阅读: 10
六、远程日志与监控
使用以下配置命令提高本地日志缓冲区最大值:
logging buffered 16777216 informational
注意:该命令同时会将日志级别更改为信息(Informational)级别,因为这两个值必须同时设置。
logging host
注意:该命令还会设置本地日志缓冲区的最大值,因为这两个值必须同时设置。
还可以分别使用console和monitor关键字在控制台和VTY线路上启用日志。这些方法会立即通知登录的管理员,但不会保留消息。除非管理员需要,否则没有必要为这些方法启用日志。可以使用以下配置命令禁用日志:
no logging console
no logging monitor
NSA还建议对时区使用协调世界时(UTC),尤其是当网络跨越多个时区时。所有日志消息都应包含正确配置的时间戳,标明完整日期(包括年份)、时间(包括秒和毫秒)以及时区。确保时区设置正确,使用以下配置命令启用上面列出的所有特性:
clock timezone UTC 0 0
service timestamps log datetime msec localtime show-timezone year
service timestamps debug datetime msec localtime show-timezone year
最后,NSA还建议,配置日志消息记录用户成功或不成功登录到系统的时间。即使正确配置了记账且集中式AAA服务器记录了这些事件,本地缓冲区也不会记录这些信息。使用以下配置命令记录这些事件:
login on-failure log
login on-success log
ntp authentication-key <#1> md5
ntp trusted-key <#1>
ntp authentication-key <#2> md5
ntp trusted-key <#2>
ntp authenticate
可设置任意数量的可信密钥。注意,NTP身份认证密钥将作为7类密码存储在配置中。NTP身份认证不支持6类AES加密密码。
使用以下配置命令将设备与至少两个不同的NTP服务器同步:
ntp server key <#1>
ntp server key <#2>
注意:每条命令末尾的数字代表验证特定服务器的可信NTP密钥。
时钟同步后,使用以下exec命令验证NTP服务器的同步和状态:
show ntp status
show ntp associations
注意:每次更改NTP配置后,都需要验证时钟同步,正常的同步可能需要几个小时。
七、远程管理和网络服务
transport input none
line vty 5 15
transport input none
根据设备的不同,可能还需要将类似配置应用于其他线路。如果特定设备上不存在VTY线路5到15,则无需执行这些命令。注意,这些命令还可能禁用线路上默认启用的其他服务,包括SSH。有关如何启用SSH的详细信息,参见7.11.1 SSH。
使用以下配置命令禁用HTTP服务:
no ip http server
有关如何启用安全HTTP的详细信息,参见7.11.2 HTTP。
使用以下配置命令删除已配置的团体名,禁用SNMPv1和v2c以及SNMP Trap服务:
no snmp-server community
no snmp-server host
有关如何启用SNMPv3的详细信息,参见7.11.3 SNMP。
使用以下配置命令删除线路,禁用简单文件传输协议(TFTP):
no tftp-server
FTP服务通常不作为侦听服务启用,但可用作客户端。使用以下配置命令删除FTP凭证:
no ip ftp username
no ip ftp password
有关对特定管理服务应用ACL的详细信息,参见7.11网络服务配置。
NSA还建议,删除配置中的未使用ACL,以免误导管理员。确认标准ACL未应用后,使用以下配置命令将其删除:
no access-list
注意:某些设备不支持TCP keep-alive消息配置。
line vty 0 4
transport output none
line vty 5 15
transport output none
根据设备的不同,可能还需要将类似配置应用于其他线路。如果特定设备上不存在VTY线路5到15,则无需执行这些命令。需要注意的是,必须对控制台线路明确禁用此功能。
如果需要出站连接将文件复制到设备或从设备复制文件以进行维护或完整性验证,设置为仅使用SSH,并限制可以通过出站ACL访问的设备数量;任务完成后,恢复到上述配置。
注意:读写团体名包括RW关键字,而只读团体名包含RO关键字。
使用以下配置命令禁用SNMP读写团体名:
no snmp-server community
no vstack
该服务是为交换机设计的,但路由器同样可以配置为Cisco Smart Install管理器(Director);因此,应在所有设备上明确禁用该服务,尤其是在首次配置时。
使用以下配置命令禁用不必要的TCP和UDP服务:
no service tcp-small-servers
no service udp-small-servers
no service finger
no lldp run
如果特定接口上需要CDP,则必须全局启用,再在其他接口上禁用。下列配置命令针对单个接口禁用了CDP:
interface
no cdp enable
transport input ssh
注意:默认情况下,这会禁用线路上启用的其他服务,如Telnet。如果特定设备上不存在VTY线路5到15,则无需执行这些命令。根据设备的不同,可能还需要将类似配置应用于其他线路。
使用以下exec命令查看允许的入站连接:
show line
使用以下配置命令禁用SSH V1连接且仅允许SSH V2:
ip ssh version 2
使用以下配置命令为SSH生成新的非对称Rivest-Shamir-Adleman(RSA)密钥对:
crypto key generate rsa modulus 3072
注意:该命令会覆盖现有的RSA密钥对。
使用以下配置命令为SSH生成新的非对称ECC密钥对:
crypto key generate ec keysize 384
注意:该命令会覆盖现有的ECC密钥对。
使用以下配置命令将Diffie-Hellman密钥的最小长度设置为4096位:
ip ssh dh min 4096
注意:有些系统不支持3072位的Diffie-Hellman密钥长度,因此建议使用4096位。
可以使用以下配置命令指定SSH协议接受的加密、密钥交换(KEX)和消息认证代码算法(包括优先顺序):
ip ssh server algorithm encryption […]
ip ssh server algorithm kex […]
ip ssh server algorithm mac […]
使用以下exec命令查看SSH服务配置:
show ip ssh
使用以下配置命令应用标准ACL,仅允许管理员IP地址访问:
line vty 0 4
access-class in
line vty 5 15
access-class in
如果特定设备上不存在VTY线路5到15,则无需执行这些命令。注意,如果线路上启用了ACL,则该ACL也适用于Telnet。根据设备的不同,可能还需要将类似配置应用于其他线路。有关创建标准ACL的更多信息,参见7.4 限制对服务的访问。
使用以下配置命令将会话过期时间设置为5分钟或更短:
line con 0
exec-timeout 5 0
line vty 0 4
exec-timeout 5 0
line vty 5 15
exec-timeout 5 0
如果特定设备上不存在VTY线路5到15,则无需执行这些命令。注意,如果线路上启用了该配置,则该配置也适用于Telnet。根据设备的不同,可能还需要将类似配置应用于其他线路。
可以使用以下配置命令指定加密HTTP服务接受的密码套件(包括优先顺序):
ip http secure-ciphersuite […]
使用以下配置命令应用标准ACL,仅允许管理员IP地址访问:
ip http access-class
注意:该ACL启用后,也适用于明文HTTP服务。有关创建标准ACL的更多信息,参见7.4 限制对服务的访问。
HTTP服务器连接的默认空闲超时为180秒(3分钟),无需更改。
首先必须定义一个组,其中priv关键字等同于authPriv(身份认证和隐私)。必须定义一个或多个用户,再将这些用户分到一组。除了身份认证和加密参数外,必须为每个用户提供两个不同的密码,一个用于身份认证,另一个用于隐私。AES-192和AES-256存在互操作性问题,因此可能需要用aes 128关键字设置AES-128加密取代AES-256加密。如上所示,在命令末尾使用access关键字加上指定的ACL,可以将ACL同时应用于组和单独的用户。
可以使用以下Shell命令在Linux系统测试上述SNMP配置:
snmpget -v 3 -u -a sha -l authPriv -A ” -x AES \
-X ” 1.3.6.1.2.1.1.5.0
八、路由
no ipv6 source-route
ip verify unicast reverse-path
key-string
cryptographic-algorithm hmac-sha-512
interface
ip ospf authentication key-chain
NSA还建议,在邻居之间使用不同的密钥,而不是对所有设备上的所有接口使用相同的认证密钥。采用不同的密钥,攻击者就无法使用从一个网络获取的密钥在另一个网络上注入恶意路由。
使用以下配置命令启用边界网关协议(BGP)路由认证,对不同的对端使用不同的密钥:
router bgp
peer password
使用以下配置命令启用增强型内部网关路由协议(EIGRP)认证,创建密钥链并将其应用于每个接口:
key chain
key
key-string
cryptographic-algorithm hmac-sha-512
interface
ip authentication key-chain eigrp
注意:可以为每个密钥选择任意名称和数字。是分配给相邻设备的共享密钥。cryptographic-algorithm还可以设置为hmac-sha-384,并且仍然满足CNSSP 15要求。
