【文章內(nèi)容簡介】 V. 生成 rsa 密鑰對Router(config) crypto key generate rsaThe name for the keys will be: Choose the size of the key modulus in the range of 360 to2048 for your General Purpose Keys. Choosing a key modulusgreater than 512 may take a few minutes.How many bits in the modulus [512]: 2048Generating RSA Keys ...[OK]V. 配置僅允許 ssh 遠程登錄Router(config) line vty 0 4Router(configline) transport input ssh Router(configline) exitRouter(config)2. 補充操作說明配置描述：I. 配置 ssh 要求路由器已經(jīng)存在主機名和域名II. 配置訪問控制列表，僅授權(quán) 訪問 sshIII. 配置遠程訪問里連接超時IV. 生成 rsa 密鑰對，如果已經(jīng)存在可以使用以前的。默認存在 rsa密鑰對 sshd 就啟用，不存在 rsa 密鑰對 sshd 就停用。V. 配置遠程訪問協(xié)議為 ssh檢測方法 1. 判定條件10 / 37I. 存在 rsa 密鑰對II. 遠程登錄指定 ssh 協(xié)議2. 檢測操作I. 使用 show crypto key mypubkey rsa 命令，如下例：Router(config) show crypto key mypubkey rsa% Key pair was generated at: 06:07:49 UTC Jan 13 1996Key name: Usage: Signature Key Key Data: 005C300D 06092A86 4886F70D 01010105 00034B00 30480241 00C5E23B 55D6AB2204AEF1BA A54028A6 9ACC01C5 129D99E4 64CAB820 847EDAD9 DF0B4E4C 73A05DD2BD62A8A9 FA603DD2 E2A8A6F8 98F76E28 D58AD221 B583D7A4 71020301 0001% Key pair was generated at: 06:07:50 UTC Jan 13 1996Key name: Usage: Encryption Key Key Data: 00302022 4A7D385B 1234EF29 335FC973 2DD50A37 C4F4B0FD 9DADE748 429618D5 18242BA3 2EDFBDD3 4296142A DDF7D3D8 08407685 2F2190A0 0B43F1BD 9A8A26DB 07953829 791FCDE9 A98420F0 6A82045B 90288A26 DBC64468 7789F76E EE21II. 使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!line vty 0 4transport input ssh3. 補充說明使用非加密協(xié)議在傳輸過程中容易被截獲口令11 / 37 賬號管理、認證授權(quán) 賬戶要求編號 安全要求設備思科路由器 配置1適用版本 Cisco IOS Release 以上要求內(nèi)容 應按照用戶分配賬號。避免不同用戶間共享賬號。避免用戶賬號和設備間通信使用的賬號共享。操作指南1. 參考配置操作Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) service passwordencryptionRouter(config) username ruser1 password 3dzirc0niaRouter(config) username ruser1 privilege 1Router(config) username ruser2 password 2Bor3BRouter(config) username ruser2 privilege 1Router(config) end Router2. 補充操作說明檢測方法1. 判定條件I. 配置文件中，存在不同的帳號分配II. 網(wǎng)絡管理員確認用戶與帳號分配關(guān)系明確2. 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!service passwordencryption username ruser1 password 3dzirc0niausername ruser1 privilege 1username ruser2 password 2Bor3Busername ruser2 privilege 13. 補充說明使用共享賬號容易造成職責不清12 / 37要求編號 安全要求設備思科路由器 配置2適用版本 Cisco IOS Release 以上要求內(nèi)容 應刪除與設備運行、維護等工作無關(guān)的賬號。操作指南1．參考配置操作Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) no username ruser32．補充操作說明檢測方法1. 判定條件I. 配置文件存在多帳號II. 網(wǎng)絡管理員確認所有帳號與設備運行、維護等工作有關(guān)2. 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!username user1 privilege 1 password password1username nobodyuse privilege 1 password password13. 補充說明刪除不用的賬號，避免被利用 口令要求編號 安全要求設備思科路由器 配置3適用版本 Cisco IOS Release 以上要求內(nèi)容 靜態(tài)口令必須使用不可逆加密算法加密，以密文形式存放。如使用enable secret 配置 Enable 密碼，不使用 enable password 配置 Enable 密碼。13 / 37操作指南1. 參考配置操作Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) enable secret 2mAnyrOUtEsRouter(config) no enable passwordRouter(config) end2． 補充操作說明檢測方法1. 判定條件配置文件無明文密碼字段2. 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!service passwordencryptionenable secret 5 $1oxphetTb$rTsF$EdvjtWbi0qA2gusername ciscoadmin password 7 Wbi0qA1$rTsF$Edvjt2gpvyhetTb3. 補充說明如果不加密,使用 show runningconfig 命令,可以看到未加密的密碼 授權(quán) 認證 要求編號 安全要求設備思科路由器 配置7可選適用版本 Cisco IOS Release 以上要求內(nèi)容 設備通過相關(guān)參數(shù)配置，與認證系統(tǒng)聯(lián)動，滿足帳號、口令和授權(quán)的強制要求。操作指南1. 參考配置操作Routerconfigure terminal Enter configuration mands, one per line. End with CNTL/Z.Router(config)aaa newmodelRouter(config)aaa authentication login default group tacacs+Router(config)aaa authentication enable default group tacacs+Router(config)tacacsserver host Router(config)tacacsserver key Ir3@1yh8nw9@swD14 / 37Router(config)endRouter2. 補充操作說明與外部 TACACS+ server 聯(lián)動，遠程登錄使用 TACACS+ serverya 驗證檢測方法1. 判定條件帳號、口令配置，指定了認證系統(tǒng)2. 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!aaa newmodelaaa authentication login default group tacacs+aaa authentication enable default group tacacs+tacacsserver host tacacsserver key Ir3@1yh8nw9@swD3. 補充說明 日志安全要求要求編號 安全要求設備思科路由器 配置4可選適用版本 Cisco IOS Release 以上要求內(nèi)容 與記賬服務器(如 RADIUS 服務器或 TACACS 服務器)配合，設備應配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的 IP 地址。操作指南1. 參考配置操作Routerconfigure terminal Enter configuration mands, one per line. End with CNTL/Z.Router(config)aaa newmodel Router(config)aaa accounting connection default startstop group tacacs+Router(config)aaa accounting exec default startstop group tacacs+ Router(config)endRouter12. 補充操作說明使用 TACACS+ server檢測方法 1. 判定條件配置了 AAA 模板的上述具體條目15 / 372. 檢測操作使用 show runningconfig 命令，如下例：router1show runn | include aaa Building configuration...Current configuration:!aaa newmodelaaa authentication login default group tacacs+aaa authorization exec default group tacacs+ aaa sessionid mon3. 補充說明要求編號 安全要求設備思科路由器 配置5可選適用版本 Cisco IOS Release 以上要求內(nèi)容 與記賬服務器(如 TACACS 服務器)配合，設備應配置日志功能，記錄用戶對設備的操作，如賬號創(chuàng)建、刪除和權(quán)限修改，口令修改，讀取和修改設備配置，讀取和修改業(yè)務用戶的話費數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄需要包含用戶賬號，操作時間，操作內(nèi)容以及操作結(jié)果。操作指南1. 參考配置操作Routerconfigure terminal Enter configuration mands, one per line. End with CNTL/Z.Router(config)aaa newmodel Router(config)aaa accounting mands 1 default startstop group tacacs+Router(config)aaa accounting mands 15 default startstop group tacacs+Router(config)endR