中国移动思科路由器安全配置规范.doc

1、XXXX-XX-XX实行XXXX-XX-XX发布中国移动公司-思科路由器安全配置规范Specification for Cisco Router Configuration Used in China Mobile版本号：2.中国移动通信有限公司网络部目录1范围12规范性引用文献12.1内部引用12.2外部引用23术语、定义和缩略语24思科路由器设备安全配置规定34.1直接引用通用规范的配置规定34.2账号管理、认证授权114.2.1账户114.2.2口令124.2.3授权134.2.4认证134.3日记安全规定144.4IP协议安全规定174.4.1基本协议安全174.4.2路由协议安全23

2、4.4.3SNMP协议安全264.4.4MPLS安全284.5其他安全规定295编制历史33前言为了贯彻安全三同步的规定，在设备选型、入网测试、工程验收以及运营维护等环节，明确并贯彻安全功能和配置规定。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验罢手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置规定，并作为本系列其他规范的编制基础。本标准起草单位：中国移动通信有限公司网络部、中国移动集团上海公司。本标准解释单位：同提出单位。本标准重要起草人：刘金根、程晓鸣、陈

3、敏时、周智、曹一生。1 范围本规范合用于中国移动通信网、业务系统和支撑系统的思科路由器。本规范明确了思科路由器安全配置方面的基本规定。2 规范性引用文献2.1 内部引用本规范是在中国移动设备通用设备安全功能和配置规范（以下简称通用规范）各项设备配置规定的基础上，提出的思科路由器安全配置规定。以下分项列出本规范对通用规范设备配置规定的修订情况：设备通用安全配置规定编号采纳意见备注安全规定-设备-通用-配置-1增强规定安全规定-设备-思科路由器-配置-1安全规定-设备-通用-配置-2增强功能安全规定-设备-思科路由器-配置-2安全规定-设备-通用-配置-3-可选完全采纳安全规定-设备-通用-配置-

4、4完全采纳安全规定-设备-通用-配置-5不采纳设备不支持安全规定-设备-通用-配置-6-可选不采纳设备不支持安全规定-设备-通用-配置-7-可选不采纳设备不支持安全规定-设备-通用-配置-9完全采纳安全规定-设备-通用-配置-12不采纳设备不支持安全规定-设备-通用-配置-13-可选不采纳设备不支持安全规定-设备-通用-配置-24-可选增强规定安全规定-设备-思科路由器-配置-7-可选安全规定-设备-通用-配置-14-可选完全采纳安全规定-设备-通用-配置-16-可选完全采纳安全规定-设备-通用-配置-17-可选完全采纳安全规定-设备-通用-配置-19增强规定安全规定-设备-思科路由器-配置-

5、22安全规定-设备-通用-配置-20-可选不采纳设备不支持安全规定-设备-通用-配置-27增强规定安全规定-设备-思科路由器-配置-23安全规定-设备-通用-配置-28不采纳设备不支持安全规定-设备-通用-配置-29-可选不采纳设备不支持本规范新增的安全配置规定，如下：安全规定-设备-思科路由器-配置-3安全规定-设备-思科路由器-配置-4-可选安全规定-设备-思科路由器-配置-5-可选安全规定-设备-思科路由器-配置-6-可选安全规定-设备-思科路由器-配置-8-可选安全规定-设备-思科路由器-配置-9安全规定-设备-思科路由器-配置-10-可选安全规定-设备-思科路由器-配置-11安全规定

6、-设备-思科路由器-配置-12-可选安全规定-设备-思科路由器-配置-13安全规定-设备-思科路由器-配置-14-可选安全规定-设备-思科路由器-配置-15安全规定-设备-思科路由器-配置-16安全规定-设备-思科路由器-配置-17安全规定-设备-思科路由器-配置-18-可选安全规定-设备-思科路由器-配置-19安全规定-设备-思科路由器-配置-20安全规定-设备-思科路由器-配置-21-可选安全规定-设备-思科路由器-配置-24本规范还针对直接引用通用规范的配置规定，给出了在思科路由器上的具体配置方法和检测方法。2.2 外部引用中国移动通用安全功能和配置规范3 术语、定义和缩略语BGP Ro

