安全基线规范之Cisco核心交换机
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全基线规范之Cisco核心交换机相关的知识,希望对你有一定的参考价值。
当前已经进入了互联网+的时代,几乎绝大部分商家、企业、甚至国企央企都在拓展互联网业务,经济的飞速发展,人民生活水平提高,人们都忙于工作没有时间和精力去享受经济带来的福利,而网络业务能够给大众提供更加方便快捷的服务,所以引得互联网更加的火热。但是快捷背后时候存在着诸多的安全隐患,在巨大利益的引诱下许多商家大量的投入人力、财力去发展互联网业务,却极少重视它的安全稳定,千里之堤毁于蚁穴,信息安全的建设不是一朝一夕,而是循序渐进,防微杜渐。
那么本篇文章主要介绍的就是从最基本的安全角度出发,来规范和完善系统的安全问题,主要针对的是Cisco交换机、Juniper防火墙、mysql数据库、linux服务器,本篇文章主要介绍的Cisco核心交换机、写的不好,后续还会继续更新,请大家多多指导。
安全基线(BaseLine):是保持信息系统安全的机密性、完整性、可用性的最小安全控制,是系统的最小安全保证,最基本的安全要求。安全基线 的根本目的是保障业务系统的安全,使业务系统的风险维持在可控范围内,为了避免人为疏忽或错误,或使用默认的安全配置,给业务系统安全造成风险,而制定安全检查标准,并且采取必要的安全检查措施,使业务系统达到相对的安全指标要求。安全基线检查工具是采用技术手段,自动完成安全配置检查的产品,并提供详尽的解决方案。
第一、思科核心交换机安全基线整改建议
一、口令策略
总结:用户登录是否启用AAA认证,本地用户是否有lever,snmp是否有ip访问限制,远程登录限制ip
1.使用认证服务器认证
#show running-config | include aaa
判定依据
1、已配置aaa认证服务器,实现用户认证。
2、已配置aaa认证服务器,实现enable认证。
以上条件需同时满足。
参考配置操作
1、Cisco(config)#aaa new-model
2、Cisco(config)#aaa authentication login default group <server> local #<server>为认证服务器名称(首先通过认证服务器认证,认证服务器认证失败的情况下通过本地认证。)
3、Cisco(config)#aaa authentication enable default group <server> enable
4、Cisco(config)#end
5、Cisco#write
2.VTY端口访问的认证
检测方法
执行如下命令检测远程登陆认证
#show running-config | include aaa
判定依据
登陆认证未设置为none则合规,否则不合规
3.远程主机IP地址段限制
检测方法
执行如下命令检测vty口配置信息
#show running-config | begin line vty
判定依据
vty端口已绑定ACL则合规,否则不合规。
参考配置操作
1、Cisco(config)#access-list <tag> <access-list> #<tag>表示access-list标号,<access-list>表示ACL规则内容。
2、Cisco(config)#line vty <num1> [<num2>] #<num1>、<num2>(可选)表示要配置的vty起止序号。
3、Cisco(config-line)#access-class <tag> <in/out> #<in/out>表示要过滤的连接的类型。
4、Cisco(config-line)#end
5、Cisco#write
4.限制可发起SNMP的源IP
检测方法
执行如下命令检测snmp团体名配置信息
#show running-config | include snmp-server community
判定依据
所有SNMP community均已绑定ACL则合规,否则不合规。
参考配置操作
1、Cisco(config)#access-list <tag> <access-list> #<tag>表示access-list标号,<access-list>表示acl规则内容。
2、Cisco(config)#snmp-server community <name> <ro/rw> <tag> #<name>表示community名称,<ro/rw>表示分配的权限。
3、Cisco(config)#end
4、Cisco#write
5.对用户设置授权等级
#show running-config | include username
参考配置操作
1、Switch(config)#username <username> privilege <level> #<username>用户名,<level>权限级别。
2、Switch(config)#end
3、Switch#write
6.已对命令设置授权等级
检测方法
执行如下命令,检测命令授权信息
#show running-config | include ^privilege
判定依据
1、对命令"snmp-server"设置了授权等级
2、对命令"ping"设置了授权等级
3、对命令"configure"设置了授权等级
以上三个条件均满足则合规,否则不合规。
参考配置操作
1、Cisco(config)#privilege configure level 7 snmp-server #对snmp-server命令设置授权等级
2、Cisco(config)#privilege exec level 7 ping #对ping命令设置授权等级
3、Cisco(config)#privilege exec level 7 configure #对configure命令设置授权等级
4、Cisco(config)#end
5、Cisco#write
二、认证授权
