各樣的流量。在此對流量進行區(qū)分和過濾具有較大難度，也容易引發(fā)意外。而且也加大了匯聚設備或核心設備的處理壓力。建議ACL的設置應盡量往網(wǎng)絡邊緣靠，如在接入層設備和全網(wǎng)出口處。這樣能起到更好的防范效果，也包證了網(wǎng)絡的整體轉(zhuǎn)發(fā)效能不受影響。網(wǎng)管及認證問題遠程登錄一般而言網(wǎng)維人員都習慣使用CLI來進行設備配置和日常管理，常會使用Telnet來遠程登錄設備。大部分設備都提供標準的Telnet接口，開放TCP23端口。雖然Telnet在連接建立初期也需要核查帳號和密碼，但是此過程中，以及后續(xù)會話中，都是明文方式傳送所有數(shù)據(jù)，容易造竊聽而泄密。Telnet并不是一個安全的協(xié)議。建議采用SSH協(xié)議來取代Telnet進行設備的遠程登錄。SSH與Telnet一樣準門提供遠程連接手段。但是SSH傳送的數(shù)據(jù)（包括帳號和密碼）都會被加密，且密鑰會自動更新，極大提高了連接的安全性。SSH可以非常有效地防止竊聽、防止使用地址欺騙手段實施的連接嘗試。遠程登錄的原則如果不需要遠程登陸telnet服務，則禁止它。如支持SSH功能，則禁止telnet，開啟SSH?！具m用網(wǎng)絡層次】：在所有層面設備實施該建議【影響】：無法telnet網(wǎng)元設備【具體配置】：Router(Config)#nolinevty04啟用SSH服務【適用網(wǎng)絡層次】：在所有層面設備實施該建議【注意事項】：只有支持并帶有IPSec特征集的IOS才支持SSH。并且IOS12.0-IOS12.2僅支持SSH-V1【影響】：無【具體配置】：！生成RSA密鑰對Router(Config)#cryptokeygeneratersa

Thenameforthekeyswillbe:

Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneral

Purposekeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.

Howmanybitsinthemodulus[512]:2048

GeneratingRSAKeys...

[OK]！配置本地數(shù)據(jù)庫，用于SSH認證

Router(Config)#usernameBluShinprivilege10passwordG00dPa55w0rd!配置VTY登陸協(xié)議使用SSH，并使用本地數(shù)據(jù)庫認證，也可以使用其他認證方式，如AAARouter(Config)#linevty04

Router(Config-line)#transportinputssh

Router(Config-line)#loginlocal登錄空閑時間由于意外掉線或不良習慣，部分登錄連接長時間懸掛在設備上，造成安全隱患。如果懸空的登錄連接過多，會導致后續(xù)的登陸無法實施，影響對系統(tǒng)管理。要求設定登錄連接空閑時間限制，讓系統(tǒng)自動檢查當前連接是否長時間處于空閑狀態(tài)，若是則自動將其拆除。Timeout具體取值應視實際需要而定。建議設置為3分鐘左右。如果出于排障目的，需要長時間登錄設備檢查系統(tǒng)狀態(tài)，則需臨時延長或取消這項設置。【適用網(wǎng)絡層次】：在所有層面設備實施該建議【影響】：超時沒有操作，自動退出設備【具體配置】：！telnet配置Router(config)linevty04Router(config-line)#exec-time30！SSH配置Router(Config)#ipsshtimeout180登錄嘗試次數(shù)為了防止窮舉式密碼試探，要求設置登錄嘗試次數(shù)限制，建議次數(shù)為3次。當系統(tǒng)收到一個連接請求，若提供的帳號或密碼連續(xù)不能通過驗證的的次數(shù)超過設定值，就自動中斷該連接。【適用網(wǎng)絡層次】：在所有層面設備實施該建議【影響】：無【具體配置】：！配置SSH登陸嘗試次數(shù)為3次Router(Config)#ipsshanthentication-retries3并發(fā)登錄個數(shù)為了防止窮舉式密碼試探，要求設置并發(fā)登錄個數(shù)限制，建議次數(shù)為5次。該限制必須與上述的空閑時間限制一并使用，否則當收到此類攻擊時，將導致無法遠程登錄設備?！具m用網(wǎng)絡層次】：在所有層面設備實施該建議【影響】：將不能同時有超過限制數(shù)量的用戶登陸維護【具體配置】：！12.1版本以上支持Router(Config-line)#session-limit5采用訪問列表嚴格控制訪問的地址只允許合法的網(wǎng)管網(wǎng)段或網(wǎng)管和維護主機地址作為源地址發(fā)起對設備的遠程連接【適用網(wǎng)絡層次】：在所有層面設備實施該建議【影響】：只有網(wǎng)管網(wǎng)段才能登陸【具體配置】：Router(Config)#access-list22permitXX.XX.XX.XX

