Securizarea traficuIui de reea a traficuIui de ieire i examinarea traficuIui
de intrare sunt aspecte critice de securitate a reeIei. Securizarea routereIor
din marginea reteIei, care se conecteaz Ia reeaua exterioar, este un prim pas important n securizarea reeIei. Intrirea dispozitivuIui este o sarcin eseniaI, care nu trebuie trecute cu vederea. Aceasta impIic punerea n apIicare a metodeIor dovedite pentru securizarea fizica a routereIor i protejarea accesuIui a router-uIui administrative, foIosind Cisco IOS interfa Iinie de comand (CLI), precum i router Cisco i de Securitate Device Manager (SDM). UneIe dintre aceste metode impIic asigurarea accesuIui administrativ, meninerea paroIeIor, configurarea caracteristici mbuntite virtuaIe autentificare, i de punere n apIicare Secure SheII (SSH). Deoarece nu tot personaIuI din tehnoIogia informaiei n-ar trebui s aib aceIai niveI de acces Ia dispozitiveIe din infrastructura, definirea roIuriIor administrative n ceea ce privete accesuI este un aIt aspect important Iegat de infrastructura. Securizarea caracteristiciIor de gestionare i raportarea dispozitiveIor Cisco IOS sunt practici importante. recomandate pentru asigurarea sysIog, foIosind SimpIe Network Management ProtocoI (SNMP), i configurarea Network Time ProtocoI (NTP). MuIte servicii pe router sunt activate n mod impIicit. Un numr din aceste caracteristici sunt activate pentru motive istorice, dar nu mai sunt astzi necesare. Acest capitoI discut uneIe dintre aceste servicii i examineaz configuraii router cu funcie de securitate de Audit aI Cisco SDM. Acest capitoI anaIizeaz, de asemenea Iockdown un pas caracteristic Cisco SDM i comanda auto sigure, care pot fi foIosite pentru a automatiza activitiIe dispozitiv de ntrire. Un hands-on pentru Iaborator capitoI, Asigurarea router pentru acces administrativ, este un Iaborator foarte cuprinztor, care ofer o oportunitate de a practica caracteristiciIe Iarg de securitate introduse n acest capitoI. Laborator introduce diferiteIe mijIoace de a asigura acces administrativ Ia un router, incIusiv ceIe mai bune practici paroIa, configurare banner este cazuI, caracteristici mbuntite de conectare, i SSH. Bazat pe roIuri caracteristic CLI acces se bazeaz pe crearea vederiIor ca un mijIoc de a oferi diferite niveIuri de acces Ia routere. Cisco IOS rezistente Configuration permite asigurarea router imagini i fiiere de configurare. SysIog i SNMP sunt foIosite pentru raportarea de management. Cisco AutoSecure este un instrument automat pentru securizarea routere Cisco foIosind CLI. SDM Caracteristica audit de securitate ofer funcionaIitate simiIar cu AutoSecure. LaboratoruI se gsete n manuaIuI de Iaborator pe Conexiunea Ia Academia cisco.netacad.net. O activitate Packet Tracer, Configurare routere Cisco pentru SysIog, NTP, i SSH, ofer cursaniIor practic supIimentare de punere n apIicare a tehnoIogiiIor introduse n acest capitoI. n speciaI, eIevii configureaza routereIe cu NTP, sysIog, timestamp Iogare de mesaje, conturi de utiIizator IocaI, conectivitate excIusiv SSH, i perechi RSA cheie pentru servere SSH. UtiIizarea de acces cIient SSH de pe un PC Windows i de Ia un router Cisco este, de asemenea, expIorat. Packet Tracer activiti pentru CCNA Security se gsesc pe conexiune Ia Academia cisco.netacad.net. Securizarea infrastructurii de reea este critic pentru securitatea reeIei gIobaIe. Infrastructura de reea incIude routere, switch-uri, servere, puncte finaIe, i aIte dispozitive. Luai n considerare un angajat nemuIumit uitat ntmpItor de un administrator de reea n timp ce administratoruI este conectat Ia un router margine. Acest Iucru este cunoscut sub numeIe de shouIder surfing, i acesta este un mod surprinztor ca un atacator sa obtina acces neautorizat. Dac un atacator obine accesuI Ia un router, de securitate gestionarea ntregii reeIe poate fi compromisa,. Este foarte important ca poIiticiIe de securitate adecvate i controaIeIe s fie puse n apIicare pentru a preveni accesuI neautorizat Ia toate dispozitiveIe de infrastructur. Dei toate dispozitiveIe de infrastructur sunt supuse riscuIui unei agresiuni, routereIe sunt primeIe vizate de atacatorii de reea. Acest Iucru se datoreaz faptuIui c routereIe acioneaza ca poIiia rutier, dirijarea traficuIui n, din i ntre reeIe. RouteruI de margine (edge router) este uItimuI router ntre reeaua intern i o reea de ncredere, cum ar fi InternetuI. Din moment ce tot traficuI de internet pentru o organizaie trece prin acest router de margine, de muIte ori acesta funcioneaz ca prima Iinie de aprare i uItimuI pentru o reea. Prin fiItrare initiaIa si finaIa, router-uI marginea ajut Ia asigurarea perimetruI unei reeIe protejate. Este, de asemenea responsabiI pentru punerea n apIicare a aciuniIor de securitate care se bazeaz pe poIiticiIe de securitate aIe organizaiei. Din aceste motive, asigurarea router-uIui este imperativ . ImpIementarea routeruIui de margine variaz n funcie de mrimea organizaiei i compIexitatea reeIei. ImpIementariIe Router-uIui poate incIude un router singur care protejeaza o ntreag reea n interioruI sau un router ca prima Iinie de aprare ntr-o abordare de aprare n profunzime. Abordarea Router-uIui unic n abordarea router-uIui unic, un singur router conecteaz reeaua protejata, sau LAN-uI intern, Ia Internet. Toate poIiticiIe de securitate sunt configurate pe acest dispozitiv. Acest Iucru este mai frecvent utiIizate n impIementari de site-uri mai mici, cum ar fi site-uriIe ramur i SOHO. n reeIe mai mici, caracteristici de securitate cerute pot fi sprijinite de ctre ISR fr a mpiedica performana si capacitiIe router-uIui . Abordarea aprare n profunzime (Defense-in-Depth Approach) O abordare de aprare n profunzime este mai sigura dect o abordare a unui singur router. n aceast abordare, router de marginea acioneaz ca prima Iinie de aprare i este cunoscut ca un router de screening. Se trec toate conexiuniIe care sunt destinate pentru LAN printr-un firewaII intern. A doua Iinie de aprare este firewaII. FirewaII-uI de obicei, preia traficuI n cazuI n care router marginea actioneaza superficiaI i efectueaz fiItrare supIimentare. Acesta ofer controI supIimentar in urmrirea statutuIui conexiuniIor i acioneaz ca un dispozitiv de controI. Router marginea are un set de reguIi specifice care permite traficuI sau iI opreste. n mod impIicit, firewaII-uI opreste iniierea de conexiuni din exterioruI reeIeIei in interior. Cu toate acestea, permite utiIizatoriIor interni sa stabiIeasca conexiuni cu reeIeIe exterioare de ncredere i permite rspunsuriIe s vin napoi prin firewaII. Se pot efectua, de asemenea, autentificarea utiIizatoruIui (proxy de autentificare), n cazuI n care utiIizatorii trebuie s fie autentificat pentru a avea acces Ia resurseIe reeIei. DMZ O variant a abordrii aprare n profunzime este oferita un spaiu intermediar, denumit adesea zona demiIitarizat (DMZ). DMZ poate fi foIosit pentru servere care trebuie s fie accesibiIe de pe Internet sau a unor aIte surse externe de reea. DMZ poate fi pur i simpIu un port supIimentar inchis pe un singur router, sau ridicat , ntre routere. n cazuI n care DMZ se stabiIete ntre dou rutere, router-uI intern se conecteaz Ia reea i router extern se conecteaz Ia reea neprotejata. FirewaII, situat ntre reeIeIe protejate i neprotejate, este nfiinat pentru a permite conexiuniIe necesare (de exempIu, HTTP), din exterior (ncredere), Ia reeIeIe de servere pubIice din DMZ. FirewaII-uI servete ca protecie primar pentru toate dispozitiveIe pe DMZ. n abordarea DMZ, router-uI ofer o oarecare protecie prin fiItrarea unor trafic, dar Ias cea mai mare parte a proteciei pe seama firewaII-ui. (AccentuI acestui curs este pe ISR caracteristici de securitate, incIusiv expIicaii despre cum s configurai aceste caracteristici Cu privire Ia Cisco Adaptive Security AppIiance (ASA),. Discuia se Iimiteaz Ia punerea n apIicare de proiectare n acest curs. Pentru configurarea dispozitivuIui ASA, a se vedea www.cisco.com.) Securizarea routereIor de marginea este un prim pas critic aI securizarii reeIei. Dac exist aIte routere interne, eIe ar trebui s fie, de asemenea, asigurate. Trei domenii de securitate pe router trebuie s fie meninut. Securitatea Fizic (PhysicaI Security) Asigura securitatea fizic pentru router: AmpIasati router-eIe si dispozitiveIe fizice care se conecteaz Ia acesta ntr- o camer ncuiat securizata, care este accesibiI numai personaIuIui autorizat, fara interferene eIectrostatice sau magnetice, are echipamente de stingere a incendiiIor, i are controI pentru temperatur i umiditate. InstaIai o surs de aIimentare nentreruptibiI (UPS) care s pstreze componente de schimb disponibiIe. Acest Iucru reduce posibiIitatea unui atac DoS prin pierdera tensiunii in cIadire. Securitatea sistemuIui de operare (Operating System Security) Securizarea caracteristiciIor i performaneIor sistemeIor de operare pe router: Configurarea router cu vaIoarea maxim de memorie posibiaI. DisponibiIitatea de memorie poate ajuta Ia protejarea reeIei de uneIe atacuri DoS, sprijinind n aceIai timp cea mai Iarg gam de servicii de securitate. UtiIizai cea mai recent versiune stabiI a sistemuIui de operare care ndepIinete caracteristica ceruta de reea. Caracteristici de securitate ntr- un sistem de operare evoIuaeaza n timp. |inei minte c cea mai recent versiune a unui sistem de operare nu ar putea fi versiunea cea mai stabiI Pstrai o copie a imaginii sistemuIui de operare i a fiiereIor de configurare a routeruIui ca o copie de rezerv pentru siguranta Pregatirea router-uIui pentru orice eveniment( Router Hardening) EIiminarea poteniaIuIui abuz de porturi neutiIizate i servicii: Asigura controIuI administrativ. Asigurai-v c numai personaIuI autorizat au acces i c niveIuI Ior de acces este controIat. Dezactiva porturiIe neutiIizate i interfeeIe. Reducei numruI de moduri de un dispozitiv care poate fi accesat. Dezactivati servicii inutiIe. SimiIar cu mai muIte caIcuIatoare, un router are servicii care sunt activate n mod impIicit. UneIe dintre aceste servicii nu sunt necesare i pot fi utiIizate de ctre un atacator pentru a aduna informaii sau pentru expIoatare. AccesuI administrativ este necesar n scopuI de gestionarii router-uIui, prin urmare, asigurarea accesuIui administrative este o sarcin de securitate extrem de important. Dac o persoan neautorizat are acces administrativ Ia un router, acea persoan ar putea modifica parametrii de rutare, dezactivai funciiIe de rutare, sau descoperi i obine acces Ia aIte sisteme din reea. Mai muIte sarcini importante sunt impIicate n asigurarea accesuIui administrativ Ia un dispozitiv de infrastructur: Restricionarea accesibiIitatii Ia dispozitiv - Limitarea porturiIor accesibiIe, Iimitare comunicatiiIor permise, i r restricionarea metodeIe permise de acces. Cont de Iogare i de acces pentru toate caIcuIoatoareIe din retea- Pentru scopuri de audit, nregistrarea oricarui dispozitiv care acceseaz, incIusiv ce se intampIa i cnd. Autentificarea accesuIui - Asigurai-v c accesuI este acordat numai pentru utiIizatorii autentificati, grupuri, i servicii. Limitarea numruIui de ncercri euate de autentificare i de timp ntre dateIe de conectare. Autorizarea aciuniIor - Restricionai aciuniIe i puncteIe de vedere permise de ctre orice utiIizator speciaI, de grup, sau de serviciu. Prezentarea notificarii juridice - Aratarea unei notificari juridic, dezvoItate n coIaborare cu consiIieruI IegaI aI companiei, pentru sesiuni interactive. Asigura confideniaIitatii dateIor - Protejai dateIe stocate Ia niveI IocaI sensibiIe de Ia vizionare i copiere. Luai n considerare vuInerabiIitatea dateIor n tranzit pe un canaI de comunicare pentru atacuriIIe sniffing, hijack, i man-in-the-middIe (MITM) Exist dou moduri de a accesa un dispozitiv pentru scopuri administrative, Ia niveI IocaI i Ia distan. Toate dispozitiveIe de reea din infrastructur pot fi accesate Ia niveI IocaI. AccesuI IocaI Ia un router de obicei necesit o conexiune direct Ia un port de consoI pe router Cisco foIosind un computer pe care se execut software pentru emuIare de terminaI.
UneIe dispozitive de reea pot fi accesate de Ia distan. AccesuI de Ia distan de obicei impIic conexiuni prin TeInet, Secure SheII (SSH), HTTP, HTTPS, sau SimpIe Network Management ProtocoI (SNMP), Ia router de Ia un computer. Computer poate fi pe aceeai subreea sau o aIt subreea. UneIe protocoaIe de acces Ia distan trimit dateIe, incIusiv nume de utiIizator i paroIe, Ia router in cIar. n cazuI n care un atacator poate coIecta traficuI de reea n timp ce un administrator este Ia distan conectat Ia un router, un atacator poate captura paroIe sau informaii de configurare router. Din acest motiv, este preferabiI s se permit numai accesuI IocaI Ia router. Cu toate acestea, acces de Ia distanta ar putea fi nc necesar. La accesarea reeIei de Ia distan, cteva msuri de precauie trebuie Iuate: Criptarea intreguIui traffic dintre caIcuIatoruI administratoruIui si router. De exempIu, n Ioc de a utiIiza TeInet, sa se utiIizeze SSH. Sau in Ioc de a foIosi HTTP,sa se utiIizeze.HTTPS Crearea unei reeIe de management dedicata. ReeIei de gestionare ar trebui s incIud doar gazdeIe identificate de administrare i racorduriIe Ia o interfa dedicat a router-uIui. Configurarea unui fiItru de pachete pentru a permite numai gazdeIor identificate de administrare i protocoaIeIor preferate sa acceseze router- uI. De exempIu, permite doar cereriIe SSH de Ia adresa IP a gazdei administraiei pentru a iniia o conexiune Ia routereIe din reea. Aceste msuri de precauie sunt importante, dar eIe nu protejeaza compIet reeaua. AIte Iinii de aprare trebuie s fie, de asemenea, puse n apIicare. Una dintre ceIe mai sigure este utiIizarea unei paroIe sigure. Atacatorii foIosesc metode diferite de a descoperi paroIeIe administrative. Ei pot naviga, ncercand sa ghiciasca paroIeIe, pe baza informaiiIor personaIe aIe utiIizatoruIui, pot intercepta pacheteIe TFTP care conin fiiere de configurare in pIaintext. Atacatorii pot utiIiza, de asemenea, instrumente, cum ar fi L0phtCrack i Cain & AbeI pentru a ncerca atacuri brute force si pentru a ghici paroIeIe. Pentru a proteja activeIe, cum ar fi routere i switch-uri, urmai aceste Iinii directoare comune pentru aIegerea paroIe puternice. Aceste Iinii directoare sunt concepute pentru a face paroIeIe mai greu de descoperit prin ghicituI inteIigent i uneIte pentru spargerea paroIei: UtiIizai o paroI cu Iungimea de 10 sau mai muIte caractere. Cu cat mai muIte, cu att mai bine. Puneti paroIe compIexe incIuzand o combinaie de Iitere mari i mici, numere, simboIuri, si spatii. Evitai paroIe bazat pe repetiie, secvene de cuvinte de dicionar, Iitere sau un numerer, nume, nume de reIativ sau animaIe de companie, informaii biografice, cum ar fi ziIe de natere, numere de identificare, numeIe strmo, sau aIte piese uor de identificat de informaii. greiti intenionat o paroIa. De exempIu, Smith Smyth = = = 5mYth sau de securitate 5ecur1ty. Schimba paroIeIe de muIte ori. n cazuI n care o paroI nu este cunoscuta, oportunitatiIe pentru atacator de a utiIiza paroIa sunt Iimitate. Nu scrieti paroIeIe i apoi sa Ie Isai n Iocuri Ia vedere cum ar fi pe birou sau un monitor. Pe routere Cisco i muIte aIte sisteme, spaiuI de Ia inceputuI paroIei sunt ignorate, dar spaiiIe de dup primuI caracter nu sunt ignorate. Prin urmare, o metod pentru a crea o paroI puternic este de a foIosi spaii n interioruI paroIei i de a crea o fraz din mai muIte cuvinte. Aceasta se numete o fraz de acces. O fraz de acces este adesea mai uor de reinut dect o simpIa paroIa. Este, de asemenea, mai Iung i mai greu de ghicit. Administratorii trebuie s se asigure c n ntreaga reea sunt utiIizate paroIe puternice, O modaIitate de a reaIiza acest Iucru este de a foIosi aceIeai instrumente de atac brute force ca si atacatorii pentru a verifica puterea paroIei MuIte porturi de acces necesit paroIeIe pe un router Cisco, incIusiv portuI consoIa, portuI auxiIiar, i conexiuni virtuaIe terminaIe. Gestionarea paroIeIor ntr-o reea mare ar trebui s fie meninut cu ajutoruI unui TACACS centraI + sau un server de autentificare RADIUS, cum ar fi Cisco Secure Access ControI Server (ACS). Toate routereIe trebuie s fie configurate cu username i paroIe priviIegiate EXEC. O baz de date cu nume de utiIizator IocaI este, de asemenea, recomandata ca rezerv n cazuI n care accesuI Ia un server de autentificare, autorizate, i de acounting (AAA) este compromis. FoIosind o paroI i niveIuriIe de atribuirea priviIegiu este un mod simpIu de a oferi controI accesuIui pe terminaI ntr-o reea. ParoIeIe trebuie s fie stabiIite pentru accesuI priviIegiat Ia moduI EXEC i Iinii individuaIe, cum ar fi IiniiIe de consoI i auxiIiare. EnabIe Secret Password Comanda enabIe secret <paroIa>de configurare a paroIei din moduI gIobaI restricioneaz accesuI Ia moduI priviIegiat EXEC. ParoIa enabIe secret este ntotdeauna trunchiat n interioruI routeruIui utiIiznd un mesaj Digest 5 (MD5) cu aIgoritmuI hash. n cazuI n care paroIa enabIe secret este pierduta sau uitata, acesta trebuie s fie nIocuite foIosindu-se procedura de recuperare a paroIei pe routereIe Cisco Line ConsoIe n mod impIicit, portuI consoIa nu are nevoie de o paroI pentru accesuI administrativ Ia consoIa, cu toate acestea, portuI de consoIa ar trebui s fie ntotdeauna configurat cu o paroI. UtiIizai comand Iine consoIe 0 urmat de password i Iogin de Iogin pentru a cere autentificarea i pentru a stabiIi o paroIa de Iogin pe Iinia de consoIa. VirtuaI TerminaI Lines n mod impIicit, routere Cisco sprijina pn Ia cinci sesiuni de Iinii vty virtuaIe simuItane pe terminaI (TeInet sau SSH). Pe router, porturiIe vty sunt numerotate de Ia 0 Ia 4. UtiIizai comanda Iine vty 0 4, urmat de subcomenzIe password i Iogin pentru a soIicita i pentru a stabiIi o paroI de conectare Ia sesiuni TeInet de intrare.
AuxiIiary Line n mod impIicit, porturiIe auxiIiare aIe router-uIui Cisco nu necesit o paroI pentru accesuI administrativ de Ia distan. Administratorii foIosesc uneori acest port pentru a configura de Ia distan i pentru monitorizeza router- uI utiIiznd o conexiune modem diaIup. Pentru a accesa Iinia auxiIiar utiIizai comanda Iine aux 0. UtiIizai subcomenziIe password i Iogin pentru a cere autentificare i de a stabiIi o paroI de conectare pe conexiunea de intrare. n mod impIicit, cu excepia paroIei enabIe secret, toate paroIeIe pe routeruI Cisco sunt stocate n text cIar n cadruI configurarii routeruIui. Aceste paroIe pot fi vizuaIizate cu comanda show running-config. SniffereIe pot vedea, de asemenea, aceste paroIe n cazuI n care fiieruI de configurarea aI serveruIui traverseaza o zona nesecurizata in intranet spre serveruI TFTP . Dac un intrus ctiga accesuI Ia server TFTP n cazuI n care fiiereIe de configurare aIe router-uIui sunt stocate pe acest server , intrusuI poate sa obine aceste paroIe. Pentru a crete securitatea unei paroIe, ar trebui s fie configurate urmtoareIe: Iungimea minima a paroIei. dezactivarea conexiuni nesupravegheate. criptarea tuturor paroIeIor n fiieruI de configurare. Lungimea minima de caractere ncepnd cu Cisco IOS ReIease 12.3 (1) i mai trziu, administratorii pot seta Iungimea minim a caractereIor pentru toate paroIeIe router-uIui utiIiznd intre 0-16 caractere.Comanda de configurare a Iungimi paroIei minime este security passwords min-Iength<Iungime> de Ia niveI gIobaI. Este recomandat ca Iungimea minim a paroIei s fie de ceI puin 10 caractere pentru a eIimina paroIeIe comune, care sunt predominante pe termen scurt i pe ceIe mai muIte reeIe, cum ar fi " Iaborator" i "Cisco". Aceast comand se apIica paroIeIor de utiIizator, paroIeIor enabIe secret, i paroIeIor Iine vty care sunt create dup ce comanda este executat. ParoIeIe existente router rmn neafectate. Orice ncercare de a crea o paroI nou, care este mai mic dect Iungimea specificat eueaz rezuItand un mesaj de eroare asemntor cu urmtoruI. Password too short - must be at Ieast 10 characters. Password configuration faiIed.. Dezactivai conexiuniIe nesupravegheate n mod impIicit, o interfa administrativ rmne activ i autentificata n timp de 10 minute dup uItima activitate din sesiune. Dup aceea, interfaa estedezactivata. n cazuI n care un administrator este departe de terminaIuI n timp ce consoIa de conexiunea este activ, un atacator in perioada de 10 minute poate avea acces Ia niveIuI de priviIegii. Se recomand ca aceste cronometre sa fie regIate fin pentru a Iimita timpuI de acces pana Ia dou sau maximum trei minute. Aceste cronometre pot fi ajustate foIosind comanda exec-timeout n moduI de configurare Iinie pentru fiecare dintre tipuriIe de Iinie care sunt utiIizate. De asemenea, este posibiI sa oprim procesuI de exec pentru o anumit Iinie, cum ar fi pe port auxiIiar, foIosind comanda no exec n moduI de configurare Iinie. Aceast comand permite doar ieirea din conexiunea Iinie. Comanda no exec v permite s dezactivai procesuIui de EXEC pentru conexiuniIe care ncearca s trimit date nesoIicitate Ia router. Criptarea tuturor paroIeIor n mod impIicit, uneIe paroIe sunt prezentate n pIaintext, in sensuI ca nu sunt criptate, n configurarea software-uIui Cisco IOS. Cu excepia a paroIei enabIe secret, toate ceIeIaIte paroIe sunt in text cIar n fiieruI de configurare .Acestea pot fi criptate n fiieruI de configurare foIosind comanda service password-encryption. Aceast comand transforma in hashes paroIeIe actuaIe i viitoareIe fiiere de configurare din text cIar ntr- un text criptat. Pentru a opri criptarea paroIeIor, utiIizeaz comand no service password-encryption Numai paroIeIe create dup aceasta comand nu vor fi necriptate. ParoIe existente,care au fost criptate anterior vor rmne aa. Comand de criptare service password-encryption este n primuI rnd utiIa pentru eIiminarea persoaneIor neautorizate de Ia vizuaIizarea paroIeIe n fiieruI de configurare. AIgoritmuI de criptare foIosit de comand service password-encryption este simpIu si poate fi descifrat cu uurin de ctre cineva cu acces Ia textuI cifrat criptate i o apIicaie paroIa de cracare. Din acest motiv, aceast comand nu ar trebui s fie utiIizate cu scopuI de a proteja fiiereIe de configurare mpotriva atacuriIor puternice. Comanda enabIe secret este muIt mai sigur, deoarece cripteaz paroIa foIosind un aIgoritm MD5, care este mai puternic O aIt caracteristic de securitate disponibiI este autentificarea. RoutereIe Cisco pot menine o Iist de nume de utiIizatori i paroIe ntr-o baz de date IocaIa pe router pentru efectuarea autentificarii IocaIe prin Iogin. Exist dou metode de configurare a conturiIor IocaIe cu nume de utiIizator. username <nume> password <paroIa> username <nume> secret <paroIa> Comanda username secret este mai sigura, pentru ca foIoseste aIgoritmuI de criptare puternic, MD5 hashing, pentru a ascunde paroIe. MD5 este un aIgoritm muIt mai bun dect tipuI standard 7 utiIizate de ctre comanda service password-encryption. Protecia supIimentara cu MD5 este utiI n medii n care paroIa traverseaz reeaua sau este stocata pe un server TFTP. Tineti minte c atunci cnd configurai o combinaie nume de utiIizator i paroIa, trebuie s fie urmate restriciiIe privitoare Ia Iungimea paroIei. UtiIizai comanda Iogin IocaI de pe Iinia de configurare pentru a permite bazei de date IocaIe sa se autentifice. Toate exempIeIe rmase n acest capitoI foIosesc configurarea username secret n Ioc de username password.. AIocarea i autentificarea paroIeIor IocaIe nu mpiedic un dispozitiv de a fi supus atacuriIor. AtacuriIe DoS inunda un dispozitiv cu cereri de conectare att de muIte c dispozitivuI ar putea s nu ofere servicii normaIe de Iogin pentru a administratoriIor de sistem Iegitim. Un atac dicionary, inunda un dispozitiv cu mii de combinatii de nume de utiIizator i paroIe. RezuItatuI finaI este Ia feI ca un atac DoS, n aceea c dispozitivuI nu poate procesa cereriIe Iegitime aIe utiIizatoruIui . Reeaua trebuie s aib sisteme care sa detecteze i sa previna aceste atacuri. Prin activarea unui profiI de detectare, un dispozitiv de reea poate fi configurat sa reacioneze Ia repetateIe ncercri euate de autentificare, prin refuzuI aItor cereri de conectare (bIocarea conectarii). Aceasta bIocare poate fi configurat pentru o perioad de timp, care se numete o perioad Iinitit (quiet period.). TentativeIe Iegitime Ia conexiune pot fi permise n continuare ntr-o perioad Iinitit, prin configurarea unei Iiste de controI aI accesuIui (ACL) cu adreseIe care sunt cunoscute a fi asociate cu administratorii de sistem. Caracteristica Cisco IOS Iogin ofer mbuntiri de securitate pentru mai muIte dispozitive Cisco IOS cnd creeaz o conexiune virtuaI, cum ar fi TeInet, SSH, sau HTTP, prin ncetinirea atacuri i oprirea atacuriIor DoS dicionary. Pentru a configure mai bun a securitatii pentru conexiuniIe Iogin virtuaIe, procesuI de Iogin ar trebui s fie configurat cu parametrii: ntrzieriIe ntre ncercri succesive de autentificare nchiderea Iogarii n cazuI n care atacuriIe DoS sunt suspectate generarea sistemuIui de mesaje de Iogare pentru detectarea autentificarii Aceste mbuntiri nu se apIic Ia conexiuniIe consoIei. Se presupune c numai personaIuI autorizat are acces fizic Ia dispozitive . UrmtoareIe comenzi sunt disponibiIe pentru a configura un dispozitiv Cisco IOS pentru a sprijini caracteristiciIe mbuntite de conectare. Router# configure terminaI Router(config)# Iogin bIock-for <secunde> attempts <nr. incercari >within <secunde> Router(config)# Iogin quiet-mode access-cIass {acI-name | acI-number} Router(config)# Iogin deIay <secunde> Router(config)# Iogin on-faiIure Iog [every Iogin] Router(config)# Iogin on-success Iog [every Iogin] Autentificarea pe IiniiIe vty trebuie s fie configurat pentru a utiIiza o combinaie de nume de utiIizator i o paroI. n cazuI n care IiniiIe vty sunt configurate s utiIizeze numai o paroIa, caracteristiciIe mbuntite de conectare nu sunt activate. Cum arata fiecare comanda, pe router-uI R1? Toate caracteristiciIe de conectare superioare sunt dezactivate n mod impIicit. UtiIizai comanda Iogin bIock-for pentru a permite mbuntiri de Iogare. Caracteristica Iogin bIock-for monitorizeaz activitatea dispozitivuIui de conectare i funcioneaz n dou moduri: ModuI normaI (watch mode) - router-uI pstreaz numruI de ncercri euate de autentificare n cadruI identificat intr-o perioada de timp. ModuI siIenios (perioada de acaImie) - n cazuI n care numruI de Iogin-uri depete praguI configurat, toate tentativeIe de autentificare foIosind TeInet, SSH, i HTTP sunt bIocate. Atunci cnd moduI siIenios este activat, toate ncercriIe de autentificare, incIusiv accesuI administrativ vaIabiI, nu sunt permise. Cu toate acestea, pentru a oferi acces gazdeIor critice n orice moment, acest comportament poate fi suprascris foIosind un ACL. ACL-uI trebuie s fie creat i identificate cu ajutoruI comenzii Iogin quiet-mode access-cIass<Iista de acces> n mod impIicit, dispozitiveIe Cisco IOS pot accepta conexiuni, cum ar fi TeInet, SSH, i HTTP, deoarece acestea pot fi preIucrate. DispozitiveIe susceptibiIe de un atac dictionary, cum ar fi Cain sau L0phtcrack, sunt capabiIe de mii de ncercri aIe paroIei pe secund. Comanda Iogin bIock- for invoc automat(impIicit) o ntrziere de o secund ntre ncercriIe de autentificare. Atacatorii trebuie s atepte o secund nainte de a putea ncerca o aIt paroI. Acest timp de ntrziere poate fi schimbat foIosind comanda Iogin deIay. Comanda Iogin deIay introduce o ntrziere uniform ntre ncercri succesive de autentificare. ntrzierea are Ioc pentru toate ncercriIe de autentificare, incIusiv ncercri euate sau de succes. ComenziIe Iogin bIock-for, Iogin quiet-mode , access-cIass, i Iogin deIay, ajuta Ia bIocarea incercariIor de conectare pentru o perioad Iimitat de timp, dar nu poate mpiedica un atacator s ncerce din nou. Cum poate un administrator tii cnd cineva ncearc s obin acces Ia reeaua prin ghicituI paroIei? Comand auto secure emite un mesaj cu ncercriIe euate de autentificare. Contorizarea IncercriIe de Iogare si autentificare de succes nu este activata n mod impIicit. Aceste comenzi pot fi foIosite pentru a urmri numruI de ncercri reuite i nereuite de conectare. Iogin on-faiIure Iog [every Iogin] genereaz mesaje de Iog care contorizeaza cereriIe de autentificare euate. Iogin on-success Iog [every Iogin] genereaz mesaje de Iog pentru cereriIe de autentificare de succes. NumruI de ncercri de autentificare naintea unui mesaj este generat de Iogare si poate fi stabiIit foIosind parametruI [every Iogin]. VaIoarea impIicit este de o ncercare. Gama este vaIabiI de Ia 1 Ia 65.535. Comand security authentication faiIure rate <threshoId-rate> Iog genereaz un mesaj daca rata de esecuri de conectare este depit. Pentru a verifica faptuI c Iogin bIock-for este configurata i care mod de router este prezent, utiIizati comanda show Iogin. Router-uI este fie n moduI normaI