1、Cisco 交换机加固.txt 生活,是用来经营的,而不是用来计较的。感情,是用来维系的,而不是用来考验的。爱人,是用来疼爱的,而不是用来伤害的。金钱,是用来享受的,而不是用来衡量的。谎言,是用来击破的,而不是用来装饰的。信任,是用来沉淀的,而不是用来挑战的。Cisco 路由器及交换机安全加固 关键词:Cisco、IOS、信息安全根据木桶理论,一个桶能装多少水,取决于这个桶最短的那块木板。具体到信息系统的安全也是一样,整个信息系统的安全程度也取决于信息系统中最薄弱的环节,网络做为信息系统的体,其安全需求的重要性是显而易见的。 网络层面的安全主要有两个方面,一是数据层面的安全,使用 ACL 等技
2、术手段,辅助应用系统增强系统的整体安全;二是控制层面的安全,通过限制对网 络设备自身的访问,增强网络设备自身的安全性。数据层面的安全在拙著网络层权限访问控制ACL 详解(http: / 控制层面主要安全威协与应对原则 网络设备的控制层面的实质还是运行的一个操作系统,既然是一个操作系统,那么,其它操作系统可能遇到的安全威胁网络设备都有可能遇到;总结起来有如下几个方面: 1、 系统自身的缺陷:操作系统作为一个复杂系统,不论在发布之前多么仔细的进行测试,总会有缺陷产生的。出现缺陷后的唯一办法就是尽快给系统要上补丁。 Cisco IOS/Catos与其它通用操作系统的区别在于,IOS/Catos 需要
3、将整个系统更换为打过补丁的系统,可以查询 http: / 取得cisco 最新的安全公告信息与补丁信息。 2、 系统缺省服务:与大多数能用操作系统一样,IOS 与 CatOS 缺省情况下也开了一大堆服务,这些服务可能会引起潜在的安全风险,解决的办法是按最小特权原则,关闭这些不需要的服务。 3、 弱密码与明文密码:在 IOS 中,特权密码的加密方式强加密有弱加密两种,而普通存取密码在缺省情况下则是明文; 4、 非授权用户可以管理设备:既可以通过 telnetsnmp 通过网络对设备进行带内管理,还可以通过 console 与 aux 口对设备进行带外管理。缺省情况下带外管理是没有密码限制的。隐含
4、较大的安全风险; 5、 CDP 协议造成设备信息的泄漏; 6、 DDOS 攻击导致设备不能正常运行,解决方案,使用控制面策略,限制到控制层面的流量; 7、 发生安全风险之后,缺省审计功能。二、 Cisco IOS 加固 对于 12.3(4)T 之后的 IOS 版本,可以通过 autosecure 命令完成下述大多数功能,考虑到大部分用户还没有条件升级到该 IOS 版本,这里仍然列出需要使用到的命令行: 1、禁用不需要的服务: no ip http server /禁用 http server,这玩意儿的安全漏洞很多的 no ip source-route /禁用 IP 源路由,防止路由欺骗 n
5、o service finger /禁用 finger 服务 no ip bootp server /禁用 bootp 服务 no service udp-small-s /小的 udp 服务 no service tcp-small-s /禁用小的 tcp 服务 2、关闭 CDP no cdp run /禁用 cdp 3、配置强加密与启用密码加密: service password-encryption /启用加密服务,将对 password 密码进行加密 enable secret asdfajkls /配置强加密的特权密码 no enable password /禁用弱加密的特权密码 4
6、、配置 log server、时间服务及与用于带内管理的 ACL 等,便于进行安全审计 service timestamp log datetime localtime /配置时间戳为 datetime 方式,使用本地时间 logging 192.168.0.1 /向 192.168.0.1 发送 log logging 192.168.0.2 /向 192.168.0.2 发送 log access-list 98 的主机进行通讯 no access-list 99 /在配置一个新的 acl 前先清空该 ACL access-list 99 permit 192.168.0.0 0.0.0.
7、255 access-list 99 deny any log /log 参数说明在有符合该条件的条目时产生一条 logo 信息 no access-list 98 /在配置一个新的 acl 前先清空该 ACL access-list 98 permit host 192.168.0.1 access-list 98 deny any log /log 参数说明在有符合该条件的条目时产生一条 logo 信息 ! clock timezone PST-8 /设置时区 ntp authenticate /启用 NTP 认证 ntp authentication-key 1 md5 uadsf /设
8、置 NTP 认证用的密码,使用 MD5 加密。需要和 ntp server 一致 ntp trusted-key 1 /可以信任的 Key. ntp acess-group peer 98 /设置 ntp 服务,只允许对端为符合 access-list 98 条件的主机 ntp server 192.168.0.1 key 1 /配置 ntp server,server 为 192.168.0.1,使用 1 号 key 做为密码 5、对带内管理行为进行限制: snmp-server community HSDxdf ro 98/配置 snmp 只读通讯字,并只允许 access-list 98
9、的主机进行通讯 line vty 0 4 access-class 99 in /使用 acl 99 来控制 telnet 的源地址 login password 0 asdfaksdlf /配置 telnet 密码 exec-timeout 2 0 /配置虚终端超时参数,这里是 2 分钟 ! 6、对带外管理行为进行限制: line con 0 login password 0 adsfoii /配置 console 口的密码 exec-timeout 2 0 /配置 console 口超时参数,这里是两分钟 ! line aux 0 transport input none password
10、 0 asfdkalsfj no exec exit 7、应用 control-plane police,预防 DDOS 攻击(注:需要 12.2(18)S 或 12.3(4)T 以上版本才支持) 允许信任主机(包括其它网络设备、管理工作站等)来的流量: access-list 110 deny ip host 1.1.1.1 any access-list 110 deny ip 2.2.2.0 255.255.255.0 any . access-list 110 deny ip 3.3.3.3 any 限制所有其它流量 access-list 110 permit ip any any
11、! class-map control-plane-limit match access-group 110 ! policy-map control-plane-policy class control-plane-limit police 32000 conform transmit exceed drop ! control-plane service-policy input control-plane-policy三、 Cisco CatOS 加固 1、 禁用不需要的服务: set cdp disable /禁用 cdp set ip http disable /禁用 http se
12、rver,这玩意儿的安全漏洞很多的 2、 配置时间及日志参数,便于进行安全审计: set logging timestamp enable /启用 log 时间戳 set logging server 192.168.0.1 /向 192.168.0.1 发送 log set logging server 192.168.0.2 /向 192.168.0.2 发送 log! set timezone PST-8 /设置时区 set ntp authenticate enable /启用 NTP 认证 set ntp key 1 md5 uadsf /设置 NTP 认证用的密码,使用 MD5 加
13、密。需要和 ntp server 一致 set ntp server 192.168.0.1 key 1 /配置 ntp server,server 为 192.168.0.1,使用1 号 key 做为密码 set ntp client enable /启用 ntp client 3、 限制带内管理: set snmp community HSDxdf /配置 snmp 只读通讯字 set ip permit enable snmp /启用 snmp 访问控制 set ip permit 192.168.0.1 snmp /允许 192.168.0.1 进行 snmp 访问 set ip permit enable telnet /启用 telnet 访问控制 set ip permit 192.168.0.1 telnet /允许 192.168.0.1 进行 telnet 访问 set password /配置 telnet 密码 set enable /配置特权密码 set logout 2 /配置超时参数,2 分钟
