2023網(wǎng)絡(luò)基礎(chǔ)設(shè)安施全指南

網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南2023年10U/OO/118623?22PP?22?02931.2版國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告U/OO/118623?22|PP?22?0293|2023U/OO/118623?22|PP?22?0293|202310內(nèi)容南. 我容. iii1.介. 11.1任. 12.架計(jì). 22.1裝置 22.2組. 32.3門接 42.4控制. 42.5制(NAC)方案 52.6絡(luò)(VPN) 53護(hù). 83.1整性 83.2管理93.3統(tǒng). 103.4件。 114.證費(fèi)(AAA) 124.1器 124.2驗(yàn)證. 134.3授權(quán). 144.4計(jì)費(fèi). 154.5原則. 154.6嘗試。 175.密碼. 175.1設(shè)定. 185.2密碼. 195.3帳戶. 195.4密碼 195.5密碼. 215.6密碼. 235.7密碼. 236.監(jiān)控. 246.1記錄. 256.2遠(yuǎn)器. 256.3信息. 266.4時(shí)鐘. 277.服務(wù). 287.1務(wù). 287.2強(qiáng)度. 307.3協(xié)議. 317.4訪問。 317.5時(shí)間. 327.6議(TCP)狀態(tài). 33國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告U/OO/118623?22|PP?22?0293|2023U/OO/118623?22|PP?22?0293|2023107.7接. 337.8除SNMP團(tuán)串. 347.9服務(wù) 357.10協(xié)議. 367.11服務(wù)367.11.1配置SSH進(jìn)行遠(yuǎn)程管理367.11.2配置HTTP進(jìn)行遠(yuǎn)程管理..397.11.3配置SNMP進(jìn)行遠(yuǎn)程管理 408.路由。 408.1用IP路由 418.2發(fā)(uRPF). 418.3證. 429.端口. 439.1集群 439.2安全. 449.3認(rèn)VLAN 459.4口. 479.5監(jiān)控 489.6議（ARP)4910.通知和同意橫幅5010.1幅 5011.論. 51寫. 52考. 54獻(xiàn). 54指導(dǎo). 56圖和DMZ界. 國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告一、簡介管理員的的作用至關(guān)重要保護(hù)網(wǎng)絡(luò)。

網(wǎng)絡(luò)對抗對抗技術(shù)，需要專門的人員來保護(hù)網(wǎng)絡(luò)上的設(shè)備、應(yīng)用程序和信息。(NSACisco(IOS1.1關(guān)于零信任統(tǒng)管理策略。NSAU/OO/118623?22|PP?22?0293|2023年101.2 1國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告PAGE2PAGE2U/OO/118623?22|PP?22?0293|202310實(shí)施多個(gè)防御層的安全網(wǎng)絡(luò)設(shè)計(jì)對于防御威脅和保護(hù)網(wǎng)絡(luò)

應(yīng)用多層防御以獲得更多安全網(wǎng)絡(luò)設(shè)計(jì)。NSA建議根據(jù)安全最佳實(shí)踐在網(wǎng)絡(luò)外圍配置和安裝安全設(shè)備：Internet(ISP)。不同網(wǎng)絡(luò)區(qū)域之間。每層應(yīng)利用不同的供應(yīng)商來防止對手利用相同的未修補(bǔ)的漏洞來嘗試訪問內(nèi)部網(wǎng)絡(luò)。(DMZDMZ流量，例如網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)、流量檢查器或全數(shù)據(jù)包捕獲設(shè)備。PAGE3PAGE3U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南圖DMZ網(wǎng)絡(luò)中的類似系統(tǒng)應(yīng)在邏輯上分組在一起，以防止來自其他類型系統(tǒng)的對抗性橫向移動(dòng)。攻擊者將瞄準(zhǔn)更容易被利用（）（)以及ANSA建議將類似的系統(tǒng)隔離到不同的子網(wǎng)或虛擬局域網(wǎng)(VLAN)中，或者通過防火墻或過濾路由器在物理上分網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南PAGE5PAGE5U/OO/118623?22|PP?22?0293|202310(ACLVLAN后門網(wǎng)絡(luò)連接是位于不同地點(diǎn)的兩個(gè)或多個(gè)設(shè)備之間的連接。