思科路由設備安全配置建議(手冊）

2019-11-05 00:59:06

字體：大中小

來源：轉載

供稿：網友

　　1  內置服務設置
IOS中的許多服務對于ISP來說，都不是必須具備的東西。出于安全的考慮，應該將這類服務關閉，只在有需要時才開放。參見下面配置：
no service finger
no service pad
no service udp-small-server
no service tcp-small-server
no ip bootp server
no ip http server （或者使用 ip http server；ip http port xxx修改WEB訪問端口）
另外，某些服務對ISP的網絡有很大的幫助，應該要打開：
service nagle
service tcp-keepalives-in
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
------------------------------------------------------------------------------------------------------------
注1：部分服務在最新的IOS中已經關閉，敲入上述命令后，假如看不到的話，就表示默認是關閉的。
注2：Nagle服務有助于提高telnet到某一設備，或者從某一設備上telnet到其他設備時的性能。標準TCP協議中，對telnet的處理，是將所鍵入的字符逐字發送，這在網絡擁塞時，會加劇網絡的負擔。而Nagle算法則對此進行了改進，一旦建立連接后，鍵入的第一個字符仍按一個封包發出，但其后的字符會先送到緩沖中，直到前一個連接的acknowledge包返回后，再發出。這樣可以大大提高網絡效率。
注3：時間戳在缺省配置中，是采用設備的up時間來記錄的。因此在show log時，有可能會看到類似于 26W3day：……的東西，這樣不利于判定告警發生的時間。建議按上文配置，修改為按系統本地時間來記錄，以便快速知曉LOG中的告警產生的具體時間。
-------------------------------------------------------------------------------------------------------------
　　2  端口安全配置
IOS中的一些功能在校園網或者企業應用中有實際的作用，但對于ISP的骨干網來說，卻沒有多大意義。這些功能的濫用，有可能會增加ISP的安全風險。

ISP骨干網設備的端口配置中，建議進行如下配置：
Interface e0/0
Description Cisco Router Standard Configuration Guide
no ip redirects
no ip PRoxy-arp
no ip mroute-cache
--------------------------------------------------------------------------------------------------------------------------
注1：當某一接口下有多臺同一地址段的路由器存在時，建議不要禁用ip redirects；
--------------------------------------------------------------------------------------------------------------------------

3  靜態路由
靜態路由在城域網的設備中，應用還是比較廣泛。但靜態路由的使用，有時候也會造成路由方面的困惑，影響網絡的連通。例如某條鏈路斷開后，靜態路由不隨即消失等等。新的IOS中對靜態路由進行了調整，可以做到更合理的配置。
原則：
l靜態路由后不要使用permanent參數
l靜態路由后將端口與IP結合使用
配置建議
ip route 靜態路由網段該網段掩碼下一跳端口下一跳IP地址
例如：
ip route 192.168.1.0 255.255.255.0 e0/0 10.1.1.2
4  系統登錄
4.1   telnet用戶認證
用戶認證分兩個層次，普通用戶認證以及特權用戶認證。前者答應治理員以普通用戶身份遠程登錄設備，進行一系到簡單操作。后者答應治理員在登錄進設備后，進行完全的治理操作。一般情況下，只要在line vty下設置相應的密碼即可實現對普通用戶登錄的認證。

原則：
l為每一個用戶創建一個用戶名，以方便治理，提高安全
l為臨時用戶創建臨時用戶名，使用完畢后，注重回收
l在可能的情況下，使用username / secret而不是username / passWord
l在使用username / password的情況下，不要配合priviledge 15來使用
l采用AAA認證

