網路交換機配置常見命令

  計算機網路的高速發展,網路應用需求量不斷增加,基於TCP/IP的乙太網交換機和路由器成為不可缺少的通訊裝置.下面是小編跟大家分享的是,歡迎大家來閱讀學習~

  

  中國館交換機安全審計規範1

  1交換機配置的安全2

  1.1口令的安全性2

  1.2口令加密服務2

  1.3許可權分級策略3

  1.4VTY的訪問控制3

  1.5配置埠的超時4

  1.6VTP協議加密5

  1.7路由協議加密5

  1.8限制路由協議泛洪6

  2交換機網路服務安全配置7

  2.1CDP協議7

  2.2HTTP服務7

  2.3BOOTP服務8

  2.4SNMP配置安全9

  2.5Figner服務10

  2.6IP源路由10

  3日誌及資訊管理11

  3.1啟用日誌伺服器11

  3.2Banner資訊12

  4交換機介面安全12

  4.1Proxy ARP12

  4.2IP Redirects13

  4.3關閉IP Unreachable Messages14

  4.4配置Portfast和BPDU Guard14

  4.5配置埠安全15

  4.6配置DHCP監聽16

  4.7配置ARP防護17

  4.8配置IP Source Guard19

  4.9關閉未使用介面20

  5控制層面安全管理20

  5.1COPPControl Plane Protection20

  1 交換機配置的安全

  1.1 口令的安全性

  Ø 風險級別

  高

  Ø 風險描述

  攻擊者可能利用暴力猜解口令登入交換機。

  Ø 檢查方法

  詢問交換機管理人員口令長度與複雜度。

  Ø 推薦值

  口令長度應大於8位,且應由數字、字母、符號,三者相混合。

  Ø 加固方法

  在特權模式下使用enable secret命令更改口令。

  Ø 注意事項

  無

  1.2 口令加密服務

  Ø 風險級別

  高

  Ø 風險描述

  未使用口令加密服務會對所有具有檢視配置的使用者暴露除secret口令以外的任何口令。

  Ø 檢查方法

  使用show run命令檢視配置檔案,是否存在service password-encryption欄位。

  Ø 推薦值

  使用口令加密服務。

  Ø 加固方法

  在特權模式下,使用service password-encryption命令開啟口令加密服務。

  Ø 注意事項

  無。

  1.3 許可權分級策略

  Ø 風險級別

  底

  Ø 風險描述

  單使用者的登陸配置方式可能會對口令和使用者的管理帶來不便。

  Ø 檢查方法

  使用show run命令,檢視是否建立了不同許可權的配置使用者。

  Ø 推薦值

  對不同角色,如:日誌審計員、網路管理員等,建立不同許可權的使用者。

  Ø 加固方法

  在ACS上,建立不同許可權的使用者。

  Ø 注意事項

  需要網路管理員根據實際情況進行新增。

  1.4 VTY的訪問控制

  Ø 風險級別

  中

  Ø 風險描述

  非授權的配置地址來源會訪問到交換機,為惡意的攻擊者提供了暴力猜解口令機會。

  Ø 檢查方法

  使用show run命令,檢視是否建立了相應的ACL列表如:access-list 101 permit ip 172.16.8. 0 0.0.0.255 192.168.2.254 0.0.0.0 log,以及是否在VTY埠上應用,如:access-class 101 in。

  Ø 推薦值

  設定特定的IP地址訪問交換機。

  Ø 加固方法

  在特權模式下使用access-list 101 permit ip 172.16.8. 0 0.0.0.255 192.168.2.254 0.0.0.0 log命令設定授權IP地址的訪問控制策略,進入VTY介面,使用access-class 101 in命令應用該策略。

