16、网络设备上线安全手册_管理流程制度 (2)
附录15
网络设备上线安全手册
网络设备上线安全手册
1.联各硬件厂商网站,确定最新交换机上运行的操作系统的漏洞描述或风险提示,
对系统进行升级或更新,我司根据实际情况跟踪,如果厂商发布固件版本,有巨大的安全隐患时,我司应立即对系统进行升级或更新。
2.使用复杂的系统口令,确保所有使用的口令必须为复杂口令,并使用MD5加密方
法设置enable口令。
1)对console line、auxiliary line 和virtual terminal lines访
问设置密码并加密保护:
2)Enable secret
enable secret 0 2manyRt3s(口令示例)
3)Console Line
line con 0
password Soda-4-jimmY(口令示例)
4)Auxiliary Line
line aux 0
password Popcorn-4-sara (口令示例)
5)VTY Lines
line vty 0 4
password Dots-4-georg3 (口令示例)
6)Basic protection
service password-encryption
3.确保所有提供登陆服务的位置都有口令防护。确保AUX和Console口都有EXEC
口令,并使用MD5加密,建议使用支持加密的登陆方式,如SSH等;
Enable secret配置:使用enable secret来加密secret口令。
4.访问控制配置:通过配置VTY端口的Access List来增加系统访问的安全性。
5.VTY访问配置:配置VTY的访问方式,用SSH来增加系统访问的安全性。
6.指定IP到路由器的Telnet访问。
7.对于允许远程登陆管理的路由器、交换机,必须设置相应的ACL,限定可远程登
录的主机IP地址范围,VTY只接受来自可信的IP地址的连接。并且应限制只接受一位管理员工作站的访问,避免DoS攻击的威胁,配置VTY连接超时,防止管理员离开时控制台被他人使用。
8.对于支持SNMP,提供网管功能的设备,必须确保MIB库的读/写密码必须设定为
非缺省值。
9.确保所有的接口都禁用 CDP 协议,以防止设备上的关键信息的泄露。
10.锁住到路由器的SNMP访问。
11.通过使用认证来控制对路由器的访问。
12.以相应的优先权登录,使用分级用户配置管理方式。
13.路由更新的认证,路由更新的认证会增加安全,但路由更新认证也会带来路
由更新问题;我司使用的是专线网络,所以可以不考虑路由更新的认证。14.Login Banner配置:修改login banner,隐藏路由器系统真实信息,防止真
实信息的泄露。
15.用户验证配置:配置用户验证方式以增强系统访问的安全性。
16.AAA方式配置:配置AAA方式来增加用户访问安全性。
17.路由命令审计配置:配置AAA命令记账来增强系统访问安全性。
18.路由器应该开启日志功能
1)若路由器没有足够的空间,需要将日志传送到日志服务器上保存。
2)若边界路由器未配合防火墙、IDS、Sniffer等技术使用,必须支持
详尽的日志信息。
3)在日志文件中需要记录登录过该设备的用户名、时间和所作的命令操
作等详细信息,为发现潜在攻击者的不良行为提供有力依据。
4)该设备制定的维护人员必须定期查看所管设备的日志文件,发现异常
情况要及时处理和报告上级主管,尽早消除网络安全隐患。
19.接口安全配置命令
1.Unused interfaces - shutdown
2.No Smurf attacks - no ip directed-broadcast
3.Ad-hoc routing - no ip proxy-arp
20.关闭路由器、以太网交换机内不需要的服务,对于必须开放的服务要限制开
放的范围以及数据的流向;
1)使用show proc 命令,关闭确实没用的服务:
2)Small services (echo, discard, chargen, etc.)
3)no service tcp-small-servers
4)no service udp-small-servers
5)BOOTP - no ip bootp server
6)Finger - no service finger
7)HTTP - no ip http server
8)Identd - no ip identd (some IOS versions)
9)SNMP - no snmp-server
10)CDP - no cdp run
11)Remote config. - no service config
12)Source routing - no ip source-route
21.核查开放的服务是否必须,否则禁用: