中国移动思科路由器安全配置规范.doc

XXXX-XX-XX实行 XXXX-XX-XX发布 中国移动公司--思科路由器 安全配置规范 Specification for Cisco Router Configuration Used in China Mobile 版本号：2.０ 中国移动通信有限公司网络部 目录 1 范围 1 2 规范性引用文献 1 2.1 内部引用 1 2.2 外部引用 2 3 术语、定义和缩略语 2 4 思科路由器设备安全配置规定 3 4.1 直接引用《通用规范》的配置规定 3 4.2 账号管理、认证授权 11 4.2.1 账户 11 4.2.2 口令 12 4.2.3 授权 13 4.2.4 认证 13 4.3 日记安全规定 14 4.4 IP协议安全规定 17 4.4.1 基本协议安全 17 4.4.2 路由协议安全 23 4.4.3 SNMP协议安全 26 4.4.4 MPLS安全 28 4.5 其他安全规定 29 5 编制历史 33 前言 为了贯彻安全三同步的规定，在设备选型、入网测试、工程验收以及运营维护等环节，明确并贯彻安全功能和配置规定。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验罢手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置规定，并作为本系列其他规范的编制基础。 本标准起草单位：中国移动通信有限公司网络部、中国移动集团上海公司。 本标准解释单位：同提出单位。 本标准重要起草人：刘金根、程晓鸣、陈敏时、周智、曹一生。 1 范围 本规范合用于中国移动通信网、业务系统和支撑系统的思科路由器。本规范明确了思科路由器安全配置方面的基本规定。 2 规范性引用文献 2.1 内部引用 本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置规定的基础上，提出的思科路由器安全配置规定。以下分项列出本规范对《通用规范》设备配置规定的修订情况： 设备通用安全配置规定编号 采纳意见 备注 安全规定-设备-通用-配置-1 增强规定 安全规定-设备-思科路由器-配置-1 安全规定-设备-通用-配置-2 增强功能 安全规定-设备-思科路由器-配置-2 安全规定-设备-通用-配置-3-可选 完全采纳 安全规定-设备-通用-配置-4 完全采纳 安全规定-设备-通用-配置-5 不采纳 设备不支持 安全规定-设备-通用-配置-6-可选 不采纳 设备不支持 安全规定-设备-通用-配置-7-可选 不采纳 设备不支持 安全规定-设备-通用-配置-9 完全采纳 安全规定-设备-通用-配置-12 不采纳 设备不支持 安全规定-设备-通用-配置-13-可选 不采纳 设备不支持 安全规定-设备-通用-配置-24-可选 增强规定 安全规定-设备-思科路由器-配置-7-可选 安全规定-设备-通用-配置-14-可选 完全采纳 安全规定-设备-通用-配置-16-可选 完全采纳 安全规定-设备-通用-配置-17-可选 完全采纳 安全规定-设备-通用-配置-19 增强规定 安全规定-设备-思科路由器-配置-22 安全规定-设备-通用-配置-20-可选 不采纳 设备不支持 安全规定-设备-通用-配置-27 增强规定 安全规定-设备-思科路由器-配置-23 安全规定-设备-通用-配置-28 不采纳 设备不支持 安全规定-设备-通用-配置-29-可选 不采纳 设备不支持 本规范新增的安全配置规定，如下： 安全规定-设备-思科路由器-配置-3 安全规定-设备-思科路由器-配置-4-可选 安全规定-设备-思科路由器-配置-5-可选 安全规定-设备-思科路由器-配置-6-可选 安全规定-设备-思科路由器-配置-8-可选 安全规定-设备-思科路由器-配置-9 安全规定-设备-思科路由器-配置-10-可选 安全规定-设备-思科路由器-配置-11 安全规定-设备-思科路由器-配置-12-可选 安全规定-设备-思科路由器-配置-13 安全规定-设备-思科路由器-配置-14-可选 安全规定-设备-思科路由器-配置-15 安全规定-设备-思科路由器-配置-16 安全规定-设备-思科路由器-配置-17 安全规定-设备-思科路由器-配置-18-可选 安全规定-设备-思科路由器-配置-19 安全规定-设备-思科路由器-配置-20 安全规定-设备-思科路由器-配置-21-可选 安全规定-设备-思科路由器-配置-24 本规范还针对直接引用《通用规范》的配置规定，给出了在思科路由器上的具体配置方法和检测方法。 2.2 外部引用 《中国移动通用安全功能和配置规范》 3 术语、定义和缩略语 BGP Route flap damping：由RFC2439定义，当BGP接口翻转后，其他BGP系统就会在一段可配置的时间内不接受从这个问题网络发出的路由信息。 缩写 英文描述 中文描述 4 思科路由器设备安全配置规定 4.1 直接引用《通用规范》的配置规定 规定编号 安全规定-设备-通用-配置-3-可选 合用版本 Cisco IOS Release 12.0以上 规定内容 限制具有管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。 操作指南 1． 参考配置操作 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# service password-encryption Router(config)# username normaluser password 3d-zirc0nia Router(config)# username normaluser privilege 1 Router(config)# line vty 0 4 Router(config-line)# login local Router(config-line)# exec-timeout 5 0 Router(config-line)# end 2． 补充操作说明 设定账号密码加密保存 创建normaluser账号并指定权限级别为1； 设定远程登录启用路由器账号验证； 设定超时时间为5分钟； 检测方法 1. 鉴定条件 I. VTY使用用户名和密码的方式进行连接验证 II. 2、账号权限级别较低，例如：I 2. 