目录
1
概述........................................................................................................................................................................ 2 1.1 1.2 1.3 1.4 1.5 2
适用范围 ....................................................................................................................................................... 2 内部适用性说明 ........................................................................................................................................... 2 外部引用说明 ............................................................................................................................................... 3 术语和定义 ................................................................................................................................................... 3 符号和缩略语 ............................................................................................................................................... 3
思科路由器设备安全配置要求 ............................................................................................................................ 4 2.1 2.2
内部适用性安全要求 .................................................................................................... 错误!未定义书签。 账号管理、认证授权安全要求 ................................................................................................................... 11
账户 ...................................................................................................................................................... 11 2.2.2 口令 ......................................................................................................................................................12 2.2.3 授权 ......................................................................................................................................................13 2.2.4 认证 ......................................................................................................................................................13 2.3 日志安全要求 ..............................................................................................................................................14 2.4 IP协议安全要求 .........................................................................................................................................16 2.4.1 基本协议安全 ......................................................................................................................................16 2.4.2 路由协议安全 ......................................................................................................................................22 2.4.3 SNMP协议安全 .....................................................................................................................................25 2.4.4 MPLS安全 .............................................................................................................................................26 2.5 其他安全要求 ..............................................................................................................................................27
2.2.1
概述
1.1 适用范围
本规范适用于通信网、业务系统和支撑系统的思科路由器。本规范明确了思科路由器安全配置方面的基本要求。
1.2 内部适用性说明
本规范是在《设备通用设备安全功能和配置规范》(以下简称《通用规范》)各项设备配置要求的基础上,提出的思科路由器安全配置要求。以下分项列出本规范对《通用规范》设备配置要求的修订情况:
设备通用安全配置要求编号 安全要求-设备-通用-配置-1-可选 安全要求-设备-通用-配置-2-可选 安全要求-设备-通用-配置-3-可选 安全要求-设备-通用-配置-4 安全要求-设备-通用-配置-5 安全要求-设备-通用-配置-6-可选 安全要求-设备-通用-配置-7-可选 安全要求-设备-通用-配置-9 安全要求-设备-通用-配置-12 安全要求-设备-通用-配置-13-可选 安全要求-设备-通用-配置-24-可选 安全要求-设备-通用-配置-14-可选 安全要求-设备-通用-配置-16-可选 安全要求-设备-通用-配置-17-可选 安全要求-设备-通用-配置-19-可选 采纳意见 备注 增强要求 安全要求-设备-思科路由器-配置-1 增强功能 安全要求-设备-思科路由器-配置-2 完全采纳 完全采纳 设备不支持 不采纳 设备不支持 不采纳 设备不支持 不采纳 完全采纳 设备不支持 不采纳 设备不支持 不采纳 增强要求 安全要求-设备-思科路由器-配置-7-可选 完全采纳 完全采纳 完全采纳 增强要求 安全要求-设备-思科路由器-配置-22 安全要求-设备-通用-配置-20-可选 不采纳 设备不支持 安全要求-设备-通用-配置-27-可选 增强要求 安全要求-设备-思科路由器-配置-23 本规范新增的安全配置要求,如下: 安全要求-设备-思科路由器-配置-3
安全要求-设备-思科路由器-配置-4-可选 安全要求-设备-思科路由器-配置-5-可选
安全要求-设备-思科路由器-配置-6-可选 安全要求-设备-思科路由器-配置-8-可选 安全要求-设备-思科路由器-配置-9
安全要求-设备-思科路由器-配置-10-可选 安全要求-设备-思科路由器-配置-11
安全要求-设备-思科路由器-配置-12-可选 安全要求-设备-思科路由器-配置-13
安全要求-设备-思科路由器-配置-14-可选 安全要求-设备-思科路由器-配置-15 安全要求-设备-思科路由器-配置-16 安全要求-设备-思科路由器-配置-17
安全要求-设备-思科路由器-配置-18-可选 安全要求-设备-思科路由器-配置-19 安全要求-设备-思科路由器-配置-20
安全要求-设备-思科路由器-配置-21-可选 安全要求-设备-思科路由器-配置-24
本规范还针对直接引用《通用规范》的配置要求,给出了在思科路由器上的具体配置方法和检测方法。
1.3 外部引用说明
《通用安全功能和配置规范》
1.4 术语和定义
BGP Route flap damping:由RFC2439定义,当BGP接口翻转后,其他BGP系统就会在一段可配置的时间内不接受从这个问题网络发出的路由信息。
1.5 符号和缩略语
缩写
英文描述 中文描述
2 思科路由器设备安全配置要求
2.1 直接引用《通用规范》的配置要求
编号:安全要求-设备-通用-配置-3-可选 要求内容 限制具备管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到管理员权限账号后执行相应操作。 1.参考配置操作 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# service password-encryption Router(config)# username normaluser password 3d-zirc0nia Router(config)# username normaluser privilege 1 Router(config)# line vty 0 4 Router(config-line)# login local Router(config-line)# exec-timeout 5 0 Router(config-line)# end 2.补充操作说明 设定账号密码加密保存 创建normaluser账号并指定权限级别为1; 设定远程登录启用路由器账号验证; 设定超时时间为5分钟; 操作指南 1.判定条件 I. VTY使用用户名和密码的方式进行连接验证 II. 2、账号权限级别较低,例如:I 2.检测操作 使用show running-config命令,如下例: router#show running-config Building configuration... Current configuration: ! service password-encryption username normaluser password 3d-zirc0nia username normaluser privilege 1 line vty 0 4 login local 检测方法
编号: 安全要求-设备-通用-配置-4 要求内容 对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 1. 参考配置操作 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#aaa new-model Router(config)#aaa authentication login default group tacacs+ Router(config)#aaa authentication enable default group tacacs+ Router(config)#tacacs-server host 192.168.6.18 Router(config)#tacacs-server key Ir3@1yh8n#w9@swD Router(config)#end Router# 2. 补充操作说明 与外部TACACS+ server 192.168.6.18 联动,远程登录使用TACACS+ serverya验证;口令强度由TACACS+ server控制 操作指南 1.判定条件 检测方法 此项无法通过配置实现,建议通过管理实现 2.检测操作 此项无法通过配置实现,建议通过管理实现
编号:安全要求-设备-通用-配置-9 要求内容 在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。 1.参考配置操作 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# service password-encryption Router(config)# username normaluser password 3d-zirc0nia Router(config)# username normaluser privilege 1 Router(config)# privilege exec level 15 connect Router(config)# privilege exec level 15 telnet Router(config)# privilege exec level 15 rlogin Router(config)# privilege exec level 15 show ip access-lists Router(config)# privilege exec level 15 show access-lists Router(config)# privilege exec level 15 show logging Router(config)# ! if SSH is supported.. Router(config)# privilege exec level 15 ssh Router(config)# privilege exec level 1 show ip 操作指南
思科路由器安全配置规范