7、ute flap damping：由RFC2439定义，当BGP接口翻转后，其他BGP系统就会在一段可配置的时间内不接受从这个问题网络发出的路由信息。缩写英文描述中文描述4 思科路由器设备安全配置规定4.1 直接引用通用规范的配置规定 规定编号安全规定-设备-通用-配置-3-可选合用版本Cisco IOS Release 12.0以上规定内容限制具有管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。操作指南1 参考配置操作Router# config tEnter configuration commands, one per

8、 line. End with CNTL/Z.Router(config)# service password-encryptionRouter(config)# username normaluser password 3d-zirc0niaRouter(config)# username normaluser privilege 1Router(config)# line vty 0 4 Router(config-line)# login localRouter(config-line)# exec-timeout 5 0Router(config-line)# end2 补充操作说明设

9、定账号密码加密保存创建normaluser账号并指定权限级别为1；设定远程登录启用路由器账号验证；设定超时时间为5分钟；检测方法1. 鉴定条件I. VTY使用用户名和密码的方式进行连接验证II. 2、账号权限级别较低，例如：I2. 检测操作使用show running-config命令，如下例：router#show running-configBuilding configuration.Current configuration:!service password-encryptionusername normaluser password 3d-zirc0niausername norm

10、aluser privilege 1line vty 0 4 login local3 补充说明会导致远程袭击者通过黑客工具猜解账号口令规定编号安全规定-设备-通用-配置-4合用版本规定内容对于采用静态口令认证技术的设备，口令长度至少6位，并涉及数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1 参考配置操作Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z.Router(config)#aaa new-modelRouter(config)#aaa authent

11、ication login default group tacacs+Router(config)#aaa authentication enable default group tacacs+Router(config)#tacacs-server host 192.168.6.18Router(config)#tacacs-server key Ir31yh8n#w9swDRouter(config)#endRouter#2. 补充操作说明与外部TACACS+ server 192.168.6.18 联动，远程登录使用TACACS+ serverya验证；口令强度由TACACS+ serv

12、er控制检测方法1. 鉴定条件此项无法通过配置实现，建议通过管理实现2. 检测操作此项无法通过配置实现，建议通过管理实现3. 补充说明规定编号安全规定-设备-通用-配置-9合用版本Cisco IOS Release 12.0以上规定内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1. 参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# service password-encryptionRouter(config)# us

13、ername normaluser password 3d-zirc0niaRouter(config)# username normaluser privilege 1Router(config)# privilege exec level 15 connectRouter(config)# privilege exec level 15 telnetRouter(config)# privilege exec level 15 rloginRouter(config)# privilege exec level 15 show ip access-listsRouter(config)#

14、privilege exec level 15 show access-listsRouter(config)# privilege exec level 15 show loggingRouter(config)# ! if SSH is supported.Router(config)# privilege exec level 15 sshRouter(config)# privilege exec level 1 show ip2 补充操作说明基本思想是创建账号并赋予不同的权限级别，并将各命令绑定在不同的权限级别上；上例操作过程如下：设定账号密码加密保存创建normaluser账号并指

15、定权限级别为1；将connect、telnet、rlogin、show ip access-lists、show access-lists、show logging、ssh指定仅当账号权限级别为15时才可使用；将show ip指定为仅当账号权限级别大于1时才可使用；检测方法1. 鉴定条件I. 用户名绑定权限级别II. 操作命令划分权限级别2. 检测操作使用show running-config命令，如下例：router#show running-configBuilding configuration.Current configuration:!username normaluser pas

