安全基线规范之Cisco核心交换机

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全基线规范之Cisco核心交换机相关的知识,希望对你有一定的参考价值。

  当前已经进入了互联网+的时代,几乎绝大部分商家、企业、甚至国企央企都在拓展互联网业务,经济的飞速发展,人民生活水平提高,人们都忙于工作没有时间和精力去享受经济带来的福利,而网络业务能够给大众提供更加方便快捷的服务,所以引得互联网更加的火热。但是快捷背后时候存在着诸多的安全隐患,在巨大利益的引诱下许多商家大量的投入人力、财力去发展互联网业务,却极少重视它的安全稳定,千里之堤毁于蚁穴,信息安全的建设不是一朝一夕,而是循序渐进,防微杜渐。

  那么本篇文章主要介绍的就是从最基本的安全角度出发,来规范和完善系统的安全问题,主要针对的是Cisco交换机、Juniper防火墙、mysql数据库、linux服务器,本篇文章主要介绍的Cisco核心交换机、写的不好,后续还会继续更新,请大家多多指导。

安全基线(BaseLine):是保持信息系统安全的机密性、完整性、可用性的最小安全控制,是系统的最小安全保证,最基本的安全要求。安全基线 的根本目的是保障业务系统的安全,使业务系统的风险维持在可控范围内,为了避免人为疏忽或错误,或使用默认的安全配置,给业务系统安全造成风险,而制定安全检查标准,并且采取必要的安全检查措施,使业务系统达到相对的安全指标要求。安全基线检查工具是采用技术手段,自动完成安全配置检查的产品,并提供详尽的解决方案。

第一、思科核心交换机安全基线整改建议

一、口令策略

总结:用户登录是否启用AAA认证,本地用户是否有lever,snmp是否有ip访问限制,远程登录限制ip

1.使用认证服务器认证

#show running-config | include aaa

判定依据

    1、已配置aaa认证服务器,实现用户认证。

    2、已配置aaa认证服务器,实现enable认证。

    以上条件需同时满足。

参考配置操作

1、Cisco(config)#aaa new-model 

2、Cisco(config)#aaa authentication login default group   <server> local  #<server>为认证服务器名称(首先通过认证服务器认证,认证服务器认证失败的情况下通过本地认证。)

3、Cisco(config)#aaa authentication enable default group  <server> enable

4、Cisco(config)#end

5、Cisco#write


2.VTY端口访问的认证

检测方法

    执行如下命令检测远程登陆认证

    #show running-config | include aaa

判定依据

    登陆认证未设置为none则合规,否则不合规

3.远程主机IP地址段限制

检测方法

    执行如下命令检测vty口配置信息

    #show running-config | begin line vty

判定依据

    vty端口已绑定ACL则合规,否则不合规。

参考配置操作

1、Cisco(config)#access-list <tag> <access-list>   #<tag>表示access-list标号,<access-list>表示ACL规则内容。

2、Cisco(config)#line vty <num1> [<num2>]  #<num1>、<num2>(可选)表示要配置的vty起止序号。

3、Cisco(config-line)#access-class <tag> <in/out>  #<in/out>表示要过滤的连接的类型。

4、Cisco(config-line)#end

5、Cisco#write 


4.限制可发起SNMP的源IP

检测方法

    执行如下命令检测snmp团体名配置信息

    #show running-config | include snmp-server community

判定依据

    所有SNMP community均已绑定ACL则合规,否则不合规。

参考配置操作

1、Cisco(config)#access-list <tag> <access-list>    #<tag>表示access-list标号,<access-list>表示acl规则内容。

2、Cisco(config)#snmp-server community <name> <ro/rw> <tag>   #<name>表示community名称,<ro/rw>表示分配的权限。

3、Cisco(config)#end

4、Cisco#write


5.对用户设置授权等级

 #show running-config | include username

 参考配置操作

1、Switch(config)#username <username> privilege  <level>    #<username>用户名,<level>权限级别。