Router(Config)#access-list22denyanyRouter(Config)#linevty04

Router(Config-line)#access-class22in帳號和密碼管理建議應在日常維護過程中周期性地（至少按季度）更改登錄密碼，甚至登錄帳號。當外方人員需要登錄設備時，應創(chuàng)建臨時帳號，并指定合適的權(quán)限。臨時帳號使用完后應及時刪除。登錄帳號及密碼的保管和更新應由專人負責，并注意保密。帳號名字應該與使用者存在對應關(guān)系，如能反應使用者的級別、從屬關(guān)系。為了提高安全性，在方便記憶的前提下，帳號名字應盡量混用字符的大小寫、數(shù)字和符號，提高猜度的難度。同樣的，密碼必須至少使用四種可用字符類型中的三種：小寫字母、大寫字母、數(shù)字和符號，而且密碼不得包含用戶名或用戶全名的一部分。一般情況下密碼至少包含8個字符。我們建議用密碼生成器軟件（如/download/skpp26.zip）來制造隨機密碼。Cisco設備支持AAA認證，最好的口令處理方法是將這些口令保存在TACACS+或RADIUS認證服務器上。為特權(quán)模式的進入設置強壯的密碼。要求不要采用enablepassword設置密碼，而采用enablesecret命令設置，enablesecret命令用于設定具有管理員權(quán)限的口令，而enablepassword采用的加密算法比較弱。而要采用enablesecret命令設置。并且要啟用Servicepassword-encryption，這條命令用于對存儲在配置文件中的所有口令和類似數(shù)據(jù)（如CHAP）進行加密。避免當配置文件被不懷好意者看見，從而獲得這些數(shù)據(jù)的明文?！具m用網(wǎng)絡層次】：在所有層面設備實施【影響】：無【具體配置】：Router(Config)#enablesecretxxxxxxxxRouter(Config)#Servicepassword-encryption帳號認證和授權(quán)帳號的認證和授權(quán)分為設備本身的認證和授權(quán)和AAA服務器的認證和授權(quán)兩個部分。本機認證和授權(quán)初始模式下，設備內(nèi)一般建有沒有密碼的管理員帳號，該帳號只能用于Console連接，不能用于遠程登錄。強烈建議用戶應在初始化配置時為它們加添密碼。一般而言，設備允許用戶自行創(chuàng)建本機登錄帳號，并為其設定密碼和權(quán)限。同時，為了AAA服務器出現(xiàn)問題時，對設備的維護工作仍可正常進行，建議保留必要的維護用戶。【適用網(wǎng)絡層次】：在所有層面設備實施【影響】：無【具體配置】：！配置本地用戶BluShin，密碼GoodPa55w0rd,權(quán)限為10Router(Config)#usernameBluShinprivilege10passwordG00dPa55w0rdRouter(Config)#privilegeEXEClevel10telnetRouter(Config)#privilegeEXEClevel10showipaccess-listAAA認證Cisco設備支持RADIUS或TACACS＋的AAA（認證、授權(quán)、計費）客戶端功能，通過AAA認證可以方便實現(xiàn)對大量設備的登錄帳號和密碼的管理。建議采用集中認證和授權(quán)模式。通過AAA服務器還可以彌補設備本身對執(zhí)行權(quán)限管理的不足。RADIUS認證方式RADIUS的全稱為(RemoteAccessDail-InUserService),它是對遠程撥號用戶訪問進行認證的一種協(xié)議。主要進行AuthenticationAuthorizationAccounting(AAA)三方面的工作?！具m用網(wǎng)絡層次】：在所有層面設備實施【影響】：無【具體配置】：！enableAAA認證Router(Config)#aaanew-mode！指明radiusserver在網(wǎng)上的地址Router(Config)#radius-serverhost！建立一個網(wǎng)上傳輸密碼Router(Config)#radius-serverkey！進行l(wèi)ogin認證，若radiusserver未響應，則進行本地數(shù)據(jù)庫認證Router(Config)#aaaauthenticationlogindefaultradiuslocal！對用戶的訪問進行授權(quán)，本例允許用戶EXEC權(quán)限Router(Config)#aaaauthorexecdefaultradiuslocal！將RADIUS認證應用于VTYRouter(Config-line)#loginauthenticationdefault！將授權(quán)方式應用于VTYRouter(Config-line)#loginauthorizationexecdefaultTACACS+認