【正文】 】：超時沒有操作，自動退出設(shè)備【具體配置】：！tel 配置Router(config)line vty 0 4Router(configline)exectime 3 0！SSH 配置Router(Config) ip ssh timeout 180 登錄嘗試次數(shù)為了防止窮舉式密碼試探，要求設(shè)置登錄嘗試次數(shù)限制，建議次數(shù)為 3 次。當(dāng)系統(tǒng)收到一個連接請求，若提供的帳號或密碼連續(xù)不能通過驗(yàn)證的的次數(shù)超28 / 55過設(shè)定值，就自動中斷該連接。【適用網(wǎng)絡(luò)層次】：在所有層面設(shè)備實(shí)施該建議【影響】：無【具體配置】：！配置 SSH 登陸嘗試次數(shù)為 3 次Router(Config) ip ssh anthenticationretries 3 并發(fā)登錄個數(shù)為了防止窮舉式密碼試探，要求設(shè)置并發(fā)登錄個數(shù)限制，建議次數(shù)為 5 次。該限制必須與上述的空閑時間限制一并使用，否則當(dāng)收到此類攻擊時，將導(dǎo)致無法遠(yuǎn)程登錄設(shè)備。【適用網(wǎng)絡(luò)層次】：在所有層面設(shè)備實(shí)施該建議【影響】：將不能同時有超過限制數(shù)量的用戶登陸維護(hù)【具體配置】：！ 版本以上支持Router(Configline)sessionlimit 5 采用訪問列表嚴(yán)格控制訪問的地址只允許合法的網(wǎng)管網(wǎng)段或網(wǎng)管和維護(hù)主機(jī)地址作為源地址發(fā)起對設(shè)備的遠(yuǎn)程連接【適用網(wǎng)絡(luò)層次】：在所有層面設(shè)備實(shí)施該建議【影響】：只有網(wǎng)管網(wǎng)段才能登陸【具體配置】：Router(Config) accesslist 22 permit Router(Config) accesslist 22 deny any29 / 55Router(Config) line vty 0 4Router(Configline) accessclass 22 in 帳號和密碼管理建議應(yīng)在日常維護(hù)過程中周期性地（至少按季度）更改登錄密碼，甚至登錄帳號。當(dāng)外方人員需要登錄設(shè)備時， 應(yīng)創(chuàng)建臨時帳號，并指定合適的權(quán)限。臨時帳號使用完后應(yīng)及時刪除。登 錄帳號及密碼的保管和更新應(yīng)由專人負(fù)責(zé)，并注意保密。帳號名字應(yīng)該與使用者存在對應(yīng)關(guān)系，如能反 應(yīng) 使用者的級別、從屬關(guān)系。為了提高安全性，在方便記憶的前提下， 帳號名字應(yīng) 盡量混用字符的大小寫、數(shù)字和符號，提高猜度的難度。同樣的，密碼必須至少使用四種可用字符 類型中的三種：小寫字母、大寫字母、數(shù)字和符號，而且密碼不得包含用戶名或用戶全名的一部分。一般情況下密碼至少包含 8 個字符。我們建議用密碼生成器軟件（如 ）來制造隨機(jī)密碼。Cisco 設(shè)備支持 AAA 認(rèn)證，最好的口令處理方法是將這些口令保存在TACACS+或 RADIUS 認(rèn)證 服務(wù)器上。為特權(quán)模式的 進(jìn)入設(shè)置強(qiáng)壯的密碼。要求不要采用 enable password 設(shè)置密碼，而采用 enable secret 命令設(shè)置，enable secret 命令用于設(shè)定具有管理員權(quán)限的口令，而 enable password 采用的加密算法比較弱。而要采用 enable secret 命令設(shè)置。并且要啟用 Service passwordencryption，這條命令用于對存儲在配置文件中的所有口令和類似數(shù)據(jù)（如 CHAP）進(jìn)行加密。避免當(dāng)配置文件被不懷好意者看見，從而獲得這些數(shù)據(jù)的明文?！具m用網(wǎng)絡(luò)層次】：在所有層面設(shè)備實(shí)施【影響】：無【具體配置】：30 / 55Router(Config)enable secret xxxxxxxxRouter(Config)Service passwordencryption 帳號認(rèn)證和授權(quán)帳號的認(rèn)證和授權(quán)分為設(shè)備本身的認(rèn)證和授權(quán)和 AAA 服務(wù)器的認(rèn)證和授權(quán)兩個部分。 本機(jī)認(rèn)證和授權(quán)初始模式下，設(shè)備內(nèi)一般建有沒有密碼的管理員帳號，該帳號只能用于Console 連接，不能用于遠(yuǎn) 程登錄。 強(qiáng)烈建議用戶應(yīng)在初始化配置時為它們加添密碼。一般而言，設(shè)備允許用戶自行創(chuàng)建本機(jī)登錄帳 號，并 為其設(shè)定密碼和權(quán)限。同時，為 了 AAA 服務(wù)器出 現(xiàn)問題時， 對設(shè)備的維護(hù)工作仍可正常進(jìn)行，建議保留必要的維護(hù)用戶?！具m用網(wǎng)絡(luò)層次】：在所有層面設(shè)備實(shí)施【影響】：無【具體配置】：！