Cisco路由器测评指导书

序号 测评指标 测评项 检查内容 检查方法 推荐值 判断依据 预期结果
1 安全审计 (G3) a)对网络设备进行日志记录 1、查看交换机是否开启了日志审计功能的开启情况;
2、询问使用何种方式对用户行为进行记录。
检查:输入命令 show running 检查配置文件中是否存在类似如下配置项:
access-list 100 deny ip 192.168.0.0.0.0.255 any log ……
logging trap debugging
logging X.X.X.X
logging on
1、开启syslog logging,Buffer logging、Trap logging级别应在informational(含)以上(即informational和debugging);
2、由ACS服务器或其他措施对用户行为进行记录。
符合:1、2都符合时结果为符合;
部分符合:1符合2不符合时结果为部分符合;
不符合:其他情况为不符合。
存在类似如下配置:
logging trap debugging
logging X.X.X.X
logging on
b)分析记录数据,生成审计报表 对日志信息进行核查。 访谈:访谈并查看如何实现审计记录数据的分析和报表生成 审计记录包括事件的日期、用户、事件类型、事件等; 开启日志记录功能该项默认符合。 生成日志记录的报表
c)审计记录内容 1询问是否为授权用户浏览合分析审计数据提供专门的审计工具;
2是否能根据需要生成日志审计报表。
检查:查看是否启用了审计功能 1、通过人工或审计软件对设备的日志数据进行了分析;2、能够生成审计报表。 符合:1、2都符合时结果为符合;
部分符合:1符合2不符合时结果为部分符合;
不符合:其他情况为不符合。
启用了日志功能
d)保护审计记录 日志的保护。 访谈:访谈是否避免了审计日志的未授权修改、删除和破坏。检查:输入命令 show logging 检查配置文件中是否存在类似如下配置项:
logging x.x.x.x
设有专门的日志服务器,并有专人管理来保证日志完整性。 符合:设有专门的日志服务器,并有专人管理来保证日志完整性;
部分符合:设有专门的日志服务器,但是管理不严,或日志服务器上可以txt等可读形式打开日志记录;
不符合:设备日志均存于本地,未配置日志服务器。
有专门的日志服务器存放日志,对这台服务器的访问需经过授权
2 访问控制 (G3) a)应启用路由器的访问控制功能 检查:检查网络拓扑结构和相关路由器配置,查看是否在网络边界 路由器上启用了访问控制功能。
输入命令 show running-config 检查配置文件中是否存在以下类似配置项:
ip access-list extended 111
deny ip x.x.x.0 0.0.0.255 any log
存在类似如下配置:
ip access-list extended 111
deny ip x.x.x.0 0.0.0.255 any log
b) 供访问控制能力,关闭不需要服务 检查:输入命令 show ip access-list 检查配置文件中是否存在类似如下配置项:
ip access-list extended 111
deny ip x.x.x.0 0.0.0.255 any log
interface f 0/0
ip access-group 111 in关闭掉交换机默认开启的一些实际使用中不需要的服务,
如:no cdp run,no cdp enable,no service tcp-small-servers,no service udp-small-servers,no ip finger,no service finger,no ip bootp server,no ip source-route,no ip proxy-arp,no ip directed-broadcast,no ip domain-lookup 等。
存在类似如下配置:
ip access-list extended 111
deny ip x.x.x.0 0.0.0.255 any log interface f 0/0
ip access-group 111 in 交换机一些不需要的服务都关闭
c)限制网络最大 流量数及网络连 接数 访谈:询问网络管理员,根据网络现状是否需要限制网络最大流量。 有专用的带宽管理设备来实现网络流量的控制或有相关 QOS 配置
d)重要网段防止 地址欺骗 检查:输入命令 show ip arp 或 show run 检查配置文件中是否存在类似如下配置项:
arp 10.0.0.1 0000.e268.9980 arpa
存在类似如下配置:
arp 10.0.0.1 0000.e268.9980 arpa
3 网络设备防护(G3) a)登录用户身份鉴别 口令的设置。 检查:输入命令 show running-config
1) 查看配置文件,是否存在类似如下登录口令设置: line vty 0 4
login
password ******
line aux 0
login
password ******
line con 0
login
passwrod ******
2) 使用 enable secret 命令为特权用户设置口令,如:enble secret ******
3) 如果设备启用了 AAA 认证,查看配置文件中是否存在类似如下配 置项:
aaa new-model
tacacs-server host 192.168.1.1 sigle-connecting