  Ø 注意事項

  需要網路管理員確定授權的IP地址,且該IP地址可以訪問交換機。

  1.5 配置埠的超時

  Ø 風險級別

  高

  Ø 風險描述

  管理員的疏忽可能會造成非授權者檢視或修改交換機配置。

  Ø 檢查方法

  使用show run命令,檢視con、vty、AUX埠是否配置了超時,如:exec-timeout 5 0。

  Ø 推薦值

  設定超時不大於5分鐘。

  Ø 加固方法

  分別進入con埠、VTY埠、AUX埠,使用exec-timeout 5 0命令配置埠超時。

  Ø 注意事項

  無

  1.6 VTP協議加密

  Ø 風險級別

  高

  Ø 風險描述

  可以讓攻擊者通過VTP協議學習到網路VLAN,從而進行二層網路攻擊。

  Ø 檢查方法

  使用show vtp password檢查密碼是否配置。

  Ø 推薦值

  口令長度應大於8位,且應由數字、字母、符號,三者相混合。

  Ø 加固方法

  全域性模式下

  vtp password xxxxxxx。

  Ø 注意事項

  無

  1.7 路由協議加密

  Ø 風險級別

  高

  Ø 風險描述

  攻擊者可以利用OSPF路由協議自動協商鄰居的特性學習到整網拓撲。

  Ø 檢查方法

  使用show run檢查OSPF相關配置。

  Ø 推薦值

  口令長度應大於8位,且應由數字、字母、符號,三者相混合。

  Ø 加固方法

  全域性模式下

  router ospf 100

  area 0 authentication message-digest

  介面模式下

  ip ospf message-digest-key 1 md5 xxxxxxxx

  Ø 注意事項

  無

  1.8 限制路由協議泛洪

  Ø 風險級別

  高

  Ø 風險描述

  攻擊者可以利用OSPF路由協議自動協商鄰居的特性學習到整網拓撲。

  Ø 檢查方法

  使用show run interface vlan xxx檢查。

  Ø 推薦值

  關閉閘道器介面泛洪LSA的特性。

  Ø 加固方法

  介面模式下

  ip ospf database-filter all out

  Ø 注意事項

  僅在閘道器介面配置。

  2 交換機網路服務安全配置

  2.1 CDP協議

  Ø 風險級別

  底

  Ø 風險描述

  蓄意攻擊者可能通過擷取CDP包分析交換機的相關資訊。

  Ø 檢查方法

  使用show cdp run 命令檢視CDP協議的開啟情況。

  Ø 推薦值

  不使用CDP協議,如無法避免則應指定埠釋出CDP包。

  Ø 加固方法

  在介面模式下

  no cdp enable

  Ø 注意事項

  僅在接入層交換機access介面下配置。

  2.2 HTTP服務

  Ø 風險級別

  高

  Ø 風險描述

  惡意攻擊者可以利用交換機開啟的HTTP服務發起攻擊從而影響交換機效能。

  Ø 檢查方法

  使用show run命令,檢視配置中相應的http server欄位。

  Ø 推薦值

  關閉http服務。

  Ø 加固方法

  在特權模式下

  no ip http server

  Ø 注意事項

  無

  2.3 BOOTP服務

  Ø 風險級別

  中

  Ø 風險描述

  惡意攻擊者可以利用該服務發起DDOS攻擊。

  Ø 檢查方法

  使用show run命令,檢視配置中相應的BOOTP欄位。

  Ø 推薦值

  關閉BOOTP服務。

  Ø 加固方法

  在特權模式下

  no ip bootp server

  Ø 注意事項

  無

  2.4 SNMP配置安全

  Ø 風險級別

  高

  Ø 風險描述

  惡意攻擊者可以利用預設的SNMP通訊字截獲交換機管理資訊,甚至可以通過SNMP管理破壞交換機配置。

  Ø 檢查方法

  使用show run命令,檢視配置中相應的snmp欄位。

  Ø 推薦值

  修改預設的public、private通訊字。

  Ø 加固方法

  在特權模式下使用命令snmp-server community XXX ro命令設定只讀通訊字,使用snmp-server community XXX rw命令設定讀寫通訊字。

