【正文】 目標是對中國移動網(wǎng)絡中使用的思科 Catalyst 交換機安全配置標準進行規(guī)范，實現(xiàn)規(guī)范和指導 各省的各應用系統(tǒng)網(wǎng)絡設備安全配置的作用。2 適用的軟件版本本規(guī)范適用的設備版本如下表：設備名稱 設備型號 IOS 版本 備注Catalyst 交換機 catalyst1900、3000、3900、5000系列交換機；Catalyst 4000 系列的交換模塊；舊版本的Catalyst 6000 系列交換機Catalyst NMP 及以上版本本規(guī)范僅討論交換機的二層功能的安全配置，三層模塊都采用Cisco IOS 操作系統(tǒng)，以及采用Cisco IOS 的二層交換機，其配置與 Cisco 路由器一樣，不在本規(guī)范討論之內(nèi)考慮到思科設備的小版本號繁多，并且不易分辨。7 / 28第二部分 設備的安全機制在訪問控制能力上，思科 Catalyst 交換機可以限制遠程登錄管理 VLAN 的劃分，控制空閑時長，并提供 ACL 對用戶登陸進行嚴 格控制；支持 AAA 認證和授權；支持 snmp 管理認證、限制 TRAP 主機，修改 TRAP 端口等；支持撥號接入控制；實現(xiàn)對密碼自動加密。思科 Catalyst 交換機可以通過設置 ACL，可以實現(xiàn)端口與 MAC 地址及協(xié)議的綁定， 實現(xiàn)對數(shù)據(jù)包的過濾，達到網(wǎng) 絡的安全防護 。1 訪問控制列表及其管理Catalyst提供了ACL功能，主要運用于遠程管理的安全性控制，如對tel、SNMP的IP地址的限制。啟用Catalyst訪問控制的命令格式如下：FJFZSWITCH01 (enable) set ip permit enanble具體的應用將在以下的telnent 和SNMP 配置中描述。大部分設備都提供標準的 Tel 接口， 雖然 Tel 在連接建立初期也需要核查帳號和密碼，但是此過程中，以及后 續(xù)會話 中，都是明文方式 傳送所有數(shù)據(jù)，容易造竊聽而泄密。9 / 28 關閉遠程登錄如果不需要遠程登陸，則要求關閉它?！緫镁W(wǎng)絡層次】：在所有層面設備 【影響】：無法遠程管理網(wǎng)元設備，包括 tel 和 SNMP【具體配置】：FJFZSWITCH02 (enable) set interface sc0 down 登錄空閑時間由于意外掉線或不良習慣，部分登錄連接長時間懸掛在設備上，造成安全隱患。要求設定登錄連接空閑時間限制，讓系統(tǒng)自動檢查當前連接是否長時間處于空閑狀態(tài)，若是則自動將其拆除。建議設置為 3 分鐘左右。【應用網(wǎng)絡層次】：在所有層面設備 【影響】：超時自動退出設備【具體配置】：！設置 SC 地址FJFZSWITCH02 (enable)set interface sc0 ！設置管理路由FJFZSWITCH02 (enable)set ip route default ！設置登陸密碼10 / 28FJFZSWITCH02 (enable)set password！設置空閑時長 3 分鐘FJFZSWITCH02 (enable)set logout 3 訪問地址限制只允許合法的網(wǎng)管網(wǎng)段或網(wǎng)管和維護主機地址作為源地址發(fā)起對設備的遠程連接?！緫镁W(wǎng)絡層次】：在所有層面設備 【影響】：無【具體配置】：FJFZSWITCH02 (enable) set interface sc0 12 ； 帳號和密碼管理要求應在日常維護過程中周期性地（至少按季度）更改登錄密碼，甚至登錄帳11 / 28號。臨時帳號使用完后應及時刪除。帳號名字應該與使用者存在對應關系，如能反 應使用者的級別、從屬關系。同樣的，密碼必須至少使用四種可用字符 類型中的三種：小寫字母、大寫字母、數(shù)字和符號，而且密碼不得包含用戶名或用戶全名的一部分。我 們建議用密碼生成器軟件（如 ）來制造隨機密碼。Catalyst 交換 機的密碼是采用密文存放的，這和思科路由器不一樣。建議采用集中認證和授權模式。12 / 28 RADIUS 認證方式RADIUS 的全稱為(Remote Access DailIn User Service),它是對遠程撥號用戶訪問進行認證的一種協(xié)議?！緫镁W(wǎng)絡層次】：根據(jù)需要實施，在所有層面設備可以實施該建議?！緫镁W(wǎng)絡層次】：根據(jù)需要實施，在所有層面設備可以實施該建議。Kerberos 是為對網(wǎng)絡資源的請求進行認證而設計的。