Cisco路由器检查清单V20R01.docx

系统安全服务解决方案2・0版Cisco路由器检查清单华为技术华为技术有限公司综合业务服务产品部二o—四年二月资料编码产品名称使用对象产品版本编写部门综合业务服务产品部资料版本拟制何韬日期：2003-05-25审核日期：审核日期：批准日期：修订记录日期修订版本作者描述2003-02-271.0何韬、林浩泓2003-5-252.0 RevOl何韬目录1 概述 52 接入安全检査 52」 物理安全 52.2 软件版木 62.3 帐号、口令、登陆、权限 62.4 远程登陆 62.5 AAA月比务 72.6 配置以及数据管理 73 路由器网络服务安全检查 73.1 TCP^ UDP Small Server 73.2 Finger 73.3 HTTP Server 73.4 Bootp Server 83.5 口动配置下载 83.6 Source routing 83.7 Proxy ARP 83.8 IP DIRECTED BROADCAST 83.9 ICMP报文控制 83」0 SNMP 93.11 NTP 93.12 DNS 93.13 CDP 94 访问控制列表 104」 保护路由器本身 104.2 通过的网络流量安全控制 1()5 路由协议安全 105」 路由邻居认证 105.2 防止路由信息泄漏 115.3 路由准确性及粒度控制 115.4 路由兀余 116 审计及管理 126」 日志与时间一致性 126.2 SNMP 安全 126.3 软件版本升级 126.4 分析与 Debug 127 配置安全检查 137」 配置以及数据管理 137.2 描述检查 138 高级安全 13&1 使用SSH加密 138.2 使用IPSEC通信 138.3 使用路山器的HREWALL, IDS功能 149 CISCO路由器安全配置模板 1410 附录一 CISCO路由器配置检查表 151概述本文描述对路由器设置的安全检查清单，罗列所有需要检查Z内容。

除非路由器软件 不支持，或外围服务不可用，否则在不影响业务运行的情况下，必须按清单之指导严格执 行安全检查前，应了解下列适川原则：/ 描述以及名词解释一一本文所有描述、名词以及配置实例以Cisco路由器为基 础/ 命令使用一本文假设管理员已熟悉Cisco 10S的语法与操作方式，在举例中不会 做详细说明，所冇的表达与参数请查阅相关产品技术文档/ 路由器执行功能——确定路山器在网络中执行的功能可以了解特定安全特性的影 响例如，当数据通信包含到达外部Web服务器，关闭SSL端口将使得某些服务 不可用/ 安全建议的可用性——检查表列出许多安全建议可能会影响网络的性能，不适合 特定网络使用确定不使用这些安全要点所带来的安全风险很重要，用户是否接 受不使用这些安全特性所带来的风险/ 安全控制迁移——路由器并不是唯一-的安全监控网元，还要考虑其他安全影响， 如防火墙、操作系统等较低路山器安全等级可以通过增强防火墙安全控制來弥 补，如过滤掉非业务端口/ 互操作性一一路山器还会与其他设备互操作，如日志服务器或SNMP网络管理 系统还需检查其他设备的安全状况本检杳表不提供这些其他设备的安全检杳 建议/ 安全建议的可适用性——本安全检査列表试图提供对路由器所有安全耍点进行检 查，然而有些要点并不在一些环境中适用。

女1【，在Windows环境中不需要考虑过 滤rlogin或ssh服务/ 网络服务器——本检查列表不包括运行TACACS或RADIUS服务器提供安全建 议接入安全检查2.1物理安全检杳机房、门禁系统、设备管理制度，确保设备机箱、电源、模块、NVRAM、Flash. PCMCIA卡与记录相符；确保非授权者无法接触Cosole. Aux端口、用于远程管理 的拨号modern以及各模块接口2.2软件版本检查路由器软件版木，所冇版木至少要在I0S11.3以上建议使用授新的至少发布了 一个月以上的GD （Gerneral Deployment）版本，因为此版本经过厂家检查，最稳定，bug 最少确实业务功能盂要才可使用LD或者ED版木，并必须经过测试所冇软件升级前 （包括GD）都必须经过测试，统一制定升级方案相关命令：show versionshow flash2.3帐号、口令.登陆、权限A） 帐号确保所有操作人员、维护人员使用自己的帐号登陆，而不是多人共用一个帐号B） 口令/ 确保激活password encryption功能，否则password为明文，相关命令： service password-encryption ；丁 便用password 5等级（MD5），此等级比7等级有更高安全性，7等级为 Cisco私有，已证实易被攻破，相关命令：user abc password 5 password；丁 确保使用enable secret,并且确保删除所有enble password命令：enable secret youcantseeme； no enable password oC） 登陆V 确保所有登陆接口 （consoleaux、vty等）都配置了验证：login local、 login,并确保没有同时使用no password选项；/ 确保远程拨入用户的reverse telnet功能失效：tnmspoH input none；/ 确保配置exec-timeout吋间，不得使用0 0选项：exec-timeout 0 10；丁 确保在登录标语使用合适法律警告（使用“banner login”命令）。