ISP管理子網(wǎng)。能夠破壞此外部邊界路由器的對手可能會繞過所有防火墻訪問內(nèi)部網(wǎng)絡(luò)。NSAACLNSA建議采用默認(rèn)拒絕、例外允許的方法ANSA（NAC希望獲得網(wǎng)絡(luò)內(nèi)部訪問權(quán)限的對手必須找到穿過網(wǎng)絡(luò)外部邊界的方法或從網(wǎng)絡(luò)內(nèi)部獲得訪問權(quán)限。NAC解決方案可防止未經(jīng)授權(quán)的物理連接并監(jiān)控網(wǎng)絡(luò)上的授權(quán)物理連接。NSA建議實(shí)施NAC(MAC（）MAC(VPN)可以在兩個(gè)端點(diǎn)之間建立VPN隧道，以通過網(wǎng)絡(luò)提供加密的通信通道。僅當(dāng)無法通過其他方法維護(hù)流量的機(jī)密性和VPN網(wǎng)關(guān)通?？蓮腎nternet訪問VPN[2]。NSAVPN(UDP)端口500UDP端口4500(ESPPAGE12PAGE12U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南根據(jù)需要端口。如果可能，將接受的流量限制為已知的VPN對等Internet協(xié)議(IP)地址。如果遠(yuǎn)程對等IP地址VPNIPVPNIPSIP(IPsecIPsec[3]。IPsecVPNIPsecInternet(IKEIPsecVPNIKE策略至少包含三個(gè)關(guān)鍵組件：Diffie?Hellman組(CNSSP15：Diffien66Diffien0個(gè)4(SHA)?384Diffienp5Pp被觀察到。建立VPN提議、策略或轉(zhuǎn)換集時(shí)，確保其遵循CNSSP15[4]CNSSP15(IETF(IPsec(CNSA[5]。為了確保它們不會被無意中使用，請禁用默認(rèn)策略和建議)和PAGE7PAGE7U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南無加密isakmp默認(rèn)策略無加密ikev2策略默認(rèn)無加密ikev2建議默認(rèn)無加密ipsec轉(zhuǎn)換集默認(rèn)注意：如果禁用默認(rèn)策略，則僅使用顯式配置的策略。使用以下示例配置命令建立IKEv2提議、策略和配置文件：加密ikev2提案<IKEV2_PROPOSAL_NAME>加密aes?gcm?256組[16|20]加密ikev2策略<IKEV2_POLICY_NAME>提案<IKEV2_PROPOSAL_NAME>加密ikev2配置文件<IKEV2_PROFILE_NAME>匹配身份遠(yuǎn)程...身份驗(yàn)證遠(yuǎn)程...身份驗(yàn)證本地...使用以下示例配置命令建立IPsec轉(zhuǎn)換集：ipsec<IPSEC_TRANSFORM_NAMEesp?gcm使用以下示例配置命令建立IPsec配置文件，該配置文件利用上面定義的IKEv2配置文件和IPsec轉(zhuǎn)換集：加密ipsec配置文件<IPSEC_PROFILE_NAME>設(shè)置轉(zhuǎn)換集<IPSEC_TRANSFORM_NAME>設(shè)置pfsgroup16設(shè)置ikev2?profile<IKEV2_PROFILE_NAME>應(yīng)使用以下配置命令將IPsec配置文件應(yīng)用到隧道接口：PAGE8PAGE8U/OO/118623?22|PP?22?0293|2023103到供應(yīng)商支持的新版本可以緩解這些漏洞。此外，應(yīng)在使用前和使用過程中驗(yàn)證下載軟件的完整性。安全

升級硬件和軟件來確保效率和安全性。國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告接口<TUNNEL_INTERFACE_NAME>隧道保護(hù)ipsec配置文件<IPSEC_PROFILE_NAME>不關(guān)機(jī)置IPsec最近的VPN漏洞（TLS）[6][7][8]。返回目錄攻擊者可以通過修改操作系統(tǒng)文件、內(nèi)存中運(yùn)行的可執(zhí)行代碼或者加載網(wǎng)絡(luò)設(shè)備操作系統(tǒng)的固件或引導(dǎo)加載(DoS)。NSAexec驗(yàn)證/sha512<路徑:文件名>PAGE9PAGE9U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告5(MD5exec驗(yàn)證/md5<路徑:文件名>[12])“oS“驗(yàn)[30][31][32]。攻擊者可能會選擇簡單地更改配置，而不是執(zhí)行這些更復(fù)雜的軟件修改。配置更改可能表明設(shè)備已受到威脅。