总结:禁止ip-mask-reply不返回ping值,log日志服务器,log发送的source-interface,log缓冲区禁止向控制台溢出,启用aaa审计功能
1.关闭不必要的功能-禁用IP mask-reply(掩码应答)
#show running-config interface <interface_name>
判定依据
已禁用IP mask-reply则合规,否则不合规。
参考配置操作
1、Cisco(config)#interface <InterfaceName> # <InterfaceName> 表示接口名称。
2、Ciscoconfig-if)#no ip mask-reply
3、Cisco(config-if)#end
4、Cisco#write
2.日志存储位置
检测方法
执行如下命令检测系统日志配置
#show running-config | include logging
判定依据
已禁止系统日志向控制台输出则合规,否则不合规。
参考配置操作
1、Cisco(config)#logging host <ip地址> #<ip地址>为远程日志服务器地址。
2、Cisco(config)#end
3、Cisco#write
3.调整系统日志的缓冲区大小
检测方法
执行如下命令检测日志缓冲区大小配置
#show running-config | include logging buffered
判定依据
系统日志缓冲区大小,不小于2048000则合规,否则不合规。
参考配置操作
1、Cisco(config)#logging buffered <size> #其中<size>表示缓冲区大小。
2、Cisco(config)#end
3、Cisco#write
4.配置发送系统日志的源地址
检测方法
执行如下命令检测系统日志中的源地址配置
#show running-config | include logging source-interface
判定依据
系统日志中的源地址配置为loopback地址则合规,否则不合规。
参考配置操作
1、Cisco(config)#logging source-interface loopback0
2、Cisco(config)#end
3、Cisco#write
5.禁止系统日志向控制台输出
检测方法
执行如下命令检测系统日志设置
#show running-config | include logging console
判定依据
禁止系统日志向控制台输出则合规,否则不合规。
参考配置操作
1、Cisco(config)#no logging console
2、Cisco(config)#end
3、Cisco#write
6.使用认证服务器审计系统行为
检测方法
执行如下命令检测认证服务器审计行为
#show running-config | include aaa accounting
判定依据
已配置使用认证服务器对系统行为进行审计则合规,否则不合规。
参考配置操作
1、Cisco(config)#aaa accounting system default start-stop group <server> #<server>为认证服务器名称。
2、Cisco(config)#end
3、Cisco#write
三、文件权限
总结:启用ntp服务,ntp做acl,关闭TCP Small,UDP Small服务,配置对SQL slammer蠕虫的防护,配置对Della蠕虫的防护,配置对震荡波端口及Blaster端口的防护,关闭的端口禁用cdp协议,PROXYARP,
全局禁用HTTP Server,禁用DNS查询服务,会话超时配置(console和vty),禁用Finger服务(默认关闭),IPUnreachables(不显示不可达,显示超时,损!!!),禁用IP Redirects(必须经过网关)
禁用IP source-route(默认关闭),关闭IP直接广播(默认关闭),开启的端口配置报文速率限制,开启STP功能,未关闭的端口指定 switchport 模式,配置为trunk口的VLAN都有允许列表
配置预防源地址伪造攻击(默认关闭,否启用uRPF),对设备引擎直接处理的流量进行控制(contro-plane下是否配置service-policy,ip receive access-list比较复杂),关闭LACP,pagp
关闭flowcontrol,配置ARP攻击防护(mac 认证),典型协议报文防护(hsrp,vrry认证有秘钥)
1.配置启用NTP服务
检测方法
执行如下命令检测ntp配置
#show running-config | include ntp
判定依据
已配置NTP同步时钟则合规,否则不合规。
参考配置操作
1、Cisco(config)#ntp server <ip> #<ip>表示NTP服务器IP
2、Cisco(config)#end
3、Cisco#write
2.关闭不必要的服务-禁用TCP Small服务
检测方法
执行如下命令检测UDP Small服务状态
#show running-config | include tcp-small-servers
判定依据
TCP Small服务被关闭则合规,否则不合规。
参考配置操作
1、Cisco(config)#no service tcp-small-servers
2、Cisco(Config-if)#end
3、Cisco#write
3.已知典型攻击防护
检测方法
1、执行如下命令检测ACL规则配置信息
(1)、#show access-lists
2、执行如下命令检测 vlan 和物理接口配置信息
(1)、#show running-config | begin interface
判定依据
1、已配置对SQL slammer蠕虫的防护
2、已配置对Della蠕虫的防护
3、已配置对震荡波端口及Blaster端口的防护
以上三个条件同时满足时则合规,否则不合规。
参考配置操作
1、配置对SQL slammer蠕虫的防护
