Cisco IOS安全配置指南

_

Cisco IOS安全配置指南_________________________________

目 录

第1章 介绍 3
1.1. 目的 3
1.2. 适用范围 3
1.3. 适应对象 3
1.4. 基本概念或专业名词解释 3
第2章 操作指南 4
2.1. 指南概括 4
2.2. 指南内容 4
2.2.1. 指南关系图 4
2.2.2. 指南一：路由协议安全性 4
2.2.3. 指南二：网管及认证 7
2.2.4. 指南三：特定的安全配置 12

第1章 介绍
中信银行卡中心使用的网络设备，主要以cisco设备为主，如cisco 3750系列 、cisco 2960系列 、cisco 2950系列、 cisco 3560系列、cisco 3800系列和cisco 2800系列等，其安全配置选项基本相同，因此，本配置指南适用于当前的大部分网络设备。
1.1. 目的
一台网络设备提供各种功能，但在实际环境中，有些功能是不需要的，而且部分功能如果存在，可能会给当前的网络造成弱点；不仅如此，有些功能在使用过程中，没有进行合理的安全配置，也会给网络或设备本身产生弱点，本安全配置指南指导设备在网络环境中的更合理的配置方法，消除设备提供的各种服务时存在的弱点。
1.2. 适用范围
表格1：Cisco IOS范围表
包括 不包括
Cisco IOS 12.1 Cisco IOS 11.1或以前的版本
Cisco IOS 12.2
Cisco ISO 12.3

1.3. 适应对象
本操作指南适用于网络管理员。
1.4. 基本概念或专业名词解释

第2章 操作指南
本配置指南提供操作步骤和影响性描述，使使用者可通过本指南灵活操作设备，进行安全配置。
2.1. 指南概括
本网络设备安全配置指南主要针对CISCO路由器、交换机提供的功能进行安全配置，如路由协议安全配置、VLAN的安全配置、以及网管与认证的合理配置方法等，另外，还包括一些当前流行的攻击防护的安全配置，全面的使用本指南配置功能，能加强网络设备及网络安全。
2.2. 指南内容
2.2.1. 指南关系图
2.2.2. 指南一：路由协议安全性
说明：根据网络实际情况，如果网络中调整难度较大，可制定计划做为后期考虑。建议执行此项操作。
2.2.2.1. OSPF路由协议的认证
【操作指南目的】
默认的OSPF认证密码是明文传输的，建议启用MD5认证，使OSPF协议传输过程中进行加密，提高OSPF安全，并设置一定强度密钥。
【具体配置步骤】
Router(Config)# router ospf 100
Router(Config-router)# network 192.168.100.0 0.0.0.255 area 100
! 启用MD5认证。
Router(Config-router)# area 1 authentication message-digest
Router(Config)# exit
Router(Config)# interface eth0/1
！启用MD5密钥Key为routerospfkey。
Router(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey

【影响】
启用MD5认证，并设置一定强度密钥(key,相对的路由器必须有相同的Key)，路由协议在区域配置了认证，那么属于该区域的接口都应相应的配置，否则无法建立邻居。此配置给设备相应的增加负载，但影响不大。
2.2.2.2. BGP路由协议的认证
【操作指南目的】
默认的BGP认证密码是明文传输的，建议启用MD5认证，使BGP协议传输过程中进行加密，提高BGP安全，并设置一定强度密钥。

【具体配置步骤】
Router(Config)#router bgp 9808
Router(Config-router)# neighbor 10.0.0.1 password xxxxxx

【影响】
启用MD5认证，并设置一定强度密钥(key,相对的路由器必须有相同的Key)，路由协议在区域配置了认证，那么属于该区域的接口都应相应的配置，否则无法建立邻居。此配置给设备相应的增加负载，但影响不大。
2.2.2.3. RIP v2路由协议的认证
【操作指南目的】
在网络中需使用RIP协议，推荐使用RIP v2协议，并进行MD5认证，使RIPv2协议传输过程中进行加密，提高RIP v2安全。