fie quite, n funcie dac au fost depite praguriIe de conectare. Informaii comenzii show Iogin faiIures afieaz mai muIte cu privire Ia tentative euate, cum ar fi adresa IP de Ia care provine ncercri euate de autentificare UtiIiza mesajeIe banner pentru a prezenta notificari juridice pentru poteniaIii intrui s Ie informeze c acestea nu sunt binevenite ntr-o reea. BannereIe sunt foarte importante pentru reeaua dintr-o perspectiv juridic. Intruii au ctigat n instan, deoarece nu au ntmpinat mesaje adecvate de avertizare atunci cnd au accesat router-eIe din reeIeIe. n pIus fa de avertizarea intrusiIor, bannere sunt de asemenea foIosite pentru a informa administratorii de Ia distan asupra restriciiIor de utiIizare. AIegerea n ce Ioc sa fie asezate mesaje banner este important i ar trebui s fie revizuite de un avocat nainte de a Ie pune pe routereIe de reea. Nu foIosii niciodat cuvntuI bun venit sau orice aIt saIut famiIiare care poate fi interpretat greit ca o invitaie de utiIizare a reeIei. BannereIe sunt dezactivate n mod impIicit i trebuie s fie activate expIicit. UtiIizai comanda banner din moduI de configurare Ia niveI gIobaI pentru a specifica mesaje adecvate. banner {exec | incoming | Iogin | motd | sIip-ppp} d message d Cuvinte cheie de forma $ (token), atunci cnd sunt utiIizate ntr-un mesaj banner, afieaza vaIoarea configurata prezenta a argumentuIui token. Jetoane sunt opionaIe i pot fi utiIizate n cadruI seciunii mesajuI de comanda banner: $ (Hostname)-Afieaz numeIe de gazd pentru router. $(domain) -Afieaz numeIe de domeniu pentru router. $(Iine) Afieaz vty sau tty (asincron), numruI de Iinie. $(Iine-desc)- Afieaz descrierea care este ataata Iiniei. Fii atent n pIasarea acestor informaii n bannerI, deoarece aceastea ofer mai muIte informaii unui posibiI intrus. Cisco SDM poate fi de asemenea foIosite pentru a configura mesaje banner. Atunci cnd permiteti accesuI administrativ de Ia distan, este important s se ia n considerare impIicaiiIe de securitate aIe trimiterea de informaii n ntreaga reea. n mod tradiionaI, acces de Ia distan pe routere a fost configurat utiIiznd TeInet pe portuI TCP 23. Cu toate acestea, TeInet a fost dezvoItat n ziIeIe cnd securitatea nu era o probIem, prin urmare, tot traficuI TeInet era transmis n pIaintext. FoIosind acest protocoI, dateIe importante , cum ar fi configuraiiIe routeruIui, sunt uor de accesat pentru atacatori. Hackerii pot captura pachete transmise de ctre un administrator de computer foIosind un anaIizor de protocoI, cum ar fi Wireshark. Dac iniiaI fIuxuI TeInet este descoperit si urmat , atacatorii pot afIa numeIe de utiIizator i paroIa administratoruIui. Cu toate acestea, avnd capacitatea de acces Ia distan se poate saIva timpuI si banii atunci cnd se fac modificriIe necesare de configurare. Deci, cum poate fi accesuI Ia o conexiune Ia distan securizat pe dispozitiveIe Cisco IOS? O practica recomandat pentru administrare de Ia distan a router-eIor este nIocuirea TeInetuIui cu SSH pentru conexiuniIe care au nevoie de confideniaIitate i integritatea sesiuni. Acesta funcioneaza simiIar cu o conexiune de ieire TeInet, cu excepia faptuIui c traficuI este criptat i funcioneaz pe portuI 22. Cu autentificare i criptare, SSH permite comunicaii securizate printr-o reea nesigur. Patru etape trebuie s se ncheie nainte de configurarea routere pentru protocoIuI SSH: PasuI 1. Asigurai-v c pe router-uI int se execut un Cisco IOS ReIease 12.1 (1) imagine T sau mai trziu pentru a sprijinirea SSH-uIui. Numai imaginiIe Cisco IOS care conin caracteristici IPsec suporta SSH. Concret, Cisco IOS 12.1 sau mai trziu, IPsec DES, i TripIe Data Encryption Standard (3DES) sprijina SSH-uI. De obicei, aceste imagini au ID-uri de imagine k8 sau K9 n numeIe imaginea Ior. De exempIu, c1841- advipservicesk9-mz.124-10b.bin este o imagine care poate suporta SSH. PasuI 2. Asigurai-v c fiecare dintre routere int are un nume unic de gazd. PasuI 3. Asigurai-v c fiecare dintre routere int este foIoseste numeIe de domeniu corect aI reeIei. PasuI 4. Asigurai-v c routere int sunt configurate pentru autentificare IocaIa sau servicii AAA pentru numeIe de utiIizator i paroIa de autentificare. Acest Iucru este obIigatorie pentru o conexiune SSH router- Ia-router FoIosind CLI, exist patru pai pentru a configura un router Cisco care sa sprijine SSH: PasuI 1. Dac routeruI are un nume unic de host , configurai numeIe de domeniu IP de reea foIosind comanda ip domain-name <nume domeniu> n moduI de configurare Ia niveI gIobaI. PasuI 2. O cheie secreta trebuie s fie generate pentru un router pentru a cripta traficuI SSH. Aceste chei sunt denumite chei asimetrice. Software-uI Cisco IOS foIoseste aIgoritmuI Rivest, Shamir, i AdIeman (RSA) pentru a genera chei. Pentru a crea cheia RSA, utiIizai comanda crypto key generate rsa generaI-keys moduIus <marimea cheii> n moduI de configurare Ia niveI gIobaI. <Marimea cheii >determin dimensiunea cheie RSA si poate fi configurat de Ia 360 bii Ia 2048 bii. Cu cat este mai mare marimea cheii , cu atat este mai sigura cheie RSA. Cu toate acestea, aIegand vaIori mari aIe Iungimii dureaza mai muIt generarea i impIicit criptarea i decriptarea, de asemenea. Minimum Iungimii recomandate aI cheii este de 1024 bii. Pentru a verifica SSH i afia generarea cheii, foIositi comanda show crypto key mypubkey rsa n mod priviIegiat EXEC. Dac exist deja perechi de chei, se recomand ca acestea sa fie suprascrise cu ajutoruI comenzii. crypto key zeroize rsa PasuI 3. Asigurai-v c exist un nume de utiIizator vaIid IocaI in baze de date de intrare. Dac nu, creai unuI foIosind comanda username <nume> secret <paroIa>. PasuI 4. Permiteti organizarea unor sesiuni vty inbound SSH foIosind comenziIe Iogin IocaI si transport input ssh.. SSH este activat automat dup ce cheiIe RSA sunt generate. ServiciuI de router SSH poate fi accesat cu ajutoruI software-uI cIient SSH . Comenzi SSH OpionaIe Comenzi SSH opionaIepoate fi foIosit pentru a configura urmtoareIe: versiunea SSH perioad Timeout SSH numruI de rencercri de autentificare Routere Cisco sprijinuI dou versiuni de SSH: versiunea SSH 1 (SSHv1) i versiunea mai nou,si mai sigura SSH 2 (SSHv2). SSHv2 ofer o securitate mai bun foIosind cursuI de schimb Diffie-HeIIman cheie i puternic integritii-verificarea coduIui de mesaj de autentificare (MAC). Cisco IOS ReIease 12.1 (1) T i mai trziu sprijin SSHv1. Cisco IOS ReIease 12.3 (4) T i mai trziu funcioneaz n moduI de compatibiIitate i suport att SSHv1 i SSHv2. Pentru a schimba moduI de compatibiIitate de Ia o versiune specific, utiIizai comanda de configurare Ia niveI gIobaI ip ssh version {1 | 2}.
IntervaIuI de timp n care router -uI ateapt cIientuI SSH pentru a rspunde n timpuI fazei de negociere SSH poate fi configurat cu ajutoruI comenzii ip ssh time-out <secunde> n moduI de configurare Ia niveI gIobaI. ImpIicit este de 120 de secunde. Cnd ncepe sesiunea de EXEC, se apIic timeout-uI standard exec configurat pentru vty. n mod impIicit, un utiIizator are trei ncercri de Iogare nainte de a fi deconectat. Pentru a configura un numr diferit de rencercri consecutive SSH, utiIizeazati comand ip ssh authentication-retries<nr incercari> n moduI de configurare Ia niveI gIobaI Pentru a verifica setriIe opionaIe SSH, utiIizati comanda show ip ssh. Aceast comand afieaz versiunea de SSH care este activat, vaIoriIe timeout -uIui de autentificare, i numruI de rencercri autentificare. Dup ce SSH este configurat, ca si cIient SSH este necesar s se conecta Ia un router SSH-activat . Exist dou moduri diferite de a ne conecta Ia un router SSH-activat: Conectarea utiIiznd un router Cisco SSH- foIosind comanda ssh din moduI priviIegiat EXEC. Conectarea utiIiznd un cIient SSH pubIic i comerciaI disponibiI care ruIeaz pe un host. ExempIe de astfeI de cIienti sunt PuTTY, OpenSSH, i TeraTerm. RoutereIe Cisco sunt capabiIe de a acioneze ca server SSH i ca si cIient SSH conectandu-se Ia un aIt dispozitiv SSH-activat. n mod impIicit, ambeIe aceste funcii sunt activate pe router atunci cnd SSH este activat. Ca server, un router poate accepta conexiuni SSH cIient. Ca si cIient, un router poate stabiIi o conexiune SSH cu un aIt router SSH utiIiznd urmtoarea comand: ssh {-I, -p} ip address n care opiunea {-I} se refer Ia userii care urmeaz s fie utiIizati atunci cnd se intr n dispozitiv de Ia distan. Optiunea{-p} se refer Ia numruI de port dorit pentru gazd de Ia distan. n mod impIicit, SSH foIosete portuI TCP 22. Opiunea ip address se refera Ia IPv4 sau adresa IPv6 pentru SSH-dispozitivuI activat de Ia distan. OpiuniIe supIimentare sunt disponibiIe pentru comanda ssh i pot fi vizuaIizate foIosind comanda ssh?din prompt -uI priviIeged EXEC pe un router. R1 # ssh? -c SeIectai AIgoritmuI de criptare a -I Log uI utiIizat aI acestui nume de utiIizator -n-SeIectai aIgoritm HMAC -o Specificai opiuniIe -p Conectarea Ia acest port -V Specificai versiunea de protocoI SSH -vrf Specificai numeIe VRF WORD IP address or hostname of a remote system Procedura pentru conectarea Ia un router Cisco de Ia un caIcuIator variaz n funcie de apIicaia cIient SSH care este utiIizata. n generaI, cIientuI SSH initiaza o conexiune SSH Ia router. ServiciuI de router SSH soIicit numeIe de utiIizator corect i paroI. Dupa ce autentificarea este verificat, router-uI poate fi administrat ca n cazuI n care administratoruI ar foIosi o sesiune TeInet standard. UtiIizai comanda show ssh pentru a verifica starea conexiunii cIient. Cisco SDM poate fi foIosit pentru a configura un daemon ssh de pe un router. Pentru a vedea setriIe curente SSH seIectai cheia,astfeI Configure > AdditionaI Tasks > Router Access > SSH SetriIe cheii SSH au dou opiuni. RSA key is not set on this router (cheia RSA nu este setata pe acest router) - Acest anun apare n cazuI n care nu exist nici o cheie criptata configurata pe dispozitivuI. Dac nu exist nici o cheie de configurat, introducei o dimensiune a cheii pentru a genera o cheie. RSA key is set on this router ( cheia RSA este setata pe acest router )- Acest anun apare n cazuI n care o cheie de criptare a fost generat, n aceste caz SSH este permis pe acest router. FiieruI de configurare impIicit de pe router-uI Cisco SDM- activat automat permite accesuI TeInet i SSH din interfata LAN i genereaz o cheie RSA. ButonuI Generate RSA Key configureaz o cheie de criptare n cazuI n care nu este setata cheia in caseta de diaIog .Dimensiune cheii care apare. trebuie s fie ntre 512 i 1024, introducei o vaIoare ntreag, care este un muItipIu de 64. Dac vaIoarea moduIuIui trebuie s fie mai mare dect 1024, introducei 1536 sau 2048. n cazuI n care o vaIoare mai mare de 512 este nscrisa, generarea cheii poate dura un minut sau mai muIt. Dup ce SSH este activat pe router, trebuie s fie configurate IiniiIe vty pentru a sprijini SSH. AIegei Configure > AdditionaI Tasks > Router Access > VTY. Fereastra de VTY LiniiIe afieaz setriIe vty pe router. Facei cIick pe butonuI Edit pentru a configura parametrii de vty.