确保标语 不包含路山器信息（如，路由器名、型号、软件版本或所有者），检查警告 语是否含有下列信息：• 通知只有指定授权人员才可以登录或使用该系统• 通知任何非授权使用是非法的，将受到法律制裁• 通知对该系统的任何使用将被记录，并且相关LI志将用于法庭证 据• 特定法律通知D） 权限如冇必要，应严格设置各登陆用户权限（privilege）,已使其只能执行预定命令，并易 于审计,相关命令：privilege exec level 8 show startup—configo2.4远程登陆当使用modem远程拨入AUX 口或console 口,必须确保使用认证；当通过网络远程登陆吋（如telnet）,必须确保便用访问控制列表相关命令: access-class 99 inaccess-list 99 permit host 10J0.10.10 logaccess-list 99 deny any log2.5 AAA服务只要冇可能，必须使用AAA认证系统（比如通常使川RADIUS服务器）而不是路由 器本地认证系统，AAA有助于用户管理和集中FI志审计相关命令：aaa new-modelaaa authentication ...（配置选项较多，因应实际情况作不同设St,请参考《身份认证方 案》）radius-server host 10J0.10.10radius-server key login2.6配置以及数据管理确保有专门的服务器备份所有路由器的软件版本、配置文件，并每周定期备份；确保此服务器可以作为TFTP服务器和FTP服务器专门为路由器服务。

相关命令：copy startup-config tftpcopy startup-config ftpip ftp username abcip ftp password 3路由器网络服务安全检查下文描述路由器町以开放的服务，如非必须，卜•列服务必须关闭3.1 TCP、UDP Small Server路由辭捉供部分TCP、UDP Small Server的服务，/ill daytime> chargen等，这些服务容 易被恶意用户使用来进行信息嗅探，应予关闭，相关命令：no service tcp-small-serversno service udp-small-servers3.2 FingerFinger来自UNIX系统，用于查询一个主机上的登陆用户，同样易于被恶意用户利 用，应关闭，相关命令：No ip finger3.3 HTTP ServerCisco路由器可以作为一个hup服务器供用户浏览一些棊木信息，此服务毫无用处，必 须关闭，相关命令：No ip http server实在盂要，则必须建立认证机制，命令如下：ip http auth localip http access-class 99access-list 99 permit host 10.10.10.10 logaccess-list 99 deny any log3.4 Bootp ServerBootp用于向具他路rh器提供ios软件服务，此服务极少使川，应禁止，相关命令：No ip bootp server3.5自动配置下载口动配置卜•载使路由器能口动到网络上的服务器取配置文件，此服务增加路由器配置 被篡改可能，应禁止，相关命令：no service configno boot network3.6 Source routing源路由增加路由器被攻击的可能性，除非业务需求，否则必须禁止，相关命令：no ip source-route3.7 Proxy ARPProxy ARP使得路由器可以作为ARP请求接续装置，从而打破了 LAN的安全界限， 使某一个LAN内用户有可能获得LAN外的信息；同时不正确的配置会使路由器以proxy arp方式响应路由请求，严重影响路由器性能，其至造成朋溃，因此，如无必要，必须禁止 （某些悄况下，不可禁止，比如拨号接入服务器的上联口，且上联口网段与拨号用户网段 相同，另一解决方法是：依然禁止proxy arp,但在上级路由器增加指向拨号用户网址的相 应主机路由）。

相关命令：No ip proxy-arp3.8 IP directed broadcastIp directed broadcast使路由器转发一个目的地址为菜子网的广播地址的数据包，令所侑 该子网主机响应此数据包，这种状况容易造成DDoS攻击，当黑客将受害者真实IP地址作 为源地址发上述请求包时，此了网即被黑客利用为攻击源，示果更加严重，受害者将受到 此子网所有用八的攻击而陷于瘫痪因此ip directed broadcast应严格禁止相关命令 如下：no ip directed-broadcast3.9 ICMP报文控制路rtl器支持各种ICMP响应，主要有以卜3种：unreachable, redirect和mask replies, 这三种回答都可以使发起请求者获得网络的拓扑结构，冇利于恶意用八的信息收集，因 此，应该禁止或者设置访问控制列表，只允许有权限用户获得响应和关命令：no ip unreachableno ip redirectno ip mask-reply3.10 SNMPSNMP协议。