首页 » 硬件安全 » 网络设备 » Cisco » 正文

Cisco网络设备加固规范—账号管理、认证授权、日志配置

本建议用于Cisco路由器和基于Cisco IOS的交换机及其三层处理模块,其软件版本为CISCO IOS 12.0及以上版本。加固前应该先备份系统配置文件

名称:本机认证和授权设置

实施目的:初始模式下,设备内一般建有没有密码的管理员账号,该账号只能用于Console连接,不能用于远程登录。强烈建议用户应在初始化配置时为它们加添密码。一般而言,设备允许用户自行创建本机登录账号,并为其设定密码和权限。同时,为了AAA服务器出现问题时,对设备的维护工作仍可正常进行,建议保留必要的维护用户。
问题影响:非法访问文件或目录。
系统当前状态:查看备份的系统配置文件中关于管理员账号配置。
实施方案

参考配置操作
配置本地用户BluShin,密码GoodPa55w0rd,权限为10
Router(Config)#username BluShin privilege 10 password G00dPa55w0rd 
Router(Config)#privilege EXEC level 10 telnet
Router(Config)#privilege EXEC level 10 show ip access-list
回退方案:还原系统配置文件。
判断依据:帐号、口令配置,指定了认证系统
实施风险:

名称:设置特权口令
实施目的:不要采用enable password设置密码,而采用enable secret命令设置,enable secret 命令用于设定具有管理员权限的口令,而enable password采用的加密算法比较弱。而要采用enable secret命令设置。并且要启用Service password-encryption,这条命令用于对存储在配置文件中的所有口令和类似数据进行加密。避免当配置文件被不怀好意者看见,从而获得这些数据的明文。
问题影响:密码容易被非法利用。 
实施方案:

参考配置
Router(Config)#enable secret xxxxxxxx
Router(Config)#Service password-encryption
回退方案:还原系统配置文件。
判断依据:查看配置文件,核对参考配置操作。
实施风险:


名称:账号、口令授权

实施目的:设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。
问题影响:密码容易被非法利用。 
实施方案:与外部TACACS+ server 192.168.6.18 联动,远程登录使用TACACS+ serverya验证;
回退方案:还原系统配置文件。
判断依据:帐号、口令配置,指定了认证系统。
实施风险:低

名称:加固CON端口的登录
实施目的:控制CON端口的访问,给CON口设置高强度的登录密码,修改默认参数,配置认证策略。
问题影响:增加密码被破解的成功率。
系统当前状态 : 查看备份的系统配置文件中关于CON配置状态。
实施方案
1、参考配置操作
Router(Config)#line con 0
Router(Config-line)#Transport input none 
Router(Config-line)#Login 
Router(Config-line)#password XXXXXXX
Router(Config-line)#Exec-timeoute 3 0 
Router(Config-line)#session-limit 5
回退方案 :还原系统配置文件。
判断依据 :查看配置文件,核对参考配置操作。
实施风险 :高


名称:加固AUX端口的管理
实施目的  : 除非使用拨号接入时使用AUX端口,否则禁止这个端口。
问题影响  : 容易被攻击者利用。
系统当前状态  : 查看备份的系统配置文件中关于CON配置状态。
实施方案  :
1、参考配置操作
Router(Config)#line aux 0
Router(Config-line)#transport input none
Router(Config-line)#no exec
设置完成后无法通过AUX拨号接入路由器
回退方案  : 还原系统配置文件。
判断依据  : 查看配置文件,核对参考配置操作。
实施风险  : 中


名称:HTTP登录安全加固
实施目的 :如非要采用HTTP服务,要求对HTTP服务进行严格的控制
如果必须选择使用HTTP进行管理,最好用ip http access-class命令限定访问地址且用ip http authentication命令配置认证,修改HTTP的默认端口。
问题影响 : 容易被非法用户获取口令进行违规操作。
系统当前状态 : 查看备份的系统配置文件中关于HTTP登录配置状态。
实施方案:
1、参考配置操作
!修改默认端口
Router(Config)# ip http port 50000 
Router(Config)# access-list 10 permit 192.168.0.1 
Router(Config)# access-list 10 deny any 
!启用ACL严格控制可以登陆的维护地址
Router(Config)# ip http access-class 10 
!配置本地数据库
Router(Config)# username BluShin privilege 10 password G00dPa55w0rd 
!启用本地认证
Router(Config)# ip http auth local 
Router(Config)# ip http server启用HTTP服务
回退方案 : 还原系统配置文件。
判断依据  : 查看配置文件,核对参考配置操作。
实施风险  :中

名称:开启日志功能
实施目的:为了实现对设备安全的管理,要求对设备的安全审计进行有效管理。根据设备本身具有的属性和实际维护经验,建议相关安全审计信息应包括设备登录信息日志和设备事件信息日志,同时提供SYSLOG服务器的设置方式。
Cisco设备将LOG信息分成八个级别,由低到高分别为debugging、informational、notifications、warnings、errors、critical、alerts、emergencies。考虑到日志信息的种类和详细程度,并且日志开启对设备的负荷有一定影响,在这建议获取有意义的日志信息,并将其发送到网管主机或日志服务器并进行分析,建议将notifications及以上的LOG信息送到日志服务器。
问题影响无法对用户的登陆进行日志记录。
系统当前状态:查看备份的系统配置文件中关于logging服务的配置。
实施方案

1、参考配置操作
!开启日志
Router(Config)#logging on 
!设置日志服务器地址
Router(Config)#logging a.b.c.d 
!日志记录级别,可用”?”查看详细内容
Router(Config)#logging trap notifications 
!日志发出用的源IP地址
Router(Config)#logging source-interface e0 
!日志记录的时间戳设置,可根据需要具体配置
Router(Config)#service timestamps log datetime localtime

回退方案:还原系统配置文件。
判断依据:查看配置文件,核对参考配置操作。
实施风险

发表评论