  Ø 注意事項

  相關使用SNMP的網管軟體或安全監控平臺通訊字需一併進行修改。

  2.5 Figner服務

  Ø 風險級別

  中

  Ø 風險描述

  UNIX使用者查詢服務,允許遠端列出系統使用者的資訊,有助於幫助攻擊者收集使用者資訊,建議關閉。

  Ø 檢查方法

  使用show run命令,檢視配置中相應的Figner欄位。

  Ø 推薦值

  關閉Figner服務。

  Ø 加固方法

  在特權模式下

  no ip finger

  no service finger

  Ø 注意事項

  無

  2.6 IP源路由

  Ø 風險級別

  中

  Ø 風險描述

  IP source routing功能的開啟允許資料包本身指定傳輸路徑,對攻擊者來說好的特性,攻擊者可以通過該功能跳躍NAT裝置,進入內網。

  Ø 檢查方法

  使用show run命令,檢視配置中相應的欄位。

  Ø 推薦值

  關閉IP源路由。

  Ø 加固方法

  在特權模式下

  no ip source-route

  Ø 注意事項

  僅三層裝置上配置

  3 日誌及資訊管理

  3.1 啟用日誌伺服器

  Ø 風險級別

  低

  Ø 風險描述

  沒有審計日誌可能會對網路的監控,突發事件的處理帶來不便。

  Ø 檢查方法

  使用show run命令檢視配置檔案中的logging欄位。

  Ø 推薦值

  開啟交換機日誌審計,並且設定日誌伺服器。

  Ø 加固方法

  在特權模式下使用logging on、logg facility local6命令開啟審計日誌功能,使用logg X.X.X.X命令指定日誌伺服器和CiscoWorks。

  Ø 注意事項

  首先需要在系統內建立日誌伺服器和CiscoWorks。

  3.2 Banner資訊

  Ø 風險級別

  低

  Ø 風險描述

  帶有敏感資訊的banner可能會給蓄意攻擊者提供交換機資訊。

  Ø 檢查方法

  使用show run命令檢視banner資訊。

  Ø 推薦值

  不顯示交換機的資訊,如:交換機型號、軟體、所有者等。

  Ø 加固方法

  在特權模式下使用banner命令設定資訊。

  Ø 注意事項

  無。

  4 交換機介面安全

  4.1 Proxy ARP

  Ø 風險級別

  中

  Ø 風險描述

  三層閘道器作為第二層地址解析的代理,代理ARP功能如果使用不當會對網路造成影響。

  Ø 檢查方法

  使用show run interface vlan XXX命令檢視。

  Ø 推薦值

  關閉Proxy ARP

  Ø 加固方法

  在介面模式下

  no ip proxy-arp

  Ø 注意事項

  配置在各匯聚層交換機上,僅在使用者閘道器上關閉Proxy ARP服務。

  4.2 IP Redirects

  Ø 風險級別

  中

  Ø 風險描述

  三層裝置會對特定的包傳送ICMP REDIRECT MESSAGE,對攻擊者來說,有助於瞭解網路拓撲,對非可信的網路關閉。

  Ø 檢查方法

  使用show run interface vlan xxx命令檢視。

  Ø 推薦值

  關閉ip redirects。

  Ø 加固方法

  在介面模式下

  no ip redirects

  Ø 注意事項

  配置在各匯聚層交換機上,僅在使用者閘道器上關閉ip redirects服務。

  4.3 關閉IP Unreachable Messages

  Ø 風險級別

  中

  Ø 風險描述

  如果傳送者的目標地址不可達,三層裝置會通告原因給傳送方,對於攻擊者來說,可以瞭解網路資訊,並且利用該特性發出的大量的錯誤目地包,將會導致交換機CPU利用率升高,對交換機進行DOS攻擊。