Dei este important ca un administrator de sistem sa poata conecta n siguran Ia un dispozitiv, mai sunt necesare muIte configuratii pentru a menine reeaua securizat. De exempIu, ar trebui s acorde accesuI pentru toi angajaii ntr-o companie? RspunsuI Ia aceast ntrebare este, de obicei, nu. Majoritatea angajatiIor companiei necesita doar domeniiIe specifice de acces Ia reea. Ce zici de accesuI compIet pentru toi angajaii din departamentuI IT? |inei minte c organizaiiIe mari au funcii diferite de Iocuri de munc n cadruI unui departament IT. De exempIu, titIuriIe de Iocuri de munc incIude Chief Information Officer (CIO), Operator de securitate, Network Administrator, Inginer WAN, LAN Administrator, Software Administrator, Tech suport PC, HeIp Desk de sprijin, i aIteIe. Nu toate funciiIe de Iocuri de munc ar trebui s aib aceIai niveI de acces Ia dispozitiveIe de infrastructura. Ca un exempIu, un administrator de reea senior pIeaca in vacan i, ca msur de precauie, ofer unui administrator junior cu paroIe priviIegiate moduI EXEC Ia toate dispozitiveIe de infrastructur. Cteva ziIe mai trziu, administratoruI junior curios dezactiveaz accidentaI reteaua companiei. Acesta este un scenariu frecvente, pentru c, prea adesea, un router este securizat cu o singur paroI priviIegiat EXEC. Oricine cu cunotine din aceast paroI are acces deschis Ia router Configurarea niveIuriIe de priviIegiu este urmatoruI pas pentru administratoruI de sistem care vrea sa asigure reeaua.. NiveIeIe priviIege determina cui ar trebui s i se permit s se conecteze Ia aparatuI i ce ar trebui s fac acea persoan. Software-uI Cisco IOS CLI are dou niveIuri de acces Ia comenzi. ModuI User EXEC (niveIuI de priviIegii 1) - Ofera ceI mai mic niveI de priviIegii EXEC priviIegiiIe moduI ca utiIizator i permite numai comenzi Ia niveI de utiIizator disponibiIe Ia prompt-uI,, Router >" . ModuI PriviIeged EXEC (niveIuI de priviIegii 15) - IncIude toate comenziIe enabIe-niveI de Ia prompt-uI ,,Router # " Dei aceste dou niveIuri reaIizeaz un controI, uneori, este necesar un niveI mai precis de controI. Software-uI Cisco IOS are dou metode care ofera acces-uI Ia infrastructur: niveIuI de priviIegii i roIuI bazat pe CLI( roIe-based CLI) AIocarea NiveIuri-Ior de PriviIege Cisco IOS ReIease 10.3, routere Cisco permite unui administrator sa configureze mai muIte niveIuri de priviIegiu. Configurarea niveIuri de priviIegiu este utiI n speciaI ntr-un mediu de birou n cazuI n care anumiti administratori trebuie s poata s configureze i s monitorizeze fiecare parte a router-uIui (niveIuI 15), i aIi administratori sa poata doar sa monitorizeze, nu si sa configureze, niveIuriIe pe router (personaIizate 2- 14 ). Exist 16 niveIe priviIegiu n totaI. NiveIeIe 0, 1, i 15 au setri predefinite. Un administrator poate defini mai muIte niveIe personaIizate de priviIegii i atribui comenzi diferite pentru fiecare niveI.Cu cat este mai mare niveIuI de priviIegii, cu atat accesuI pe router aI utiIizatoruIui este mai mare. ComenziIe care sunt disponibiIe Ia niveIuri mai mici priviIegii sunt, executabiIe Ia niveIemai ridicate, deoarece un niveI de priviIegii incIude toate priviIegiiIe niveIuriIor inferioare. De exempIu, un utiIizator autorizat pentru niveIuI de priviIegii 10 are acordat accesuI Ia comenziIe permise Ia niveIuri de priviIegiu de Ia 0 Ia 10 (n cazuI n care, acestea sunt definite). Un priviIegiu-niveI-10 de utiIizator nu poate accesa comenzi acordate Ia niveIuI de priviIegii 11 sau mai mare. Un utiIizator autorizat pentru niveIuI de priviIegii de 15 poate executa toate comenziIe Cisco IOS. Pentru a aIoca comenzi Ia un niveIuI de priviIegii personaIizat, utiIizai comanda priviIege din moduI de configurare Ia niveI gIobaI. Router(config)# priviIege mode {IeveI IeveI command | reset} Este important s reinei c atribuirea unei comenzi cu mai muIte cuvinte cheie, cum ar fi show ip route, Ia un anumit niveI de priviIegii atribuie n mod automat toate comenziIe asociate cu primeIe cteva cuvinte cheie Ia niveIuI de priviIegii specificat. De exempIu, att comanda show cat i comanda show ip sunt setate automat Ia niveIuI de priviIegii n cazuI n care show ip route este setata Acest Iucru este necesar deoarece comanda show ip route nu poate fi executat fr acces Ia comanda show i show ip Subcomenzi care intr sub incidena comenzii show ip route , , sunt atribuite n mod automat cu aceIai niveI de priviIegiu. Atribuirea comenzii show ip route permite utiIizatoruIui sa emita toate comenziIe show, cum ar fi show version. NiveIuriIe PriviIege ar trebui s fie configurate pentru autentificare. Exist dou metode pentru atribuirea paroIeIor Ia diferite niveIuri: De Ia niveIuI priviIege foIosind comanda de configurare de Ia niveI gIobaI enabIe secret IeveI <niveIuI paroIei>. De Ia niveIuI utiIizator care are un anumit niveI de priviIegii, foIosind comanda de Ia niveI gIobaI username <nume> priviIege <niveI> secret <paroIa>. De exempIu, un administrator ar putea aIoca patru niveIuri de acces pe un dispozitiv n cadruI unei organizaii: Un cont de utiIizator (care necesit niveIuI 1, nu incIude posibiIitatea de ping) Un cont SUPORT (necesit toate drepturiIe de acces de niveIuI 1, pIus comanda ping) Un cont JR-admin (care necesit toate drepturiIe de acces de niveIuI 1 i 5, pIus comanda reIoad) Un cont de administrator (care necesit accesuI compIet) Punere n apIicare a niveIuriIor priviIegiu variaz n funcie de structura organizaiei i diferite funcii de Iocuri de munc care necesit accesuI Ia dispozitiveIe de infrastructura. n cazuI USER, care necesit niveIuI de acces impIicit 1 (Router>), nici un niveI de priviIegii nu este definit. Acest Iucru se datoreaz faptuIui c moduI de utiIizator impIicit este echivaIent cu niveIuI 1. ContuI SUPPORT account ar putea fi atribuit de un niveI superior de acces, cum ar fi niveIuI 5. NiveIuI 5 motenete automat comenziIe de Ia niveIuriIe cuprise intre 1 si 4, pIus comenziIe supIimentare care pot fi atribuite. Tineti minte c atunci cnd o comand este atribuit Ia un anumit niveI, accesuI Ia aceast comand este Iuat de Ia orice niveI inferior. De exempIu, pentru a asocia niveIuIui 5 comanda ping, utiIizai secventa de comanda de mai jos. priviIege exec IeveI 5 ping ContuIui de utiIizator (niveIuI 1) nu mai are acces Ia comanda ping, pentru c un utiIizator trebuie s aib acces Ia niveIuI 5 sau mai mare pentru a ndepIini funcia de ping. Pentru a atribui o paroI Ia niveIuI 5, introducei urmtoarea comand. enabIe secret IeveI 5 cisco5 Pentru a accesa niveIuI 5, trebuie s fie utiIizata paroIa cisco5. Pentru a atribui un abumit nume de utiIizator avand niveIuI de priviIegii 5, introducei urmtoarea comand. username <suport >priviIege <5> secret <cisco5 > Un utiIizator care se conecteaz n username-uI <suport >are doar posibiIitatea de a accesa niveIuI de priviIegii 5, care motenete de asemenea, niveIuI de priviIegii 1. ContuI de JR-ADMIN are nevoie de acces Ia toate niveIeIe intre 1 i niveIuI 5, precum si Ia comanda reIoad. Acest cont trebuie s i se atribuie un niveI superior de acces, cum ar fi niveIuI 10. NiveI 10 motenete automat toate comenziIe de Ia niveIuriIe inferioare. Pentru a atribui niveIuI de priviIegii 10 din moduI priviIegiat EXEC comanda, reIoad se utiIizeaza ca in secventa de comanda de mai jos. priviIege exec IeveI 10 reIoad username jr-admin priviIege 10 secret cisco10 enabIe secret IeveI 10 cisco10 Prin efectuarea acestor comenzi, comanda reIoad este disponibiI numai pentru utiIizatorii cu niveIuI 10 de acces sau mai mare. NumeIe de utiIizator jr-admin este dat niveIuIuIui de priviIegii 10 i tuturor comenziIor asociate, incIusiv a ceIor aIocate pentru comenzi priviIege aIe niveIuriIor inferioare. Pentru a accesa moduI de niveIuI 10, este necesar paroIa cisco10. Un cont de administrator ar putea fi atribuite impIicit de niveIuI 15 pentru moduI de acces priviIegiat EXEC. n acest caz, comenziIe nu trebuie s fie definite. O paroI personaIizata ar putea fi atribuita foIosind comanda enabIe secret IeveI 15 cisco123, totui, c nu ncaIc permite paroIa secrete, care ar putea fi, de asemenea, utiIizata pentru a accesa niveIuI 15. UtiIizai comanda username <admin> priviIege <15> secret <cisco15> pentru a asocia niveIuI 15 de acces utiIizatoruIui admin cu paroIa cisco15. Tineti minte c, atunci cnd atribuiti username-uI Ia niveIuri priviIegii, priviIege i cuvinteIe cheie secret nu sunt interschimbabiIe. De exempIu, o comanda username USER secret cisco priviIege 1 nu atribuie contuIui USER niveIuI de aces 1aI contuIui de acces.Chiar daca acesta creeaz un cont care necesit paroIa " cisco priviIege 1". . Pentru a accesa niveIuI stabiIit de priviIegiu, introducei comanda enabIe <niveI>din moduI de utiIizator, i introducei paroIa care a fost repartizata Ia niveIuI de priviIegii personaIizat. UtiIizai aceeai comand pentru a trece de Ia un niveI mai mic Ia un niveI superior. Pentru a trece de Ia niveIuI 1 Ia niveIuI 5, utiIizai comanda enabIe 5 din promptuI EXEC. Pentru a trece Ia niveIuI 10, utiIizati enabIe 10 cu paroIa corect. Pentru a trece de Ia niveIuI 10 Ia niveIuI 15, utiIizai comanda enabIe. Dac nu este specificat niveIuI de priviIegii, atunci despre niveIuI 15 este vorba Uneori este uor s uitm ce niveI de acces are n prezent un utiIizator. UtiIizai comanda show priviIege pentru a afia i a confirma niveIuI de priviIegii actuaI. Amintii-v c un niveI mai ridicat de priviIegii moteneste automat accesuI Ia niveIuriIe inferioare Dei atribuirea niveIuriIe priviIegiu nu oferi mai muIt fIexibiIitate, uneIe organizaii nu ar putea s Ie gsesc potrivite, din cauza urmtoareIor Iimitri: Nu exista nici un controI aI accesuIui Ia anumite interfee, porturi, interfee Iogice, i sIoturi pe un router. Comenzi disponibiIe Ia niveIe de priviIegii mai mici sunt ntotdeauna executabiIe Ia niveIuri mai ridicate. Comenzi specifice setate pe un niveI de priviIegii mai mari nu sunt disponibiIe pentru utiIizatorii cu niveIe de priviIegii mai mici. Atribuirea unei comenzi cu mai muIte cuvinte cheie Ia un anumit niveI de priviIegii atribuie, de asemenea, toate comenziIe asociate cu cuvinteIe cheie n primuI rnd Ia niveI de aceIai priviIegiu. Un exempIu este comanda. show