检测操作 使用show running-config命令，如下例： router#show running-config Building configuration... Current configuration: ! service password-encryption username normaluser password 3d-zirc0nia username normaluser privilege 1 line vty 0 4 login local 3． 补充说明 会导致远程袭击者通过黑客工具猜解账号口令 规定编号 安全规定-设备-通用-配置-4 合用版本 规定内容 对于采用静态口令认证技术的设备，口令长度至少6位，并涉及数字、小写字母、大写字母和特殊符号4类中至少2类。 操作指南 1． 参考配置操作 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#aaa new-model Router(config)#aaa authentication login default group tacacs+ Router(config)#aaa authentication enable default group tacacs+ Router(config)#tacacs-server host 192.168.6.18 Router(config)#tacacs-server key Ir3@1yh8n#w9@swD Router(config)#end Router# 2. 补充操作说明 与外部TACACS+ server 192.168.6.18 联动，远程登录使用TACACS+ serverya验证；口令强度由TACACS+ server控制 检测方法 1. 鉴定条件 此项无法通过配置实现，建议通过管理实现 2. 检测操作 此项无法通过配置实现，建议通过管理实现 3. 补充说明 规定编号 安全规定-设备-通用-配置-9 合用版本 Cisco IOS Release 12.0以上 规定内容 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 操作指南 1. 参考配置操作 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# service password-encryption Router(config)# username normaluser password 3d-zirc0nia Router(config)# username normaluser privilege 1 Router(config)# privilege exec level 15 connect Router(config)# privilege exec level 15 telnet Router(config)# privilege exec level 15 rlogin Router(config)# privilege exec level 15 show ip access-lists Router(config)# privilege exec level 15 show access-lists Router(config)# privilege exec level 15 show logging Router(config)# ! if SSH is supported.. Router(config)# privilege exec level 15 ssh Router(config)# privilege exec level 1 show ip 2． 补充操作说明 基本思想是创建账号并赋予不同的权限级别，并将各命令绑定在不同的权限级别上；上例操作过程如下： 设定账号密码加密保存 创建normaluser账号并指定权限级别为1； 将connect、telnet、rlogin、show ip access-lists、show access-lists、show logging、ssh指定仅当账号权限级别为15时才可使用； 将show ip指定为仅当账号权限级别大于1时才可使用； 检测方法 1. 鉴定条件 I. 用户名绑定权限级别 II. 操作命令划分权限级别 2. 检测操作 使用show running-config命令，如下例： router#show running-config Building configuration... Current configuration: ! username normaluser password 3d-zirc0nia username normaluser privilege 1 privilege exec level 15 connect privilege exec level 15 telnet privilege exec level 15 rlogin privilege exec level 15 show ip access-lists privilege exec level 15 show access-lists privilege exec level 15 show logging privilege exec level 15 ssh privilege exec level 1 show ip 3. 补充说明 “权限最小”原则 规定编号 安全规定-设备-通用-配置-14-可选 合用版本 Cisco IOS Release 12.0以上 规定内容 设备应支持远程日记功能。所有设备日记均能通过远程日记功能传输到日记服务器。设备应支持至少一种通用的远程标准日记接口，如SYSLOG、FTP等。 操作指南 1. 