NSA還建議實(shí)施配置更改控制流程，安全地創(chuàng)建設(shè)備配置備份以檢測未經(jīng)授權(quán)的修改。許多網(wǎng)絡(luò)設(shè)備至少有兩種不同的配置，一種或多種保存在持久性存儲中，一種活動(dòng)副本在內(nèi)存中運(yùn)行。應(yīng)保存或提exec復(fù)制運(yùn)行配置啟動(dòng)配置APAGE10PAGE10U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南(SFTP(SCP)NSA還建議檢查每個(gè)設(shè)備上是否有未使用或不必要的文件，并使用以下exec命令刪除它們：dir/遞歸全文件系統(tǒng)刪除<路徑:文件名>維護(hù)最新的操作系統(tǒng)和穩(wěn)定的軟件可以防止新版本中已識別和修復(fù)的關(guān)鍵漏洞和安全問題。運(yùn)行過時(shí)操作系統(tǒng)或易受攻擊軟件的設(shè)備容易受到各種已發(fā)布漏洞的影響，利用這些設(shè)備是攻擊者破壞網(wǎng)絡(luò)的常用技術(shù)。NSA建議將所有設(shè)備上的操作系統(tǒng)和軟件升級到供應(yīng)商提供的最新穩(wěn)定版本。升級操作系統(tǒng)可能需要額外的硬件或內(nèi)表阿里斯塔網(wǎng)絡(luò)阿魯巴網(wǎng)絡(luò)

網(wǎng)址/en/support/[9]/support?services/[10]PAGE11PAGE11U/OO/118623?22|PP?22?0293|202310小販博通思科系統(tǒng)公司戴爾極進(jìn)網(wǎng)絡(luò)

網(wǎng)址/support[11]/c/en/us/support/index.html[12]/support/home/en?us/[13]/support/[14]F5 /services/support[15]Fortinet惠普企業(yè)(HPE)

/support[16]/us/en/services.html[17]國際商業(yè)機(jī)器(IBM)/mysupport/[18]LinksysNETGEAR帕洛阿爾托網(wǎng)絡(luò)河床技術(shù)優(yōu)科網(wǎng)絡(luò)公司音墻趨勢網(wǎng)特里普·萊特優(yōu)比快守望衛(wèi)士

/support/[19]/us/support/[20]/support/[21]/support/[22]/[23][24][25]/support/[26]/support/[27]/hc/en?us/[28]/wgrd?support/overview[29]能，包括針對已知漏洞的防護(hù)。A表返回目錄PAGE12PAGE12U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南（AAA）AAA應(yīng)首先配置為使用現(xiàn)代CiscoAAA

控制訪問和減少維護(hù)通過使用AAA。iOS設(shè)備：AAA新型號所有設(shè)備均應(yīng)配置為使用集中式AAA服務(wù)器。NSA建議實(shí)施至少兩個(gè)AAA服務(wù)器以確?？捎眯圆f(xié)助檢測AAA（5.5創(chuàng)）。（S或（DiameterSAAA國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告PAGE15PAGE15U/OO/118623?22|PP?22?0293|202310AAA{tacacs|ldap<GROUP_NAME><IP_ADDRESS_1<KEY_1>tacacs?serverradius?serverNSA身份驗(yàn)證驗(yàn)證個(gè)人或?qū)嶓w的身份。所有設(shè)備應(yīng)配置為首先使用集中式服務(wù)器提供AAA服務(wù)，僅當(dāng)所有集中式服務(wù)器都不可用時(shí)AAANSA建議配置集中身份驗(yàn)證以進(jìn)行登錄并啟用（AAA<GROUP_NAME<GROUP_NAMEdefaultAAA義命名列表時(shí)，始終應(yīng)用默認(rèn)列表。A（）AP不應(yīng)使用line關(guān)鍵字，因?yàn)檫@些密碼未安全地存儲在配置中并且不提供責(zé)任。授權(quán)驗(yàn)證個(gè)人或?qū)嶓w是否有權(quán)訪問特定資源或執(zhí)行特定操作。組織、情況和設(shè)備exec(shellshellNSA115授權(quán)應(yīng)應(yīng)用于這兩個(gè)級別以及管理員使用以下配置命令使用的任何其他權(quán)限級別：AAA授權(quán)控制臺aaa授權(quán)執(zhí)行默認(rèn)組<GROUP_NAME>本地aaa授權(quán)命令1組<GROUP_NAME>本地aaa授權(quán)命令15組<GROUP_NAME>本地AAA授權(quán)配置命令應(yīng)使用默認(rèn)列表以確保配置在任何地方都應(yīng)用。