(1)、Cisco(config)#access-list <tag> deny udp any any eq 1434 #<tag>表示access-list标号
2、应配置对Della蠕虫的防护
(1)、Cisco(config)#access-list <tag> deny tcp any any eq 445 #<tag>表示access-list标号
(2)、Cisco(config)#access-list <tag> deny tcp any any eq 5800
(3)、Cisco(config)#access-list <tag> deny tcp any any eq 5900
3、应配置对震荡波端口及Blaster端口的防护
(1)、Cisco(config)#access-list <tag> deny tcp any any eq 5554 #<tag>表示access-list标号
(2)、Cisco(config)#access-list <tag> deny tcp any any eq 9996
(3)、Cisco(config)#access-list <tag> deny tcp any any eq 4444
4、配置指定接口的ACL
(1)、Cisco(config)#interface <InterfaceName> #接口名称
(2)、Cisco(config-if)#ip access-group <tag> in
(3)、Cisco(config-if)#end
(4)、Cisco#write
5.应关闭所有接口的CDP协议
检测方法
1、执行如下命令检测全局配置下是否关闭cdp协议
(1)、#show running-config | include cdp
2、执行如下命令接口检测配置信息
(1)#show running-config | begin interface
判定依据
1、全局配置下关闭cdp协议
2、所有未关闭的接口均已关闭cdp协议
以上两个条件满足其一则合规,否则不合规。
参考配置操作
1、Cisco(Config)#no cdp run
2、Cisco(Config)#interface <interface> #<interface>表示接口名称。
3、Cisco(Config-if)# no cdp enable
4、Cisco(Config-if)#end
5、Cisco#write
6.关闭不必要的功能禁用-PROXYARP
检测方法
执行如下命令检测arp 代理状态
#show running-config interface <interface_name>
判定依据
arp 代理被禁用则合规,否则不合规。
参考配置操作
1、Cisco(config)#interface <InterfaceName> #<InterfaceName> 表示接口名称
2、Cisco(config-if)#no ip proxy-arp
3、Ciscoh(Config-if)#end
4、Cisco#write
7.关闭不必要的服务-禁用HTTP Server
检测方法
执行如下命令检测http server状态
#show running-config | include http
判定依据
已关闭http server则合规,否则不合规。
参考配置操作
1、Cisco(config)#no ip http server
2、Cisco(Config)#end
3、Cisco#write
8.关闭不必要的服务-禁用DNS查询服务
检测方法
执行如下命令检测是否禁用DNS查询服务
#show running-config | include domain-lookup
判定依据
已禁用DNS查询服务则合规,否则不合规。
参考配置操作
1、Cisco(config)#no ip domain-lookup
2、Cisco(Config-if)#end
3、Cisco#write
9.会话超时配置
检测方法
执行如下命令检测console口和所有vty端口的会话超时配置信息
#show running-config | begin line
判定依据
cisco交换机默认会话超时配置为10分钟
1、console口不存在如下配置 exec-timeout 0 0
2、所有vty端口不存在如下配置 exec-timeout 0 0
条件1和条件2均满足则合规,否则不合规。
参考配置操作
1、console口会话超时配置
(1)、Cisco(config)#line console 0
(2)、Cisco(config-line)#exec-timeout <mins> [<seconds>] #<mins>单位为分,<seconds>单位为秒。
2、vty口会话超时配置
(1)、Cisco(config)#line vty <num1> [<num2>] #<num1>,<num2>(可选)表示要配置的vty起止序号。
(2)、Cisco(config-line)#exec-timeout <mins> [<seconds>]
(3)、Cisco(config-line)#end
(4)、Cisco#write
10.关闭不必要的服务-禁用UDP Small服务
检测方法
执行如下命令检测UDP Small服务状态
#show running-config | include udp-small-servers
判定依据
已关闭UDP Small服务则合规,否则不合规。
参考配置操作
1、Cisco(config)#no service udp-small-servers
2、Cisco(Config-if)#end
3、Cisco#write
11.关闭不必要的服务-禁用Finger服务
检测方法
执行如下命令检测Finger服务状态
#show running-config | include finger
判定依据
已关闭Finger服务则合规,否则不合规。
参考配置操作
1、Cisco(config)#no ip finger