不要使用路由信息协议(RIP),因为它收敛速度慢,不可扩展,且V1版本无法配置为对附近的路由器进行认证,因而容易被攻击者利用设备若仅支持RIP,应使用静态或默认路由,指向支持可认证现代路由协议的其他设备。
九、接口端口
switchport mode access
使用以下配置命令严格配置接口端口为中继模式:
interface
switchport mode trunk
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security violation shutdown
switchport port-security mac-address sticky
一旦第一个授权系统连接到该端口,sticky关键字将允许设备在配置中插入MAC地址。请注意,重启后,需要保存配置以保留信息。如果出于可用性考虑不能关闭端口,可以将shutdown关键字替换为restrict,防止任何其他MAC地址在该端口上通信。
使用以下示例配置命令创建中继VLAN(500)和未使用且禁用的接入VLAN(997),并将两个VLAN都分配给中继端口:
vlan 500
name NATIVE-TRUNK
vlan 997
name UNUSED-ACCESS
shutdown
interface
switchport mode trunk
switchport access vlan 997
switchport trunk native vlan 500
switchport trunk allowed vlan 2-4094
此配置还允许所有VLAN(默认VLAN 1除外)穿越中继。若所有配置的VLAN都已知,NSA建议只允许指定VLAN,而不仅仅是排除VLAN 1。
使用以下示例配置命令创建一个未使用且禁用的VLAN(998),分配给接入端口的本机中继VLAN:
vlan 998
name UNUSED-NATIVE
shutdown
interface
switchport mode access
switchport access vlan
switchport trunk native vlan 998
如果使用VoIP功能,还可以使用以下配置命令为Switchport分配第三个VLAN:
interface
switchport voice vlan
使用以下exec命令查看与单个Switchport相关的所有VLAN:
show interfaces switchport
name UNUSED-DISABLED
shutdown
interface
switchport mode access
switchport access vlan 999
switchport trunk native vlan 998
no switchport voice vlan
shutdown
注意:不必将语音VLAN分配给未使用的VLAN,因为如果不使用VoIP功能,该语音VLAN将保持未分配状态。
show monitor session [1|2|all]
注意:如果支持all关键字,则使用它列出所有定义的会话;否则,需要使用单独的命令指定单独的会话号(通常为1和2)。
使用以下配置命令删除配置中定义的监控会话:
no monitor session
使用以下配置命令禁用单个接口的代理ARP:
interface
no ip proxy-arp
十、通知和同意横幅
banner login ^
INSERT NOTIFICATION BANNER HERE
^
注意:插入符(“^”)用作分隔符,以便横幅分行,前提是横幅本身不使用插入符。将此命令插入配置后,分隔符通常显示为“^C”而不是“^”。命令中请勿输入“^C”,否则横幅将以“C”开始。
使用以下配置命令为已成功进行身份认证的授权用户添加相同的通知横幅或其他信息:
banner motd ^
INSERT NOTIFICATION BANNER HERE
ADDITIONAL INFORMATION
AAA | Authentication, authorization, and accounting | 认证、授权和记账 |
ACL | Access control list | 访问控制列表 |
AES | Advanced Encryption Standard | 高级加密标准 |
ARP | Address Resolution Protocol | 地址解析协议 |
AUX | Auxiliary | 辅助 |
BGP | Border Gateway Protocol | 边界网关协议 |
CDP | Cisco Discovery Protocol | 思科发现协议 |
CEF | Cisco Express Forwarding | 思科快速转发 |
CISA | Cybersecurity and Infrastructure Security Agency | 网络安全和基础设施安全局 |
CNSA | Commercial National Security Algorithm Suite | 商业国家安全算法套件 |
CNSSP | Committee on National Security Systems Policy | 国家安全系统委员会政策 |
CON | Console | 控制台 |