参考配置操作 路由器侧配置： Router# config t Enter configuration commands, one per line. End with CNTL/Z Router(config)# logging on Router(config)# logging trap information Router(config)# logging 192.168.0.100 Router(config)# logging facility local6 Router(config)# logging source-interface loopback0 Router(config)# exit Router# show logging Syslog logging: enabled (0 messages dropped, 11 flushes, 0overruns) Console logging: level notifications, 35 messages logged Monitor logging: level debugging, 35 messages logged Buffer logging: level informational, 31 messages logged Logging to 192.168.0.100, 28 message lines logged .. Router# 2. 补充操作说明 I. 假设把router日记存储在192.168.0.100的syslog服务器上 路由器侧配置描述如下： 启用日记 记录日记级别设定“information” 记录日记类型设定“local6” 日记发送到192.168.0.100 日记发送源是loopback0 配置完毕可以使用“show logging”验证 服务器侧配置参考如下： Syslog服务器配置参考： 在Syslog.conf上增长一行 # Save router messages to routers.log local6.debug /var/log/routers.log 创建日记文献 #touch /var/log/routers.log II. 假如使用snmp存储日记参考配置如下： Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# logging trap information Router(config)# snmp-server host 192.168.0.100 traps public Router(config)# snmp-server trap-source loopback0 Router(config)# snmp-server enable traps syslog Router(config)# exit Router# 检测方法 1. 鉴定条件 I. Syslog logging和SNMP logging至少有一个为“enabled” II. Logging to后面的主机名或IP指向日记服务器 III. 通常记录日记数不为0 2. 检测操作 使用show logging命令，如下例： Router# show logging Syslog logging: enabled Console logging: disabled Monitor logging: level debugging, 266 messages logged. Trap logging: level informational, 266 messages logged. Logging to 192.180.2.238 SNMP logging: disabled, retransmission after 30 seconds 0 messages logged Router# 3. 补充说明 规定编号 安全规定-设备-通用-配置-16-可选 合用版本 Cisco IOS Release 12.0以上 规定内容 对于具有TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。 操作指南 1. 参考配置操作 例如：要配置允许目的为14.1.1.2的所有DNS访问流量 Router(config)# access-list 140 permit udp any host 14.1.1.2 eq 53 Router(config)# access-list 140 deny udp any any log 例如：要配置允许目的为14.1.0.0/16的所有DNS访问流量 Router(config)# access-list 140 permit tcp any 14.1.0.0 0.0.255.255 Router(config)# access-list 140 deny ip any any log 2. 补充操作说明 访问控制列表命令格式： I. 标准访问控制列表 access-list list-number {deny | permit} source [source-wildcard] [log] II. 扩展访问控制列表 access-list list-number {deny | permit} protocol source source-wildcard source-qualifiers destination destination-wildcard destination-qualifiers [ log | log-input] 检测方法 1. 鉴定条件 I. 针对每个业务所需通讯，存在一条acl； II. 对于非公共性服务，源IP和目的IP不能具有any III. 目的端口明确 2. 检测操作 使用show ip access-list [access-list-number | name] 命令，如下例： Router# show ip access-list Extended IP access list 101 deny udp any any eq ntp permit tcp any any permit udp any any eq tftp permit icmp any any permit udp any any eq domain 3. 补充说明 防止非正常业务占用过多带宽流量 规定编号 安全规定-设备-通用-配置-17-可选 合用版本 Cisco IOS Release 12.0以上 规定内容 对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。 操作指南 1. 参考配置操作 I. 配置主机名和域名 router# config t Enter configuration commands, one per line. End with CNTL/Z. router(config)# hostname Router Router(config)# ip domain-name Router.domain-name II. 