2、Switch(config)#end

3、Switch#write


6.已对命令设置授权等级

检测方法

    执行如下命令,检测命令授权信息

    #show running-config | include ^privilege

判定依据

    1、对命令"snmp-server"设置了授权等级

    2、对命令"ping"设置了授权等级

    3、对命令"configure"设置了授权等级

    以上三个条件均满足则合规,否则不合规。

参考配置操作

1、Cisco(config)#privilege configure level 7 snmp-server    #对snmp-server命令设置授权等级

2、Cisco(config)#privilege exec level 7 ping     #对ping命令设置授权等级

3、Cisco(config)#privilege exec level 7 configure    #对configure命令设置授权等级

4、Cisco(config)#end

5、Cisco#write

二、认证授权

总结:禁止ip-mask-reply不返回ping值,log日志服务器,log发送的source-interface,log缓冲区禁止向控制台溢出,启用aaa审计功能

1.关闭不必要的功能-禁用IP mask-reply(掩码应答)

 #show running-config interface <interface_name>

判定依据

    已禁用IP mask-reply则合规,否则不合规。

参考配置操作 

1、Cisco(config)#interface <InterfaceName>     # <InterfaceName> 表示接口名称。

2、Ciscoconfig-if)#no ip mask-reply

3、Cisco(config-if)#end

4、Cisco#write


2.日志存储位置

检测方法

    执行如下命令检测系统日志配置

    #show running-config | include logging

判定依据

    已禁止系统日志向控制台输出则合规,否则不合规。

参考配置操作

1、Cisco(config)#logging host <ip地址>   #<ip地址>为远程日志服务器地址。

2、Cisco(config)#end

3、Cisco#write


3.调整系统日志的缓冲区大小

检测方法

    执行如下命令检测日志缓冲区大小配置

    #show running-config | include logging buffered

判定依据

    系统日志缓冲区大小,不小于2048000则合规,否则不合规。

参考配置操作

1、Cisco(config)#logging buffered <size>   #其中<size>表示缓冲区大小。

2、Cisco(config)#end

3、Cisco#write


4.配置发送系统日志的源地址

检测方法

    执行如下命令检测系统日志中的源地址配置

    #show running-config | include logging source-interface

判定依据

    系统日志中的源地址配置为loopback地址则合规,否则不合规。

参考配置操作

1、Cisco(config)#logging source-interface loopback0

2、Cisco(config)#end

3、Cisco#write


5.禁止系统日志向控制台输出

检测方法

    执行如下命令检测系统日志设置

    #show running-config | include logging console

判定依据

    禁止系统日志向控制台输出则合规,否则不合规。

参考配置操作

1、Cisco(config)#no logging console

2、Cisco(config)#end

3、Cisco#write


6.使用认证服务器审计系统行为

检测方法

    执行如下命令检测认证服务器审计行为

    #show running-config | include aaa accounting

判定依据

    已配置使用认证服务器对系统行为进行审计则合规,否则不合规。

参考配置操作

1、Cisco(config)#aaa accounting system default start-stop group <server>   #<server>为认证服务器名称。

2、Cisco(config)#end

3、Cisco#write

三、文件权限

总结:启用ntp服务,ntp做acl,关闭TCP Small,UDP Small服务,配置对SQL slammer蠕虫的防护,配置对Della蠕虫的防护,配置对震荡波端口及Blaster端口的防护,关闭的端口禁用cdp协议,PROXYARP,

全局禁用HTTP Server,禁用DNS查询服务,会话超时配置(console和vty),禁用Finger服务(默认关闭),IPUnreachables(不显示不可达,显示超时,损!!!),禁用IP Redirects(必须经过网关)

禁用IP source-route(默认关闭),关闭IP直接广播(默认关闭),开启的端口配置报文速率限制,开启STP功能,未关闭的端口指定 switchport 模式,配置为trunk口的VLAN都有允许列表

配置预防源地址伪造攻击(默认关闭,否启用uRPF),对设备引擎直接处理的流量进行控制(contro-plane下是否配置service-policy,ip receive access-list比较复杂),关闭LACP,pagp