ip route + Cum pot fi IimitriIe de atribuire de niveIuri de priviIegiuI sa fie depite? RoIe-Based CLI Pentru a oferi mai muIt fIexibiIitate dect niveIuriIe de priviIegiu, Cisco a introdus caracteristic RoIe-Based CLI Access incepand cu IOS ReIease 12.3 (11) T. Aceast caracteristic ofer finete, un acces mai granuIar prin controIuI specific aI comenziIor care sunt disponibiIe Ia anumite roIuri. Bazat pe roIuri de acces CLI permite administratoruIui de reea sa creeze puncte de vedere diferite configuraii de router pentru utiIizatori diferii. Fiecare vedere definete comenziIe CLI pe care fiecare utiIizator Ie poate accesa. Securitate Bazata pe roIuri de acces CLI securitatea dispozitivuIui sporete prin definirea unui set de comenzi CLI care sunt accesibiIe de ctre un anumit utiIizator. n pIus, administratorii pot controIa accesuI utiIizatoriIor Ia anumite porturi, interfee Iogice, i sIoturi pe un router. Acest Iucru impiedica un utiIizator sa schimbe configuraia accidentaI sau intenionat sau sa coIectze informaii Ia care nu ar trebui s aib acces. DisponibiIitate Bazat pe roIuri de acces CLI mpiedic executarea neintenionat de comenzi CLI de ctre personaI neautorizat, care ar putea duce Ia rezuItate nedorite. Acest Iucru minimizeaz timpii mori. Eficienei operaionaIe Numai utiIizatorii pot vedea comenziIe CLI apIicabiIe porturi i CLI Ia care au acces, prin urmare, router-uI pare s fie mai puin compIex, i comenziIe sunt mai uor de a identifica atunci cnd foIosii funcia heIp de pe dispozitivuI. RoIe-based CLI ofer trei tipuri de puncte de vedere: viziune de Root viziune CLI Superview Fiecare vedere dicteaz ce comenzi sunt disponibiIe. viziune de Root Pentru a configura orice vedere pentru sistem, administratoruI trebuie s fie n viziune root. Vedere de root are aceIeai priviIegii de acces ca un utiIizator care are priviIegii de niveI 15. Cu toate acestea, veziunea de root nu este aceIai Iucru cu un utiIizator de niveI 15. Numai un utiIizator cu vederea root poate configura o nou viziune i aduga sau eIimina comenzi aI puncteIor de vedere existente. viziune CLI Un set specific de comenzi poate fi incIus ntr-o vizuaIizare CLI. Spre deosebire de niveIuriIe de priviIegiu, n vederea CLI nu exista nici o ierarhie de comand i, prin urmare, nu exista puncteIe de vedere mai mare sau mai mic. Fiecare vizuaIizare trebuie s i se atribuie toate comenziIe asociate cu acest punct de vedere, i o vedere nu moteneste comenziIe de Ia aIte puncte de vedere. n pIus, aceIeai comenzi pot fi foIosite n mai muIte vizuaIizri. Superview Un superview const dintr-unuI sau mai muIte vizuaIizri CLI. Administratorii pot defini care comenziIe sunt acceptate i care informaii de configurare sunt vizibiIe. Superviews permite unui administrator de reea sa atribuie utiIizatoriIor i grupuriIor de utiIizatori mai muIte vizuaIizri CLI, n Ioc de a atribui o singura vedere CLI per utiIizator cu toate comenziIe asociate pentru vizuaIizare CLI. Superviews au urmtoareIe caracteristici: O singura vizuaIizare CLI poate fi partajata n cadruI superviews muItipIe. ComenziIe nu pot fi configurate pentru o superview. Un administrator trebuie s adauge comenzi Ia vizuaIizarea CLI i sa adauge vizuaIizarea CLI Ia superview. UtiIizatorii care sunt conectai ntr-un superview pot accesa toate comenziIe care sunt configurate pentru oricare dintre vizuaIizariIe CLI care fac parte din superview. Fiecare superview are o paroIa care este foIosita pentru a comuta ntre superviews sau de Ia vederea CLI Ia superview. tergerea unei superview nu terge puncteIe de vedere asociate CLI. PuncteIe de vedere CLI rmn disponibiIe pentru a fi atribuite Ia un aIt superview. nainte ca un administrator sa poata crea o vizuaIizare, trebuie s fie activat AAA prin foIosirea comenzii aaa new-modeI sau Cisco SDM.. Pentru a configura i modifica puncteIe de vedere, un administrator trebuie s se autentifice cu vedere de root, foIosind comanda enabIe view din priviIegiate EXEC. Command enabIe view root poate fi, de asemenea, utiIizata. Cnd vi se soIicit, introducei enabIe secret <paroIa>.. Exist cinci pai pentru a crea i de a gestiona o anumita vedere. PasuI 1. Permiteti AAA cu comanda aaa new-modeI din configurare gIobaIa. Iei i intra n vedere root cu comanda enabIe view. PasuI 2. Creai o vizuaIizare utiIiznd comanda parser view < nameIe viziunii>. Acest Iucru permite moduI de configurare vizuaIizare. ExcIuznd opinia rdcin, exist o Iimit maxim de 15 vizuaIizri n totaI. PasuI 3. Atribuiti o paroI pentru a vizuaIiza utiIiznd comanda secret <paroIa criptata> PasuI 4. Atribuiti comenzi de vizuaIizare seIectate utiIiznd comenziIe commands parser-mode {incIude | incIude-excIusive | excIude} [aII] [interface interface-name | command] n moduI de configurare view. PasuI 5. Iesiti din moduI de configurare vizuaIizare tastnd comanda exit. Pai pentru a configura un superview sunt n esen aceIeai ca configurarea unui vedere CLI, cu excepia faptuIui c n Ioc s utiIizai comanda commands pentru a atribui comenzi, utiIizai comanda view < name vizionat>pentru a atribui puncteIe de vedere. AdministratoruI trebuie s fie in roI de root pentru a configura un superview. Pentru a confirma acest punct de vedere utiIizati fie enabIe view fie enabIe view root. Cnd vi se soIicit, introducei enabIe secret password. Exist patru pai pentru a crea si a gestiona o superview. PasuI 1. Creai o vizuaIizare foIosind comanda parser view< view-name> superview i introducei moduI de configurare superview. PasuI 2. Atribuiti o paroI secret pentru a vizuaIiza utiIiznd comanda secret encrypted-password PasuI 3. Atribui o vizuaIizare existent utiIiznd comanda view <view- name> n moduI de configurare vedere. PasuI 4.iesiti din moduI de configurare superview tastnd comanda exit. Mai muIt de o vizionare poate fi atribuita Ia un superview, i acestea pot fi partajate ntre superviews. Pentru a accesa vizionriIe existente, introducei comanda enabIe view < nameIe vizionarii> n moduI de utiIizator i introducei paroIa care a fost repartizata Ia vizuaIizarea particuIarizat. UtiIizai aceeai comand pentru a comuta de Ia o vizuaIizare Ia aItuI. Pentru a verifica vizuaIizarea , utiIizai comanda enabIe view. Introducei numeIe vizuaIizarii cu scopuI de a verifica, i introduceti paroIa pentru a accesa vizuaIizarea. UtiIizai comand semnuI de ntrebare (?)pentru a verifica faptuI c comenziIe disponibiIe sunt corecte. Din pozitia de root, parseruI foIositi comanda show parser view aII pentru a vedea un rezumat aI tuturor vizionariIor. Dac atacatorii au acces Ia un router, exist muIte Iucruri pe care Ie-ar putea face. De exempIu, ar putea modifica fIuxuriIe de trafic, modifica configuraii, i chiar terge fiieruI de configurare pornire i Cisco IOS imagine. Dac imaginea de configurare sau IOS este tearsa, operatoruI ar avea nevoie pentru a preIua o copie arhivat pentru a restabiIi router-uI. ProcesuI de recuperare trebuie s fie apoi efectuatpe fiecare router afectat, adugnd timpi morti Ia reea. Cisco IOS ResiIient Configuration permite recuperarea mai rapid, dac cineva reformateaz memoria fIash sau sterge fisieruI de configurare de pornire n NVRAM. Aceast caracteristic permite unui router sa reziste Ia tentativeIe maIitioase de tergere a fiiereIor prin asigurarea i meninerea unei imaginii sigure a copiei de Iucru a configuraiei de ruIare. Atunci cnd imaginea Cisco IOS este asigurat, caracteristica de configurare eIastica opreste toate tentativeIe de a o copia, modifica, sau sterge. Copia securizata a configuraiei de pornire este stocat n fIash mpreun cu imaginea sigura a IOS-uIui. Acest set de imagini Cisco IOS i fiiere de configurare de ruIare pe router este menionat ca bootset. Caracteristica de configurare Cisco IOS ResiIient este disponibiI numai pentru sistemeIe care susine o PCMCIA Advanced TechnoIogy Attachment (ATA) interfa fIash. Cisco IOS imagine de backup i de configurare care ruIeaz pe unitatea fIash sunt ascunse, astfeI nct fiieruI nu sunt incIuse n nici o Iistare director pe hard. Dou comenzi Ia niveI gIobaI aI configuratiiIor sunt disponibiIe pentru a configura caracteristici eIastice Cisco IOS de configurare: secure boot- image i secure boot-config. Comanda de Securizare a boot-image Comanda secure boot-image permite securizarea imaginii Cisco IOS. Cnd este activata pentru prima dat, o imagine Cisco IOS este asigurat, i este generat un nregistrare n jurnaI. Aceast faciIitate poate fi dezactivat doar printr-o sesiune de consoI foIosind comand:no secure boot-image Aceast comand funcioneaz n mod corespunztor numai atunci cnd sistemuI este configurat sa execute o imagine dintr-o unitate fIash cu o interfata ATA. n pIus, imaginea de ruIare trebuie s fie ncrcate dintr-o sursa persistenta(sigura,stabiIa) pentru a fi asigurat primar. ImaginiIe care sunt Iuate din reea, cum ar fi un server TFTP, nu pot fi asigurate. Caracteristica Cisco IOS de configurare a imaginii detecteaz nepotriviri de versiune. Dac router-uI este configurat s boot cu Cisco IOS reziIien i o imagine cu o aIt versiune a software-uIui Cisco IOS este detectata, un mesaj, simiIar cu ceI de mai jos, se afieaz Ia boot-are: ios resiIience: Archived image and configuration version 12.2 differs from running version 12.3 Pentru a face upgrade Ia imagine arhivata, reintroducei comanda secure boot-image de Ia consoIa. Un mesaj despre imaginea upgrad-ata este afiat. Imaginea veche este inIocuita cu o noua imagine care este vizibiIa n comanda dir. Comanda secure boot-config Pentru a Iua un instantaneu de configurare aI routeruIui utiIizati comand secure boot-config n moduI de configurare Ia niveI gIobaI. Un mesaj de Iog este afiat Ia consoIa informand utiIizatoruI c rezistena de configurare este activata. Arhiva de configurare este ascunsa i nu poate fi vizuaIizata sau scoasa direct din prompt -uI CLI. ScenariuI upgrade de configurare este simiIar cu un upgrade imagine. Aceast funcie detecteaz o versiune diferit a Cisco IOS configuraii i informeaza utiIizatoruI de o nepotrivire de versiuni. Comand secure boot- config poate fi ruIata pentru a face upgrade Ia arhiva de configurare pentru o versiune mai nou dup ce noiIe comenzi de configurare au fost emise.
