第1章 概述
结合等级保护三级、ISO27001、PCI-DSS标准中关于主机系统安全的内容,提取出最通用,最核心,最适用的Cisco设备的安全控制项,解释说明这些加固项的用途、风险、操作步骤、回退方案以及检查方式,进而为整个Cisco设备提供一整套具有科学性,可操作性,可信任的安全规范。
根据此基线以Cisco设备为例进行整改,减少了大部分主机系统安全弱点,具备一定程度的安全能力,为满足等级保护三级、ISO27001、PCI-DSS等安全标准对于主机系统安全的要求提供参考。
其它品牌的设备还还望粉丝朋友“举一反三”,相关模块都是共有属性,一个CCIE不会HCIE的配置那是不可能的,反之。其它品牌同理。
名称 | 启用本地认证 |
说明 | 使用本地账号认证,不适用默认账号 |
检查方法 | 查看 [hostname]#show running-config 示例 [hostname] (config)# line vty |
1.1.2 VTY登录限制访问IP
名称 | VTY登录限制访问IP |
说明 | 对VTY登录源地址采取ACL控制 |
检查方法 | 查看 [hostname]#show running-config 示例 [hostname] (config)#line vty [hostname] (config-line)#ip access-class [name] in |
第2章 远程登录管理
2.1.1安全远程管理方式访问设备
名称 | 安全远程管理方式访问设备 |
说明 | 启用了SSH,建议禁用TELNET |
检查方法 | 查看 [hostname]#show running-config 示例 [hostname] (config)# ssh key rsa <1024-2048> [hostname] (config)# feature ssh [hostname] (config)# show ssh key [hostname] (config)# username User1 sshkey ssh-rsa [key] |
2.1.2配置超时
名称 | 配置超时 |
说明 | 配置exec timeout超时时间 |
检查方法 | 查看 [hostname]#show running-config 示例 [hostname]#line vty [hostname] (config-line)#exec-timeout 5 |
第3章 账户管理
3.1.1 检查无用账号和分配权限
名称 | 检查无用账号和分配权限 |
说明 | 现存账号符合运维工作要求,无无用账号 |
检查方法 | 查看 [hostname]#show running-config 示例 [hostname] (config)# username admin password cisco role network-admin [hostname] (config)#username cisco password cisco role priv-15 |
第4章 密码管理
4.1.1开启密码加密服务
名称 | 开启密码加密服务 |
说明 | 口令加密并定期更换 |
检查方法 | 查看默认加密 [hostname]#show running-config |
第5章 日志服务
5.1.1 log服务
名称 | log服务 |
说明 | 指定日志服务器 |
实施步骤 | 查看 [hostname]#show running-config 示例 [hostname] (config)# logging server 172.28.254.254 5 use-vrf default facility local3 |
5.1.2 设置日志的时间戳
名称 | 设置日志的时间戳 |
说明 | 应为日志打上时间戳 |
实施步骤 | 查看 [hostname]#show running-config 示例 [hostname] (config)#logging timestamp milliseconds |
第6章 时钟管理
6.1.1 NTP服务
名称 | NTP服务 |
说明 | 指定NTP服务器或校对本地时间 |
检查方法 | 查看 [hostname]#show running-config 示例 [hostname] (config)#feature ntp [hostname] (config)# ntp authentication-key 42 md5 aNiceKey [hostname] (config)# ntp server 10.1.1.1 key 42 [hostname] (config)# ntp trusted-key 42 [hostname] (config)# ntp authenticate |
第7章 网络服务管理
7.1.1http服务
名称 | http服务 |
说明 | http关闭(无) |
实施步骤 | 查看 [hostname]#show running-config |
7.1.2CDP服务
名称 | CDP服务 |
说明 | 根据实际情况,在安全域边界禁用CDP、在内部启用CDP(默认开启) |
实施步骤 | 查看 [hostname]#show running-config 示例 [hostname] #no cdp enable |
7.1.3DNS服务
名称 | DNS服务 |
说明 | 禁用DNS解析服务 |
实施步骤 | 查看 [hostname]#show running-config 示例 [hostname] #no ip domain-lookup |
7.1.4 small tcp和udp服务
名称 | small tcp和udp服务 |
说明 | 禁用small tcp and udp service(无) |
实施步骤 | 查看 [hostname]#show running-config |
7.1.5 finger服务
名称 | finger服务 |
说明 | 禁用finger服务(无) |
实施步骤 | 查看 [hostname]#show running-config |
7.1.6 bootp服务
名称 | bootp服务 |
说明 | 禁用bootp服务(无) |
实施步骤 | 查看 [hostname]#show running-config |
7.1.7 关闭IP源路由协议
名称 | 关闭IP源路由协议 |
说明 | IP源路由协议应关闭 |
实施步骤 | 查看 [hostname]#show running-config 示例 [hostname] #no ip source-route |
7.1.8 禁止arp-proxy
名称 | 禁止arp-proxy |
说明 | ARP代理禁用(根据实际情况酌情考虑)在开启NAT转换设备上可开启ARP代理功能(无) |
实施步骤 | 查看 [hostname]#show running-config |
7.1.9 关闭IP Directed Broadcast
名称 | 关闭IP Directed Broadcast |
说明 | IP Directed Broadcast应关闭 |
实施步骤 | 查看 [hostname]#show running-config 示例接口下配置 [hostname] (config-if) #no ip directed-broadcast |
7.1.10 修改SNMP只读字串或可写字串
名称 | 修改SNMP只读字串 |
说明 | SNMP只读 |
实施步骤 | 查看 [hostname]#show running-config 示例 [hostname] (config)#snmp-server protocol enable [hostname] (config) #snmp-server community **** ro |
在网络环境中,配置通常被认为具有不可估量的价值,因为设备配置的微小变化可以在几分钟内成就或破坏整个网络基础设施。
欢迎关注“三沐数安”,请分享给更多的网安爱好者,大家一起研究网络安全技术。您的关注就是对三沐最大的支持。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...