思科路由设备安全配置建议(手册）

　　1 内置服务设置 IOS中的许多服务对于ISP来说，都不是必须具备的东西。出于安全的考虑，应该将这类服务关闭，只在有需要时才开放。参见下面配置： no service finger no service pad no service udp-small-server no service tcp-small-server no ip bootp server no ip http server （或者使用 ip http server；ip http port xxx修改WEB访问端口） 另外，某些服务对ISP的网络有很大的帮助，应该要打开： service nagle service tcp-keepalives-in service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone ------------------------------------------------------------------------------------------------------------ 注1：部分服务在最新的IOS中已经关闭，敲入上述命令后，如果看不到的话，就表示默认是关闭的。 注2：Nagle服务有助于提高telnet到某一设备，或者从某一设备上telnet到其他设备时的性能。标准TCP协议中，对telnet的处理，是将所键入的字符逐字发送，这在网络拥塞时，会加剧网络的负担。而Nagle算法则对此进行了改进，一旦建立连接后，键入的第一个字符仍按一个封包发出，但其后的字符会先送到缓冲中，直到前一个连接的acknowledge包返回后，再发出。这样可以大大提高网络效率。 注3：时间戳在缺省配置中，是采用设备的up时间来记录的。因此在show log时，有可能会看到类似于 26W3day：……的东西，这样不利于判断告警发生的时间。建议按上文配置，修改为按系统本地时间来记录，以便快速知晓LOG中的告警产生的具体时间。 -------------------------------------------------------------------------------------------------------------

　　2 端口安全配置 IOS中的一些功能在校园网或者企业应用中有实际的作用，但对于ISP的骨干网来说，却没有多大意义。这些功能的滥用，有可能会增加ISP的安全风险。 ISP骨干网设备的端口配置中，建议进行如下配置： Interface e0/0 Description Cisco Router Standard Configuration Guide no ip redirects no ip proxy-arp no ip mroute-cache -------------------------------------------------------------------------------------------------------------------------- 注1：当某一接口下有多台同一地址段的路由器存在时，建议不要禁用ip redirects； -------------------------------------------------------------------------------------------------------------------------- 3 静态路由 静态路由在城域网的设备中，应用还是比较广泛。但静态路由的使用，有时候也会造成路由方面的困惑，影响网络的连通。例如某条链路断开后，静态路由不随即消失等等。新的IOS中对静态路由进行了调整，可以做到更合理的配置。 原则： l静态路由后不要使用permanent参数 l静态路由后将端口与IP结合使用 配置建议 ip route 静态路由网段 该网段掩码 下一跳端口 下一跳IP地址 例如： ip route 192.168.1.0 255.255.255.0 e0/0 10.1.1.2

4 系统登录 4.1 telnet用户认证 用户认证分两个层次，普通用户认证以及特权用户认证。前者允许管理员以普通用户身份远程登录设备，进行一系到简单操作。后者允许管理员在登录进设备后，进行完全的管理操作。一般情况下，只要在line vty下设置相应的密码即可实现对普通用户登录的认证。 原则： l为每一个用户创建一个用户名，以方便管理，提高安全 l为临时用户创建临时用户名，使用完毕后，注意回收 l在可能的情况下，使用username / secret而不是username / password l在使用username / password的情况下，不要配合priviledge 15来使用 l采用AAA认证 根据目前的条件，推荐进行如下的配置： service password-encryption ！ username cisco password cisco(使用了上一条命令后，系统会自动加密) username cisco secret cisco （系统会自动使用MD5进行加密，目前的IOS版本来说，仅适用于GSR12000系列路由器，Catalyst 6509 MSFC模块，其它设备的IOS版本不支持） ！ 说明： 1.service password-encryption采用可逆的弱加密机制对password进行加密，目前已有很多工具可以对它进行成功的破解，但总比直接采用明文要好。因此，出于安全的考虑，不建议在username / password组合中，使用privilege 15参数，即以下配置是不建议的：username ppp privilege 15 password cisco 2.Username 命令中，可以采用username / password, username / secret的组合。其中，username / secret采用MD5加密算法，具有很好的安全性。在IOS 12.0(18)S、12.1(8a)E、12.2(8)T及其以后的S、E、T系列版本中提供了对它的支持。所有的GSR12000路由器，Catalyst 6509 MSFC模块上可以对该命令支持。建议将当前使用的username / password组合，更改为username / secret组合，这样既使得到了配置文件，也不能对该密码进行解密。 3.在username / secret组合中，由于使用了MD5加密算法，因此，可以放心地使用privilege 15参数，即：username ppp privilege 15 secret cisco 4.建议为每一个登录用户创建一个单独的username / password记录，配合SYSLOG工具，可以很方便地查找故障之前谁在做最后一次操作。同时，username / password也为密码的猜解增加了一定的难度（虽然还是有可能被破解^_^）。 5.更加安全的做法，是采用AAA认证，通过RADIUS协议或者TACACS 等方式。AAA服务器可以采用定制的RADIUS或者采用CISCO的ACS等。这将在以后提出建议。 4.2 VTY设置 远程登录设备以对设备进行管理，可以极大的方便管理员的工作。缺省情况下， 思科路由器设备上所有的VTY端口都没有进行接入控制，当设置了密码之后，相当于整台设备都暴露在了外界，任何人都有可能进行连接到这台设备。 原则： .设置超时退出，并经常用show user查看是否有telnet用户挂死 .设置ACL加强设备安全 .采用本地用户认证方式 .打开tcp-keepavlives-in选项 .采用SSH登录方式