  Ø 檢查方法

  使用show run interface vlan XXX命令檢視。

  Ø 推薦值

  關閉ip unreachables

  Ø 加固方法

  在介面模式下

  no ip unreachables

  Ø 注意事項

  配置在各匯聚層交換機上,僅在使用者閘道器上關閉ip unreachables服務。

  4.4 配置Portfast和BPDU Guard

  Ø 風險級別

  高

  Ø 功能描述

  在交換機的配置中,對連線主機的埠應該啟用spanning-tress portfast和portfast bpduguard功能。啟用portfast功能後,埠的狀態會從blocking直接進入到forwarding,能夠大大縮短一個埠從連線到轉發的時間週期。啟用portfast bpduguard功能,當portfast埠上受到BPDU時,會自動關閉埠,可以避免網路邊緣“非法”交換機的連線和HUB的串聯。

  Ø 檢查方法

  使用show run interface fx/x/x命令檢視。

  Ø 推薦值

  開啟portfast和bpduguard

  Ø 加固方法

  在介面模式下使用

  spanning-tree portfast

  spanning-tree bpduguard enable

  Ø 注意事項

  僅在接入層交換機access介面下配置

  4.5 配置埠安全

  Ø 風險級別

  高

  Ø 功能描述

  建議在所有access埠上使用埠安全特性,防止MAC地址泛洪,MAC地址欺騙等常見二層攻擊,該特性可實現如下功能。

  l 包括限制埠上最大可以通過的MAC地址數量

  l 埠上學習或通過特定MAC地址

  l 對於超過規定數量的MAC處理進行違背處理

  Ø 檢查方法

  使用show run interface fx/x/x,show port-security命令檢視。

  Ø 推薦值

  開啟埠安全

  Ø 加固方法

  在介面模式下使用

  switchport port-security //開啟埠安全功能//

  switchport port-security violation restrict //將來自未受權主機的幀丟棄//

  switchport port-security aging static //設定MAC永不超時//

  switchport port-security mac-address 0010.c6ce.0e86 //靜態繫結MAC//

  Ø 注意事項

  僅在接入層交換機access介面下配置

  4.6 配置DHCP監聽

  Ø 風險級別

  高

  Ø 功能描述

  採用DHCP可以自動為使用者設定網路IP地址,掩碼,閘道器,DNS,WINS等網路引數,簡化了使用者網路中設定,提高了管理效率。由於DHCP的重要性,正對DHCP的攻擊會對網路造成嚴重影響。DHCP的攻擊主要包括兩種:

  l DHCP伺服器的冒充:假冒DHCP伺服器加入網路

  l 針對DHCP伺服器的DOS攻擊:攻擊者發出洪水般的DHCP請求知道DHCP伺服器資源耗竭

  DHCP Snooping描述

  針對這兩種攻擊,Cisco交換機支援DHCP snooping功能對DHCP的保護

  DHCP Snooping技術是DHCP安全特性,通過建立和維護DHCP Snooping繫結表過濾不可以信任的DHCP資訊,這些資訊是指來自不信任區域的DHCP資訊。DHCP Snooping繫結表包含不信任區域的使用者MAC地址,IP地址,租用期,VLAN ID等介面資訊,DHCP Snooping並且能提供DHCP必要的保護。

  Ø 檢查方法

  使用show ip dhcp snooping,show run命令檢視配置中相應的欄位。

  Ø 推薦值

  開啟DHCP Snooping

  Ø 加固方法

  全域性命令

  ip dhcp snooping//全域性啟動dhcp snooping//

  ip dhcp snooping vlan 301-331,535-549 //定義對哪些VLAN進行DHCP監聽//

  在介面模式下

  ip dhcp snooping trust//一般連線DHCP伺服器和交換機上連埠//

  no ip dhcp snooping trust //介面預設為非信任介面,無法接受DHCP respone資訊,這樣可以杜絕非法DHCP Server接入內網//

  ip dhcp snooping limit rate 30 //定義dhcp包的轉發速率每秒資料包數PPS,超過就介面就shutdown,預設不限制//

  Ø 注意事項

  僅在接入層就交換機上配置,交換機上連埠以及連線DHCP伺服器的埠需配置成Trust介面

  4.7 配置ARP防護

  Ø 風險級別

  高

  Ø 功能描述

  ARP協議是在TCP/IP協議棧中最常用的協議,但由於ARP協議自身設計的缺陷,基於ARP的攻擊成為攻擊者最為常用的一種攻擊手段,簡單而有效。常見的ARP攻擊有ARP欺騙和ARP泛洪兩種。