DHCP | Dynamic Host Configuration Protocol | 动态主机配置协议 |
DMZ | Demilitarized zone | 非军事区 |
DoS | Denial of service | 拒绝服务 |
ECC | Elliptic curve cryptography | 椭圆曲线加密 |
ECP | Elliptic curve group modulo a prime | 以素数为模的椭圆曲线群 |
EIGRP | Enhanced Interior Gateway Routing Protocol | 增强型内部网关路由协议 |
ESP | Encapsulating Security Payload | 封装安全负载 |
FTP | File Transfer Protocol | 文件传输协议 |
HTTP | Hypertext Transfer Protocol | 超文本传输协议 |
IETF | Internet Engineering Task Force | 互联网工程任务组 |
IKE | Internet Key Exchange | 互联网密钥交换 |
IOS | Internetwork Operating System | 互联网络操作系统 |
IP | Internet Protocol | 互联网协议 |
IPS | Intrusion prevention system | 入侵防御系统 |
IPsec | Internet Protocol Security | 互联网协议安全 |
ISAKMP | Internet Security Association and Key Management Protocol | 互联网安全关联和密钥管理协议 |
ISP | Internet service provider | 互联网服务提供商 |
KEX | Key exchange | 密钥交换 |
LAN | Local area network | 局域网 |
LLDP | Link Layer Discovery Protocol | 链路层发现协议 |
MAC | Media access control | 媒体访问控制 |
MD5 | Message Digest 5 | 消息摘要5 |
MODP | Modular Exponent | 模幂 |
NAC | Network access control | 网络访问控制 |
NAT | Network address translation | 网络地址转换 |
NDI | Network Device Integrity | 网络设备完整性 |
NIDS | Network intrusion detection system | 网络入侵检测系统 |
NIST | National Institute of Standards and Technology | 国家标准与技术研究院 |
NSA | National Security Agency | 国家安全局 |
NSS | National Security System(s) | 国家安全系统 |
NTP | Network Time Protocol | 网络时间协议 |
OMB | Office of Management and Budget | 行政管理和预算局 |
OSPF | Open Shortest Path First | 开放最短路径优先 |
RIP | Routing Information Protocol | 路由信息协议 |
RSA | Rivest-Shamir-Adleman | |
SCP | Secure Copy Protocol | 安全复制协议 |
SFTP | Secure File Transfer Protocol | 安全文件传输协议 |
SHA | Secure Hash Algorithm | 安全哈希算法 |
SIEM | Security information and event management | 安全信息与事件管理 |
SNMP | Simple Network Management Protocol | 简单网络管理协议 |
SSH | Secure Shell | 安全外壳 |
TCP | Transmission Control Protocol | 传输控制协议 |
TFTP | Trivial File Transfer Protocol | 简单文件传输协议 |
TLS | Transport Layer Security | 传输层安全 |
UDP | User Datagram Protocol | 用户数据报协议 |
uRPF | Unicast reverse-path forwarding | 单播反向路径转发 |
UTC | Coordinated Universal Time | 协调世界时 |
VLAN | Virtual local area network | 虚拟局域网 |
VoIP | Voice over IP | IP语音 |
VPN | Virtual private network | 虚拟专用网络 |
VTY | Virtual teletype | 虚拟终端 |