关闭flowcontrol,配置ARP攻击防护(mac 认证),典型协议报文防护(hsrp,vrry认证有秘钥)



1.配置启用NTP服务

检测方法

    执行如下命令检测ntp配置

    #show running-config | include ntp

判定依据

    已配置NTP同步时钟则合规,否则不合规。

参考配置操作

1、Cisco(config)#ntp server <ip>     #<ip>表示NTP服务器IP

2、Cisco(config)#end

3、Cisco#write


2.关闭不必要的服务-禁用TCP Small服务

检测方法

    执行如下命令检测UDP Small服务状态

    #show running-config | include tcp-small-servers

判定依据

    TCP Small服务被关闭则合规,否则不合规。

参考配置操作

1、Cisco(config)#no service tcp-small-servers

2、Cisco(Config-if)#end

3、Cisco#write


3.已知典型攻击防护

检测方法

    1、执行如下命令检测ACL规则配置信息

        (1)、#show access-lists

    2、执行如下命令检测 vlan 和物理接口配置信息

        (1)、#show running-config | begin interface

判定依据

    1、已配置对SQL slammer蠕虫的防护

    2、已配置对Della蠕虫的防护

    3、已配置对震荡波端口及Blaster端口的防护

    以上三个条件同时满足时则合规,否则不合规。

参考配置操作

1、配置对SQL slammer蠕虫的防护

    (1)、Cisco(config)#access-list <tag> deny udp any any eq 1434  #<tag>表示access-list标号

2、应配置对Della蠕虫的防护 

    (1)、Cisco(config)#access-list <tag> deny tcp any any eq 445     #<tag>表示access-list标号

    (2)、Cisco(config)#access-list <tag> deny tcp any any eq 5800

    (3)、Cisco(config)#access-list <tag> deny tcp any any eq 5900

3、应配置对震荡波端口及Blaster端口的防护

    (1)、Cisco(config)#access-list <tag> deny tcp any any eq 5554   #<tag>表示access-list标号