2、Cisco(Config)#end
3、Cisco#write
12.关闭不必要的功能-禁用IPUnreachables
检测方法
执行如下命令检测ip unreachable功能是否禁用
#show running-config | include unreachables
判定依据
接口已禁用unreachables功能则合规,否则不合规。
参考配置操作
1、Cisco(config)#interface <InterfaceName>
2、Cisco(config-if)#no ip unreachables
3、Cisco(Config-if)#end
4、Cisco#write
13.关闭不必要的功能-禁用IP Redirects
检测方法
执行如下命令检测ICMP重定向功能
#show running-config interface <interface_name>
判定依据
ICMP重定向功能被禁用则合规,否则不合规。
参考配置操作
1、Cisco(config)#interface <InterfaceName> #<InterfaceName> 表示接口名称。
2、Cisco(config-if)#no ip redirects
3、Cisco(Config-if)#end
4、Cisco#write
14关闭不必要的功能-禁用IP source-route
检测方法
执行如下命令检测是否开启source-route服务
#show running-config | include source-route
判定依据
已关闭source-route服务则合规,否则不合规
参考配置操作
1、Cisco(config)#no ip source-route #关闭source-route服务。
2、Cisco(config)#end
3、Cisco#write
15.关闭IP直接广播
检测方法
执行如下命令检测ip directed-broadcast配置
#show running-config | include directed-broadcast
判定依据
所有接口均关闭ip directed-broadcast则合规,否则不合规。
参考配置操作
1、Cisco(config)#interface <InterfaceName> 关闭指定接口的ip directed-broadcast
2、Cisco(config-if)#no ip directed-broadcast
3、Cisco(config-if)#end
4、Cisco#write
16.限制NTP通信地址范围
检测方法
执行如下命令检测ntp配置
#show running-config | include ntp access-group
判定依据
已配置通过ACL限制NTP服务器和设备之间的通信则合规,否则不合规。
参考配置操作
1、Cisco(config)#ntp access-group peer <tag> #<tag>表示access-list标号。
2、Ciscoh(config)#end
3、Cisco#write
17报文速率限制
检测方法
执行如下命令检测物理接口配置
#show running-config | begin interface
判定依据
所有处于未关闭状态的物理接口均配置广播/组播/未知单播报文速率限制则合规,否则不合规。
参考配置操作
1、Cisco(config)#interface <InterfaceName> #配置指定接口
2、Cisco(config-if)#storm-control broadcast level <threshold> #配置广播报文限制
3、Cisco(config)#interface <InterfaceName> #配置指定接口
4、Ciscoh(config-if)#storm-control multicast level <threshold> #配置组播报文限制
5、Cisco(config)#interface <InterfaceName> # 配置指定接口
6、Cisco(config-if)#storm-control unicast level <threshold> #配置单播报文限制
7、Cisco(config-if)#end
8、Cisco#write
18.开启STP功能
检测方法
执行如下命令检测STP模式
#show spanning-tree summary
判定依据
STP模式为pvst则合规,否则不合规。
1、Cisco(config)#spanning-tree mode pvst
2、Cisco(config-if)#end
3、Cisco#write
19.关闭未使用的管理口
检测方法
执行如下命令检测接口状态
#show interfaces | include protocol
判定依据
没有使用的接口都被关闭则合规,否则不合规。
参考配置操作
1、Cisco(config)#interface <接口>
2、Cisco(config-if)#shutdown #关闭未使用的接口。
3、Cisco(config-if)#end
4、Cisco#write
20.配置端口安全防护
执行如下命令检测物理接口配置
#show running-config | begin interface
判定依据
所有处于未关闭状态的物理接口都指定 switchport 模式则合规,否则不合规。
参考配置操作
1、Cisco(config)#interface <InterfaceName> #配置指定物理接口的switchport模式
2、Cisco(config-if)#switchport mode <mode> #<mode>接口类型为Access或者trunk
3、Cisco(config-if)#end
4、Cisco#write
21.配置MAC攻击防护
测方法
执行如下命令检测物理接口配置
