网络设备安全加固

标签：FW switchport 安全 SW1 加固 网络设备 SW2 config IAR

0x00 前言

目的：对网络设备进行加固，包括基础设备安全功能配置和账户登录、密码安全策略配置。

网络设备版本

　　路由器：Cisco IOS 15.5(5)M

　　交换机：Cisco IOS 15.2(4)E

　　防火墙：Cisco ASA 9.17

网络设备配置文档

　　Cisco IOS 15.5(5)M：https://www.cisco.com/c/en/us/support/ios-nx-os-software/ios-15-5m-t/series.html

　　Cisco IOS 15.2(4)E：https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software/release/15-2_4_e/configurationguide/b_1524e_consolidated_2960p_2960c_cg.html

　　Cisco ASA 9.17：https://www.cisco.com/c/en/us/td/docs/security/asa/asa917/configuration/general/asa-917-general-config.html

 

0x01 基础设备安全功能配置

a）　所有端口上的 mac 地址的最大数量必须不大于2。在违反本安全策略的情况下，端口应设置为restrict 状 态 ， 不 能 被 设 置 为 错 误 禁 用 状 态（shutdown） 　　  操作对象：SW1、SW2   Port-Security 开启Port-Security的端口具有一定的安全功能，如限制连接的主机数、限制接入的主机。根据安全地址表判断是否满足Port-Security，安全地址表可通过动态学习源MAC地址或静态配置。

惩罚（violation）机制

当Port-Security被破坏时，会激活惩罚模式，有三类惩罚模式：

protect  :　　仅丢弃非法数据帧
restrict :　　丢弃非法数据帧同时产生一个syslog消息
shutdown :　　端口设置成err-disable,接口不可用 同时产生要给syslog消息

 SW1配置Port-Security

SW1(config)#int g0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security maximum 2
SW1(config-if)#switchport port-security violation restrict

SW1(config-if)#int g0/2
SW1(config-if)#switchport mode access
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security maximum 2
SW1(config-if)#switchport port-security violation restrict

SW1(config-if)#int g0/3
SW1(config-if)#switchport mode access
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security maximum 2
SW1(config-if)#switchport port-security violation restrict

SW1验证

　

SW2配置Port-Security

SW2(config)#int g0/0
SW2(config-if)#switchport mode access
SW2(config-if)#switchport port-security
SW2(config-if)#switchport port-security maximum 2
SW2(config-if)#switchport port-security violation restrict

对g0/1、g0/2、g0/3端口进行相同的配置

SW2验证

　　

 

b）　关闭空闲的端口

　　  操作对象：SW1、SW2

关闭SW1空闲端口

SW1#show ip interface br    //查看所有端口、已开启的端口
SW1(config)#int g0/0
SW1(config-if)#shutdown

对g1/0、g1/1、g1/2、g1/3端口做相同的操作

SW1验证

　　

关闭SW2空闲端口

SW2(config)#int g1/0
SW2(config-if)#shutdown

对g1/1、g1/2、g1/3端口做同样的操作

SW2验证

　　

 

 

0x02 密码策略配置

AAA

AAA是认证（Authentication）、授权（Authorization）和计费（Accounting）的简称，是网络安全中进行访问控制的一种安全管理机制，提供认证、授权和计费三种安全服务。

 

交换机（SW1、SW2）配置

a)  最小密码长度不得少于 12 个字符（所有用户） SW1，SW2
b)  密码复杂度设置要求应包含大小写字母，数字和特 殊字符（所有用户） SW1，SW2
    SW1(config)#aaa new-model
    SW1(config)#aaa common-criteria policy PasswordPolicy
    SW1(config-cc-policy)#min-length 12
    SW1(config-cc-policy)#upper-case 1
    SW1(config-cc-policy)#lower-case 1
    SW1(config-cc-policy)#numeric-count 1
    SW1(config-cc-policy)#special-case 1

c)  所有密码必须作为可逆密文存储在配置中     SW1，SW2
    SW1#conf te
    SW1(config)#password encryption aes

d)  本地用户的密码应作为 scrypt hash 存储在配置中 SW1，SW2
    SW1#conf te
    SW1(config)#service password-encryption

e)  设置 enable 密码为 QWEqwe258!@#     SW1，SW2
    SW1#conf te
    SW1(config)#enable password QWEqwe258!@#