    (2)、Cisco(config)#access-list <tag> deny tcp any any eq 9996

    (3)、Cisco(config)#access-list <tag> deny tcp any any eq 4444

4、配置指定接口的ACL

    (1)、Cisco(config)#interface <InterfaceName>   #接口名称

    (2)、Cisco(config-if)#ip access-group <tag> in

    (3)、Cisco(config-if)#end

    (4)、Cisco#write

5.应关闭所有接口的CDP协议

检测方法

    1、执行如下命令检测全局配置下是否关闭cdp协议

        (1)、#show running-config | include cdp

    2、执行如下命令接口检测配置信息

        (1)#show running-config | begin interface

判定依据

    1、全局配置下关闭cdp协议

    2、所有未关闭的接口均已关闭cdp协议

    以上两个条件满足其一则合规,否则不合规。

参考配置操作

1、Cisco(Config)#no cdp run

2、Cisco(Config)#interface <interface>    #<interface>表示接口名称。

3、Cisco(Config-if)# no cdp enable

4、Cisco(Config-if)#end

5、Cisco#write


6.关闭不必要的功能禁用-PROXYARP

检测方法

    执行如下命令检测arp 代理状态

    #show running-config interface <interface_name>

判定依据

    arp 代理被禁用则合规,否则不合规。

参考配置操作

1、Cisco(config)#interface <InterfaceName>     #<InterfaceName>  表示接口名称

2、Cisco(config-if)#no ip proxy-arp

3、Ciscoh(Config-if)#end

4、Cisco#write


7.关闭不必要的服务-禁用HTTP Server

检测方法

    执行如下命令检测http server状态

    #show running-config | include http

判定依据

    已关闭http server则合规,否则不合规。

参考配置操作 

1、Cisco(config)#no ip http server

2、Cisco(Config)#end

3、Cisco#write


8.关闭不必要的服务-禁用DNS查询服务

检测方法

    执行如下命令检测是否禁用DNS查询服务

    #show running-config | include domain-lookup

判定依据

    已禁用DNS查询服务则合规,否则不合规。

参考配置操作

1、Cisco(config)#no ip domain-lookup

2、Cisco(Config-if)#end

3、Cisco#write


9.会话超时配置

检测方法

    执行如下命令检测console口和所有vty端口的会话超时配置信息

    #show running-config | begin line

判定依据

    cisco交换机默认会话超时配置为10分钟

    1、console口不存在如下配置         exec-timeout 0 0

    2、所有vty端口不存在如下配置    exec-timeout 0 0

    条件1和条件2均满足则合规,否则不合规。

参考配置操作

1、console口会话超时配置

    (1)、Cisco(config)#line console 0

    (2)、Cisco(config-line)#exec-timeout <mins> [<seconds>]    #<mins>单位为分,<seconds>单位为秒。

2、vty口会话超时配置

    (1)、Cisco(config)#line vty <num1> [<num2>]     #<num1>,<num2>(可选)表示要配置的vty起止序号。

    (2)、Cisco(config-line)#exec-timeout    <mins>    [<seconds>]

