1.帐号权限加固对网络设备的管理权限进行划分和限制,将登录口令密文保存在配置文件中,确保系统帐号口令长度和复杂度满足安全要求,避开使用弱口令1、加强用户认证,对网络设备的管理权限进行划分和限制2、修改帐号存在的弱口令(包括 SNMP 社区串),设置网络系统的口令长度>8 位3、禁用不需要的用户4、对口令进行加密存储1、Central(config)# username brian privilege 5 password g00d+pa55w0rdCentral(config)# line con 0Central(config-line)# login localCentral(config-line)# endenable secret level 5 privilege exec level 15 show logging2、password
Enable sec Snmp-server community 3、no username4. service password-encryption;例外:SNMP community strings、RADIUS keys、TACACS+ keys2.网络服务加固关闭网络设备中不安全的服务,确保网络设备只开启承载业务所必需的网络服务1、 禁用 httpserver,或者对httpserver 进行访问控制1. Central(config)# no ip http serverSet up usernames and passwordsCreate and apply an IP access list to limit access to the web server.Configure and enable syslog loggingSample:Central(config)# ! Add web admin users, then turn on http authCentral(config)# username nzWeb priv 15 password 0 C5-A1rCarg0Central(config)# ip http auth local2、 关闭不必要的 SNMP 服务,若必须使用,应采纳 SNMPv3 以上版本并启用身份验证、更改默认社区串Central(config)# ! Create an IP access list for web accessCentral(config)# no access-list 29Central(config)# access-list 29 permit host 14.2.6.18 logCentral(config)# access-list 29 permit 14.2.9.0 0.0.0.255 logCentral(config)# access-list 29 deny any logCentral(config)# ! Apply the access list then start the serverCentral(config)# ip http access-class 29Central(config)# ip http serverCentral(config)# exit• Explicitly unset (erase) all existing community strings.• Disable SNMP system shutdown and trap features.• Disable SNMP system processing.Central(config)# ! erase old community...