#show running-config | begin interface
判定依据
所有处于未关闭状态且类型为access的物理接口都已配置允许最大的地址数目则合规,否则不合规。
参考配置操作
1、Cisco(config)#interface <InterfaceName> #配置指定接口允许的最大地址数。
2、Cisco(config-if)#switchport port-security maximum <num> #<num>表示最大地址数。
3、Cisco(config-if)#end
4、Cisco#write
22.配置VLAN攻击防护
检测方法
执行如下命令检测物理接口配置
#show running-config | begin interface
判定依据
所有处于未关闭状态的 trunk 模式的物理接口都已配置允许的 VLAN id 则合规,否则不合规。
参考配置操作
1、Cisco(config)#interface <InterfaceName> #进入指定接口
2、Cisco(config-if)#switchport trunk allowed vlan <vlanid> #配置trunk模式的接口允许的VLAN。
3、Cisco(config-if)#end
4、Cisco#write
23.限制非法数据流
检测方法
1、执行如下命令查看ACL配置信息
(1)、#show access-lists
2、执行如下命令检测 vlan 和物理接口配置信息
(1)、#show running-config | begin interface
判定依据
1、配置acl规则过滤非法流量数据
2、所有未关闭的物理接口均已下发ACL规则
以上两个条件同时满足时合规,否则不合规。
24.配置预防源地址伪造攻击(默认关闭)
检测方法
执行如下命令检测接口下是否启用uRPF
#show running-config | include ip verify
判定依据
所有未关闭的物理接口都已启用uRPF则合规,否则不合规。
参考配置操作
Cisco(config)#interface <InterfaceName> #<InterfaceName>表示接口名称。
Cisco(config-if)#ip verify unicast source reachable-via any
Cisco(config-if)#end
Cisco#write
25.对设备引擎直接处理的流量进行控制
检测方法
1、执行如下命令检测 contro-plane下是否配置service-policy
(1)、#show running-config | include ^(control-plane|service-policy)
2、执行如下命令检测是否配置 ip receive access-list
(1)、#show running-config | include ip receive access-list
判定依据
1、contro-plane下已配置service-policy
2、已配置ip receive access-list
以上两个条件均满足则合规,否则不合规。
26.关闭不必要的协议-LACP
检测方法
执行如下命令检测接口配置信息
#show running-config | begin interface
判定依据
所有接口均已关闭 LACP 协议则合规,否则不合规。
参考配置操作
1、Cisco(config)#interface <interface> 接口名称
2、Cisco(config-if)# no lacp port-priority
3、Cisco(config-if)#end
4、Cisco#write
27.关闭不必要的协议-PAgP
检测方法
执行如下命令检测接口配置信息
#show running-config | begin interface
判定依据
所有接口均已关闭 PAGP 协议则合规,否则不合规。
参考配置操作
1、Cisco(config)#interface <interface> #<interface>表示接口名称。
2、Cisco(config-if)#no pagp learn-method
3、Cisco(config-if)#end
4、Cisco#write
28.关闭不必要的协议-flowcontrol
检测方法
执行如下命令检测接口配置信息
#show running-config | begin interface
判定依据
所有接口均已关闭 flowcontrol 协议则合规,否则不合规。
参考配置操作
1、Cisco(Config)#interface <interface> #<interface>表示接口名称。
2、Cisco(Config-if)#flowcontrol receive off
3、Cisco(Config-if)#end
4、Cisco#write
29.配置ARP攻击防护
检测方法
执行如下命令检测接口配置信息
#show running-config | begin interface
判定依据
所有类型为 access 的未关闭的物理接口都配置ARP攻击防护则合规,否则不合规。
参考配置操作
1、Cisco(config)#interface <InterfaceName> #<InterfaceName> 表示接口名称
2、Cisco(config-if)#switchport port-security violation restrict
3、Cisco(Config-if)#end
4、Cisco#write
30.典型协议报文防护
检测方法
、执行如下命令查看是否配置HSRP报文防护
#show running-config | include standby
二、执行如下命令查看是否配置VRRP报文防护
#show running-config | include vrrp
判定依据:
1)配置了HSRP报文防护
2)配置了VRRP报文防护
以上两个条件同时满足则合规,否则不合规.