    (3)、Cisco(config-line)#end

    (4)、Cisco#write

10.关闭不必要的服务-禁用UDP Small服务

检测方法

    执行如下命令检测UDP Small服务状态

    #show running-config | include udp-small-servers

判定依据

    已关闭UDP Small服务则合规,否则不合规。

参考配置操作

1、Cisco(config)#no service udp-small-servers

2、Cisco(Config-if)#end

3、Cisco#write


11.关闭不必要的服务-禁用Finger服务

检测方法

    执行如下命令检测Finger服务状态

    #show running-config | include finger

判定依据

    已关闭Finger服务则合规,否则不合规。

参考配置操作

1、Cisco(config)#no ip finger

2、Cisco(Config)#end

3、Cisco#write


12.关闭不必要的功能-禁用IPUnreachables

检测方法

    执行如下命令检测ip unreachable功能是否禁用

    #show running-config | include unreachables

判定依据

    接口已禁用unreachables功能则合规,否则不合规。

参考配置操作 

1、Cisco(config)#interface <InterfaceName> 

2、Cisco(config-if)#no ip unreachables

3、Cisco(Config-if)#end

4、Cisco#write


13.关闭不必要的功能-禁用IP Redirects

检测方法

    执行如下命令检测ICMP重定向功能

    #show running-config interface <interface_name>

判定依据

    ICMP重定向功能被禁用则合规,否则不合规。

参考配置操作

1、Cisco(config)#interface <InterfaceName>   #<InterfaceName> 表示接口名称。

2、Cisco(config-if)#no ip redirects

3、Cisco(Config-if)#end

4、Cisco#write


14关闭不必要的功能-禁用IP source-route

检测方法

    执行如下命令检测是否开启source-route服务

    #show running-config | include source-route

判定依据

    已关闭source-route服务则合规,否则不合规

参考配置操作

1、Cisco(config)#no ip source-route   #关闭source-route服务。

2、Cisco(config)#end

3、Cisco#write


15.关闭IP直接广播

检测方法

    执行如下命令检测ip directed-broadcast配置

    #show running-config | include directed-broadcast

判定依据

    所有接口均关闭ip directed-broadcast则合规,否则不合规。

参考配置操作

1、Cisco(config)#interface <InterfaceName>   关闭指定接口的ip directed-broadcast

2、Cisco(config-if)#no ip directed-broadcast

3、Cisco(config-if)#end

4、Cisco#write


16.限制NTP通信地址范围

检测方法

    执行如下命令检测ntp配置

    #show running-config | include ntp access-group

判定依据

    已配置通过ACL限制NTP服务器和设备之间的通信则合规,否则不合规。

参考配置操作

1、Cisco(config)#ntp access-group peer <tag>   #<tag>表示access-list标号。

2、Ciscoh(config)#end

3、Cisco#write


17报文速率限制

检测方法

    执行如下命令检测物理接口配置

    #show running-config | begin interface

判定依据

    所有处于未关闭状态的物理接口均配置广播/组播/未知单播报文速率限制则合规,否则不合规。


参考配置操作

1、Cisco(config)#interface <InterfaceName>   #配置指定接口

2、Cisco(config-if)#storm-control broadcast level <threshold> #配置广播报文限制

3、Cisco(config)#interface <InterfaceName>   #配置指定接口

4、Ciscoh(config-if)#storm-control multicast level <threshold>  #配置组播报文限制 

5、Cisco(config)#interface <InterfaceName>   # 配置指定接口

6、Cisco(config-if)#storm-control unicast level <threshold>     #配置单播报文限制

7、Cisco(config-if)#end

8、Cisco#write


18.开启STP功能

检测方法

    执行如下命令检测STP模式

    #show spanning-tree summary

判定依据

    STP模式为pvst则合规,否则不合规。

1、Cisco(config)#spanning-tree mode pvst

2、Cisco(config-if)#end

3、Cisco#write


19.关闭未使用的管理口

检测方法

    执行如下命令检测接口状态

    #show interfaces | include protocol

判定依据

    没有使用的接口都被关闭则合规,否则不合规。

参考配置操作 

1、Cisco(config)#interface <接口>

2、Cisco(config-if)#shutdown    #关闭未使用的接口。

3、Cisco(config-if)#end

4、Cisco#write  


20.配置端口安全防护

执行如下命令检测物理接口配置

    #show running-config | begin interface

判定依据

    所有处于未关闭状态的物理接口都指定 switchport 模式则合规,否则不合规。

参考配置操作

1、Cisco(config)#interface <InterfaceName>    #配置指定物理接口的switchport模式

2、Cisco(config-if)#switchport mode <mode>  #<mode>接口类型为Access或者trunk

3、Cisco(config-if)#end

4、Cisco#write


21.配置MAC攻击防护

测方法

    执行如下命令检测物理接口配置

    #show running-config | begin interface

判定依据

    所有处于未关闭状态且类型为access的物理接口都已配置允许最大的地址数目则合规,否则不合规。

参考配置操作

1、Cisco(config)#interface <InterfaceName>     #配置指定接口允许的最大地址数。

2、Cisco(config-if)#switchport port-security maximum <num>  #<num>表示最大地址数。 

3、Cisco(config-if)#end

4、Cisco#write


22.配置VLAN攻击防护

检测方法

    执行如下命令检测物理接口配置

    #show running-config | begin interface

判定依据

    所有处于未关闭状态的 trunk 模式的物理接口都已配置允许的 VLAN id 则合规,否则不合规。

参考配置操作 

1、Cisco(config)#interface <InterfaceName>   #进入指定接口

2、Cisco(config-if)#switchport trunk allowed vlan <vlanid>   #配置trunk模式的接口允许的VLAN。

3、Cisco(config-if)#end

4、Cisco#write


23.限制非法数据流

检测方法

    1、执行如下命令查看ACL配置信息

        (1)、#show access-lists

    2、执行如下命令检测 vlan 和物理接口配置信息

        (1)、#show running-config | begin interface

判定依据

    1、配置acl规则过滤非法流量数据

    2、所有未关闭的物理接口均已下发ACL规则

    以上两个条件同时满足时合规,否则不合规。

24.配置预防源地址伪造攻击(默认关闭)

检测方法

    执行如下命令检测接口下是否启用uRPF

    #show running-config | include ip verify

判定依据

    所有未关闭的物理接口都已启用uRPF则合规,否则不合规。

参考配置操作

Cisco(config)#interface <InterfaceName>    #<InterfaceName>表示接口名称。

Cisco(config-if)#ip verify unicast source reachable-via any

Cisco(config-if)#end

Cisco#write 

   

25.对设备引擎直接处理的流量进行控制

检测方法

    1、执行如下命令检测 contro-plane下是否配置service-policy

        (1)、#show running-config | include ^(control-plane|service-policy)

