【正文】 ..............................................................................401 / 44第 1 章 概述 目的本文檔規(guī)定了中國移動管理信息系統(tǒng)部所維護管理的 Cisco 路由器應(yīng)當(dāng)遵循的設(shè)備安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行 Cisco 路由器的安全配置。 適用范圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國移動總部和各省公司信息化部門維護管理的 Cisco路由器。 適用版本Cisco 路由器。 實施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動集團管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。 例外條款欲申請本標(biāo)準(zhǔn)的例外條款，申請人必須準(zhǔn)備書面申請文件，說明業(yè)務(wù)需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。2 / 44第 2 章 帳號管理、認(rèn)證授權(quán)安全要求 帳號管理 用戶帳號分配*安全基線項目名稱用戶帳號分配安全基線要求項安全基線編號SBLCiscoRouter020101 安全基線項說明 應(yīng)按照用戶分配帳號。避免不同用戶間共享帳號。避免用戶帳號和設(shè)備間通信使用的帳號共享。檢測操作步驟 1. 參考配置操作Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) service passwordencryptionRouter(config) username ruser1 password 3dzirc0niaRouter(config) username ruser1 privilege 1Router(config) username ruser2 password 2Bor3BRouter(config) username ruser2 privilege 1Router(config) end Router2. 補充操作說明基線符合性判定依據(jù)1. 判定條件I. 配置文件中，存在不同的帳號分配II. 網(wǎng)絡(luò)管理員確認(rèn)用戶與帳號分配關(guān)系明確2. 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!3 / 44service passwordencryption username ruser1 password 3dzirc0niausername ruser1 privilege 1username ruser2 password 2Bor3Busername ruser2 privilege 13. 補充說明使用共享帳號容易造成職責(zé)不清備注 需要手工檢查，由管理員確認(rèn)帳號分配關(guān)系。 刪除無關(guān)的帳號*安全基線項目名稱無關(guān)的帳號安全基線要求項安全基線編號SBLCiscoRouter020102 安全基線項說明 應(yīng)刪除與設(shè)備運行、維護等工作無關(guān)的帳號。檢測操作步驟 1．參考配置操作Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) no username ruser32．補充操作說明基線符合性判定依據(jù)1. 判定條件I. 配置文件存在多帳號II. 網(wǎng)絡(luò)管理員確認(rèn)所有帳號與設(shè)備運行、維護等工作有關(guān)2. 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!username user1 privilege 1 password password1username nobodyuse privilege 1 password password13. 補充說明刪除不用的帳號，避免被利用4 / 44備注 需要手工檢查，由管理員判斷是否存在無關(guān)帳號 限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄*安全基線項目名稱限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄安全基線要求項安全基線編號SBLCiscoRouter020103 安全基線項說明 限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再通過 enable 命令進(jìn)入相應(yīng)級別再后執(zhí)行相應(yīng)操作。檢測操作步驟 1． 參考配置操作Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) service passwordencryptionRouter(config) username normaluser password 3dzirc0niaRouter(config) username normaluser privilege 1Router(config) line vty 0 4 Router(configline) login localRouter(configline) exectimeout 5 0Router(configline) end2． 補充操作說明設(shè)定帳號密碼加密保存創(chuàng)建 normaluser 帳號并指定權(quán)限級別為 1；設(shè)定遠(yuǎn)程登錄啟用路由器帳號驗證；設(shè)定超時時間為 5 分鐘；基線符合性判定依據(jù)1. 判定條件I. VTY 使用用戶名和密碼的方式進(jìn)行連接驗證II. 帳號權(quán)限級別較低，例如：I2. 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!service passwordencryptionusername normaluser password 3dzirc0nia5 / 44username normaluser privilege 1line vty 0 4 login local3． 