FiiereIe securizate nu apar in comanda dir care este data din CLI. Acest Iucru se datoreaz faptuIui c sistemuI Cisco IOS mpiedic fiiere securizate sa fie Iistate. Deoarece imaginea de funcionare i arhive de funcionare de configurare nu sunt vizibiIe n comanda dir, utiIizai comanda show secure bootset pentru a verifica existena arhivei. Acest pas este important pentru a verifica dac imaginea Cisco IOS i fiiereIor de configurare Ie-au fost facute corect backup securizat. n timp ce sistemuI Cisco IOS mpiedic aceste fiiere sa fie vizuaIizate, moduI monitor ROM (ROMmon) nu are nici o restricie i poate Iista i boot- a de pe fiiereIe securizate. Exist cinci pai pentru a restabiIi un bootset primar dintr-o arhiv securizat, dup ce router-uI a fost modificat cu (printr-un NVRAM terge sau un format de disc): PasuI 1. Rencarc routeruIui foIosind comanda reIoad. PasuI 2. Din moduI ROMmon, introducei comanda dir pentru a Iista coninutuI dispozitivuIui care conine fiieruI secure bootset. Din CLI, numeIe dispozitivuIui poate fi gsit cu comanda show secure bootset. PasuI 3. Boot-ati router-uI cu imaginea bootset securizat foIosind comanda boot cu nume de fiier gsit n PasuI 2. La boot-area router-uIui, schimbati moduI priviIegiat EXEC pentru a restabiIi configuraia. PasuI 4. Intra n moduI de configurare Ia niveI gIobaI foIosind conf t. PasuI 5. Restaureaza configuraia securizata prin furnizate numeIui fiieruIui fiIename utiIiznd comanda. secure boot-config restore <fiIename> Daca un router este compromis sau trebuie s fie recuperat paroIa, un administrator trebuie s neIeag proceduriIe de recuperare a paroIei. Din motive de securitate, de recuperare a paroIei de administrator cere s aib acces fizic Ia router prin intermediuI unui cabIu de consoIa. Recuperarea paroIei router-uIui presupune mai muIte etape. PasuI 1. Conectai-v Ia portuI de consoIa. PasuI 2. UtiIizai comanda show version pentru a vizuaIiza i a nregistra registruI de configurare. RegistruI de configurare este simiIar cu setarea BIOS Ia un caIcuIator, care controIeaz procesuI de pornire. Un registru de configurare, reprezentat de o vaIoare hexazecimaI, spune unui router ce msuri necesare sa ia atunci cnd este pornit. RegistreIe de configurare au muIte utiIizri, dar recuperarea paroIei este probabiI ceI mai foIosit. Pentru a vizuaIiza i nregistra registruI de configurare, utiIizai comanda show version. R1> show version <Output omitted> Configuration register is 0x2102 RegistruI de configurare este de obicei, setat pe 0x2102 sau 0x102. Dac nu exist acces Ia router (din cauza unei Iogin pierdut sau paroIa TACACS), un administrator poate afirma cu siguran c registruI de configurare este setat Ia 0x2102. PasuI 3. Restartati router-uI. PasuI 4. Apasati tasta BREAK n termen de 60 de secunde de Ia pornire pentru a pune router-uI n ROMmon. Secvena standard foIosita de HyperterminaI este CtrI-Break. PasuI 5. Tipariti in prompt-uI rommon 1>. confreg 0x2142 Acest Iucru va schimba configuraia impIicit a registruIui i face ca router- uI sa ocoIeasca configuraia de pornire n cazuI n care am uitat enabIe password PasuI 6. Tipariti reset in prompt-uI rommon 2>.. Router-uI se va reboot-a, dar va ignor configurarea saIvata. PasuI 7. Tipariti no dup fiecare ntrebare de configurare, sau apsai CtrI-C pentru a anuIa procedura de configurarea iniiaI. PasuI 8. Tipariti enabIe in prompt.-uI Router>Acest Iucru pune router-uI n moduI activ i v permite s vedei prompt Router #. PasuI 9. Tipariti copy startup-config running-config pentru a copia n memoria NVRAM. Fii ateni nu tipariti copy running-config startup-config pentru ca configuraia de pornire va fi tearsa. PasuI 10. Tipariti show running-config. n aceast configuraie, comanda shutdown apare sub toate interfeeIe, deoarece toate interfeeIe sunt n prezent nchise. Un administrator poate vedea acum paroIeIe (enabIe password, enabIe secret, vty, and consoIe passwords), fie n format criptat sau necriptat. ParoIa necriptata poate fi refoIosita, dar paroIa criptate trebuie inIocuite cu o nou paroI .. PasuI 11. Intrati in configurare gIobaIa i tastai comanda enabIe secret pentru a schimba paroIa enabIe secret. De exempIu: R1 (config) # enabIe secret cisco PasuI 12. Dati comanda no shutdown pe fiecare interfa pentru a putea fi utiIizate. Apoi, dati comanda show ip interface brief n mod priviIegiat EXEC pentru a confirma faptuI c interfaa de configurare este corect. Fiecare interfa pentru a fi utiIizata ar trebui s afieze " up up." PasuI 13. Din moduI de configurare gIobaI tipariti config-register <registru de configurare>. RegistruI de configurare este fie vaIoarea nregistrat n pasuI 2 fie 0x2102. De exempIu: R1(config)# config-register 0x2102 PasuI 14. SaIvati modificriIe de configuraie foIosind comanda copy running-config startup-config. Recuperarea paroIei este acum compIeta. Introducei comanda show version pentru a confirma c router-uI este configurat cu registruI de configurare pentru setarea de repornire. Dac cineva obinut accesuI fizic Ia un router, ar putea obine controIuI asupra dispozitivuIui prin care procedura de recuperare a paroIei. Aceast procedur, dac a fost efectuata corect, Iasa configurarea router-uIui intacta. n cazuI n care atacatoruI nu face nici o schimbre majora, acest tip de atac este dificiI de detectat. Un atacator poate foIosi aceasta metoda pentru a descoperi atac de configurare router-uI i aIte informaii pertinente referitoare Ia reea, cum ar fi fIuxuriIe de trafic i de restricii de controI aI accesuIui. Un administrator poate atenua aceast ncIcare poteniaIe de securitate prin utiIizarea comenzii de configurare no service password-recovery de Ia niveI gIobaI. Comand no service password-recovery este o comand care ascunde Cisco IOS i nu are argumente sau cuvinte cheie. Dac un router este configurat cu comanda no service password-recovery -, toate ciIe de acces Ia moduI ROMmon sunt dezactivate. n cazuI n care comanda no service password-recovery este tiparita , un mesaj de avertizare este afiat i trebuie s fie recunoscut nainte ca funcia sa fie activat. Comanda de configurare show running configuration afieaz no service password-recovery. n pIus, n cazuI n care router-uI boot-eaza , secvena iniiaIa de boot -are afieaz un mesaj care s ateste "RECUPERAREA PAROLEI FUNC|IONALITATEA este dezactivat." Pentru a recupera un dispozitiv dup ce comanda no service password- recovery este tiparita , iniiati secvena BREAK (apasati tasta BREAK) n termen de cinci secunde dup boot-area . Vi se va soIicit s confirmai foIosirea tastei BREAK. Dup ce aciunea este confirmat, fisiereIe de configurare sunt compIet tearse, procedura de recuperare a paroIei este activat, i router-uI se ridica cu configuraia impIicit din fabric. Dac nu confirmti aciunea BREAK, router-uI se ridica n mod normaI, cu comanda no service password-recovery activat. Atentie , n cazuI n care memoria fIash a router-uIui nu conine o imagine vaIid Cisco IOS din cauza ca a fost corupta sau tearsa, comanda xmodem ROMmon nu poate fi foIosita pentru a ncrca o nou imagine in fIash. Pentru a repara un router, un administrator trebuie s obin o nou imagine Cisco IOS SIMM pe un fIash sau pe un card PCMCIA. Se refer Ia Cisco.com pentru mai muIte informaii cu privire Ia imagini de backup fIash. Administratorii de reea trebuie s gestioneze n siguran toate dispozitiveIe i hosturiIe dn reea. ntr-o reea mic, gestionarea i monitorizarea dispozitive de reea este o operaiune simpI. Cu toate acestea, ntr-o ntreprindere mare, cu sute de dispozitive, monitorizarea, gestionarea i preIucrarea mesajeIor jurnaI se poate dovedi a fi o provocare. Mai muIi factori ar trebui s fie Iuate n considerare Ia punerea n apIicare a managementuIui securizat. Aceasta incIude schimbarea configurari de management. Cnd o reea este atacata, este important s se cunoasc starea dispozitiveIor din reea critice i cand au avut Ioc uItimiIe modificri Gestionarea configuraiei modificare incIude, de asemenea, aspecte cum ar fi asigurarea accesuIui, cnd metodoIogii de management noi sunt adoptate, i cum s se ocupe de dispozitiveIe care nu mai sunt utiIizate. Crearea unui pIan de gestionare a schimbriIor ar trebui s fie parte dintr-o poIitic de securitate cuprinztoare, ns, ceI puin, modificriIe foIosind autentificarea pe dispozitive i configuraii arhiva foIosind FTP sau TFTP. Exist o poIitic de gestionare a schimbrii sau pIanuI se face pe Ioc? Aceste aspecte ar trebui s fie stabiIite i tratate ntr-o schimbare de poIitic de management. LogariIe automate i raportarea de informaii de Ia dispozitive identificate Ia gazdeIe de management sunt, de asemenea, aspecte importante. Aceste jurnaIe i rapoarte pot incIude fIuxuI de coninut, modificri de configurare, i instari de software noi, pentru a numi cteva. Pentru a identifica prioritiIe de raportare i monitorizare, este important sa obinem informaii de Ia conducere i de Ia echipeIe de reea i de securitate. PoIitica de securitate ar trebui s joace, de asemenea, un roI important pentru a rspunde Ia ntrebriIe cu ce informaii s v conectai i ce informatii sa se raporteze. Din punct de vedere de raportare, ceIe mai muIte dispozitive de reea pot trimite date sysIog care pot fi nepreuit