16、sword 3d-zirc0niausername normaluser privilege 1privilege exec level 15 connectprivilege exec level 15 telnetprivilege exec level 15 rloginprivilege exec level 15 show ip access-listsprivilege exec level 15 show access-listsprivilege exec level 15 show loggingprivilege exec level 15 sshprivilege exe

17、c level 1 show ip3. 补充说明“权限最小”原则规定编号安全规定-设备-通用-配置-14-可选合用版本Cisco IOS Release 12.0以上规定内容设备应支持远程日记功能。所有设备日记均能通过远程日记功能传输到日记服务器。设备应支持至少一种通用的远程标准日记接口，如SYSLOG、FTP等。操作指南1. 参考配置操作路由器侧配置：Router# config tEnter configuration commands, one per line. End with CNTL/ZRouter(config)# logging onRouter(config)# loggi

18、ng trap informationRouter(config)# logging 192.168.0.100Router(config)# logging facility local6Router(config)# logging source-interface loopback0Router(config)# exit Router# show loggingSyslog logging: enabled (0 messages dropped, 11 flushes, 0overruns)Console logging: level notifications, 35 messag

19、es loggedMonitor logging: level debugging, 35 messages loggedBuffer logging: level informational, 31 messages loggedLogging to 192.168.0.100, 28 message lines logged.Router#2. 补充操作说明I. 假设把router日记存储在192.168.0.100的syslog服务器上路由器侧配置描述如下：启用日记记录日记级别设定“information”记录日记类型设定“local6”日记发送到192.168.0.100日记发送源是l

20、oopback0配置完毕可以使用“show logging”验证服务器侧配置参考如下：Syslog服务器配置参考：在Syslog.conf上增长一行# Save router messages to routers.loglocal6.debug /var/log/routers.log创建日记文献#touch /var/log/routers.logII. 假如使用snmp存储日记参考配置如下：Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# logging

21、trap informationRouter(config)# snmp-server host 192.168.0.100 traps publicRouter(config)# snmp-server trap-source loopback0Router(config)# snmp-server enable traps syslogRouter(config)# exit Router#检测方法1. 鉴定条件I. Syslog logging和SNMP logging至少有一个为“enabled”II. Logging to后面的主机名或IP指向日记服务器III. 通常记录日记数不为0

22、2. 检测操作使用show logging命令，如下例：Router# show loggingSyslog logging: enabled Console logging: disabled Monitor logging: level debugging, 266 messages logged. Trap logging: level informational, 266 messages logged. Logging to 192.180.2.238SNMP logging: disabled, retransmission after 30 seconds 0 messages

23、loggedRouter#3. 补充说明规定编号安全规定-设备-通用-配置-16-可选合用版本Cisco IOS Release 12.0以上规定内容对于具有TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。操作指南1. 参考配置操作例如：要配置允许目的为14.1.1.2的所有DNS访问流量Router(config)# access-list 140 permit udp any host 14.1.1.2 eq 53Router(config)# access-list 140

24、 deny udp any any log例如：要配置允许目的为14.1.0.0/16的所有DNS访问流量Router(config)# access-list 140 permit tcp any 14.1.0.0 0.0.255.255Router(config)# access-list 140 deny ip any any log2. 补充操作说明访问控制列表命令格式：I. 标准访问控制列表access-list list-number deny | permit source source-wildcard logII. 扩展访问控制列表access-list list-numbe

25、r deny | permit protocolsource source-wildcard source-qualifiersdestination destination-wildcard destination-qualifiers log | log-input检测方法1. 鉴定条件I. 针对每个业务所需通讯，存在一条acl；II. 对于非公共性服务，源IP和目的IP不能具有anyIII. 目的端口明确2. 检测操作使用show ip access-list access-list-number | name 命令，如下例：Router# show ip access-listExte

26、nded IP access list 101 deny udp any any eq ntp permit tcp any any permit udp any any eq tftp permit icmp any any permit udp any any eq domain3. 补充说明防止非正常业务占用过多带宽流量规定编号安全规定-设备-通用-配置-17-可选合用版本Cisco IOS Release 12.0以上规定内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。操作指南1. 参考配置操作I. 配置主机名和域名router# config tEnter c

