Cisco 路由器及交換機安全加固法則

2019-11-05 00:23:41

字體：大中小

來源：轉載

供稿：網友

　　根據木桶理論，一個桶能裝多少水，取決于這個桶最短的那塊木板。具體到信息系統的安全也是一樣，整個信息系統的安全程度也取決于信息系統中最薄弱的環節，網絡做為信息系統的體，其安全需求的重要性是顯而易見的。

　　網絡層面的安全主要有兩個方面，一是數據層面的安全，使用ACL等技術手段，輔助應用系統增強系統的整體安全；二是控制層面的安全，通過限制對網絡設備自身的訪問，增強網絡設備自身的安全性。數據層面的安全在拙著《網絡層權限訪問控制――ACL詳解》(http://www.yesky.com/bang/77687093572141056/20030708/1712713.sHtml)已經較為系統的討論。本文主要集中討論控制層面即設備自身的安全這部分，仍以最大市場占有率的思科設備為例進行討論。
　　
　　一、控制層面主要安全威協與應對原則
　　網絡設備的控制層面的實質還是運行的一個操作系統，既然是一個操作系統，那么，其它操作系統可能碰到的安全威脅網絡設備都有可能碰到；總結起來有如下幾個方面：
　　1、系統自身的缺陷：操作系統作為一個復雜系統，不論在發布之前多么仔細的進行測試，總會有缺陷產生的。出現缺陷后的唯一辦法就是盡快給系統要上補丁。Cisco IOS/Catos與其它通用操作系統的區別在于，IOS/Catos需要將整個系統更換為打過補丁的系統，可以查詢http://www.cisco.com/en/US/customer/PRodUCts/prod_security_advisories_list.html 取得cisco最新的安全公告信息與補丁信息。
　　2、系統缺省服務：與大多數能用操作系統一樣，IOS與CatOS缺省情況下也開了一大堆服務，這些服務可能會引起潛在的安全風險，解決的辦法是按最小特權原則，關閉這些不需要的服務。
　　3、弱密碼與明文密碼：在IOS中，特權密碼的加密方式強加密有弱加密兩種，而普通存取密碼在缺省情況下則是明文；
　　4、非授權用戶可以治理設備：既可以通過telnet/snmp通過網絡對設備進行帶內治理，還可以通過console與aux口對設備進行帶外治理。缺省情況下帶外治理是沒有密碼限制的。隱含較大的安全風險；
　　5、 CDP協議造成設備信息的泄漏；
　　6、 DDOS攻擊導致設備不能正常運行，解決方案，使用控制面策略，限制到控制層面的流量；
　　7、發生安全風險之后，缺省審計功能。
　　
　　二、 Cisco IOS加固
　　對于12.3(4)T之后的IOS版本，可以通過autosecure命令完成下述大多數功能，考慮到大部分用戶還沒有條件升級到該IOS版本，這里仍然列出需要使用到的命令行：
　　1、禁用不需要的服務：
　　no ip http server　　 //禁用http server，這玩意兒的安全漏洞很多的
　　no ip source-route　　 //禁用IP源路由，防止路由欺騙
　　no service finger //禁用finger服務　
　　no ip bootp server　　　//禁用bootp服務
　　no service udp-small-s //小的udp服務
　　no service tcp-small-s //禁用小的tcp服務
　　2、關閉CDP
　　no cdp run //禁用cdp
　　3、配置強加密與啟用密碼加密：
　　service passWord-encryption　//啟用加密服務，將對password密碼進行加密
　　enable secret asdfajkls　　　//配置強加密的特權密碼
　　no enable password　　　　　 //禁用弱加密的特權密碼
　　4、配置log server、時間服務及與用于帶內治理的ACL等，便于進行安全審計
　　service timestamp log datetime localtime //配置時間戳為datetime方式，使用本地時間
　　logging 192.168.0.1 //向192.168.0.1發送log
　　logging 192.168.0.2 //向192.168.0.2發送log
　　access-list 98的主機進行通訊
　　no access-list 99 //在配置一個新的acl前先清空該ACL
　　access-list 99 permit 192.168.0.0 0.0.0.255
　　access-list 99 deny any log //log參數說明在有符合該條件的條目時產生一條logo信息
　　no access-list 98 //在配置一個新的acl前先清空該ACL
　　access-list 98 permit host 192.168.0.1
　　access-list 98 deny any log //log參數說明在有符合該條件的條目時產生一條logo信息
　　!
　　clock timezone PST-8 //設置時區
　　ntp authenticate　　　　　　 //啟用NTP認證