【具体配置步骤】
! 启用设置密钥链
Router(Config)# key chain ISCAECC
Router(Config-keychain)# key 1
！设置密钥字串
Router(Config-leychain-key)# key-string MyFirstKeyString
Router(Config-keyschain)# key 2
Router(Config-keychain-key)# key-string MySecondKeyString
Router(Config)# interface eth0/1
! 采用MD5模式认证，并选择已配置的密钥链
Router(Config-if)# ip rip authentication mode md5
Router(Config-if)# ip rip anthentication key-chain ISCAECC

【影响】
启用MD5认证，并设置一定强度密钥(key,相对的路由器必须有相同的Key)，路由协议在区域配置了认证，那么属于该区域的接口都应相应的配置，否则无法建立邻居。此配置给设备相应的增加负载，但影响不大。
2.2.2.4. 关于passive-interface命令
【操作指南目的】
在网络内部不需要接收路由信息或转发路由信息的端口，配置passive-interface，提供网络的安全性，同时提供路由效率（RIP协议只禁止转发路由信息，但不能禁止接收路由信息）。

【具体配置步骤】
! Rip中，禁止端口0/3转发路由信息
Router(Config)# router Rip
Router(Config-router)# passive-interface eth0/3
！OSPF中，禁止端口0/3接收和转发路由信息
Router(Config)# router ospf 100
Router(Config-router)# passive-interface eth0/3

【影响】
对设备无影响，接口将不转发及接收路由信息。
2.2.2.5. 源地址路由检查
【操作指南目的】
防止攻击者利用IP Spoofing手段假冒源地址进行的DoS攻击对整个网络造成的冲击，可根据用户网段规划添加源路由检查。

【具体配置步骤】
Router# config t
！启用CEF,要使用VRVF功能必须启用CEF(Cisco Express Forwarding)
Router(Config)# ip cef
！启用Unicast Reverse-Path Verification
Router(Config)# interface eth0/1
Router(Config-if)# ip verify unicast reverse-path

【影响】
会对设备负荷造成影响，谨慎使用
2.2.2.6. 黑洞路由
【操作指南目的】
防止上级设备与下级设备互连时，下级设备使用缺省路由引导流出流量，而上级设备使用静态路由或只接收下级设备宣告的汇聚路由来引导返回流量，造成互连链路上形成路由环路。
【具体配置步骤】
Router(Config)# ip route 0.0.0.0 0.0.0.0 null 0 255

【影响】
在核心层和汇聚层网络设备中不实施该建议，配置时需要确定是否会与缺省路由存在冲突，将对目标地址不在路由表中的包进行丢弃操作。
2.2.3. 指南二：网管及认证
2.2.3.1. 设置Banner信息
【操作指南目的】
对远程登陆的banner的设置要求必须包含非授权用户禁止登录的字样，威慑非法用户使用设备。

【具体配置步骤】
Router(config)#banner motd @infomation@

【影响】
无影响
2.2.3.2. 控制对VTY的访问
【操作指南目的】
如果用户必须使用VTY进行远程访问，必对VTY进行访问控制，加强对设备的远程管理。

【具体配置步骤】
Router(Config)#access-list 10 permit 192.168.0.1
Router(Config)#line vty 0 4
Router(Config-line)#Login local
Router(Config-line)#exec-timeout 5 0
Router(Config-line)#access-class 10 in

【影响】
无影响。
2.2.3.3. 启用SSH服务
【操作指南目的】
建议网络管理员使用SSH服务对网络设备进行管理，并对SSH的相关配置参数进行定义，以加强网络管理员对设备的管理安全。如果已经采用2.2.3.2方法，此项可做参考。

【具体配置步骤】
Router(Config)# config t
Router(Config)# no access-list 11
Router(Config)# access-list 11 permit 192.168.0.22
Router(Config)# access-list deny any
Router(Config)# username ISCA privilege 10 esponeccisca
! 设置SSH的超时间隔和尝试登录次数
Router(Config)# ip ssh timeout 90
Router(Config)# ip ssh anthentication-retries 2
Router(Config)# line vty 0 4
Router(Config-line)# access-class 22 in
Router(Config-line)# transport input ssh
Router(Config-line)# login local
Router(Config-line)# exit