根據目前的條件，推薦進行如下的配置：
service password-encryption
！
username cisco password cisco(使用了上一條命令后，系統會自動加密)
username cisco secret cisco
（系統會自動使用md5進行加密，目前的IOS版本來說，僅適用于GSR12000系列路由器，Catalyst 6509 MSFC模塊，其它設備的IOS版本不支持）
！
說明：
1.service password-encryption采用可逆的弱加密機制對password進行加密，目前已有很多工具可以對它進行成功的破解，但總比直接采用明文要好。因此，出于安全的考慮，不建議在username / password組合中，使用privilege 15參數，即以下配置是不建議的：username ppp privilege 15 password cisco
2.Username 命令中，可以采用username / password, username / secret的組合。其中，username / secret采用MD5加密算法，具有很好的安全性。在IOS 12.0(18)S、12.1(8a)E、12.2(8)T及其以后的S、E、T系列版本中提供了對它的支持。所有的GSR12000路由器，Catalyst 6509 MSFC模塊上可以對該命令支持。建議將當前使用的username / password組合，更改為username / secret組合，這樣既使得到了配置文件，也不能對該密碼進行解密。
3.在username / secret組合中，由于使用了MD5加密算法，因此，可以放心地使用privilege 15參數，即：username ppp privilege 15 secret cisco
4.建議為每一個登錄用戶創建一個單獨的username / password記錄，配合SYSLOG工具，可以很方便地查找故障之前誰在做最后一次操作。同時，username / password也為密碼的猜解增加了一定的難度（雖然還是有可能被破解^_^）。
5.更加安全的做法，是采用AAA認證，通過RADIUS協議或者TACACS+等方式。AAA服務器可以采用定制的RADIUS或者采用CISCO的ACS等。這將在以后提出建議。
4.2   VTY設置
遠程登錄設備以對設備進行治理，可以極大的方便治理員的工作。缺省情況下，思科路由器設備上所有的VTY端口都沒有進行接入控制，當設置了密碼之后，相當于整臺設備都暴露在了外界，任何人都有可能進行連接到這臺設備。
原則：
.設置超時退出，并經常用show user查看是否有telnet用戶掛死
.設置ACL加強設備安全
.采用本地用戶認證方式
.打開tcp-keepavlives-in選項
.采用SSH登錄方式

參考配置如下：
username cisco password(or secret) cisco
access-list 3 permit  1.1.1.1 0.0.0.255   /* 答應登錄的地址段
line vty 0 4
exec-timeout  15 0      /* 該連接超過15分鐘的空閑后，自動斷線
access-class 3 in
transport input telnet
transport outout none
login local
說明：
1.建議不在VTY端口下設置密碼，而采用本地認證的方式（參見上節username / password的說明）。同時，通過ACL對遠程登錄進行限制，以減少安全風險。
2.可以采用SSH登錄方式，其安全性要高于telnet方式，但由于需要IOS支持，可以考慮在以后再實施。
3.可以采用AAA認證的方式，但同樣需要外部設備的支持，可以考慮在以后再實施。
4.TCP keepalives可以保證吊死的telnet連接不會消耗掉可用的VTY 端口。
5.在IP版的IOS中，只支持5個VTY線程，但在其他版本，例如企業版，可以支持64—1024個VTY線程。因此，在這些版本下，要注重是否還打開了line vty 0 4以外的其他vty線程，假如打開了，要注重對這些進行同樣的設置。

4.3   SNMP配置及安全
原則：
l禁止使用public, private等作為community
l如無必要，不要設置具體RW權限的community
l采用ACL對SNMP的連接進行限制
說明：
1.部分設備為了省事，采用了缺省的public, private等作為網管字符串，這樣很不安全，建議進行更換；
2.大多數情況下，骨干網及城域網核心層設備都不必要通過SNMP方式進行設置，因此，沒有必要設置具有RW權限的網管字符串；
3.采用ACL對SNMP網管機進行限制，只有受信任的主機才能進行SNMP的操作；
4.假如采用ACL限制，需要注重針對總公司網管設備進行開放。
配置建議如下：

access-list 50 permit 1.1.1.1
access-list 50 permit 1.1.1.1 0.0.0.31
/* 以上兩段地址是x為維護及網管機調試方便，建議開啟
access-list 50 permit 1.1.1.1
access-list 50 permit 1.1.1.1
/*以上兩段地址是總公司網管用機IP，注重要對此開放
access-list 50 permit x.x.x.x
/*分公司在此加入自己的網管用機地址，或者另外再建一個本分公司使用的community / ACL配對
snmp-server community guangxidcb RO 50

4.4   log設置
建議所有路由設備上，關于LOG的設置按如下方式進行：
logging buffered 256000 debugging
logging source-interface Loopback0
no logging 1.1.1.1
no logging 1.1.1.1       /*以上兩個SYSLOG SERVER已經不存在
logging 1.1.1.1        /*的SYSLOG 服務器，只在骨干設備上配置

說明
.設置256K的logging緩沖區，這樣可以記錄更多的信息，以減少出現LOG信息太多而將有用信息沖掉的問題。
.設置發送syslog的源地址為loopback地址（只在需要設置syslog時使用）

