資源描述:
《思科交換機安全配置基線》由會員上傳分享�����,免費在線閱讀,更多相關內(nèi)容在行業(yè)資料-天天文庫���。
1��、《思科交換機安全配置基線》頁號:1of19目錄1概述11.1適用范圍11.2術語和定義11.3符號和縮略語12思科交換機設備安全配置要求22.1賬號管理���、認證授權22.1.1賬戶22.1.2口令32.1.3認證42.2日志安全要求52.3IP協(xié)議安全要求72.3.1基本協(xié)議安全72.3.2SNMP協(xié)議安全92.4訪問控制安全要求102.5Vlan安全要求142.6其他安全要求16頁號:1of191概述1.1適用范圍本規(guī)范適用于思科交換機。本規(guī)范明確了思科交換機安全配置方面的基本要求�����?���;€配置項中的“可選”項,可以根據(jù)具
2�����、體系統(tǒng)和應用環(huán)境,選擇是否遵守�。1.2術語和定義BGPRouteflapdamping:由RFC2439定義,當BGP接口翻轉(zhuǎn)后�,其他BGP系統(tǒng)就會在一段可配置的時間內(nèi)不接受從這個問題網(wǎng)絡發(fā)出的路由信息。1.3符號和縮略語縮寫英文描述中文描述第17頁共19頁1思科交換機設備安全配置要求1.1賬號管理�、認證授權1.1.1賬戶編號:安全要求-設備-思科交換機-配置-1-可選要求內(nèi)容限制具備管理員權限的用戶遠程登錄。遠程執(zhí)行管理員權限操作����,應先以普通權限用戶遠程登錄后,再切換到管理員權限賬號后執(zhí)行相應操作���。操作指南1.參考配
3�����、置操作privilegeexeclevel15connectprivilegeexeclevel15telnetprivilegeexeclevel15rloginprivilegeexeclevel7showipaccess-listsprivilegeexeclevel15showaccess-listsprivilegeexeclevel15showloggingprivilegeexeclevel1showipusernameuser1privilege7passwordpassword1usernameswi
4�、tchadminprivilege15passwordpassword22.補充操作說明檢測方法1.判定條件所有賬號權限分配合理�,不存在權限過大賬號。2.檢測操作無現(xiàn)狀說明IT也可以通過VPN遠程登錄交換機�,符合要求,網(wǎng)絡管理員和基礎架構(gòu)主管知道賬號編號:安全要求-設備-思科交換機-配置-2要求內(nèi)容應按照用戶分配賬號�。避免不同用戶間共享賬號。避免用戶賬號和設備間通信使用的賬號共享�����。刪除與設備運行、維護等工作無關的賬號�。第17頁共19頁操作指南1.參考配置操作usernamersmithpassword3d-zirc0n
5、iausernamersmithprivilege1usernamebjonespassword2B-or-3Busernamebjonesprivilege1nousernamebrian2.補充操作說明檢測方法1.判定條件I.配置文件中�����,存在不同的帳號分配II.網(wǎng)絡管理員確認用戶與帳號分配關系明確2.檢測操作無現(xiàn)狀說明都是公用賬號�����,沒有根據(jù)每個人設置一個賬號1.1.1口令編號:安全要求-設備-思科交換機-配置-3要求內(nèi)容對于采用靜態(tài)口令認證技術的設備�,口令長度至少6位����,并包括數(shù)字、小寫字母�����、大寫字母和特殊符號4類中
6���、至少2類����。操作指南1.參考配置操作此項無法通過配置實現(xiàn),建議通過管理實現(xiàn)2.補充操作說明檢測方法1.判定條件無2.檢測操作無現(xiàn)狀說明口令8位以上���,數(shù)字字母�,與路由器密碼內(nèi)容一致第17頁共19頁編號:安全要求-設備-思科交換機-配置-4要求內(nèi)容靜態(tài)口令必須使用不可逆加密算法加密�,以密文形式存放。操作指南1.參考配置操作servicepassword-encryption2.補充操作說明檢測方法1.判定條件配置文件無明文密碼字段2.檢測操作使用showrunning-config命令�,如下例:Switch#showrunn
7、ing-configBuildingconfiguration...Currentconfiguration:!servicepassword-encryptionenablesecret5$1oxphetTb$rTsF$EdvjtWbi0qA2gusernameciscoadminpassword7Wbi0qA1$rTsF$Edvjt2gpvyhetTb現(xiàn)狀說明是加密的1.1.1認證編號:安全要求-設備-思科交換機-配置-5-可選要求內(nèi)容設備通過相關參數(shù)配置���,與認證系統(tǒng)聯(lián)動�����,滿足帳號�、口令和授權的強制要求����。操作指南1
8、.參考配置操作settacacsserver192.168.6.18settacacskeyxxxxxx�����!telnet認證setauthenticationlogintacacsenabletelnet2.補充操作說明與外部TACACS+server192.168.6.18聯(lián)動,遠程登錄使用TACACS+serverya驗證檢測方
