【正文】 n local3． 補充說明會導(dǎo)致遠程攻擊者通過黑客工具猜解帳號口令備注 根據(jù)業(yè)務(wù)場景，自動化系統(tǒng)如果無法實現(xiàn)可不選此項，人工登錄操作需要遵守此項規(guī)范。如使用 enable secret 配置 Enable 密碼，不使用 enable password 配置 Enable 密碼。檢測操作步驟 1. 參考配置操作Routerconfigure terminal Enter configuration mands, one per line. End with CNTL/Z.Router(config)aaa newmodelRouter(config)aaa authentication login default group tacacs+Router(config)aaa authentication enable default group tacacs+Router(config)tacacsserver host Router(config)tacacsserver key Ir31yh8nw9swDRouter(config)endRouter2. 補充操作說明與外部 TACACS+ server 聯(lián)動，遠程登錄使用 TACACS+ serverya 驗證基線符合性判定依據(jù) 1. 判定條件帳號、口令配置，指定了認證系統(tǒng)2. 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!7 / 44aaa newmodelaaa authentication login default group tacacs+aaa authentication enable default group tacacs+tacacsserver host tacacsserver key Ir31yh8nw9swD補充說明備注 密碼復(fù)雜度安全基線項目名稱密碼復(fù)雜度安全基線要求項安全基線編號SBLCiscoRouter020203 安全基線項說明 對于采用靜態(tài)口令認證技術(shù)的設(shè)備，口令長度至少 8 位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。密碼應(yīng)至少每 90 天進行更換。檢測操作步驟 1. 參考配置操作I. 配置主機名和域名router config tEnter configuration mands, one per line. End with CNTL/Z.router(config) hostname RouterRouter(config) ip domainname II. 配置訪問控制列表Router(config) no accesslist 12 Router(config) accesslist 12 permit host Router(config) line vty 0 4Router(configline) accessclass 12 in Router(configline) exitIII. 配置帳號和連接超時Router(config) service passwordencryptionRouter(config) username normaluser password 3dzirc0niaRouter(config) username normaluser privilege 1Router(config) line vty 0 4 Router(configline) login localRouter(configline) exectimeout 5 0IV. 生成 rsa 密鑰對Router(config) crypto key generate rsaThe name for the keys will be: Choose the size of the key modulus in the range of 360 to2048 for your General Purpose Keys. Choosing a key modulusgreater than 512 may take a few minutes.How many bits in the modulus [512]: 2048Generating RSA Keys ...[OK]V. 配置僅允許 ssh 遠程登錄Router(config) line vty 0 49 / 44Router(configline) transport input ssh Router(configline) exitRouter(config)2. 補充操作說明配置描述：I. 配置 ssh 要求路由器已經(jīng)存在主機名和域名II. 配置訪問控制列表，僅授權(quán) 訪問 sshIII. 配置遠程訪問里連接超時IV. 生成 rsa 密鑰對，如果已經(jīng)存在可以使用以前的。V. 配置遠程訪問協(xié)議為 ssh基線符合性判定依據(jù)1. 判定條件I. 存在 rsa 密鑰對II. 遠程登錄指定 ssh 協(xié)議2. 檢測操作I. 使用 show crypto key mypubkey rsa 命令，如下例：Router(config) show crypto key mypubkey rsa% Key pair was generated at: 06:07:49 UTC Jan 13 1996Key name: Usage: Signature Key Key Data: 005C300D 06092A86 4886F70D 01010105 00034B00 30480241 00C5E23B 55D6AB2204AEF1BA A54028A6 9ACC01C5 129D99E4 64CAB820 847EDAD9 DF0B4E4C 73A05DD2BD62A8A9 FA603DD2 E2A8A6F8 98F76E28 D58AD221 B583D7A4 71020301 0001% Key pair was generated at: 06:07:50 UTC Jan 13 1996Key name: Usage: Encryption Key Key Data: 00302022 4A7D385B 1234EF29 335FC973 2DD50A37 C4F4B0FD 9DADE748 429618D5 18242BA3 2EDFBDD3 4296142A DDF7D3D8 08407685 2F2190A0 0B43F1BD 9A8A26DB 07953829 791FCDE9 A98420F0 6A82045B 90288A26 DBC64468 7789F76E EE21II. 