【影响】

无影响。

2.2.3.4. 登陆空闲时间
【操作指南目的】
防止悬空的登录连接过多，会导致后续的登陆无法实施，影响对系统管理。
【具体配置步骤】
！telnet配置
Router(config)line vty 0 4
Router(config-line)#exec-time 3-5 0
！SSH配置（如果开启SSH服务，可执行此配置）
Router(Config)# ip ssh timeout 180

【影响】
无影响。
2.2.3.5. 登录尝试次数
【操作指南目的】
防止穷举式密码试探，要求设置登录尝试次数限制，建议次数为3次。当系统收到一个连接请求，若提供的帐号或密码连续不能通过验证的的次数超过设定值，就自动中断该连接。

【具体配置步骤】（如果开启SSH服务，可执行此配置）
Router(Config)# ip ssh anthentication-retries 3
【影响】
登录三次失败就锁定。
2.2.3.6. 并发登录个数
【操作指南目的】
防止穷举式密码试探，要求设置并发登录个数限制，建议次数为5次。该限制必须与上述的空闲时间限制一并使用，否则当收到此类攻击时，将导致无法远程登录设备。

【具体配置步骤】
！12.1版本以上支持
Router(Config-line)#session-limit 5

【影响】
限制同时5个session。
2.2.3.7. 采用访问列表严格控制访问的地址
【操作指南目的】
允许合法的网管网段或网管和维护主机地址作为源地址发起对设备的远程连接。

【具体配置步骤】
Router(Config)# access-list 22 permit 192.168.0.22
Router(Config)# access-list 22 deny any
Router(Config)# line vty 0 4
Router(Config-line)# access-class 22 in

【影响】
指定IP地址访问VTY。
2.2.3.8. 弱口令安全加密
【操作指南目的】
防止文明密码。

【具体配置步骤】
Router(Config)#enable secret xxxxxxxx
Router(Config)#Service password-encryption

【影响】
无影响。
2.2.3.9. 对CONSOLE端口的管理要求
【操作指南目的】
加强对console端口的管理。

【具体配置步骤】
Router(Config)#line con 0
Router(Config-line)#login
Router(Config-line)#password XXXXX

【影响】
对console进行管理，无影响。
2.2.3.10. SNMP服务
【操作指南目的】
加强SNMP服务的使用：在不需要SNMP服务时，并才SNMP服务；要求使用SNMP服务时，应对默认的端口(161)和用户(public)进行修改，同时实施必要的访问控制。
【具体配置步骤】
!关闭SNMP服务
Router(Config)# no snmp-server community public Ro
Router(Config)# no snmp-server community private RW
Router(Config)# no snmp-server enable traps
Router(Config)# no snmp-server system-shutdown
Router(Config)# no snmp-server
!更改SNMP Trap协议标准端口
Router(config)#snmp-server host 10.0.0.1 traps version udp-port 1661
!更改SNMP连接的源地址
Router(Config)# access-list 10 permit 192.168.0.1
Router(Config)# access-list 10 deny any
Router(Config)# snmp-server community MoreHardPublic Ro 10
!设置SNMP只读密码
Router(Config)# snmp-server community MoreHardPublic ro

【影响】

无影响。

2.2.3.11. HTTP服务安全设置
【操作指南目的】
服务最小化原则，关闭无需的服务。

【具体配置步骤】
Router(Config)# no ip http server

【影响】

设备http服务无法使用。

2.2.3.12. 日志审计
【操作指南目的】
适当的配置日志功能，便于对突发事件的审计。

【具体配置步骤】
！开启日志
Router(Config)#logging on
！设置日志服务器地址
Router(Config)#logging a.b.c.d
！日志记录级别，可用"?"查看详细内容
Router(Config)#logging trap notifications
！日志发出用的源IP地址
Router(Config)#logging source-interface e0
！日志记录的时间戳设置，可根据需要具体配置
Router(Config)#service timestamps log datetime localtime