27、onfiguration commands, one per line. End with CNTL/Z.router(config)# hostname RouterRouter(config)# ip domain-name Router.domain-nameII. 配置访问控制列表Router(config)# no access-list 12 Router(config)# access-list 12 permit host 192.168.0.200Router(config)# line vty 0 4Router(config-line)# access-class 12

28、in Router(config-line)# exitIII. 配置账号和连接超时Router(config)# service password-encryptionRouter(config)# username normaluser password 3d-zirc0niaRouter(config)# username normaluser privilege 1Router(config)# line vty 0 4 Router(config-line)# login localRouter(config-line)# exec-timeout 5 0IV. 生成rsa密钥对Ro

29、uter(config)# crypto key generate rsaThe name for the keys will be: Router.domain-nameChoose the size of the key modulus in the range of 360 to2048 for your General Purpose Keys. Choosing a key modulusgreater than 512 may take a few minutes.How many bits in the modulus 512: 2048Generating RSA Keys .

30、OKV. 配置仅允许ssh远程登录Router(config)# line vty 0 4Router(config-line)# transport input ssh Router(config-line)# exitRouter(config)#2. 补充操作说明配置描述：I. 配置ssh规定路由器已经存在主机名和域名II. 配置访问控制列表，仅授权192.168.0.200访问192.168.0.100 sshIII. 配置远程访问里连接超时IV. 生成rsa密钥对，假如已经存在可以使用以前的。默认存在rsa密钥对sshd就启用，不存在rsa密钥对sshd就停用。V. 配置远程访问协议

31、为ssh检测方法1. 鉴定条件I. 存在rsa密钥对II. 远程登录指定ssh协议2. 检测操作I. 使用show crypto key mypubkey rsa命令，如下例：Router(config)# show crypto key mypubkey rsa% Key pair was generated at: 06:07:49 UTC Jan 13 1996Key name: Usage: Signature Key Key Data: 005C300D 06092A86 4886F70D 01010105 00034B00 30480241 00C5E23B 55D6AB2204A

32、EF1BA A54028A6 9ACC01C5 129D99E4 64CAB820 847EDAD9 DF0B4E4C 73A05DD2BD62A8A9 FA603DD2 E2A8A6F8 98F76E28 D58AD221 B583D7A4 71020301 0001% Key pair was generated at: 06:07:50 UTC Jan 13 1996Key name: Usage: Encryption Key Key Data: 00302023 4A7D385B 1234EF29 335FC973 2DD50A37 C4F4B0FD 9DADE748 429618D

33、5 18242BA3 2EDFBDD3 4296142A DDF7D3D8 08407685 2F2190A0 0B43F1BD 9A8A26DB 07953829 791FCDE9 A98420F0 6A82045B 90288A26 DBC64468 7789F76E EE21II. 使用show running-config命令，如下例：router#show running-configBuilding configuration.Current configuration:!line vty 0 4transport input ssh3. 补充说明使用非加密协议在传输过程中容易被截

34、获口令4.2 账号管理、认证授权4.2.1 账户规定编号安全规定-设备-思科路由器-配置-1合用版本Cisco IOS Release 12.0以上规定内容应按照用户分派账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。操作指南1. 参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# service password-encryptionRouter(config)# username ruser1 password 3d-zirc

35、0niaRouter(config)# username ruser1 privilege 1Router(config)# username ruser2 password 2B-or-3BRouter(config)# username ruser2 privilege 1Router(config)# end Router#2. 补充操作说明检测方法1. 鉴定条件I. 配置文献中，存在不同的帐号分派II. 网络管理员确认用户与帐号分派关系明确2. 检测操作使用show running-config命令，如下例：router#show running-configBuilding conf