使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:10 / 44!line vty 0 4transport input ssh3. 補充說明使用非加密協(xié)議在傳輸過程中容易被截獲口令備注11 / 44第 3 章 日志安全要求 日志安全 對用戶登錄進行記錄安全基線項目名稱用戶登錄進行記錄安全基線要求項安全基線編號SBLCiscoRouter030101 安全基線項說明 與記賬服務(wù)器(如 RADIUS 服務(wù)器或 TACACS 服務(wù)器)配合，設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的帳號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的 IP 地址。記錄需要包含用戶帳號，操作時間，操作內(nèi)容以及操作結(jié)果。檢測操作步驟 1. 參考配置操作配置命令如下：Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) interface eth0/0Router(configif) no ntp disableRouter(configif) exit Router(config) ntp server source loopback0Router(config) exit2. 補充操作說明需要到每個端口開啟 NTP基線符合性判定依據(jù)1. 判定條件I. 存在 ntp server 配置條目II. 日志記錄時間準確2. 檢測操作I. 使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!…no ntp disablentp updatecalendarntp server ntp server 14 / 44II. show logging | include NTP000019: Jan 29 10:57: EST: %NTP5PEERSYNC: NTP synced to peer 000020: Jan 29 10:57: EST: %NTP6PEERREACH: Peer is reachable3. 補充說明日志時間不準確導(dǎo)致安全事件定位的不準確備注 遠程日志功能*安全基線項目名稱遠程日志功能安全基線要求項安全基線編號SBLCiscoRouter030104 安全基線項說明 設(shè)備應(yīng)支持遠程日志功能。設(shè)備應(yīng)支持至少一種通用的遠程標準日志接口，如 SYSLOG、FTP等。建議核心設(shè)備必選，其它根據(jù)實際情況啟用17 / 44第 4 章 IP 協(xié)議安全要求 IP 協(xié)議 配置路由器防止地址欺騙安全基線項目名稱配置路由器防止地址欺騙安全基線要求項安全基線編號SBLCiscoRouter040101 安全基線項說明 配置路由器，防止地址欺騙。備注 系統(tǒng)遠程服務(wù)只允許特定地址訪問安全基線項目名稱系統(tǒng)遠程服務(wù)只允許特定地址訪問安全基線要求項19 / 44安全基線編號SBLCiscoRouter040102 安全基線項說明 路由器以 UDP/TCP 協(xié)議對外提供服務(wù)，供外部主機進行訪問，如作為 NTP服務(wù)器、TELNET 服務(wù)器、TFTP 服務(wù)器、FTP 服務(wù)器、SSH 服務(wù)器等，應(yīng)配置路由器，只允許特定主機訪問。檢測操作步驟 1． 參考配置操作屏蔽常見的漏洞端口 143 4444,tftp UDP69, 135, 137, 138, 139, 445, 593, 1434， 5000，5554 ，5800,5900,6667,9996 等：Router(config) no accesslist 102Router(config) accesslist 102 deny tcp any any eq 445 logRouter(config) accesslist 102 deny tcp any any eq 5800 logRouter(config) accesslist 102 deny tcp any any eq 5900 logRouter(config) accesslist 102 deny udp any any eq 1434 logRouter(config) accesslist 102 deny udp destinationport eq tftp logRouter(config) accesslist 102 deny tcp destinationport eq 135 logRouter(config) accesslist 102 deny udp destinationport eq 137 logRouter(config) accesslist 102 deny udp destinationport eq 138 logRouter(config) accesslist 102 deny tcp destinationport eq 139 logRouter(config) accesslist 102 deny udp destinationport eq biosssn logRouter(config) accesslist 102 deny tcp destinationport eq 539 logRouter(config) accesslist 102 deny udp destinationport eq 539 logRouter(config) accesslist 102 deny tcp destinationport eq 593 log2． 補充操作說明基線符合性判定依據(jù)1. 判定條件存在類似 acl，拒絕上述端口2. 檢測操