A（）AAAA續(xù)被授權(quán)執(zhí)行命令。但是，請謹(jǐn)慎使用此關(guān)鍵字，因?yàn)樗赡芸赡軙谟韫芾韱T超出集中式AAA服務(wù)器上配置的訪問權(quán)限。切勿使用none關(guān)鍵字，因?yàn)樗鼤檬跈?quán)。NSAexec(shellshellaaa<GROUP_NAME>aaa1<GROUP_NAME>aaa15應(yīng)使用默認(rèn)列表以確保配置在任何地方都應(yīng)用。A（）AP具有必要的最低特權(quán)級別。這提供了額外的安全層對手必須規(guī)避才能完全破壞設(shè)備。它還可以防止管理員無意中對設(shè)備進(jìn)行配置更改。A1或可以使用權(quán)限更改各個(gè)本地帳戶的權(quán)限級別關(guān)鍵詞。使用以下配置命令將本地帳戶分配給權(quán)限級別1：用戶名<USER_NAME>權(quán)限1注意：這不會更改帳戶密碼。1在集中式AAA服務(wù)器上。(CON)(AUX(VTY)線路AAA線路連接0特權(quán)級別1線路輔助0特權(quán)級別1線路vty04特權(quán)級別1線路vty515特權(quán)級別1國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南VTY515限制身份驗(yàn)證嘗試的次數(shù)并引入登錄延遲可以防止對手對設(shè)備進(jìn)行暴力破解密碼以嘗試獲取訪問權(quán)限。NSA建議使用以下針對CiscoIOS設(shè)備的配置示例命令將失敗的遠(yuǎn)程管理嘗試限制為最多3次或更少：AAA身份驗(yàn)證嘗試登錄3Shell(SSHipssh身份驗(yàn)證重試3NSA還建議使用以下配置命令在登錄嘗試之間引入至少一秒的延遲，以顯著減慢暴力嘗試：登錄延遲1返回目錄密碼。U/OO/118623?22|PP?22?0293|2023年10月版1.2

國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告PAGE19PAGE19U/OO/118623?22|PP?22?0293|202310本節(jié)主要關(guān)注本地帳戶和密碼。傳統(tǒng)網(wǎng)絡(luò)設(shè)備使用傳統(tǒng)方法來管理本地帳戶，并且它們可能不支持建議的編寫、更改和驗(yàn)證密AAAAAANSA注意：某些設(shè)備上的默認(rèn)用戶帳戶無法刪除。NSA戶可能不可行，但每個(gè)管理員都知道的單個(gè)組帳戶并不能提供單獨(dú)的責(zé)任。NSAAAA所有其他身份驗(yàn)證請求應(yīng)通過集中式AAA服務(wù)器發(fā)生。（提供對設(shè)備的特權(quán)級別訪問。NSA（此外，在將新設(shè)備引入網(wǎng)絡(luò)時(shí)，請?jiān)趯⒃O(shè)備連接到網(wǎng)絡(luò)之前更改默認(rèn)用戶和特權(quán)級別密碼。NSACiscoIOS沒有用戶名<NAME>PAGE23PAGE23U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南算法密碼可以輕松破解并用于獲取對設(shè)備的用戶或特權(quán)級別訪問權(quán)限。CiscoIOS支持以下單向哈希和加密類型：045(MD5689S（N）（9））7類8(SHA?256PBKDF2Type9(Scrypt(NIST)有關(guān)上述密碼類型的更多信息，請參閱“思科密碼類型：最佳實(shí)踐”[33]。NSAVPN使用以下配置命令防止明文密碼：服務(wù)密碼加密PAGE21PAGE21U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南使用以下配置命令存儲本地帳戶的8類密碼哈希：用戶名<NAME>算法類型sha256秘密<PASSWORD>注意：algorithmnvram:/startup?configsecretSecret8（N）6S7密碼加密aes密鑰配置密鑰密碼加密<KEY>66注意：keyconfig?keypassword?encrypt配置命令不會存儲在nvram:/startup?config中保存的配置中。A6類注意：如果密鑰發(fā)生更改，則需要再次手動(dòng)設(shè)置6類加密密碼。配置弱密碼的設(shè)備會增加攻擊者破壞該設(shè)備的能力。攻擊者可能能夠輕松猜出弱密碼或使用公開可用的密碼（PAGE22PAGE22U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南NSA（VPN隧道(SNMP（）15AAANSA強(qiáng)烈反對使用SNMP版本1或2c。有關(guān)詳細(xì)信息，請參閱7.1禁用明文管理服務(wù)和7.8刪除SNMP讀寫團(tuán)體字符串。（NSAPAGE23PAGE23U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南NSA建議為每個(gè)設(shè)備上的每個(gè)帳戶和特權(quán)級別分配一個(gè)唯一、復(fù)雜且安全的密碼。