配置访问控制列表 Router(config)# no access-list 12 Router(config)# access-list 12 permit host 192.168.0.200 Router(config)# line vty 0 4 Router(config-line)# access-class 12 in Router(config-line)# exit III. 配置账号和连接超时 Router(config)# service password-encryption Router(config)# username normaluser password 3d-zirc0nia Router(config)# username normaluser privilege 1 Router(config)# line vty 0 4 Router(config-line)# login local Router(config-line)# exec-timeout 5 0 IV. 生成rsa密钥对 Router(config)# crypto key generate rsa The name for the keys will be: Router.domain-name Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 2048 Generating RSA Keys ... [OK] V. 配置仅允许ssh远程登录 Router(config)# line vty 0 4 Router(config-line)# transport input ssh Router(config-line)# exit Router(config)# 2. 补充操作说明 配置描述： I. 配置ssh规定路由器已经存在主机名和域名 II. 配置访问控制列表，仅授权192.168.0.200访问192.168.0.100 ssh III. 配置远程访问里连接超时 IV. 生成rsa密钥对，假如已经存在可以使用以前的。默认存在rsa密钥对sshd就启用，不存在rsa密钥对sshd就停用。 V. 配置远程访问协议为ssh 检测方法 1. 鉴定条件 I. 存在rsa密钥对 II. 远程登录指定ssh协议 2. 检测操作 I. 使用show crypto key mypubkey rsa命令，如下例： Router(config)# show crypto key mypubkey rsa % Key pair was generated at: 06:07:49 UTC Jan 13 1996 Key name: Usage: Signature Key Key Data: 005C300D 06092A86 4886F70D 01010105 00034B00 30480241 00C5E23B 55D6AB22 04AEF1BA A54028A6 9ACC01C5 129D99E4 64CAB820 847EDAD9 DF0B4E4C 73A05DD2 BD62A8A9 FA603DD2 E2A8A6F8 98F76E28 D58AD221 B583D7A4 71020301 0001 % Key pair was generated at: 06:07:50 UTC Jan 13 1996 Key name: Usage: Encryption Key Key Data: 00302023 4A7D385B 1234EF29 335FC973 2DD50A37 C4F4B0FD 9DADE748 429618D5 18242BA3 2EDFBDD3 4296142A DDF7D3D8 08407685 2F2190A0 0B43F1BD 9A8A26DB 07953829 791FCDE9 A98420F0 6A82045B 90288A26 DBC64468 7789F76E EE21 II. 使用show running-config命令，如下例： router#show running-config Building configuration... Current configuration: ! line vty 0 4 transport input ssh 3. 补充说明 使用非加密协议在传输过程中容易被截获口令 4.2 账号管理、认证授权 4.2.1 账户 规定编号 安全规定-设备-思科路由器-配置-1 合用版本 Cisco IOS Release 12.0以上 规定内容 应按照用户分派账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。 操作指南 1. 参考配置操作 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# service password-encryption Router(config)# username ruser1 password 3d-zirc0nia Router(config)# username ruser1 privilege 1 Router(config)# username ruser2 password 2B-or-3B Router(config)# username ruser2 privilege 1 Router(config)# end Router# 2. 补充操作说明 检测方法 1. 鉴定条件 I. 配置文献中，存在不同的帐号分派 II. 网络管理员确认用户与帐号分派关系明确 2. 检测操作 使用show running-config命令，如下例： router#show running-config Building configuration... Current configuration: ! service password-encryption username ruser1 password 3d-zirc0nia username ruser1 privilege 1 username ruser2 password 2B-or-3B username ruser2 privilege 1 3. 补充说明 使用共享账号容易导致职责不清 规定编号 安全规定-设备-思科路由器-配置-2 合用版本 Cisco IOS Release 12.0以上 规定内容 应删除与设备运营、维护等工作无关的账号。 