配置本地用戶 BluShin，密碼 GoodPa55w0rd,權(quán)限為 10Router(Config)username BluShin privilege 10 password G00dPa55w0rd Router(Config)privilege EXEC level 10 telRouter(Config)privilege EXEC level 10 show ip accesslist AAA 認(rèn)證Cisco 設(shè)備支持 RADIUS 或 TACACS＋的 AAA（認(rèn)證 、授權(quán)、 計(jì)費(fèi)）客戶端功能，通過 AAA 認(rèn)證可以方便 實(shí)現(xiàn)對大量設(shè)備的登錄帳 號和密碼的管理。建議采用集中認(rèn)證和授權(quán)模式。通 過 AAA 服務(wù)器還可以彌 補(bǔ)設(shè)備本身對執(zhí)行權(quán)限管理31 / 55的不足。 RADIUS 認(rèn)證方式RADIUS 的全稱為(Remote Access DailIn User Service),它是對遠(yuǎn)程撥號用戶訪問進(jìn)行認(rèn)證的一種協(xié)議。主要進(jìn)行 Authentication Authorization Accounting (AAA) 三方面的工作。【適用網(wǎng)絡(luò)層次】：在所有層面設(shè)備實(shí)施【影響】：無【具體配置】：！enable AAA 認(rèn)證 Router(Config)aaa newmode！指明 radius server 在網(wǎng)上的地址 Router(Config)radiusserver host！建立一個網(wǎng)上傳輸密碼Router(Config)radiusserver key ！進(jìn)行 login 認(rèn)證，若 radius server 未響應(yīng)， 則進(jìn)行本地?cái)?shù)據(jù)庫認(rèn)證Router(Config)aaa authentication login default radius local ！對用戶的訪問進(jìn)行授權(quán)，本例允許用戶 EXEC 權(quán)限Router(Config)aaa author exec default radius local ！將 RADIUS 認(rèn)證應(yīng)用于 VTY Router(Configline) login authentication default！將授權(quán)方式應(yīng)用于 VTY Router(Configline) login authorization exec default32 / 55 TACACS+認(rèn)證方式Cisco IOS 軟件目前支持三種版本的終端訪問控制器訪問控制系統(tǒng)（Terminal Access Controller Access Control System，TACACS）安全協(xié)議，其中每個版本都是單獨(dú)并且唯一的協(xié)議：TACACS+——最新的協(xié)議， 對認(rèn)證和授權(quán)處理提供 詳細(xì)的記帳信息和靈活的管理控制。TACACS+通過 AAA 提供，而且只能通過 AAA 命令來開放。TACACS——舊版本的訪問協(xié)議，與新版本的 TACACS+協(xié)議不兼容，Cisco目前不贊成該協(xié)議。該協(xié)議 提供了口令核查、 認(rèn)證以及用于安全和記帳目的的用戶操作通知。擴(kuò)展 TACACS——舊版本 TACACS 協(xié)議的擴(kuò)展，對 TACACS 提供了附加功能。擴(kuò)展 TACACS 提供有關(guān)協(xié)議翻譯器和路由器用途的信息。這一信息用于UNIX 的審計(jì) 追蹤和記帳文件。擴(kuò)展 TACACS 與 TACACS+不兼容。由于 TACACS 和擴(kuò)展 TACACS 為舊版本協(xié)議，且與 AAA 不兼容，不推薦使用，以下具體配置為 TACACS+?！具m用網(wǎng)絡(luò)層次】：在所有層面設(shè)備實(shí)施【影響】：無【具體配置】：！開啟 AAA 認(rèn)證Router(Config)aaa newmode ！指明 tacacs+ server 在網(wǎng)上的地址Router(Config)tacacsserver host ！建立一個網(wǎng)上傳輸密碼Router(Config)tacacsserver key 33 / 55！進(jìn)行 login 認(rèn)證，若 tacacs+ server 未響應(yīng)， 則進(jìn)行本地?cái)?shù)據(jù)庫認(rèn)證Router(Config)aaa authentication login default tacacs+ local ！對用戶的訪問進(jìn)行授權(quán)，本例允許用戶 EXEC 權(quán)限Router(Config)aaa author exec default tacacs+ local ！將授權(quán)方式應(yīng)用于 VTYRouter(Configline) login authorization exec default！將 tacacs+認(rèn)證應(yīng) 用于 VTYRouter(Configline) login authentication default snmp 協(xié)議由于 snmp 協(xié)議的 MIB 存放著大量 設(shè)備狀態(tài)信息（稱之為 Object，并以 OID作為唯一標(biāo)識），既有物理 層信息（如端口狀態(tài)），也有協(xié)議層信息（如端口 IP 地址）。