【文章內(nèi)容簡介】 ter(config) service passwordencryptionRouter(config) username normaluser password 3dzirc0niaRouter(config) username normaluser privilege 1Router(config) line vty 0 4 Router(configline) login localRouter(configline) exectimeout 5 0IV. 生成 rsa 密鑰對Router(config) crypto key generate rsaThe name for the keys will be: Choose the size of the key modulus in the range of 360 to2048 for your General Purpose Keys. Choosing a key modulusgreater than 512 may take a few minutes.How many bits in the modulus [512]: 2048Generating RSA Keys ...[OK]V. 配置僅允許 ssh 遠(yuǎn)程登錄Router(config) line vty 0 49 / 44Router(configline) transport input ssh Router(configline) exitRouter(config)2. 補(bǔ)充操作說明配置描述：I. 配置 ssh 要求路由器已經(jīng)存在主機(jī)名和域名II. 配置訪問控制列表，僅授權(quán) 訪問 sshIII. 配置遠(yuǎn)程訪問里連接超時(shí)IV. 生成 rsa 密鑰對，如果已經(jīng)存在可以使用以前的。默認(rèn)存在 rsa 密鑰對 sshd 就啟用，不存在 rsa 密鑰對 sshd 就停用。V. 配置遠(yuǎn)程訪問協(xié)議為 ssh基線符合性判定依據(jù)1. 判定條件I. 存在 rsa 密鑰對II. 遠(yuǎn)程登錄指定 ssh 協(xié)議2. 檢測操作I. 使用 show crypto key mypubkey rsa 命令，如下例：Router(config) show crypto key mypubkey rsa% Key pair was generated at: 06:07:49 UTC Jan 13 1996Key name: Usage: Signature Key Key Data: 005C300D 06092A86 4886F70D 01010105 00034B00 30480241 00C5E23B 55D6AB2204AEF1BA A54028A6 9ACC01C5 129D99E4 64CAB820 847EDAD9 DF0B4E4C 73A05DD2BD62A8A9 FA603DD2 E2A8A6F8 98F76E28 D58AD221 B583D7A4 71020301 0001% Key pair was generated at: 06:07:50 UTC Jan 13 1996Key name: Usage: Encryption Key Key Data: 00302022 4A7D385B 1234EF29 335FC973 2DD50A37 C4F4B0FD 9DADE748 429618D5 18242BA3 2EDFBDD3 4296142A DDF7D3D8 08407685 2F2190A0 0B43F1BD 9A8A26DB 07953829 791FCDE9 A98420F0 6A82045B 90288A26 DBC64468 7789F76E EE21II. 使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:10 / 44!line vty 0 4transport input ssh3. 補(bǔ)充說明使用非加密協(xié)議在傳輸過程中容易被截獲口令備注11 / 44第 3 章 日志安全要求 日志安全 對用戶登錄進(jìn)行記錄安全基線項(xiàng)目名稱用戶登錄進(jìn)行記錄安全基線要求項(xiàng)安全基線編號SBLCiscoRouter030101 安全基線項(xiàng)說明 與記賬服務(wù)器(如 RADIUS 服務(wù)器或 TACACS 服務(wù)器)配合，設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的帳號，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的 IP 地址。檢測操作步驟 1. 參考配置操作Routerconfigure terminal Enter configuration mands, one per line. End with CNTL/Z.Router(config)aaa newmodel Router(config)aaa accounting connection default startstop group tacacs+Router(config)aaa accounting exec default startstop group tacacs+ Router(config)endRouter12. 補(bǔ)充操作說明使用 TACACS+ server基線符合性判定依據(jù)1. 判定條件配置了 AAA 模板的上述具體條目2. 檢測操作使用 show runningconfig 命令，如下例：router1show runn | include aaa Building configuration...Current configuration:!aaa newmodelaaa authentication login default group tacacs+aaa authorization exec default group tacacs+ 12 / 44aaa sessionid mon補(bǔ)充說明備注 記錄用戶對設(shè)備的操作安全基線項(xiàng)目名稱用戶對設(shè)備記錄安全基線要求項(xiàng)安全基線編號SBLCiscoRouter030102 安全基線項(xiàng)說明 與記賬服務(wù)器(如 TACACS 服務(wù)器)配合，設(shè)備應(yīng)配置日志功能，記錄用戶對設(shè)備的操作，如帳號創(chuàng)建、刪除和權(quán)限修改，口令修改，讀取和修改設(shè)備配置，讀取和修改業(yè)務(wù)用戶的話費(fèi)數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄需要包含用戶帳號，操作時(shí)間，操作內(nèi)容以及操作結(jié)果。檢測操作步驟 1. 參考配置操作Routerconfigure terminal Enter configuration mands, one per line. End with CNTL/Z.Router(config)aaa newmodel Router(config)aaa accounting mands 1 default startstop group tacacs+Router(config)aaa accounting mands 15 default startstop group tacacs+Router(config)endRouter12. 補(bǔ)充操作說明使用 TACACS+ server基線符合性判定依據(jù)1． 判定條件配置了 AAA 模板的上述具體條目2. 檢測操作使用 show runningconfig 命令，如下例：router1show runn | include aaa Building configuration...Current configuration:!aaa newmodelaaa accounting mands 1 default startstop group tacacs+aaa accounting mands 15 default startstop group tacacs+13 / 44補(bǔ)充說明備注 開啟 NTP 服務(wù)保證記錄的時(shí)間的準(zhǔn)確性安全基線項(xiàng)目名稱記錄的時(shí)間的準(zhǔn)確性安全基線要求項(xiàng)安全基線編號SBLCiscoRouter030103 安全基線項(xiàng)說明 開啟 NTP 服務(wù)，保證日志功能記錄的時(shí)間的準(zhǔn)確性。檢測操作步驟 1. 參考配置操作配置命令如下：Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) interface eth0/0Router(configif) no ntp disableRouter(configif) exit Router(config) ntp server source loopback0Router(config) exit2. 補(bǔ)充操作說明需要到每個(gè)端口開啟 NTP基線符合性判定依據(jù)1. 判定條件I. 存在 ntp server 配置條目II. 日志記錄時(shí)間準(zhǔn)確2. 檢測操作I. 使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!…no ntp disablentp updatecalendarntp server ntp server 14 / 44II. show logging | include NTP000019: Jan 29 10:57: EST: %NTP5PEERSYNC: NTP synced to peer 000020: Jan 29 10:57: EST: %NTP6PEERREACH: Peer is reachable3. 補(bǔ)充說明日志時(shí)間不準(zhǔn)確導(dǎo)致安全事件定位的不準(zhǔn)確備注 遠(yuǎn)程日志功能*安全基線項(xiàng)目名稱遠(yuǎn)程日志功能安全基線要求項(xiàng)安全基線編號SBLCiscoRouter030104 安全基線項(xiàng)說明 設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如 SYSLOG、FTP等。檢測操作步驟 1. 參考配置操作路由器側(cè)配置：Router config tEnter configuration mands, one per line. End with CNTL/ZRouter(config) logging onRouter(config) logging trap informationRouter(config) logging Router(config) logging facility local6Router(config) logging sourceinterface loopback0Router(config) exit Router show loggingSyslog logging: enabled (0 messages dropped, 11 flushes, 0overruns)Console logging: level notifications, 35 messages loggedMonitor logging: level debugging, 35 messages loggedBuffer logging: level informational, 31 messages loggedLogging to , 28 message lines logged..Router2. 補(bǔ)充操作說明I. 假設(shè)把 router 日志存儲在 的 syslog 服務(wù)器上路由器側(cè)配置描述如下：15 / 44啟用日志記錄日志級別設(shè)定“information”記錄日志類型設(shè)定“l(fā)ocal6”日志發(fā)送到 日志發(fā)送源是 loopback0配置完成可以使用“show logging ”驗(yàn)證服務(wù)器側(cè)配置參考如下：Syslog 服務(wù)器配置參考：在 上增加一行 Save router messages to /var/log/創(chuàng)建日志文件touch /var/log/II. 如果使用 snmp 存儲日志參考配置如下：Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) logging trap informationRouter(config) snmpserver host traps publicRouter(config) snmpserver trapsource loopback0Router(config) snmpserver enable traps syslogRouter(config) exit 基線符合性判定依據(jù)1. 判定條件I.