    2、执行如下命令检测是否配置 ip receive access-list

        (1)、#show running-config | include ip receive access-list

判定依据

    1、contro-plane下已配置service-policy

    2、已配置ip receive access-list

    以上两个条件均满足则合规,否则不合规。

26.关闭不必要的协议-LACP

检测方法

    执行如下命令检测接口配置信息

    #show running-config | begin interface

判定依据

    所有接口均已关闭 LACP 协议则合规,否则不合规。

参考配置操作

1、Cisco(config)#interface <interface>   接口名称

2、Cisco(config-if)# no lacp port-priority

3、Cisco(config-if)#end

4、Cisco#write


27.关闭不必要的协议-PAgP

检测方法

    执行如下命令检测接口配置信息

    #show running-config | begin interface

判定依据

    所有接口均已关闭 PAGP 协议则合规,否则不合规。

参考配置操作

1、Cisco(config)#interface <interface>       #<interface>表示接口名称。

2、Cisco(config-if)#no pagp learn-method

3、Cisco(config-if)#end

4、Cisco#write


28.关闭不必要的协议-flowcontrol

检测方法

    执行如下命令检测接口配置信息

    #show running-config | begin interface

判定依据

    所有接口均已关闭 flowcontrol 协议则合规,否则不合规。

参考配置操作

1、Cisco(Config)#interface <interface>     #<interface>表示接口名称。

2、Cisco(Config-if)#flowcontrol receive off

3、Cisco(Config-if)#end

4、Cisco#write


29.配置ARP攻击防护

检测方法

    执行如下命令检测接口配置信息

    #show running-config | begin interface

判定依据

    所有类型为 access 的未关闭的物理接口都配置ARP攻击防护则合规,否则不合规。

参考配置操作

1、Cisco(config)#interface <InterfaceName>    #<InterfaceName> 表示接口名称

2、Cisco(config-if)#switchport port-security violation restrict

3、Cisco(Config-if)#end

4、Cisco#write


30.典型协议报文防护

             检测方法

、执行如下命令查看是否配置HSRP报文防护

#show running-config | include standby

二、执行如下命令查看是否配置VRRP报文防护

#show running-config | include vrrp

判定依据:

1)配置了HSRP报文防护

2)配置了VRRP报文防护

以上两个条件同时满足则合规,否则不合规.

参考配置操作

1、配置HSRP报文防护 

    (1)、Cisco(config)#interface <InterfaceName> 

    (2)、Cisco(config-if)#standby 1 authentication md5 key-string <key>

2、配置VRRP报文防护

    (1)、Cisco(config)#interface <InterfaceName> 

    (2)、Cisco(config-if)#vrrp 1 authentication md5 key-string <key>

    (3)、Cisco(config-if)#end

    (4)、Cisco#write

四、系统服务

总结:远程登录只能使用ssh,snmp的community在监控时不能为默认需要修改为public或者private,snmpv3开启(如果支持),snmp需要aaa认证审计


1.SNMP配置-修改SNMP的默认Community

检测方法

    执行如下命令检测snmp团体名配置信息

    #show running-config | include snmp-server community

判定依据

    不存在名称为public、private的SNMP community,则合规,否则不合规。

参考配置操作

1、Cisco(config)#no snmp-server community public   删除名称为public的SNMP commnity

2、Cisco(config)#end

3、Cisco#write


2.远程管理通信安全-SSH

检测方法

    1、执行如下命令检测ssh协议配置信息

        (1)、#show ip ssh

    2、执行如下命令查看vty接口配置信息

        (1)、#show running-config | begin line vty

判定依据

    1、已启用ssh加密协议

    2、只允许使用ssh协议访问vty接口

    3、以上条件需同时满足。

参考配置操作

1、Cisco(config)#ip domain-name <domain_name>    #配置域名 <domain_name>域名名称可自定义

2、Cisco(config)#aaa new-model

3、Cisco(config)#crypto key generate rsa

4、Cisco(config)#line vty 0 4

5、Cisco(config-line)#transport input ssh  #配置仅允许ssh远程登录

6、Cisco(config-line)#end

7、Cisco#write


3.SNMP服务读写权限管理

检测方法

    执行如下命令检测snmp团体名配置信息

    #show running-config | include snmp-server community

判定依据

    所有SNMP community的权限均为ro,则合规,否则不合规。

参考配置操作

1、Cisco(config)#snmp-server community <name> <RO> [<tag>]   #<name>表示community名称,<RO/RW>表示分配的权限,<tag>表示access-list标号。