36、iguration.Current configuration:!service password-encryption username ruser1 password 3d-zirc0niausername ruser1 privilege 1username ruser2 password 2B-or-3Busername ruser2 privilege 13. 补充说明使用共享账号容易导致职责不清规定编号安全规定-设备-思科路由器-配置-2合用版本Cisco IOS Release 12.0以上规定内容应删除与设备运营、维护等工作无关的账号。操作指南1参考配置操作Router# co

37、nfig tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# no username ruser32补充操作说明检测方法1. 鉴定条件I. 配置文献存在多帐号II. 网络管理员确认所有帐号与设备运营、维护等工作有关2. 检测操作使用show running-config命令，如下例：router#show running-configBuilding configuration.Current configuration:!username user1 privilege 1 password

38、 password1username nobodyuse privilege 1 password password13. 补充说明删除不用的账号，避免被运用4.2.2 口令规定编号安全规定-设备-思科路由器-配置-3合用版本Cisco IOS Release 12.1以上规定内容静态口令必须使用不可逆加密算法加密，以密文形式存放。如使用enable secret配置Enable密码，不使用enable password配置Enable密码。操作指南1. 参考配置操作Router# config tEnter configuration commands, one per line. End

39、with CNTL/Z.Router(config)# enable secret 2-mAny-rOUtEsRouter(config)# no enable passwordRouter(config)# end2 补充操作说明检测方法1. 鉴定条件配置文献无明文密码字段2. 检测操作使用show running-config命令，如下例：router#show running-configBuilding configuration.Current configuration:!service password-encryptionenable secret 5 $1oxphetTb$r

40、TsF$EdvjtWbi0qA2gusername ciscoadmin password 7 Wbi0qA1$rTsF$Edvjt2gpvyhetTb3. 补充说明假如不加密,使用show running-config命令,可以看到未加密的密码4.2.3 授权4.2.4 认证 规定编号安全规定-设备-思科路由器-配置-7-可选合用版本Cisco IOS Release 12.0以上规定内容设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制规定。操作指南1. 参考配置操作Router#configure terminal Enter configuration commands,

41、 one per line. End with CNTL/Z.Router(config)#aaa new-modelRouter(config)#aaa authentication login default group tacacs+Router(config)#aaa authentication enable default group tacacs+Router(config)#tacacs-server host 192.168.6.18Router(config)#tacacs-server key Ir31yh8n#w9swDRouter(config)#endRouter#

42、2. 补充操作说明与外部TACACS+ server 192.168.6.18 联动，远程登录使用TACACS+ serverya验证检测方法1. 鉴定条件帐号、口令配置，指定了认证系统2. 检测操作使用show running-config命令，如下例：router#show running-configBuilding configuration.Current configuration:!aaa new-modelaaa authentication login default group tacacs+aaa authentication enable default group t

43、acacs+tacacs-server host 192.168.6.18tacacs-server key Ir31yh8n#w9swD3. 补充说明4.3 日记安全规定规定编号安全规定-设备-思科路由器-配置-4-可选合用版本Cisco IOS Release 12.0以上规定内容与记账服务器(如RADIUS 服务器或TACACS服务器)配合，设备应配置日记功能，对用户登录进行记录，记录内容涉及用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。操作指南1. 参考配置操作Router#configure terminal Enter configuration

44、commands, one per line. End with CNTL/Z.Router(config)#aaa new-model Router(config)#aaa accounting connection default start-stop group tacacs+Router(config)#aaa accounting exec default start-stop group tacacs+ Router(config)#endRouter1#2. 补充操作说明使用TACACS+ server检测方法1. 鉴定条件配置了AAA模板的上述具体条目2. 检测操作使用show running-config命令，如下例：router1#show runn | include aaa Building configuration.Current configuration:!aaa new-modelaaa authentication login default group tacacs+aaa authorization exec default group tacacs+ aaa session-id common3. 补充说明规定编号安全规定-设备-思科路由器-配置-5-可选合用版本Cisco IOS Release 12.0以上规定内容与记账服务器(