網(wǎng)管系統(tǒng)通過 SNMP GET 或 MGET 指令采集這些信息作為原始數(shù)據(jù)，經(jīng)分析和處理后實(shí)現(xiàn)各種網(wǎng)管功能。部分 MIB Object 還可以讓網(wǎng)管系統(tǒng)通過SNMP SET 指令來賦值。 懷有惡意的人可以通過竊取 SNMP 數(shù)據(jù)來獲得網(wǎng)絡(luò)的基本情況，并以此發(fā)起惡意攻擊，甚至通 過修改 MIB Object 賦值來進(jìn)行破壞。因此 SNMP 的防護(hù)非常重要。SNMP 自身也提供了一定的安全手段，即 Community。Community 相當(dāng)于網(wǎng)管系統(tǒng)與設(shè)備之間建立 SNMP 連接合法性的識別字串。它們兩者之間的 SNMP交互都需要先做 Community 檢查后，再 執(zhí)行。有 2 種 Community：ReadOnly（簡稱 RO）和 ReadWrite（簡稱 RW）。RO 提供給 SNMP GET、SNMP MGET、SNMP TRAP 指令使用； RW 還提供給 SNMP SET 指令使用，RW 相當(dāng)危險，要求關(guān)閉snmp rw 功能。Cisco 設(shè)備默認(rèn)開啟 snmp 協(xié)議，并采用了 public 和 private 的口令，故 Cisco34 / 55默認(rèn)的 snmp 配置是及其危險的。要求采取以下方法進(jìn)行保護(hù)： SNMP 服務(wù)器的開啟如不需要提供 snmp 服務(wù)的，要求禁止 SNMP 協(xié)議 服務(wù)，注意在禁止時刪除一些 SNMP 服務(wù)的默認(rèn)配置。【適用網(wǎng)絡(luò)層次】：所有設(shè)備【影響】：關(guān)閉，網(wǎng)管系統(tǒng)無法采集到相關(guān)管理數(shù)據(jù)，不能進(jìn)行告警監(jiān)控【具體配置】：Router(Config) no snmpserver munity public RoRouter(Config) no snmpserver munity private RWRouter(Config) no snmpserver enable trapsRouter(Config) no snmpserver systemshutdownRouter(Config) no snmpserver 更改 SNMP TRAP 協(xié)議端口；如開啟 snmp 協(xié)議，要求更改 snmp trap 協(xié)議的標(biāo)準(zhǔn)端口號，以增強(qiáng)其安全性?！具m用網(wǎng)絡(luò)層次】：所有設(shè)備【影響】：無【具體配置】：Router(config)snmpserver host traps version udpport 1661 限制發(fā)起 SNMP 連接的源地址；如開啟 snmp 協(xié)議，要求更改 snmp 連接的源地址，以增強(qiáng)其安全性?！具m用網(wǎng)絡(luò)層次】：所有設(shè)備35 / 55【影響】：只有指定的網(wǎng)管網(wǎng)段才能使用 SNMP 維護(hù)【具體配置】：Router(Config) accesslist 10 permit Router(Config) accesslist 10 deny anyRouter(Config) snmpserver munity MoreHardPublic Ro 10 設(shè)置 snmp 密碼如開啟 snmp 協(xié)議，要求設(shè) 置并定期更改 SNMP Community（至少半年一次），以增強(qiáng)其安全性，不建議開啟 snmp rw 特性?！具m用網(wǎng)絡(luò)層次】：所有設(shè)備【影響】：無【具體配置】：Router(Config) snmpserver munity MoreHardPublic ro！不建議實(shí)施Router(Config) snmpserver munity MoreHardPublic rw 開啟 snmp v3 版本如開啟 snmp 協(xié)議，并且條件 許可的話，建議轉(zhuǎn)用 SNMPv3。SNMP version 3已經(jīng)商用。它引入了除 Community 外的基于 MD5 認(rèn)證和 DES 加密來保障SNMP 通道安全的機(jī)制。【適用網(wǎng)絡(luò)層次】：所有設(shè)備【影響】：無【具體配置】：Router(Config) snmpserver host version 3 auth MoreHardPublic 36 / 55 HTTP 的配置要求 更改標(biāo)準(zhǔn)端口思科路由器操作系統(tǒng)支持 Http 協(xié)議進(jìn)行遠(yuǎn)端配置和 監(jiān)視，由于 HTTP 服務(wù)本身具有諸多安全漏洞，如 CGI 漏洞等，思科路由器的 HTTP 服務(wù)就發(fā)現(xiàn)有安全漏洞；而針對 Http 的認(rèn)證就相當(dāng)于在網(wǎng)絡(luò)上發(fā)送明文且 對于 Http 沒有有效