【影响】
无影响。
2.2.4. 指南三：特定的安全配置
2.2.4.1. 过滤病毒端口
说明：根据网络实际情况，如果需要开启相关服务，可不做限制。建议执行此项操作。
【操作指南目的】
过滤病毒易发的端口，防止病毒通过网络传播。

【具体配置步骤】
Router(Config)#access-list 112 deny tcp any any eq 135
Router(Config)#access-list 112 deny tcp any any eq 137
Router(Config)#access-list 112 deny tcp any any eq 138
Router(Config)#access-list 112 deny tcp any any eq 139
Router(Config)#access-list 112 deny tcp any any eq 445
Router(Config)#access-list 112 deny tcp any any eq 593
Router(Config)#access-list 112 deny tcp any any eq 1025
Router(Config)#access-list 112 deny tcp any any eq 2745
Router(Config)#access-list 112 deny tcp any any eq 3127
Router(Config)#access-list 112 deny tcp any any eq 3332
Router(Config)#access-list 112 deny tcp any any eq 4444
Router(Config)#access-list 112 deny tcp any any eq 5554
Router(Config)#access-list 112 deny tcp any any eq 6129
Router(Config)#access-list 112 deny udp any any eq 69
Router(Config)#access-list 112 deny udp any any eq 137
Router(Config)#access-list 112 deny udp any any eq 138
Router(Config)#access-list 112 deny udp any any eq 139
Router(Config)#access-list 112 deny udp any any eq 445
Router(Config)#access-list 112 deny udp any any eq 593
Router(Config)#access-list 112 deny udp any any eq 1434
Router(Config)#access-list 112 deny tcp any any eq 4444
Router(Config)#access-list 112 deny tcp any any eq 5554
Router(Config)#access-list 112 permit ip any any
Router(Config)# interface eth 0/2
Router(Config-if)# ip access-group 108 in

【影响】
增加设备的负载。
2.2.4.2. 禁止CDP(Cisco Discovery Protocol)
说明：根据网络实际情况，如果需要开启相关服务，可以不做限制，但要在其他方面做限制，至少边界网络设备禁用CDP协议。建议执行此项操作。
【操作指南目的】
防止非法者利用CDP协议了解网络拓扑，外联接口设备
【具体配置步骤】
！全局CDP的关闭
Router(Config)#no cdp run
！特定端口CDP的关闭
Router(Config)#interface f0/0
Router(Config-if)# no cdp enable

【影响】
无法使用CDP服务。
2.2.4.3. 禁用TCP、UDP小服务
【操作指南目的】
服务最小化原则，关闭不必要的服务。
【具体配置步骤】
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-samll-servers

【影响】
无影响。
2.2.4.4. 禁止Finger服务
【操作指南目的】
服务最小化原则，关闭不必要的服务。

【具体配置步骤】
Router(Config)# no ip finger
Router(Config)# no service finger

【影响】
无影响。
2.2.4.5. 禁止WINS和DNS服务
【操作指南目的】
服务最小化原则，关闭不必要的服务。

【具体配置步骤】
Router(Config)# no ip domain-lookup

【影响】
无影响。
2.2.4.6. 禁止ARP-Proxy服务
【操作指南目的】
建议如果不需要ARP-Proxy服务则禁止它，否则容易引起路由表的混乱, 路由器默认识开启的。

【具体配置步骤】
！全局配置
Router(Config)# no ip proxy-arp
！接口配置
Router(Config)# interface eth 0/2
Router(Config-if)# no ip proxy-arp

【影响】
无影响。
2.2.4.7. 禁止BOOTp服务
【操作指南目的】
服务最小化原则，关闭不必要的服务。

【具体配置步骤】
Router(Config)# no ip bootp server
Router(Config)# no boot network
Router(Config)# no servic config

【影响】
无影响。
2.2.4.8. 禁止IP Source Routing
【操作指南目的】
服务最小化原则，关闭不必要的服务。

【具体配置步骤】
Router(Config)# no ip source-route

【影响】
无影响。
2.2.4.9. 禁止IP Directed Broadcast
【操作指南目的】
服务最小化原则，关闭不必要的服务。

【具体配置步骤】
Router(Config)# no ip directed-broadcast

【影响】
无影响。