　　ntp authentication-key 1 md5 uadsf //設置NTP認證用的密碼，使用MD5加密。
需要和ntp server一致
　　ntp trusted-key 1　　　　　　　　　　//可以信任的Key.
　　ntp acess-group peer 98 //設置ntp服務，只答應對端為符合access-list 98條件的主機
　　ntp server 192.168.0.1 key 1　　　　 //配置ntp server，server為192.168.0.1，使用1號key做為密碼　
　　
　　5、對帶內治理行為進行限制：
　　snmp-server community HSDxdf ro 98//配置snmp只讀通訊字，并只答應access-list 98的主機進行通訊
　　line vty 0 4
　　access-class 99 in //使用acl 99來控制telnet的源地址
　　login
　　password 0 asdfaksdlf　　　　//配置telnet密碼
　　exec-timeout 2 0　　　　　　 //配置虛終端超時參數，這里是2分鐘
　　!
　　6、對帶外治理行為進行限制：
　　line con 0
　　login
　　password 0 adsfoii //配置console口的密碼
　　exec-timeout 2 0　　　　　　 //配置console口超時參數，這里是兩分鐘
　　!
　　line aux 0
　　transport input none
　　password 0 asfdkalsfj　　　　
　　no exec
　　exit
　　7、應用control-plane police，預防DDOS攻擊(注：需要12.2(1S或12.3(4)T以上版本才支持)
　　答應信任主機(包括其它網絡設備、治理工作站等)來的流量:
　　access-list 110 deny ip host 1.1.1.1 any
　　access-list 110 deny ip 2.2.2.0 255.255.255.0 any
　　.....
　　access-list 110 deny ip 3.3.3.3 any
　　限制所有其它流量
　　access-list 110 permit ip any any
　　!
　　class-map control-plane-limit
　　match access-group 110
　　!
　　policy-map control-plane-policy
　　class control-plane-limit
　　police 32000 conform transmit exceed drop
　　!
　　control-plane
　　service-policy input control-plane-policy
　　
　　三、 Cisco CatOS加固
　　1、禁用不需要的服務：
　　set cdp disable //禁用cdp
　　set ip http disable 　　 //禁用http server，這玩意兒的安全漏洞很多的
　　2、配置時間及日志參數，便于進行安全審計：
　　set logging timestamp enable //啟用log時間戳
　　set logging server 192.168.0.1 //向192.168.0.1發送log
　　set logging server 192.168.0.2 //向192.168.0.2發送log!
　　set timezone PST-8 //設置時區
　　set ntp authenticate enable　　　　　　 //啟用NTP認證
　　set ntp key 1 md5 uadsf //設置NTP認證用的密碼，使用MD5加密。需要和ntp server一致
　　set ntp server 192.168.0.1 key 1　//配置ntp server，server為192.168.0.1，使用1號key做為密碼　
　　set ntp client enable //啟用ntp client
　　3、限制帶內治理：
　　set snmp community HSDxdf //配置snmp只讀通訊字
　　set ip permit enable snmp //啟用snmp訪問控制
　　set ip permit 192.168.0.1 snmp　 //答應192.168.0.1進行snmp訪問
　　set ip permit enable telnet //啟用telnet訪問控制
　　set ip permit 192.168.0.1 telnet　 //答應192.168.0.1進行telnet訪問
　　set password //配置telnet密碼
　　set enable 　　 //配置特權密碼
　　set logout 2 　　 //配置超時參數，2分鐘

上一篇：使用路由器便不需要防病毒措施嗎

下一篇：ADSL Modem之路由功能詳述（3）