NSA定期更改密碼歷來會導(dǎo)致使用較弱的密碼，如果用戶遵循5.5中的指導(dǎo)，則可能沒有必要強(qiáng)制執(zhí)行此策略NSA5.4測當(dāng)前密碼（如果當(dāng)前密碼是基于以前的密碼）。PAGE24PAGE24U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南包括密碼和密碼哈希值。此外，通過電子郵件發(fā)送網(wǎng)絡(luò)設(shè)備配置或?qū)⑵浯鎯υ诓皇鼙Ｗo(hù)的文件共享中可能會構(gòu)如果無法維護(hù)密碼的機(jī)密性或組織希望手破解仍在使用的密碼。Type99$14$589機(jī)密5.4返回目錄日志記錄是記錄設(shè)備活動(dòng)和跟蹤網(wǎng)絡(luò)安全事件的重要機(jī)制。它使管理員能夠檢查日志中是否存在可疑活動(dòng)并調(diào)查事件。設(shè)備上不完整的日志記錄配置可能會導(dǎo)致信息丟失或不準(zhǔn)確，并且難以關(guān)聯(lián)設(shè)備或網(wǎng)絡(luò)上發(fā)生的事(SIEM)惡意活動(dòng)。PAGE25PAGE25U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南系統(tǒng)可用于聚合和分析遠(yuǎn)程日志服務(wù)器接收到的日志。應(yīng)按照管理和預(yù)算辦公室(OMB)備忘錄M?21?31的建議保留日志[34]。僅當(dāng)啟用日志記錄時(shí)，才會在網(wǎng)絡(luò)設(shè)備上生成日志消息。設(shè)備應(yīng)配置為同時(shí)將日志消息發(fā)送到本地日志緩沖區(qū)和集中式日志服務(wù)器。NSA16MB確保使用以下配置命令啟用syslog日志記錄：登錄中使用以下配置命令增加最大本地日志緩沖區(qū)：日志記錄緩沖16777216信息性注意：這也會將日志記錄級別更改為信息性，因?yàn)楸仨毻瑫r(shí)設(shè)置兩個(gè)值。發(fā)送到遠(yuǎn)程日志服務(wù)器的日志消息不易受到損害或刪除，從而確保在設(shè)備受到損害、重新啟動(dòng)或本地日志緩沖區(qū)已滿時(shí)，消息不會受到影響。在防御DoS影響和減少單點(diǎn)故障時(shí)，多個(gè)日志服務(wù)器至關(guān)重要。NSACiscoIOSIPsec2.6(VPN使用以下配置命令配置至少兩個(gè)遠(yuǎn)程日志服務(wù)器：國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告PAGE27PAGE27U/OO/118623?22|PP?22?0293|202310日志記錄主機(jī)<IP_ADDRESS_1>日志記錄主機(jī)<IP_ADDRESS_2>A（（記錄陷阱信息日志記錄緩沖16777216信息性注意：這還將設(shè)置本地日志緩沖區(qū)的最大大小，因?yàn)楸仨毻瑫r(shí)設(shè)置兩個(gè)值。monitorVTY沒有日志控制臺沒有日志記錄監(jiān)視器NSA還建議使用協(xié)調(diào)世界時(shí)(UTC)作為時(shí)區(qū)，特別是在網(wǎng)絡(luò)跨越多個(gè)時(shí)區(qū)的情況下。所有日志消息都應(yīng)包含（）（時(shí)鐘時(shí)區(qū)UTC00AAAA登錄失敗日志登錄成功日志(NTPNSA訪問時(shí)間服務(wù)器，并且應(yīng)用配置后時(shí)鐘已同步。NSANTPNTP使用以下配置命令建立受信任的NTP密鑰并啟用NTP身份驗(yàn)證：ntp<#1md5<KEY>ntp<#1>ntp<#2md5<KEY>ntp<#2>NTP驗(yàn)證PAGE31PAGE31U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南P7P6AES使用以下配置命令將設(shè)備與至少兩個(gè)不同的NTP服務(wù)器同步：ntp服務(wù)器<IP_ADDRESS_1>鍵<#1>ntp服務(wù)器<IP_ADDRESS_2>鍵<#2>注意：每個(gè)命令末尾的數(shù)字是用于驗(yàn)證該特定服務(wù)器的可信NTP密鑰。等待時(shí)鐘同步后，使用以下exec命令驗(yàn)證NTP服務(wù)器的同步和狀態(tài)：顯示ntp狀態(tài)顯示ntp關(guān)聯(lián)注意：每次NTP配置更改后都需要驗(yàn)證時(shí)鐘同步，并且可能需要幾個(gè)小時(shí)才能正確同步。返回目錄SSH(HTTP)SNMP(FTP)