補充說明會導(dǎo)致遠(yuǎn)程攻擊者通過黑客工具猜解帳號口令備注 根據(jù)業(yè)務(wù)場景，自動化系統(tǒng)如果無法實現(xiàn)可不選此項，人工登錄操作需要遵守此項規(guī)范。 口令 靜態(tài)口令以密文形式存放安全基線項目名稱靜態(tài)口令安全基線要求項安全基線編號SBLCiscoRouter020201 安全基線項說明 靜態(tài)口令必須使用不可逆加密算法加密，以密文形式存放。如使用 enable secret 配置 Enable 密碼，不使用 enable password 配置 Enable 密碼。檢測操作步驟 1. 參考配置操作Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config)service passwordencryptionRouter(config) enable secret 2mAnyrOUtEsRouter(config) no enable passwordRouter(config) end2． 補充操作說明基線符合性判定依據(jù)1. 判定條件配置文件無明文密碼字段2. 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!6 / 44service passwordencryptionenable secret 5 $1oxphetTb$rTsF$EdvjtWbi0qA2gusername ciscoadmin password 7 Wbi0qA1$rTsF$Edvjt2gpvyhetTb3. 補充說明如果不加密,使用 show runningconfig 命令,可以看到未加密的密碼備注 帳號、口令和授權(quán)安全基線項目名稱帳號、口令和授權(quán)安全基線要求項安全基線編號SBLCiscoRouter020202 安全基線項說明 設(shè)備通過相關(guān)參數(shù)配置，與認(rèn)證系統(tǒng)聯(lián)動，滿足帳號、口令和授權(quán)的強制要求。檢測操作步驟 1. 參考配置操作Routerconfigure terminal Enter configuration mands, one per line. End with CNTL/Z.Router(config)aaa newmodelRouter(config)aaa authentication login default group tacacs+Router(config)aaa authentication enable default group tacacs+Router(config)tacacsserver host Router(config)tacacsserver key Ir3@1yh8nw9@swDRouter(config)endRouter2. 補充操作說明與外部 TACACS+ server 聯(lián)動，遠(yuǎn)程登錄使用 TACACS+ serverya 驗證基線符合性判定依據(jù) 1. 判定條件帳號、口令配置，指定了認(rèn)證系統(tǒng)2. 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!7 / 44aaa newmodelaaa authentication login default group tacacs+aaa authentication enable default group tacacs+tacacsserver host tacacsserver key Ir3@1yh8nw9@swD補充說明備注 密碼復(fù)雜度安全基線項目名稱密碼復(fù)雜度安全基線要求項安全基線編號SBLCiscoRouter020203 安全基線項說明 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少 8 位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且 5 次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每 90 天進(jìn)行更換。檢測操作步驟 1． 參考配置操作Routerconfigure terminal Enter configuration mands, one per line. End with CNTL/Z.Router(config)aaa newmodelRouter(config)aaa authentication login default group tacacs+Router(config)aaa authentication enable default group tacacs+Router(config)tacacsserver host Router(config)tacacsserver key Ir3@1yh8nw9@swDRouter(config)endRouter2. 補充操作說明與外部 TACACS+ server 聯(lián)動，遠(yuǎn)程登錄使用 TACACS+ serverya 驗證；口令強度由 TACACS+ server 控制基線符合性判定依據(jù)備注8 / 44 授權(quán) 用 IP 協(xié)議進(jìn)行遠(yuǎn)程維護的設(shè)備使用 SSH 等加密協(xié)議安全基線項目名稱IP 協(xié)議進(jìn)行遠(yuǎn)程維護的設(shè)備安全基線要求項安全基線編號SBLCiscoRouter020301 安全基線項說明 對于使用 IP 協(xié)議進(jìn)行遠(yuǎn)程維護的設(shè)備，設(shè)備應(yīng)配置使用 SSH 等加密協(xié)議。檢測操作步驟 1. 參考配置操作I. 配置主機名和域名router config tEnter configuration mands, one per line. End with CNTL/Z.router(config) hostname RouterRouter(config) ip domainname II. 配置訪問控制列表Router(config) no accesslist 12 Router(config) accesslist 12 permit host Router(config) line vty 0 4Router(configline) accessclass 12 in Router(configline) exitIII. 配置帳號和連接超時Rou