2、Cisco(config)#end

3、Cisco#write


4.VTY端口防护策略

检测方法

    执行如下命令检测vty端口配置信息

    #show running-config | begin line vty

判定依据

    vty接口数量小于等于 15 则合规,否则不合规。


5.使用SNMP V3版本

检测方法

    执行如下命令检测SNMP协议配置信息

    #show running-config | include snmp-server host

判定依据

    对于支持SNMP V3版本的设备,必须使用V3版本SNMP协议,对于不支持v3版本协议的设备建议通过自定义参数的方式修改其标准值为1或者2c。

参考配置操作

1、Cisco(config)#snmp-server host <ip> version 3 auth <username>  #其中<ip>表示IP,<username>表示用户名。

2、Cisco(config-line)#end

3、Cisco#write


6.使用认证服务器审计设备操作

检测方法

    执行如下命令检测认证服务器审计行为

    #show running-config | include aaa accounting

判定依据

    已配置使用认证服务器对设备操作进行审计则合规,否则不合规。

参考配置操作

1、Cisco(config)#aaa accounting exec default start-stop group <server>  #<server>为认证服务器名称。

2、Cisco(config)#end

3、Cisco#write

四、账号管理

总结:远程登录有提示信息,两个以上用户名密码,密码加密存放,不存在平常不用的账号,console密码最好有

1.修改缺省BANNER,未配置banner login则合规,否则不合规。

#show running-config | include banner

参考配置操作

1、Cisco(config)#banner <options>  #<options>表示banner命令的参数

2、Cisco(config)#end

3、Cisco#write


2.配置console口密码保护,console口已配置密码则合规,否则不合规。

 #show running-config | begin line con

 参考配置操作

1、Cisco(config)#line console 0 

2、Cisco(config-line)#login local

3、Cisco(config-line)#password  <password>  #<password>为console口密码

4、Cisco(config-line)#end

5、Cisco#write


3.避免共享账号

#show running-config | include username

参考配置操作

1、Cisco(config)# username <username> privilege <level> password <password>      #<username>用户名、<level>权限级别、<password>用户口令。

2、Cisco(config)# end 

3、Cisco#write


4.禁止无关账号(人工确认)


5.管理默认账号与口令,不存在cisco默认账号则合规,否则不合规。

#show running-config | include username


6.口令加密

 1、执行如下命令检测enable和用户口令是否加密存放

        (1)、#show running-config | include ^(enable|username.*)

 2、执行如下命令检测是否启用密码加密服务

#show running-config | include password-encryption

判定依据

    1、启用密码加密服务

    2、enable密码加密存放

    3、用户口令加密存放

    条件1必须满足,条件2和3满足其一则合规,否则不合规

后续将更新juniper防火墙、mysql数据库、linux服务器,请大家多多关注。


本文出自 “小资” 博客,请务必保留此出处http://tianzhen910.blog.51cto.com/5889820/1878164

以上是关于安全基线规范之Cisco核心交换机的主要内容,如果未能解决你的问题,请参考以下文章

cisco 路由器接防火墙再到核心交换机的网络映射问题

Cisco 的基本配置实例之五----交换机的路由功能与DHCP 功能

Cisco 的基本配置实例之四----vlan的规划及配置(接入交换机)

十个网络优化改造案例之三 交换机HSRP主备切换

企业网cisco交换机dhcp snooping和IP source guard禁止手动配置IP

VSS Configuration For Cisco 4500 series switches