（PAGE29PAGE29U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南（）NSA（TelnetHTTPFTPSNMP1/2c）。7.11配置Telnetvty04vty515VTY第5行到第15行注意：這些命令還可能禁用默認(rèn)情況下線路上啟用的其他服務(wù)，包括SSH。有關(guān)如何啟用SSH的詳細(xì)信息，請參閱7.11.1配置SSH進(jìn)行遠(yuǎn)程管理。使用以下配置命令禁用HTTP服務(wù)：沒有iphttp服務(wù)器7.11.2HTTP通過使用以下配置命令刪除任何配置的團(tuán)體字符串，禁用SNMP和SNMP陷阱服務(wù)的版本1和2c：PAGE30PAGE30U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南沒有snmp服務(wù)器社區(qū)<COMMUNITY_STRING>沒有snmp服務(wù)器主機(jī)<HOSTNAME_OR_IP_ADDRESS><COMMUNITY_STRING>SNMP37.11.3SNMP。通過使用以下配置命令刪除任何行來禁用簡單文件傳輸協(xié)議(TFTP)：沒有tftp服務(wù)器<文件名>FTP服務(wù)一般不啟用作為監(jiān)聽服務(wù)，但該協(xié)議可以作為客戶端使用。使用以下配置命令刪除FTP憑據(jù)：沒有ipftp用戶名沒有ipftp密碼某些加密服務(wù)需要生成公鑰和私鑰對，以便客戶端可以連接服務(wù)器并進(jìn)行身份驗(yàn)證。另外，加密連接的客戶端和服務(wù)NSA(NSSCNSSP15[4]CNSSP15(IPsec(CNSAIETFTLSDTLS1.21.3(CNSASecureShell(SSH(CNSA[5][35][36]。NSSNISTSP800?52F[37]PAGE31PAGE31U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南A2（4)630724096（算）1服務(wù)。（NSA建議確保管理服務(wù)使用最新版本的協(xié)議，并充分啟用適當(dāng)?shù)陌踩O(shè)置。SSH版本2是遠(yuǎn)程訪問設(shè)備的首選HTTP(TLS1.27.11如果允許大量設(shè)備連接到管理服務(wù)，它們就更容易受到利用。NSA建議將ACL配置為僅允許L（上。LNVLAN?？紤]使用帶有保留IP的動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)PAGE32PAGE32U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南地址，或?yàn)楣芾硐到y(tǒng)分配靜態(tài)IP地址，以便更輕松地定義ACL并限制對管理服務(wù)的管理訪問。ACLpermitACL訪問列表<ACL#>允許<NETWORK><WILDCARD_MASK>日志access?list<ACL#>拒絕任何日志有關(guān)如何將ACL應(yīng)用到特定管理服務(wù)的更多信息，請參閱7.11配置遠(yuǎn)程網(wǎng)絡(luò)管理服務(wù)。AL沒有訪問列表<ACL#>DoSDoS空閑時(shí)的會話。A（Y7.11PAGE33PAGE33U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南(TCP從設(shè)備發(fā)送和接收的TCP保持活動(dòng)消息允許設(shè)備在給定時(shí)間范圍內(nèi)沒有發(fā)生任何活動(dòng)時(shí)評估連接狀態(tài)。這些消息可TCPTCPNSA建議使用以下配置命令為所有TCP連接的入站和出站消息啟用TCP保持活動(dòng)設(shè)置：tcp?keepalives?in請注意，某些設(shè)備不支持TCPkeep?alive消息的配置。（t和ACLNSA建議使用以下配置命令禁用出站連接，以限制對手在網(wǎng)絡(luò)中移動(dòng)：線路連接0傳輸輸出無線路vty04vty515PAGE34PAGE34U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南VTY第5行到第15行SSH并限ACLSNMPSNMP版本1或2cSNMPNSASNMPSNMP版本3或2cSNMP體string如果獲取只讀社區(qū)字符串。所有版本1和2cSNMP團(tuán)體字符串都可以使用以下exec命令列出：顯示運(yùn)行配置|包括snmp?server社區(qū)注意：讀寫團(tuán)體字符串將包含RW關(guān)鍵字，而只讀團(tuán)體字符串將包含RO關(guān)鍵字。使用以下配置命令禁用SNMP讀寫社區(qū)字符串：沒有snmp服務(wù)器社區(qū)<COMMUNITY_STRING>PAGE35PAGE35U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南在設(shè)備的初始安裝過程中，默認(rèn)情況下會啟用多個(gè)TCP和UDP服務(wù)，盡管所提供的功能對于正常操作來說是不必要的。