4.5   GSR GRP冗余方式
建議將GSR的GRP板冗余方式均設置為
redundancy
mode rpr-plus
配置后，需要重啟處于STANDBY狀態的那塊板，但不影響業務。
4.6   NTP SERVER
建議統一從國家骨干設備上獲取時間源進行校正。其配置如下：
ntp clock-period 17179798
ntp source Loopback0
ntp update-calendar
ntp server 202.97.32.32 prefer
ntp server 202.97.32.72
5  anti-spoofing及病毒包過濾
目前網絡中的蠕蟲病毒越來越多，對網絡的沖擊也越來越大。建議在城域網出口處設置相應的ACL過濾。
建議的ACL配置如下：
ip access-list extended noattack
deny   tcp any any eq 135
deny   tcp any any eq 445
deny   tcp any any eq 139
deny   tcp any any eq 593
deny   tcp any any eq 5554
deny   tcp any any eq 1434
deny   tcp any any eq 2745
deny   tcp any any eq 44445
deny   udp any any eq 135
deny   udp any any eq netbios-ns
deny   udp any any eq 1434
deny   udp any any eq 2745
deny   udp any any eq 44445
deny   ip 127.0.0.0 0.0.0.255 any
deny   ip host 0.0.0.0 any
deny   ip 10.0.0.0 0.255.255.255 any
deny   ip 169.254.0.0 0.0.255.255 any
deny   ip 172.16.0.0 0.15.255.255 any
deny   ip 192.168.0.0 0.0.255.255 any
deny   tcp any any eq 4444
permit ip any any

6  建議配置模板
以下是需要進行修改的，部分不需修改的配置沒有寫出。
no service finger
no service pad
no service udp-small-server
no service tcp-small-server
no ip bootp server
no ip http server
no ip finger
service tcp-keepalives-in
service password-encryption
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
/* 注重：timestamps要選用datetime選項，以便于查看LOG告警發生的時間
!
！----- 關于LOG的相關設置---------------------------
logging buffered 256000 debugging
logging source-interface Loopback 0
logging 202.103.224.119
logging x.x.x.x
no logging 1.1.1.1
no logging 1.1.1.1
/*注重：1.1.1.1已不使用，配置中可以去掉這兩臺設備的信息。同時，對于骨干層設備，請增加logging 1.1.1.1，這是新的syslog服務器。各分公司也可以再加入自己的syslog服務器。

！------------ enable密碼設置 ---------------------------
enable secret 5 $1$ICDr$OBATr2ubZEi5So670n6KQ0
enable password 0 cisco
/*注重：使用MD5加密的secret，同時建議也配上password選項
!
！------------- 端口安全設置 -----------------------------
interface Ethernet0/0
Description Cisco Router Standard Configuration Guide
no ip redirects
no ip proxy-arp
no ip mroute-cache
/*注重：description選項對維護工作十分有利，建議在所有端口下，明確地寫出該端口的作用。建議不要只用設備名來表示，而是明確地寫出從什么樣的設備到什么樣的設備。
!
！====== SNMP安全設置——針對的SNMP網管機配置 ===============
access-list 50 permit 1.1.1.1
access-list 50 permit 1.1.1.1
/* 以上兩段地址是為維護及網管機調試方便，建議開放
access-list 50 permit 1.1.1.1
access-list 50 permit 1.1.1.1
/*以上兩段地址是總公司網管用機IP，注重要開放
snmp-server community 總公司使用的網管字串 RO 50

！==== 針對分公司的SNMP網管機配置 ================
access-list 3 permit 分公司SNMP網管機地址段
snmp-server community 分公司使用的網管字串 RO 3

no snmp-server community …… RW
/*注重：假如沒有必要，去掉RW的相關字串，降低安全隱患
no snmp-server trap-source Loopback0
no snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
no snmp-server enable traps atm subif
no snmp-server enable traps srp
no snmp-server enable traps hsrp
no snmp-server enable traps config
no snmp-server enable traps entity
no snmp-server enable traps envmon
no snmp-server enable traps syslog
no snmp-server enable traps fru-ctrl
no snmp-server enable traps bgp
no snmp-server enable traps pim neighbor-change rp-mapping-change invalid-pim-message
no snmp-server enable traps msdp
no snmp-server enable traps frame-relay
no snmp-server enable traps frame-relay subif
no snmp-server enable traps rtr
no snmp-server enable traps mpls traffic-eng
no snmp-server host 1.1.1.1 111
no snmp-server host 1.1.1.1 222
/* 以上不再使用，可以清除該配置，有必要時再加上

line con 0
exec-timeout  15 0
password x1x11.1.1.1
    transport input none
line aux 0
exec-timeout  15 0
！
！======== Telnet安全設置  =============
username t5  password 7 03550958525A
username ppp privilege 15 secret 7 045802150C2E
/*注重：從目前的情況來看，secret選項僅適于GSR, 6509 MSFC，其它設備仍然只能使用password選項

access-list 10 permit  202.103.202.0 0.0.0.255
/* 設置答應登錄的地址段

line vty 0 4
exec-timeout  15 0      /* 該連接超過15分鐘的空閑后，自動斷線
access-class 10 in
transport input telnet
transport outout none
login local

上一篇：20款最流行貓ADSL MODEM路由設置方法

下一篇：完全路由算法設計目標的方式分析