在 Kerberos 協(xié)議 中，這一可信任的第三方被稱為密鑰分發(fā)中心（KDC，Key Distribution Center）。【影響】：無【具體配置】：！定義 Kerberos 域FJFZSWITCH02 (enable) set kerberos localrealm ！定義 KGC 服務器FJFZSWITCH02 (enable) set kerberos server ！從 KGC 復制 SRVTAB 文件，確保交 換機與 KDC 共享秘密的密鑰FJFZSWITCH02 (enable) set kerberos srvtab remote filename ！轉發(fā)用戶認證證書FJFZSWITCH02 (enable) set kerberos credentials forward ！使用 Kerberos 認證FJFZSWITCH02 (enable) set authentication login kerberos enable tel snmp 協(xié)議Snmp 協(xié)議是目前數(shù)據(jù)網(wǎng)管理中普遍使用的協(xié)議，但 snmp 協(xié)議本身也存在安全問題。14 / 28由于 snmp 協(xié)議的 MIB 存放著大量 設備狀態(tài)信息（稱之為 Object，并以 OID作為唯一標識），既有物理 層信息（如端口狀態(tài)），也有協(xié)議層信息（如端口 IP 地址）。部分 MIB Object 還可以讓網(wǎng)管系統(tǒng)通過SNMP SET 指令來賦值。因此 SNMP 的防護非常重要。Community 相當于網(wǎng)管系統(tǒng)與設備之間建立 SNMP 連接合法性的識別字串。有 2 種 Community：ReadOnly（簡稱 RO）和 ReadWrite（簡稱 RW）。建議采取以下方法進行保護： SNMP 服務器的關閉如不需要提供 snmp 服務的，要求禁止 SNMP 協(xié)議 服務，注意在禁止時刪除一些 SNMP 服務的默認配置。【適用網(wǎng)絡層次】：所有設備【影響】：無【具體配置】：！設置只讀 COMMUNITY NAME 不使用默認的 munity name,如publicFJFZSWITCH02(enable)set snmp munity readonly xxxxxxx！設置讀寫 COMMUNITY NAME 不使用默認的 munity name,如privateFJFZSWITCH02(enable)set snmp munity readwrite xxxxxxx HTTP 服務思科交換機操作系統(tǒng)支持 Http 協(xié)議進行遠端配置和 監(jiān)視，由于 HTTP 服務16 / 28本身具有諸多安全漏洞，如 CGI 漏洞等，思科路由器的 HTTP 服務就發(fā)現(xiàn)有安全漏洞；而針對 Http 的認證就相當于在網(wǎng)絡上發(fā)送明文且 對于 Http 沒有有效的基于挑戰(zhàn)或一次性的口令保護，這使得用 Http 進行管理相當危 險。如實在要使用 HTTP 服務，要求更改標準的端口號，將協(xié)議運行在其他不用端口上，如“49152 至 65535”，而不是標準端口上?！具m用網(wǎng)絡層次】：所有設備【影響】：無【具體配置】：！修改默認端口FJFZSWITCH01 (enable) set ip port 50000 ！RADIUS 認證FJFZSWITCH02 (enable) set radius server authport 1645FJFZSWITCH02 (enable) set radius key xxxxxx17 / 28！ 認證FJFZSWITCH02 (enable) set authentication login radius enable ！tacacs 認證FJFZSWITCH02 (enable) set tacacs server FJFZSWITCH02 (enable) set tacacs key xxxxxxFJFZSWITCH02(enable) set authentication login tacacs enable ! kerboros 認證！定義 Kerberos 域FJFZSWITCH02 (enable) set kerberos localrealm !定義 KGC 服務器FJFZSWITCH02 (enable) set kerberos server !從 KGC 復制 SRVTAB 文件，確保交換機與 KDC 共享秘密的密鑰FJFZSWITCH02 (enable) set kerberos srvtab remot