思科路由器安全配置规范

II. 使用show running-config命令，如下例： router#show running-config Building configuration... Current configuration: ! line vty 0 4 transport input ssh 2.2

账号管理、认证授权

2.2.1 账户

编号：安全要求-设备-思科路由器-配置-1 要求内容 应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。 1．参考配置操作 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# service password-encryption Router(config)# username ruser1 password 3d-zirc0nia Router(config)# username ruser1 privilege 1 Router(config)# username ruser2 password 2B-or-3B Router(config)# username ruser2 privilege 1 Router(config)# end Router# 2．补充操作说明 操作指南 1.判定条件 I. 配置文件中，存在不同的帐号分配 II. 网络管理员确认用户与帐号分配关系明确 检测方法 2.检测操作 使用show running-config命令，如下例： router#show running-config Building configuration... Current configuration: ! service password-encryption username ruser1 password 3d-zirc0nia username ruser1 privilege 1 username ruser2 password 2B-or-3B username ruser2 privilege 1 编号：安全要求-设备-思科路由器-配置-2 要求内容 应删除与设备运行、维护等工作无关的账号。 1．参考配置操作 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# no username ruser3 2．补充操作说明 操作指南 1.判定条件 I. 配置文件存在多帐号 II. 网络管理员确认所有帐号与设备运行、维护等工作有关 2.检测操作 检测方法 使用show running-config命令，如下例： router#show running-config Building configuration... Current configuration: ! username user1 privilege 1 password password1 username nobodyuse privilege 1 password password1 2.2.2 口令

编号：安全要求-设备-思科路由器-配置-3 要求内容 静态口令必须使用不可逆加密算法加密，以密文形式存放。如使用enable secret配置Enable密码，不使用enable password配置Enable密码。 1．参考配置操作 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# enable secret 2-mAny-rOUtEs Router(config)# no enable password Router(config)# end 操作指南 2．补充操作说明 1.判定条件 配置文件无明文密码字段 2.检测操作 使用show running-config命令，如下例： router#show running-config Building configuration... Current configuration: ! service password-encryption enable secret 5 $1oxphetTb$rTsF$EdvjtWbi0qA2g 检测方法 username ciscoadmin password 7 Wbi0qA1$rTsF$Edvjt2gpvyhetTb 2.2.3

授权

2.2.4 认证

编号：安全要求-设备-思科路由器-配置-7-可选 要求内容 设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。 1．参考配置操作 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#aaa new-model Router(config)#aaa authentication login default group tacacs+ Router(config)#aaa authentication enable default group tacacs+ Router(config)#tacacs-server host 192.168.6.18 Router(config)#tacacs-server key Ir3@1yh8n#w9@swD Router(config)#end Router# 2．补充操作说明 与外部TACACS+ server 192.168.6.18 联动，远程登录使用TACACS+ serverya验证 操作指南 1.判定条件 帐号、口令配置，指定了认证系统 2.检测操作 使用show running-config命令，如下例： router#show running-config Building configuration... Current configuration: ! aaa new-model aaa authentication login default group tacacs+ aaa authentication enable default group tacacs+ tacacs-server host 192.168.6.18 tacacs-server key Ir3@1yh8n#w9@swD 检测方法 2.3 日志安全要求

编号：安全要求-设备-思科路由器-配置-4-可选 要求内容 与记账服务器(如RADIUS 服务器或TACACS服务器)配合，设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 1．参考配置操作 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#aaa new-model Router(config)#aaa accounting connection default start-stop group tacacs+ Router(config)#aaa accounting exec default start-stop group tacacs+ Router(config)#end Router1# 2．补充操作说明 使用TACACS+ server 操作指南 1.判定条件 配置了AAA模板的上述具体条目 检测方法 2.检测操作 使用show running-config命令，如下例： router1#show runn | include aaa Building configuration... Current configuration: ! aaa new-model aaa authentication login default group tacacs+ aaa authorization exec default group tacacs+ aaa session-id common 编号：安全要求-设备-思科路由器-配置-5-可选 要求内容 与记账服务器(如TACACS服务器)配合，设备应配置日志功能，记录用户对设备的操作，如账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。 1．参考配置操作 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#aaa new-model Router(config)#aaa accounting commands 1 default start-stop group tacacs+ Router(config)#aaa accounting commands 15 default start-stop group tacacs+ Router(config)#end Router1# 2．补充操作说明 使用TACACS+ server 操作指南 1.判定条件 配置了AAA模板的上述具体条目 2.检测操作 使用show running-config命令，如下例： router1#show runn | include aaa Building configuration... Current configuration: ! aaa new-model aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ 检测方法 编号：安全要求-设备-思科路由器-配置-6-可选 要求内容 开启NTP服务，保证日志功能记录的时间的准确性。