【正文】 使用 show runningconfig 命令，如下例：routershow runningconfig…accesslist 10 deny ip any logaccesslist 10 deny ip any log …int f1/1description the outside interface of permeter routerip accessgroup 10 in…accesslist 11 permit ip anyaccesslist 11 deny ip any any loginterface s1/1description inside interface of perimeter routerip address ip accessgroup 11 in3． 補(bǔ)充說明地址欺騙可以造成內(nèi)部網(wǎng)絡(luò)的混亂，讓某些被欺騙的計(jì)算機(jī)無法正常訪問內(nèi)外網(wǎng)，讓網(wǎng)關(guān)無法和客戶端正常通信。檢測(cè)操作步驟 1. 參考配置操作Routerconfigure terminal Enter configuration mands, one per line. End with CNTL/Z.Router(config)aaa newmodel Router(config)aaa accounting connection default startstop group tacacs+Router(config)aaa accounting exec default startstop group tacacs+ Router(config)endRouter12. 補(bǔ)充操作說明使用 TACACS+ server基線符合性判定依據(jù)1. 判定條件配置了 AAA 模板的上述具體條目2. 檢測(cè)操作使用 show runningconfig 命令，如下例：router1show runn | include aaa Building configuration...Current configuration:!aaa newmodelaaa authentication login default group tacacs+aaa authorization exec default group tacacs+ 12 / 44aaa sessionid mon補(bǔ)充說明備注 記錄用戶對(duì)設(shè)備的操作安全基線項(xiàng)目名稱用戶對(duì)設(shè)備記錄安全基線要求項(xiàng)安全基線編號(hào)SBLCiscoRouter030102 安全基線項(xiàng)說明 與記賬服務(wù)器(如 TACACS 服務(wù)器)配合，設(shè)備應(yīng)配置日志功能，記錄用戶對(duì)設(shè)備的操作，如帳號(hào)創(chuàng)建、刪除和權(quán)限修改，口令修改，讀取和修改設(shè)備配置，讀取和修改業(yè)務(wù)用戶的話費(fèi)數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。檢測(cè)操作步驟 1. 參考配置操作Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config)service passwordencryptionRouter(config) enable secret 2mAnyrOUtEsRouter(config) no enable passwordRouter(config) end2． 補(bǔ)充操作說明基線符合性判定依據(jù)1. 判定條件配置文件無明文密碼字段2. 檢測(cè)操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!6 / 44service passwordencryptionenable secret 5 $1oxphetTb$rTsF$EdvjtWbi0qA2gusername ciscoadmin password 7 Wbi0qA1$rTsF$Edvjt2gpvyhetTb3. 補(bǔ)充說明如果不加密,使用 show runningconfig 命令,可以看到未加密的密碼備注 帳號(hào)、口令和授權(quán)安全基線項(xiàng)目名稱帳號(hào)、口令和授權(quán)安全基線要求項(xiàng)安全基線編號(hào)SBLCiscoRouter020202 安全基線項(xiàng)說明 設(shè)備通過相關(guān)參數(shù)配置，與認(rèn)證系統(tǒng)聯(lián)動(dòng)，滿足帳號(hào)、口令和授權(quán)的強(qiáng)制要求。避免用戶帳號(hào)和設(shè)備間通信使用的帳號(hào)共享。 適用范圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。 實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時(shí)反饋。檢測(cè)操作步驟 1．參考配置操作Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) no username ruser32．補(bǔ)充操作說明基線符合性判定依據(jù)1. 判定條件I. 配置文件存在多帳號(hào)II. 網(wǎng)絡(luò)管理員確認(rèn)所有帳號(hào)與設(shè)備運(yùn)行、維護(hù)等工作有關(guān)2. 檢測(cè)操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!username user1 privilege 1 password password1username nobodyuse privilege 1 password password13. 補(bǔ)充說明刪除不用的帳號(hào)，避免被利用4 / 44備注 需要手工檢查，由管理員判斷是否存在無關(guān)帳號(hào) 限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄*安全基線項(xiàng)目名稱限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄安全基線要求項(xiàng)安全基線編號(hào)SBLCiscoRouter020103 安全基線項(xiàng)說明 限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄。密碼應(yīng)至少每 90 天進(jìn)行更換。檢測(cè)操作步驟 1. 參考配置操作配置命令如下：Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) interface eth0/0Router(configif) no ntp disableRouter(configif) exit Router(config) ntp server source loopback0Router(config) exit2. 補(bǔ)充操作說明需要到每個(gè)端口開啟 NTP基線符合性判定依據(jù)1. 判定條件I. 存在 ntp server 配置條目II. 日志記錄時(shí)間準(zhǔn)確2. 檢測(cè)操作I. 使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!…no ntp disablentp updatecalendarntp server ntp server 14 / 44II. show logging | include NTP000019: Jan 29 10:57: EST: %NTP5PEERSYNC: NTP synced to peer 000020: Jan 29 10:57: EST: %NTP6PEERREACH: Peer is reachable3. 補(bǔ)充說明日志時(shí)間不準(zhǔn)確導(dǎo)致安全事件定位的不準(zhǔn)確備注 遠(yuǎn)程日志功能*安全基線項(xiàng)目名稱遠(yuǎn)程日志功能安全基線要求項(xiàng)安全基線編號(hào)SBLCiscoRouter030104 安全基線項(xiàng)說明 設(shè)備應(yīng)支持遠(yuǎn)程日志功能。檢測(cè)操作步驟 1． 參考配置操作屏蔽常見的漏洞端口 143 4444,tftp UDP69, 135, 137, 138, 139, 445, 593, 1434， 5000，5554 ，5800,5900,6667,9996 等：Router(config) no accesslist 102Router(config) accesslist 102 deny tcp any any eq 445 logRouter(config) accesslist 102 deny tcp any any eq 5800 logRouter(config) accesslist 102 deny tcp any any eq 5900 logRouter(config) accesslist 102 deny udp any any eq 1434 logRouter(config) accesslist 102 deny udp destinationport eq tftp logRouter(config) accesslist 102 deny tcp destinationport eq 135 logRouter(config) accesslist 102 deny udp destinationport eq 137 logRouter(config) accesslist 102 deny udp destinationport eq 138 logRouter(config) accesslist 102 deny tcp destinationport eq 139 logRouter(config) accesslist 102 deny udp destinationport eq biosssn logRouter(config) accesslist 102 deny tcp destinationport eq 539 logRouter(config) accesslist 102 deny udp destinationport eq 539 logRouter(config) accesslist 102 deny tcp destinationport eq 593 log2． 補(bǔ)充操作說明基線符合性判定依據(jù)1. 判定條件存在類似 acl，拒絕上述端口2. 檢測(cè)操作使用 show runningconfig 命令，如下例：routershow runningconfig…21 / 44accesslist 102accesslist 102 deny tcp any any eq 445 logaccesslist 102 deny tcp any any eq 5800 logaccesslist 102 deny tcp any any eq 5900 logaccesslist 102 deny udp any any eq 1434 log…3. 補(bǔ)充說明染備注 功能配置 功能禁用*安全基線項(xiàng)目名稱功能禁用安全基線要求項(xiàng)安全基線編號(hào)SBLCiscoRouter040201 安全基線項(xiàng)說明 功能禁用檢測(cè)操作步驟 1． 參考配置操作I. 禁用 IP 源路由Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) no ip sourcerouteII. 禁用 PROXY ARPRouter config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) interface eth 0/0Router(configif) no ip proxyarpRouter(configif) exit Router(config) interface eth 0/1Router(configif) no ip proxyarpRouter(configif) exit Router(config) interface eth 0/2Router(configif) no ip proxyarpRouter(configif) exit 22 / 44Router(config) interface eth 0/3Router(configif) no ip proxyarpRouter(configif) endIII. 禁用直播功能Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) interface eth 0/0Router(configif) no ip directedbroadcastRouter(configif) en