参考配置操作
1、配置HSRP报文防护
(1)、Cisco(config)#interface <InterfaceName>
(2)、Cisco(config-if)#standby 1 authentication md5 key-string <key>
2、配置VRRP报文防护
(1)、Cisco(config)#interface <InterfaceName>
(2)、Cisco(config-if)#vrrp 1 authentication md5 key-string <key>
(3)、Cisco(config-if)#end
(4)、Cisco#write
四、系统服务
总结:远程登录只能使用ssh,snmp的community在监控时不能为默认需要修改为public或者private,snmpv3开启(如果支持),snmp需要aaa认证审计
1.SNMP配置-修改SNMP的默认Community
检测方法
执行如下命令检测snmp团体名配置信息
#show running-config | include snmp-server community
判定依据
不存在名称为public、private的SNMP community,则合规,否则不合规。
参考配置操作
1、Cisco(config)#no snmp-server community public 删除名称为public的SNMP commnity
2、Cisco(config)#end
3、Cisco#write
2.远程管理通信安全-SSH
检测方法
1、执行如下命令检测ssh协议配置信息
(1)、#show ip ssh
2、执行如下命令查看vty接口配置信息
(1)、#show running-config | begin line vty
判定依据
1、已启用ssh加密协议
2、只允许使用ssh协议访问vty接口
3、以上条件需同时满足。
参考配置操作
1、Cisco(config)#ip domain-name <domain_name> #配置域名 <domain_name>域名名称可自定义
2、Cisco(config)#aaa new-model
3、Cisco(config)#crypto key generate rsa
4、Cisco(config)#line vty 0 4
5、Cisco(config-line)#transport input ssh #配置仅允许ssh远程登录
6、Cisco(config-line)#end
7、Cisco#write
3.SNMP服务读写权限管理
检测方法
执行如下命令检测snmp团体名配置信息
#show running-config | include snmp-server community
判定依据
所有SNMP community的权限均为ro,则合规,否则不合规。
参考配置操作
1、Cisco(config)#snmp-server community <name> <RO> [<tag>] #<name>表示community名称,<RO/RW>表示分配的权限,<tag>表示access-list标号。
2、Cisco(config)#end
3、Cisco#write
4.VTY端口防护策略
检测方法
执行如下命令检测vty端口配置信息
#show running-config | begin line vty
判定依据
vty接口数量小于等于 15 则合规,否则不合规。
5.使用SNMP V3版本
检测方法
执行如下命令检测SNMP协议配置信息
#show running-config | include snmp-server host
判定依据
对于支持SNMP V3版本的设备,必须使用V3版本SNMP协议,对于不支持v3版本协议的设备建议通过自定义参数的方式修改其标准值为1或者2c。
参考配置操作
1、Cisco(config)#snmp-server host <ip> version 3 auth <username> #其中<ip>表示IP,<username>表示用户名。
2、Cisco(config-line)#end
3、Cisco#write
6.使用认证服务器审计设备操作
检测方法
执行如下命令检测认证服务器审计行为
#show running-config | include aaa accounting
判定依据
已配置使用认证服务器对设备操作进行审计则合规,否则不合规。
参考配置操作
1、Cisco(config)#aaa accounting exec default start-stop group <server> #<server>为认证服务器名称。
2、Cisco(config)#end
3、Cisco#write
四、账号管理
总结:远程登录有提示信息,两个以上用户名密码,密码加密存放,不存在平常不用的账号,console密码最好有
1.修改缺省BANNER,未配置banner login则合规,否则不合规。
#show running-config | include banner
参考配置操作
1、Cisco(config)#banner <options> #<options>表示banner命令的参数
2、Cisco(config)#end
3、Cisco#write
2.配置console口密码保护,console口已配置密码则合规,否则不合规。
#show running-config | begin line con
参考配置操作
1、Cisco(config)#line console 0
2、Cisco(config-line)#login local
3、Cisco(config-line)#password <password> #<password>为console口密码
4、Cisco(config-line)#end
5、Cisco#write
3.避免共享账号
#show running-config | include username
参考配置操作
1、Cisco(config)# username <username> privilege <level> password <password> #<username>用户名、<level>权限级别、<password>用户口令。
2、Cisco(config)# end
3、Cisco#write
4.禁止无关账号(人工确认)
5.管理默认账号与口令,不存在cisco默认账号则合规,否则不合规。
#show running-config | include username
6.口令加密
1、执行如下命令检测enable和用户口令是否加密存放
(1)、#show running-config | include ^(enable|username.*)
2、执行如下命令检测是否启用密码加密服务
#show running-config | include password-encryption
判定依据
1、启用密码加密服务
2、enable密码加密存放
3、用户口令加密存放
条件1必须满足,条件2和3满足其一则合规,否则不合规
后续将更新juniper防火墙、mysql数据库、linux服务器,请大家多多关注。
本文出自 “小资” 博客,请务必保留此出处http://tianzhen910.blog.51cto.com/5889820/1878164
以上是关于安全基线规范之Cisco核心交换机的主要内容,如果未能解决你的问题,请参考以下文章
Cisco 的基本配置实例之五----交换机的路由功能与DHCP 功能
Cisco 的基本配置实例之四----vlan的规划及配置(接入交换机)