0x00 前言
目的:对网络设备进行加固,包括基础设备安全功能配置和账户登录、密码安全策略配置。
网络设备版本
路由器:Cisco IOS 15.5(5)M
交换机:Cisco IOS 15.2(4)E
防火墙:Cisco ASA 9.17
网络设备配置文档
Cisco IOS 15.5(5)M:https://www.cisco.com/c/en/us/support/ios-nx-os-software/ios-15-5m-t/series.html
Cisco IOS 15.2(4)E:https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software/release/15-2_4_e/configurationguide/b_1524e_consolidated_2960p_2960c_cg.html
Cisco ASA 9.17:https://www.cisco.com/c/en/us/td/docs/security/asa/asa917/configuration/general/asa-917-general-config.html
0x01 基础设备安全功能配置
a) 所有端口上的 mac 地址的最大数量必须不大于2。在违反本安全策略的情况下,端口应设置为restrict 状 态 , 不 能 被 设 置 为 错 误 禁 用 状 态(shutdown)
操作对象:SW1、SW2
Port-Security
开启Port-Security的端口具有一定的安全功能,如限制连接的主机数、限制接入的主机。根据安全地址表判断是否满足Port-Security,安全地址表可通过动态学习源MAC地址或静态配置。
惩罚(violation)机制
当Port-Security被破坏时,会激活惩罚模式,有三类惩罚模式:
protect : 仅丢弃非法数据帧
restrict : 丢弃非法数据帧同时产生一个syslog消息
shutdown : 端口设置成err-disable,接口不可用 同时产生要给syslog消息
SW1配置Port-Security
SW1(config)#int g0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security maximum 2
SW1(config-if)#switchport port-security violation restrict
SW1(config-if)#int g0/2
SW1(config-if)#switchport mode access
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security maximum 2
SW1(config-if)#switchport port-security violation restrict
SW1(config-if)#int g0/3
SW1(config-if)#switchport mode access
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security maximum 2
SW1(config-if)#switchport port-security violation restrict
SW1验证
SW2配置Port-Security
SW2(config)#int g0/0
SW2(config-if)#switchport mode access
SW2(config-if)#switchport port-security
SW2(config-if)#switchport port-security maximum 2
SW2(config-if)#switchport port-security violation restrict
对g0/1、g0/2、g0/3端口进行相同的配置
SW2验证
b) 关闭空闲的端口
操作对象:SW1、SW2
关闭SW1空闲端口
SW1#show ip interface br //查看所有端口、已开启的端口
SW1(config)#int g0/0
SW1(config-if)#shutdown
对g1/0、g1/1、g1/2、g1/3端口做相同的操作
SW1验证
关闭SW2空闲端口
SW2(config)#int g1/0
SW2(config-if)#shutdown
对g1/1、g1/2、g1/3端口做同样的操作
SW2验证
0x02 密码策略配置
AAA
AAA是认证(Authentication)、授权(Authorization)和计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证、授权和计费三种安全服务。
交换机(SW1、SW2)配置
a) 最小密码长度不得少于 12 个字符(所有用户) SW1,SW2 b) 密码复杂度设置要求应包含大小写字母,数字和特 殊字符(所有用户) SW1,SW2 SW1(config)#aaa new-model SW1(config)#aaa common-criteria policy PasswordPolicy SW1(config-cc-policy)#min-length 12 SW1(config-cc-policy)#upper-case 1 SW1(config-cc-policy)#lower-case 1 SW1(config-cc-policy)#numeric-count 1 SW1(config-cc-policy)#special-case 1 c) 所有密码必须作为可逆密文存储在配置中 SW1,SW2 SW1#conf te SW1(config)#password encryption aes d) 本地用户的密码应作为 scrypt hash 存储在配置中 SW1,SW2 SW1#conf te SW1(config)#service password-encryption e) 设置 enable 密码为 QWEqwe258!@# SW1,SW2 SW1#conf te SW1(config)#enable password QWEqwe258!@#
使用AAA的policy,在策略里面定义密码格式要求。不过只支持本地用户使用password参数创建密码,不支持本地用户secret参数。
建立用户名与密码时应用指定密码策略,示例:
username user1 common-criteria-policy PassPolicy password 具体密码
将策略与用户进行绑定,然后再配置密码,密码策略才生效。
路由器(IAR)配置
a) 最小密码长度不得少于 12 个字符(所有用户) IAR IAR(config)#security passwords min-length 12
b) 所有密码必须作为可逆密文存储在配置中 IAR IAR(config)#password encryption aes
c) 设置 enable 密码为 QWEqwe258!@# FW,IAR IAR(config)#enable secret QWEqwe258!@#
防火墙(FW)配置
a) 最小密码长度不得少于 12 个字符(所有用户)FW
b) 密码复杂度设置要求应包含大小写字母,数字和特 殊字符(所有用户) FW FW(config)# password-policy minimum-length 12 FW(config)# password-policy minimum-uppercase 1 FW(config)# password-policy minimum-lowercase 1 FW(config)# password-policy minimum-numeric 1 FW(config)# password-policy minimum-special 1 c) 设置 enable 密码为 QWEqwe258!@# FW FW(config)# enable password QWEqwe258!@#
0x03 账户登录安全策略配置
交换机(SW1、SW2)配置
账户配置
a) 在用户登录系统时,应该有“For authorized users only”的 banner 提示信息。 SW1,SW2
SW1#conf te
SW1(config)#banner login # For authorized users only #
b) 一分钟内仅允许 5 次登录失败的尝试,超过 5 次,登录帐号锁定 1 分钟。(所有用户) SW1,SW2
SW1(config)#aaa local authentication attempts max-fail 5
c) 启用本地控制台身份验证。成功验证后,用户应以最小权限登陆用户模式(privilege level 1) SW1,SW2
SW1#conf te
SW1(config)#aaa authentication login default local
SW1(config)#username user privilege 1 password Skills!@#258
d) 非活动超时时间不得超过 1 分钟 SW1,SW2
SW1#conf te
SW1(config)#line console 0
SW1(config-line)#exec-timeout 1
路由器(IAR)配置
a) 在用户登录系统时,应该有“For authorized users only”的 banner 提示信息。 IAR
IAR(config)#banner login # For authorized users only #
b) 一分钟内仅允许 5 次登录失败的尝试,超过 5 次,登录帐号锁定 1 分钟。(所有用户) IAR
IAR(config)#aaa local authentication attempts max-fail 5
c) 启用本地控制台身份验证。成功验证后,用户应以 最小权限登陆用户模式(privilege level 1) IAR
IAR(config)#aaa authentication login default local
IAR(config)#username user privilege 1 password Skills!@#258
d) 非活动超时时间不得超过 1 分钟 IAR
IAR(config)#line console 0
IAR(config-line)#exec-timeout 1
防火墙(FW)配置
a) 在用户登录系统时,应该有“For authorized users only”的 banner 提示信息。 FW
FW(config)# banner login # For authorized users only #
b) 非活动超时时间不得超过 1 分钟 FW
FW(config)# console timeout 1