  DAI描述

  思科Dynamic ARP InspectionDAI在交換機上提供IP地址和MAC地址的繫結,並動態建立繫結關係。DAI以DHCP Snooping繫結表為基礎,對於沒有使用DHCP的伺服器個別機器可以採用靜態新增ARP access-list實現。DAI配置正對VLAN,對於同一VLAN內的介面可以開啟DAI也可以關閉。通過DAI可以控制某個埠的ARP請求報文數量。通過這些技術可以防範“中間人”攻擊。

  配置DAI後:

  在配置DAI技術的介面上,使用者端採用靜態指定地址的方式接入網路

  由於DAI檢查DHCP Snooping繫結表中的IP和MAC對應關係,ARP欺騙攻擊。

  DAI預設對ARP請求報文做了速度限制,客戶端無法進行人為或者病毒進行的IP掃描,探測等行為,如果發生這些行為,交換機馬上報警或直接切斷掃描機器。

  配置了DAI後用戶獲取IP地址後,使用者不能修改IP或MAC,因為dhcp繫結表中有了合法的IP和MAC以及埠的對應關係,如果你用靜態的話修改之後發ARP請求時因為啟用了DAI,所以會檢測ARP請求包中的IP和MAC對應關係,當發現對應表中不一致的IP MAC對應時,將發不出ARP請求。

  注意:DAI只檢查ARP包。

  Ø 檢查方法

  使用show ip arp inspection,show run命令檢視配置中相應的欄位。

  Ø 推薦值

  開啟ARP inspection

  Ø 加固方法

  全域性命令

  ip arp inspection vlan 301-331,545-549 //定義對哪些VLAN進行ARP檢測//

  ip arp inspection validate src-mac ip //檢查ARP包中的源MAC和IP//

  在介面模式下

  ip arp inspection trust//一般連線交換機上連埠//

  no ip arp inspection trust //介面預設為非信任介面,檢查所有ARP資料包//

  ip arp inspection limit rate 30 //定義介面每秒 ARP 報文數量,超過的話介面就errordisable //

  Ø 注意事項

  僅在接入層交換機山配置,交換機上連埠需配置成Trust介面。

  4.8 配置IP Source Guard

  Ø 風險級別

  高

  Ø 功能描述

  IP Source Guard技術配置在交換機上僅支援2層埠上的配置,通過下面的機制可以防範IP/MAC欺騙:

  l IP Source Guard使用DHCP Snooping繫結表資訊。

  l 配置在交換機埠上,並對該埠生效。

  l IP Souce Guard運作機制類似DAI,但是IP Source Guard不僅僅檢查ARP報文,DAI只檢查ARP報文所有經過定義IP Source Guard檢查的埠的報文都要檢測。

  l IP Source Guard檢查介面所通過的流量的IP地址和MAC地址是否在DHCP Snooping繫結表,如果不在繫結表中則阻塞這些流量。注意如果需要檢查MAC需要DHCP伺服器支援Option 82,同時使用網路裝置需支援Option 82資訊。