参考配置如下： username cisco password(or secret) cisco access-list 3 permit 1.1.1.1 0.0.0.255 /* 允许登录的地址段 line vty 0 4 exec-timeout 15 0 /* 该连接超过15分钟的空闲后，自动断线 access-class 3 in transport input telnet transport outout none login local 说明： 1.建议不在VTY端口下设置密码，而采用本地认证的方式（参见上节username / password的说明）。同时，通过ACL对远程登录进行限制，以减少安全风险。 2.可以采用SSH登录方式，其安全性要高于telnet方式，但由于需要IOS支持，可以考虑在以后再实施。 3.可以采用AAA认证的方式，但同样需要外部设备的支持，可以考虑在以后再实施。 4.TCP keepalives可以保证吊死的telnet连接不会消耗掉可用的VTY 端口。 5.在IP版的IOS中，只支持5个VTY线程，但在其他版本，例如企业版，可以支持64—1024个VTY线程。因此，在这些版本下，要注意是否还打开了line vty 0 4以外的其他vty线程，如果打开了，要注意对这些进行同样的设置。 4.3 SNMP配置及安全 原则： l禁止使用public, private等作为community l如无必要，不要设置具体RW权限的community l采用ACL对SNMP的连接进行限制 说明： 1.部分设备为了省事，采用了缺省的public, private等作为网管字符串，这样很不安全，建议进行更换； 2.大多数情况下，骨干网及城域网核心层设备都不必要通过SNMP方式进行设置，因此，没有必要设置具有RW权限的网管字符串； 3.采用ACL对SNMP网管机进行限制，只有受信任的主机才能进行SNMP的操作； 4.如果采用ACL限制，需要注意针对总公司网管设备进行开放。

配置建议如下： access-list 50 permit 1.1.1.1 access-list 50 permit 1.1.1.1 0.0.0.31 /* 以上两段地址是x为维护及网管机调试方便，建议开启 access-list 50 permit 1.1.1.1 access-list 50 permit 1.1.1.1 /*以上两段地址是总公司网管用机IP，注意要对此开放 access-list 50 permit x.x.x.x /*分公司在此加入自己的网管用机地址，或者另外再建一个本分公司使用的community / ACL配对 snmp-server community guangxidcb RO 50 4.4 log设置 建议所有路由设备上，关于LOG的设置按如下方式进行： logging buffered 256000 debugging logging source-interface Loopback0 no logging 1.1.1.1 no logging 1.1.1.1 /*以上两个SYSLOG SERVER已经不存在 logging 1.1.1.1 /*的SYSLOG 服务器，只在骨干设备上配置 说明 .设置256K的logging缓冲区，这样可以记录更多的信息，以减少出现LOG信息太多而将有用信息冲掉的问题。 .设置发送syslog的源地址为loopback地址（只在需要设置syslog时使用） 4.5 GSR GRP冗余方式 建议将GSR的GRP板冗余方式均设置为 redundancy mode rpr-plus 配置后，需要重启处于STANDBY状态的那块板，但不影响业务。