使用AAA的policy,在策略里面定义密码格式要求。不过只支持本地用户使用password参数创建密码,不支持本地用户secret参数。
建立用户名与密码时应用指定密码策略，示例：
　　username user1 common-criteria-policy PassPolicy password 具体密码
将策略与用户进行绑定，然后再配置密码，密码策略才生效。

路由器（IAR）配置

a) 最小密码长度不得少于 12 个字符（所有用户） IAR 
    IAR(config)#security passwords min-length 12

b) 所有密码必须作为可逆密文存储在配置中 IAR
    IAR(config)#password encryption aes

c) 设置 enable 密码为 QWEqwe258!@# FW，IAR
    IAR(config)#enable secret QWEqwe258!@#

防火墙（FW）配置

a) 最小密码长度不得少于 12 个字符（所有用户）FW

b) 密码复杂度设置要求应包含大小写字母，数字和特 殊字符（所有用户） FW
    FW(config)# password-policy  minimum-length 12
    FW(config)# password-policy minimum-uppercase 1
    FW(config)# password-policy minimum-lowercase 1
    FW(config)# password-policy minimum-numeric 1
    FW(config)# password-policy minimum-special 1
    
c) 设置 enable 密码为 QWEqwe258!@# FW
    FW(config)# enable password QWEqwe258!@#

 

0x03 账户登录安全策略配置

交换机（SW1、SW2）配置

账户配置
a) 在用户登录系统时，应该有“For authorized users only”的 banner 提示信息。 SW1，SW2
    SW1#conf te
    SW1(config)#banner login # For authorized users only #

b) 一分钟内仅允许 5 次登录失败的尝试，超过 5 次，登录帐号锁定 1 分钟。（所有用户） SW1，SW2
    SW1(config)#aaa local authentication attempts max-fail 5

c) 启用本地控制台身份验证。成功验证后，用户应以最小权限登陆用户模式（privilege level 1） SW1，SW2 
    SW1#conf te
    SW1(config)#aaa authentication login default local
    SW1(config)#username user privilege 1 password Skills!@#258

d) 非活动超时时间不得超过 1 分钟 SW1，SW2 
    SW1#conf te
    SW1(config)#line console 0
    SW1(config-line)#exec-timeout 1

路由器（IAR）配置

a) 在用户登录系统时，应该有“For authorized users only”的 banner 提示信息。 IAR 
    IAR(config)#banner login # For authorized users only #

b) 一分钟内仅允许 5 次登录失败的尝试，超过 5 次，登录帐号锁定 1 分钟。（所有用户） IAR 
    IAR(config)#aaa local authentication attempts max-fail 5

c) 启用本地控制台身份验证。成功验证后，用户应以 最小权限登陆用户模式（privilege level 1） IAR
    IAR(config)#aaa authentication login default local
    IAR(config)#username user privilege 1 password Skills!@#258

d) 非活动超时时间不得超过 1 分钟 IAR 
    IAR(config)#line console 0
    IAR(config-line)#exec-timeout 1

防火墙（FW）配置

a) 在用户登录系统时，应该有“For authorized users only”的 banner 提示信息。 FW
    FW(config)# banner login # For authorized users only #

b) 非活动超时时间不得超过 1 分钟 FW
    FW(config)# console timeout 1

 

标签：FW,switchport,安全,SW1,加固,网络设备,SW2,config,IAR
From： https://www.cnblogs.com/jimmy-hwang/p/17312290.html