radius-server host 192.168.1.1 sigle-connecting radius-server key sharedl
live vty 0 4
aaa authorization login
交换机开启身份鉴别功能,登录设备需要输入口令。 符合:对登陆用户的身份进行鉴别;
不符合:用户登录设备无需输入口令。
存在类似如下配置:
line vty 0 4
login
password ******
line con 0
login
passwrod ******
enble secret ******
aaa new-model
tacacs-server host 192.168.1.1 sigle-connecting 或
radius-server host 192.168.1.1 sigle-connecting radius-server key sharedl
live vty 0 4
aaa authorization login
b)登录地址限制 远程管理的访问控制。 检查:输入命令 show running-config
查看配置文件里是否存在类似如下配置项:
access-list 3 permit x.x.x.x
line vty 0 4
access-class 3 in
关闭VTY口后采用访问控制列表控制访问地址。 符合:关闭VTY口后采用访问控制列表控制访问地址;
不符合:未对VTY口登录地址进行限制。
存在类似如下配置:
access-list 3 permit x.x.x.x
line vty 0 4
access-class 3 in
c)用户标识唯一 查看是否启用了AAA认证功能。 检查:输入命令 show running-config 检查配置文件是否存在类似如下配置项:
username admin privilege 10 password admin username user privilege 1 password user
多个用户采用不同的用户名口令登录或启用AAA认证。 符合:多个用户采用不同的用户名口令登录或启用AAA认证;
不符合:多用户使用同一用户名进行设备管理。
存在类似如下配置:
username admin privilege 10 password admin
username user privilege 1 password user
d)两种或两种以上身份鉴别技术 采用双因子鉴别。 访谈:访谈采用了何种鉴别技术实现双因子鉴别,并在网络管理员 的配合下验证双因子鉴别的有效性 采用Cisco的ACS等系统并配由令牌或智能卡等。 符合:使用两种身份鉴别技术;
不符合:仅使用用户名+口令方式进行身份鉴别。
两种认证方式同时作用鉴别身份
e)身份鉴别信息复杂 采用口令加密及高强度口令。 访谈:询问网络管理员使用口令的组成、长度和更改周期等。
检查:输入命令 show running-config
检查配置文件中是否存在类似如下配置项:
service password-encryption
设置口令并要求8位以上,至少字母加数字,采用口令加密措施并定期更换口令,enable口令采用secret方式加密。 符合:设置口令并要求8位以上,字母加数字,采用口令加密措施并定期更换口令(3-6个月,enable口令(3-6个月),enable口令采用secret方式加密;
部分符合:口令设置较简单,或未定期更换设备口令;
不符合:设备未设置口令或采用默认口令(cisco)以及其他极易猜测的口令,未开启加密功能。
口令组成满足复杂性和长度要求并定期更新,存在类似如下 配置:
service password-encryption
f)具有登录失败处理功能 1、配置端口超时处理功能;
2、配置登录超时处理功能;
3、配置登录失败处理功能。
检查:输入命令 show running-config 检查配置文件中是否存在类似如下配置项:
line vty 0 4
exec-timeout 50
line con 0
exec-timeout 50
1、登录超时一般不超过15分钟:exec-timeout 15 0;
2、端口超时不超过5分钟:timeout login response 300;
3、100秒内登录失败5次,锁定300秒。
符合:1、2、3都符合时结果为符合;
部分符合:1或2或3符合时结果为部分符合;
不符合:其他情况为不符合
存在类似如下配置:
line vty 0 4
exec-timeout 50
line con 0
exec-timeout 50
g)安全的远程管理方法 1、启用SHH方式进行远程管理;
2、关闭HTTP服务及SNMP服务,若启用SNMP服务则应修改默认通讯字并对其访问进行控制。
访谈:询问是否采用安全的远程管理方法。
检查:输入命令 show running-config 查看配置文件中是否存在类似如下配置项:
ip ssh authentication-reties 3
line vty 0 4
transport input ssh
1、关闭Telnet远程管理方式采用SSH远程管理方式:transport input ssh;
2、SNMP使用非默认通讯字并指定HOST或关闭远程管理及no ip http server 或access-list 70 deny any
snmp-server community shtec12345 Ro 70
符合:1、2都符合时结果为符合;
部分符合:1符合2不符合时结果为部分符合;
不符合:其他情况为不符合。
使用 SSH 或 SSL 等安全的远程管理方法,存在类似如下配置:
ip ssh authentication-reties 3
line vty 0 4
transport input ssh
h)特权用户权限分离 采用权限分级策略。 检查:输入命令 show running-config 检查配置文件中是否存在类似如下配置项: username root privilege 10 G00DpASSW0rd privilege exec level 10 ssh
privilege exec level 10 show log
针对不同用户设定不同权限或通过ACS服务器对用户权限进行分配。 符合:针对不同用户设定不同权限或通过ACS服务器对用户权限进行分配;
不符合:设备所有用户均为最高权限。
存在类似如下配置:
username root privilege 10 G00DpASSW0rd
privilege exec level 10 ssh
privilege exec level 10 show log
4 备份和恢复(A3) a)供本地数据备份与恢复 访谈:访谈设备配置文件备份策略。
检查:是否定期备份配置文件和设备软件。
定期备份配置文件和设备软件。
b)供异地数据备份功能 访谈:
现场访谈并查看用户是否采用了异地备份。
使用了异地备份功能。
c)冗余的网络拓扑结构 检查:查看网络拓扑结构,看是否采用了冗余技术来避免关键节点 存在单点故障 拓扑结构冗余
d) 供硬件冗余 检查:查看主要路由器是否有硬件冗余 设备硬件冗余
About hackgoo 105 Articles
渗透测试人员,信息安全维护 主要技能web安全,linux运维 站在巨人的肩膀上,在学习中进步,在进步中学习,低调求生存 极客谷保留所有权利,转载请注明出处

Be the first to comment

Leave a Reply

Your email address will not be published.


*