操作指南 1．参考配置操作 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# no username ruser3 2．补充操作说明 检测方法 1. 鉴定条件 I. 配置文献存在多帐号 II. 网络管理员确认所有帐号与设备运营、维护等工作有关 2. 检测操作 使用show running-config命令，如下例： router#show running-config Building configuration... Current configuration: ! username user1 privilege 1 password password1 username nobodyuse privilege 1 password password1 3. 补充说明 删除不用的账号，避免被运用 4.2.2 口令 规定编号 安全规定-设备-思科路由器-配置-3 合用版本 Cisco IOS Release 12.1以上 规定内容 静态口令必须使用不可逆加密算法加密，以密文形式存放。如使用enable secret配置Enable密码，不使用enable password配置Enable密码。 操作指南 1. 参考配置操作 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# enable secret 2-mAny-rOUtEs Router(config)# no enable password Router(config)# end 2． 补充操作说明 检测方法 1. 鉴定条件 配置文献无明文密码字段 2. 检测操作 使用show running-config命令，如下例： router#show running-config Building configuration... Current configuration: ! service password-encryption enable secret 5 $1oxphetTb$rTsF$EdvjtWbi0qA2g username ciscoadmin password 7 Wbi0qA1$rTsF$Edvjt2gpvyhetTb 3. 补充说明 假如不加密,使用show running-config命令,可以看到未加密的密码 4.2.3 授权 4.2.4 认证 规定编号 安全规定-设备-思科路由器-配置-7-可选 合用版本 Cisco IOS Release 12.0以上 规定内容 设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制规定。 操作指南 1. 参考配置操作 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#aaa new-model Router(config)#aaa authentication login default group tacacs+ Router(config)#aaa authentication enable default group tacacs+ Router(config)#tacacs-server host 192.168.6.18 Router(config)#tacacs-server key Ir3@1yh8n#w9@swD Router(config)#end Router# 2. 补充操作说明 与外部TACACS+ server 192.168.6.18 联动，远程登录使用TACACS+ serverya验证 检测方法 1. 鉴定条件 帐号、口令配置，指定了认证系统 2. 检测操作 使用show running-config命令，如下例： router#show running-config Building configuration... Current configuration: ! aaa new-model aaa authentication login default group tacacs+ aaa authentication enable default group tacacs+ tacacs-server host 192.168.6.18 tacacs-server key Ir3@1yh8n#w9@swD 3. 补充说明 4.3 日记安全规定 规定编号 安全规定-设备-思科路由器-配置-4-可选 合用版本 Cisco IOS Release 12.0以上 规定内容 与记账服务器(如RADIUS 服务器或TACACS服务器)配合，设备应配置日记功能，对用户登录进行记录，记录内容涉及用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 操作指南 1. 参考配置操作 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#aaa new-model Router(config)#aaa accounting connection default start-stop group tacacs+ Router(config)#aaa accounting exec default start-stop group tacacs+ Router(config)#end Router1# 2. 补充操作说明 使用TACACS+ server 检测方法 1. 鉴定条件 配置了AAA模板的上述具体条目 2. 检测操作 使用show running-config命令，如下例： router1#show runn | include aaa Building configuration... Current configuration: ! aaa new-model aaa authentication login default group tacacs+ aaa authorization exec default group tacacs+ aaa session-id common 3. 补充说明 规定编号 安全规定-设备-思科路由器-配置-5-可选 合用版本 Cisco IOS Release 12.0以上 规定内容 与记账服务器(