cisco?sa?20170214?smiInternet[38][39]。AA（5LLNSA還建議使用以下配置命令立即禁用所有設(shè)備上的思科智能安裝服務(wù)：沒有虛擬堆棧CiscoSmartInstallTCPUDP沒有服務(wù)國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告PAGE36PAGE36U/OO/118623?22|PP?22?0293|202310思科發(fā)現(xiàn)協(xié)議(CDP)和鏈路層發(fā)現(xiàn)協(xié)議(LLDP)是廣播協(xié)議，它們定期向支持該協(xié)議并偵聽數(shù)據(jù)包的相鄰設(shè)備VLAN獲得有價(jià)值的信息來利用網(wǎng)絡(luò)上的系統(tǒng)。NSA建議在所有能夠使用CDP和LLDP的設(shè)備上禁用這些功能（oP)）可以使用以下配置命令全局禁用CDP和LLDP：沒有cdp運(yùn)行沒有l(wèi)ldp運(yùn)行接口<接口>沒有啟用cdp本節(jié)介紹如何正確啟用常見的遠(yuǎn)程網(wǎng)絡(luò)管理服務(wù)。配置SSHSSH連接：線路vty04傳輸輸入ssh線路vty515傳輸輸入sshTelnetVTY第5行到第15行可以使用以下exec命令確認(rèn)允許的輸入傳輸：顯示第<LINE><LINE_NUMBER>行使用以下配置命令禁用SSH版本1連接并僅允許協(xié)議版本2：ipssh版本2使用以下配置命令為SSH生成新的非對稱Rivest?Shamir?Adleman(RSA)密鑰對：加密密鑰生成rsa模數(shù)3072注意：此命令將覆蓋現(xiàn)有的RSA密鑰對。使用以下配置命令為SSH生成新的非對稱ECC密鑰對：加密密鑰生成ec密鑰大小384注意：此命令將覆蓋現(xiàn)有的ECC密鑰對。使用以下配置命令將最小Diffie?Hellman密鑰大小設(shè)置為4096位：IPSSHDH分鐘4096注意：某些設(shè)備不支持3072位Diffie?Hellman密鑰大小，因此為4096推薦位。PAGE38PAGE38U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南可以使用以下配置命令指定SSH協(xié)議接受的加密、密鑰交換(KEX)和消息驗(yàn)證代碼算法（包括首選順序）：ipsshkexsshmacCNSSP15[4]。CNSSP15Shell(SSH)的IETF[36]。SSH服務(wù)的配置可以通過以下exec來確認(rèn)命令：顯示ipssh使用以下配置命令應(yīng)用標(biāo)準(zhǔn)ACL以僅允許管理員使用的IP地址：線路vty04訪問類<ACL#>中線路vty515訪問類<ACL#>中VTY515LACL7.45分鐘或更短線路連接0執(zhí)行超時(shí)50線路vty04執(zhí)行超時(shí)50PAGE39PAGE39U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南線路vty515執(zhí)行超時(shí)50如果特定設(shè)備上不存在VTY第5行到第15行，則無需執(zhí)行這些命令。HTTP如果HTTP用于管理目的，請使用以下配置命令啟用HTTPoverTLS：iphttp安全服務(wù)器使用以下配置命令僅接受TLS版本1.2：iphttptls?版本TLSv1.2可以使用以下配置命令指定加密HTTP服務(wù)接受的密碼套件（包括首選順序）：iphttpsecure?ciphersuite<CIPHERSUITE>[<CIPHERSUITE>...]CNSSP15[4]CNSSP15TLSDTLS1.21.3IETF[35]。使用以下配置命令應(yīng)用標(biāo)準(zhǔn)ACL以僅允許管理員使用的IP地址：iphttp訪問類<ACL#>注意：如果啟用了明文HTTP服務(wù)，此ACL也適用于該服務(wù)。有關(guān)創(chuàng)建標(biāo)準(zhǔn)ACL的更多信息，請參閱7.4限制對服務(wù)的訪問。HTTP0（）PAGE40PAGE40U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南SNMPSNMP（SNMP3：snmp服務(wù)器組<SNMPv3_GROUP>v3priv訪問<ACL#>snmp?serveruser<SNMPv3_GROUPv3authsha<AUTH_PASSWORDpriv256<PRIV_PASSWORD<ACL#>privauthPriv（）AES?192AES?256AES?128AES?128AES256access關(guān)鍵字將ACLACL可以使用以下shell命令從Linux系統(tǒng)測試上述SNMP配置：snmpget?v3?u>?asha?lauthPriv?A <AUTH_PASSWORD> ?xAES\?X <PRIV_PASSWORD> <IP_ADDRESS>..0返回目錄不同的目的地，從而允許收集、操縱或丟棄敏感數(shù)使用