  Ø 檢查方法

  使用show run inertface X/X/X命令檢視配置中相應的欄位。

  Ø 推薦值

  開啟IP Source Guard

  Ø 加固方法

  在介面模式下

  ip verify source port-security //在埠啟用ip source guard //

  Ø 注意事項

  僅接使用者埠配置,連線伺服器或印表機埠不配

  4.9 關閉未使用介面

  Ø 風險級別

  高

  Ø 功能描述

  防止非法人員接入網路

  Ø 檢查方法

  使用show ip int brief命令檢視。

  Ø 推薦值

  配置成Acess介面

  Ø 加固方法

  在介面模式下

  shut down

  Ø 注意事項

  僅在接入層交換機未使用介面上配置。

  5 控制層面安全管理

  5.1 COPPControl Plane Protection

  Ø 風險級別

  中

  Ø 風險描述

  交換機控制引擎是整個裝置的大腦,負責處理所有控制層面的資訊。而網路黑客有可能偽裝成特定型別的需要控制層面處理的資料包直接對路由裝置進行攻擊,因為路由裝置的控制引擎處理能力是有限,即使是最強大硬體架構也難以處理大量的惡意DDoS攻擊流量,所以需要部署適當的反制措施,對裝置控制引擎提供保護。

  檢查方法

  使用show run命令檢視配置檔案中的logging欄位。

  Ø 推薦值

  開啟COPP

  Ø 加固方法

  ip access-list copp-system-acl-telnet

  10 permit tcp any any eq telnet

  20 permit tcp any eq telnet any

  ip access-list copp-system-acl-ssh

  10 permit tcp any any eq 22

  20 permit tcp any eq 22 any

  ip access-list copp-system-acl-snmp

  10 permit udp any any eq snmp

  20 permit udp any any eq snmptrap

  ip access-list copp-system-acl-ospf

  10 permit ospf any any

  ip access-list copp-system-acl-tacacs

  10 permit tcp any any eq tacacs

  20 permit tcp any eq tacacs any

  ip access-list copp-system-acl-radius

  10 permit udp any any eq 1812

  20 permit udp any any eq 1813

  30 permit udp any any eq 1645

  40 permit udp any any eq 1646

  50 permit udp any eq 1812 any

  60 permit udp any eq 1813 any

  70 permit udp any eq 1645 any

  80 permit udp any eq 1646 any

  ip access-list copp-system-acl-ntp

  10 permit udp any any eq ntp

  20 permit udp any eq ntp any

  ip access-list copp-system-acl-icmp

  10 permit icmp any any echo

  20 permit icmp any any echo-reply

  ip access-list copp-system-acl-traceroute

  10 permit icmp any any ttl-exceeded

  20 permit icmp any any port-unreachable

  class-map type control-plane match-any copp-system-class-critical

  match access-group name copp-system-acl-ospf

  class-map type control-plane match-any copp-system-class-exception

  match exception ip option

  match exception ip icmp unreachable

  class-map type control-plane match-any copp-system-class-management

  match access-group name copp-system-acl-ntp

  match access-group name copp-system-acl-radius

  match access-group name copp-system-acl-ssh

  match access-group name copp-system-acl-tacacs

  match access-group name copp-system-acl-telnet

  class-map type control-plane match-any copp-system-class-monitoring

  match access-group name copp-system-acl-icmp

  match access-group name copp-system-acl-traceroute

  class-map type control-plane match-any copp-system-class-normal

  match protocol arp

  class-map type control-plane match-any copp-system-class-redirect

  match redirect dhcp-snoop

  match redirect arp-inspect

  policy-map type control-plane copp-system-policy

  class copp-system-class-critical

  police cir 39600 kbps bc 250 ms conform transmit violate drop

  class copp-system-class-management

  police cir 10000 kbps bc 250 ms conform transmit violate drop

  class copp-system-class-exception

  police cir 360 kbps bc 250 ms conform transmit violate drop

  class copp-system-class-normal

  police cir 680 kbps bc 250 ms conform transmit violate drop

  class copp-system-class-redirect

  police cir 280 kbps bc 250 ms conform transmit violate drop

  class copp-system-class-monitoring

  police cir 130 kbps bc 1000 ms conform transmit violate drop

  class class-default

  police cir 100 kbps bc 250 ms conform transmit violate drop

  control-plane

  service-policy input copp-system-policy