4.6 NTP SERVER 建议统一从国家骨干设备上获取时间源进行校正。其配置如下： ntp clock-period 17179798 ntp source Loopback0 ntp update-calendar ntp server 202.97.32.32 prefer ntp server 202.97.32.72 5 anti-spoofing及病毒包过滤 目前网络中的蠕虫病毒越来越多，对网络的冲击也越来越大。建议在城域网出口处设置相应的ACL过滤。 建议的ACL配置如下： ip access-list extended noattack deny tcp any any eq 135 deny tcp any any eq 445 deny tcp any any eq 139 deny tcp any any eq 593 deny tcp any any eq 5554 deny tcp any any eq 1434 deny tcp any any eq 2745 deny tcp any any eq 44445 deny udp any any eq 135 deny udp any any eq netbios-ns deny udp any any eq 1434 deny udp any any eq 2745 deny udp any any eq 44445 deny ip 127.0.0.0 0.0.0.255 any deny ip host 0.0.0.0 any deny ip 10.0.0.0 0.255.255.255 any deny ip 169.254.0.0 0.0.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny tcp any any eq 4444 permit ip any any

6 建议配置模板 以下是需要进行修改的，部分不需修改的配置没有写出。 no service finger no service pad no service udp-small-server no service tcp-small-server no ip bootp server no ip http server no ip finger service tcp-keepalives-in service password-encryption service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone /* 注意：timestamps要选用datetime选项，以便于查看LOG告警发生的时间 ! ！----- 关于LOG的相关设置--------------------------- logging buffered 256000 debugging logging source-interface Loopback 0 logging 202.103.224.119 logging x.x.x.x no logging 1.1.1.1 no logging 1.1.1.1 /*注意：1.1.1.1已不使用，配置中可以去掉这两台设备的信息。同时，对于骨干层设备，请增加logging 1.1.1.1，这是新的syslog服务器。各分公司也可以再加入自己的syslog服务器。 ！------------ enable密码设置 --------------------------- enable secret 5 $1$ICDr$OBATr2ubZEi5So670n6KQ0 enable password 0 cisco /*注意：使用MD5加密的secret，同时建议也配上password选项 ! ！------------- 端口安全设置 ----------------------------- interface Ethernet0/0 Description Cisco Router Standard Configuration Guide no ip redirects no ip proxy-arp no ip mroute-cache /*注意：description选项对维护工作十分有利，建议在所有端口下，明确地写出该端口的作用。建议不要只用设备名来表示，而是明确地写出从什么样的设备到什么样的设备。 ! ！====== SNMP安全设置——针对的SNMP网管机配置 =============== access-list 50 permit 1.1.1.1 access-list 50 permit 1.1.1.1 /* 以上两段地址是为维护及网管机调试方便，建议开放 access-list 50 permit 1.1.1.1 access-list 50 permit 1.1.1.1 /*以上两段地址是总公司网管用机IP，注意要开放 snmp-server community 总公司使用的网管字串 RO 50 ！==== 针对分公司的SNMP网管机配置 ================ access-list 3 permit 分公司SNMP网管机地址段 snmp-server community 分公司使用的网管字串 RO 3 no snmp-server community …… RW /*注意：如果没有必要，去掉RW的相关字串，降低安全隐患 no snmp-server trap-source Loopback0 no snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart no snmp-server enable traps atm subif no snmp-server enable traps srp no snmp-server enable traps hsrp no snmp-server enable traps config no snmp-server enable traps entity no snmp-server enable traps envmon no snmp-server enable traps syslog no snmp-server enable traps fru-ctrl no snmp-server enable traps bgp no snmp-server enable traps pim neighbor-change rp-mapping-change invalid-pim-message no snmp-server enable traps msdp no snmp-server enable traps frame-relay no snmp-server enable traps frame-relay subif no snmp-server enable traps rtr no snmp-server enable traps mpls traffic-eng no snmp-server host 1.1.1.1 111 no snmp-server host 1.1.1.1 222 /* 以上不再使用，可以清除该配置，有必要时再加上 line con 0 exec-timeout 15 0 password x1x11.1.1.1 transport input none line aux 0 exec-timeout 15 0 ！ ！======== Telnet安全设置 ============= username t5 password 7 03550958525A username ppp privilege 15 secret 7 045802150C2E /*注意：从目前的情况来看，secret选项仅适于GSR, 6509 MSFC，其它设备仍然只能使用password选项 access-list 10 permit 202.103.202.0 0.0.0.255 /* 设置允许登录的地址段 line vty 0 4 exec-timeout 15 0 /* 该连接超过15分钟的空闲后，自动断线 access-class 10 in transport input telnet transport outout none login local