據(jù)，這將違反機(jī)密性、完整性或安全性。惡意濫用?？捎眯?。PAGE42PAGE42U/OO/118623?22|PP?22?0293|202310IPIP還可以使用IP源路由功能成功繞過ACL和其他網(wǎng)絡(luò)限制，本質(zhì)上是選擇自己的網(wǎng)絡(luò)路徑。盡管此漏洞與路由器以及數(shù)據(jù)包的路由方式相關(guān)，但該功能也可以在交換機(jī)上被利用。NSA（上禁用IP源路由IPIPv6使用以下配置命令禁用IP源路由：沒有ip源路由沒有ipv6源路由（uRPF）uRPF是一種防止IP欺騙的方法，它指示路由器檢查數(shù)據(jù)包中的源地址和目標(biāo)地址。當(dāng)接口接收到數(shù)據(jù)包時(shí)，會數(shù)據(jù)包的源地址。NSA建議在外圍路由器的外部接口上啟用uRPF。在路由器上，必須在uRPF之前啟用Cisco快速轉(zhuǎn)發(fā)（其）令在單個(gè)接口上啟用uRPF：ip頭文件接口<接口>ip驗(yàn)證單播反向路徑NSAOSPF(OSPF鑰匙鏈<KEY_CHAIN_NAME>鍵<KEY_NUMBER>密鑰字符串<KEY>加密算法hmac?sha?512接口<接口>ipospf身份驗(yàn)證密鑰鏈<KEY_CHAIN_NAME>NSA通過使用以下配置命令將唯一的密碼密鑰應(yīng)用于每個(gè)單獨(dú)的對等方，啟用邊界網(wǎng)關(guān)協(xié)議(BGP)路由身份驗(yàn)證：路由器bgp<AS_NUMBER>對等<IP_ADDRESS_1>密碼<KEY>PAGE44PAGE44U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南通過使用以下配置命令創(chuàng)建密鑰鏈并將其應(yīng)用到每個(gè)接口，啟用增強(qiáng)型內(nèi)部網(wǎng)關(guān)路由協(xié)議(EIGRP)身份驗(yàn)證：鑰匙鏈<KEY_CHAIN_NAME>加密算法hmac?sha?512接口<接口>ip身份驗(yàn)證密鑰鏈eigrp<AS_NUMBER><KEY_CHAIN_NAME>CNSSP15[4]。(RIP)RIP版本1RIP返回目錄網(wǎng)絡(luò)交換機(jī)的接口端口將工作站、服務(wù)器和其他設(shè)備物理連接到網(wǎng)絡(luò)，而路由器和交換機(jī)之間的互連定義了系統(tǒng)如何通過網(wǎng)絡(luò)進(jìn)行通防止對手連接到你的網(wǎng)絡(luò)。中繼是交換VLAN封裝幀的兩個(gè)設(shè)備之間的點(diǎn)對點(diǎn)鏈路。根據(jù)通過鏈路發(fā)送的流量，接口可能會PAGE44PAGE44U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南VLANNSAVLAN僅使用以下配置命令嚴(yán)格配置靜態(tài)訪問的接口端口：接口<接口>交換機(jī)端口模式訪問接口<接口>交換機(jī)端口模式中繼設(shè)備的物理接口端口通常是限制對網(wǎng)絡(luò)的物理訪問的主要手段。端口安全限制允許連接到交換機(jī)端口的有效MAC地址NSAMACP（NAC時(shí)使用MAC地址SNMPTrunkPAGE45PAGE45U/OO/118623?22|PP?22?0293|202310國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南使用以下配置命令在最多具有一個(gè)MAC地址的靜態(tài)訪問端口上啟用端口安全：接口<接口>1switchportswitchport端口安全mac地址粘性一旦第一個(gè)授權(quán)系統(tǒng)連接到該端口，sticky關(guān)鍵字將允許設(shè)備在配置中插入MAC地址。shutdownlimitMACVLANN（例VLAN措施，默認(rèn)VLAN可能會跨越整個(gè)網(wǎng)絡(luò)，并使授權(quán)系統(tǒng)面臨更高的被獲得訪問權(quán)限的未授權(quán)系統(tǒng)利用的風(fēng)險(xiǎn)。A（）（國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告國家安全局|網(wǎng)絡(luò)安全技術(shù)報(bào)告PAGE47PAGE47U/OO/118623?22|PP?22?0293|202310VLANID標(biāo)記VLAN中VLANNANANNNVLANN)NVLAN500名稱NATIVE?TRUNKVLAN997名稱未使用的訪問權(quán)限關(guān)閉接口<接口>交換機(jī)端口模式中繼交換機(jī)端口訪問VLAN997交換機(jī)端口中繼本機(jī)VLAN500交換機(jī)端口中繼允許VLAN2?40