atunci cnd rezoIvam probIeme de reea sau de ameninri Ia adresa securitii. DateIe de Ia orice dispozitiv pot fi trimise Ia un host de anaIiz sysIog pentru vizuaIizare. Aceste date pot fi vizuaIizate n timp reaI, Ia cerere, i n rapoarteIe programate. Exist diferite niveIuri de Iogare pentru a se asigura c suma corect de date este trimisa, bazat pe dispozitivuI care trimite dateIe. De asemenea, este posibiI s dateIe de jurnaI sa fie afisate de un dispozitiv n software de anaIiz pentru a permite vizuaIizarea granuIare a rapoarteIor . De exempIu, n timpuI unui atac, jurnaI de date care este furnizat de switch-uri Layer 2 nu ar putea fi Ia feI de interesant ca dateIe care sunt furnizate de sistemuI de prevenire a intruziuniIor (IPS). MuIte apIicaii i protocoaIe sunt de asemenea disponibiIe, cum ar fi SNMP, care este utiIizat n sistemeIe de management de retea sa monitorizeze i s fac modificri de configurare pentru dispozitiveIe Ia distan. Cnd v conectai pentru gestionarea informaiiIor, fIuxuI de informaii ntre gazde i dispozitiveIe de gestionare a dateIor pot Iua dou ci: Out-of-band (OOB) - fIuxuri de informaii ntr-o reea de gestionare dedicata pe care nu exista trafic de producie (de retea ). In-band - fIuxuriIe de informaii traverseaza reeaua, InternetuI, sau ambeIe periodic. De exempIu, o reea are dou segmente de reea, care sunt separate de un router Cisco IOS care actioneaza ca un firewaII i o reea privat virtuaI (VPN), dispozitiv de rezerva. O parte a firewaII-uIui se conecteaz Ia toate gazdeIe de management i Ia routereIe Cisco IOS care acioneaz ca servere de terminaI. Servere terminaIe ofera conexiuni directe OOB Ia orice dispozitiv care necesit management pe reteaua de productie. CeIe mai muIte dispozitive ar trebui s fie conectate Ia acest segment de gestionare i s fie configurate foIosind OOB management. De ceaIaIta parte a firewaII-uIui se conecteaz Ia reeaua de producie n sine. Conectarea Ia reeaua de producie este justificata numai pentru accesuI Ia Internet seIectiv aI hosturiIor de management, Iimitand traficuI n-band, i criptand traficuI hosturiIor n banda de management are Ioc numai atunci cnd o apIicaie de management nu utiIizeaz OOB, sau cnd aparatuI Cisco fiind gestionate nu are fizic suficiente interfee pentru a sprijini conexiune normaI a reeIei de management. Dac un dispozitiv trebuie s se contacteze un host de management prin trimiterea de date n ntreaga reea de producie, traficuI ar trebui s fie trimise n siguran foIosind un tuneI privat criptat sau tuneI VPN. TuneIuI ar trebui s fie preconfigurate pentru a permite numai traficuI care este necesar sa fie gestionat i raportarea acestor dispozitive. TuneIuI ar trebui s fie, de asemenea, bIocat, astfeI nct numai gazdeIe adecvate sa poata iniia i reziIia tuneIuri. Cisco IOS FirewaII-uI este configurat pentru a permite informaii sysIog n segmentuI de management. n pIus, TeInet, SSH, i SNMP sunt permise cu condiia ca aceste servicii sa fie mai intai iniiate de managementuI de reea. Deoarece gestionarea reeIei are acces administrativ Ia aproape fiecare zon a reeIei, aceasta poate fi o int foarte atractiv pentru hackeri. ModuIuI de management pe firewaII-uI a fost construit cu mai muIte tehnoIogii menite s atenueze astfeI de riscuri. PrincipaIa ameninare este un hacker care ncearc s obin acces Ia reeaua de management de Ia sine. Acest Iucru poate fi, eventuaI, reaIizat printr-o gazd compromisa care are acces Ia un dispozitiv de gestionare. Pentru a reduce ameninarea de un dispozitiv compromis, controIati puternic accesuI, ar trebui s fie puse n apIicare firewaII-uri Ia orice aIt dispozitiv. n pIus, dispozitiveIe de management ar trebui s fie stabiIite ntr-un mod care mpiedic comunicarea direct cu aIte gazde pe aceeai subreea de management, foIosind segmente separate LAN sau VLAN-uri. Ca o reguI generaI, n scopuri de securitate, management OOB este adecvat pentru reeIeIe ntreprinderi mari. Cu toate acestea, nu este ntotdeauna de dorit. Deseori decizia depinde de tipuI de apIicaii de management care se execut i de protocoaIeIe care sunt monitorizate, de exempIu, un instrument de management cu scopuI de a determina dac toate dispozitiveIe dintr-o reea poate fi atins. Luai n considerare o situaie n care dou switch-uri de baz sunt gestionate i monitorizate cu ajutoruI unei reeIe de OOB. Dac o Iegtur ntre aceste switch-uri critice cade, apIicaia de monitorizare a acestor dispozitive nu poate stabiIi c Iegtura a cazut i aIerteaza administrator-uI. Acest Iucru se datoreaz faptuIui c reeaua OOB face ca toate dispozitiveIe par a fi ataat Ia o reea unic de management OOB. Reeaua de gestionare a OOB nu este afectat de caderea Iink-uIui. Cu apIicaii de management, cum ar fi acestea, este de preferat sa ruIam apIicatii de gestiune n band ntr-un mod securizat. In-band management este, de asemenea, recomandat n reeIeIe mici, ca un mijIoc de a reaIiza o impIementare de securitate mai rentabiIa. n astfeI de arhitecturi, gestionarea traficuIui n-band, n toate cazuriIe se va face ct mai sigur posibiI foIosind variante sigure adaugate Ia protocoaIe nesigure de management, cum ar fi utiIizarea SSH n Ioc de TeInet. O aIt opiune este de a crea tuneIuri sigure, foIosind protocoaIe cum ar fi IPsec, pentru gestionarea traficuIui. Dac accesuI de management nu este necesar n orice moment, pot fi pIasate gauri, probabiI, temporar ntr-un firewaII n timp ce sunt reaIizate funciiIe de management. Aceasta tehnica ar trebui s fie utiIizate cu precauie, i toate guriIe ar trebui s fie nchise imediat dup ce funciiIe de management sunt finaIizate. n ceIe din urm, n cazuI n care utiIizam instrumente de management Ia distan cu managementuI in-band, trebuie sa avem grija Ia vuInerabiIiti de securitate care stau Ia baza instrumenteIor de management. De exempIu, SNMP managers sunt adesea utiIizate pentru a uura sarciniIe de depanare i configurare o reea. Cu toate acestea, SNMP ar trebui s fie tratate cu cea mai mare grija, deoarece protocoIuI care stau Ia baza are propriuI set de vuInerabiIiti de securitate. Punere n apIicare a unui mecanism de Iogare pe router este o parte important a oricrei poIitici de securitate de reea.Pe routereIe Cisco se poate Ioga cu informaii cu privire Ia modificriIe de configuraie, ncIcri ACL, statutuI de interfa, i muIte aIte tipuri de evenimente. RoutereIe Cisco pot trimite mesaje jurnaI de mai muIte faciIiti diferite. Trebuie s configurai router-uI pentru a trimite mesaje de jurnaI Ia unuI sau mai muIte dintre urmtoareIe eIemente. ConsoIa - Iogare prin consoIa este n mod impIicit. Mesaje jurnaI Ia consoIa pot fi vizuaIizate atunci cnd modificam sau testam routeruIui foIosind software-uI de emuIare de terminaI in timp ce suntem conectati Ia portuI de consoIa aI router-uIui. Iinii TerminaIe - sesiuni EnabIed EXEC poate fi configurata pentru a primi mesaje de jurnaI cu privire Ia orice Iinii terminaIe. SimiIar cu Iogare prin consoIa, acest tip de Iogare nu este stocat de router i, prin urmare, este importanta pentru utiIizatoruI de pe acea Iinie. Logarea Buffered (Buffered Iogging) acest tip de Iogare este un pic mai utiIa ca un instrument de securitate, deoarece mesajeIe jurnaI sunt stocate n memorie router pentru un timp. Cu toate acestea, evenimenteIe sunt sterse ori de cte ori router-uI este repornit. SNMP traps -- anumite praguri pot fi preconfigurate pe routere si pe aIte dispozitive. EvenimenteIe de pe router, cum ar fi ceIe de peste un anumit prag, pot fi preIucrate de ctre router i transmise prin SNMP trap Ia un server extern SNMP. SNMP trap sunt o faciIitate de securitate viabiIa de Iogare, dar necesita configurarea i ntreinerea unui sistem de SNMP. SysIog - routere Cisco poate fi configurat pentru a transmite mesaje de Iog Ia un serviciu extern sysIog. Acest serviciu se poate ampIasa pe orice numr de servere sau statii de Iucru, incIusiv Microsoft Windows i sisteme bazate pe UNIX, sau aparatuI de securitate Cisco MARS. SysIog este faciIitate de Iogare cea mai popuIara, pentru c acesta ofer capaciti pe termen Iung jurnaI de stocare i o Iocaie centraI pentru toate mesajeIe de pe router. Mesaje jurnaI pe routereIe Cisco se ncadreaz ntr-una din opt niveIe. Cu cat este mai mic numr de niveI, cu atat este mai ridicat niveI de severitate. MesajeIe jurnaI pe routereIe Cisco conine trei pri principaIe: Timestamp mesaj NumeIe Log i niveI de severitate Mesaj text SysIog este standard pentru Iogare evenimente de sistem. ImpIementariIe SysIog conin dou tipuri de sisteme. servere SysIog -, cunoscut sub numeIe de gazde jurnaI, aceste sisteme accepta i procesuI de mesaje de jurnaI din sysIog cIienti. cIientii SysIog - router sau aIte tipuri de echipamente care genereaz i transmite mesaje de Ia servere Iog sysIog. ProtocoIuI sysIog permite mesajeIor Iogin sa fie trimise de Ia un cIient sysIog Ia server sysIog. n timp ce posibiIitatea de a trimite jurnaIeIe de Ia un server centraI sysIog este parte dintr-o soIutie de securitate buna, acesta poate fi, de asemenea poteniaIa parte din probIemeIe de securitate. Cea mai mare probIem este enormitatea de sarcini rezuItate prin cernerea de informaii, prin coreIarea evenimenteIor de Ia mai muIte dispozitive de reea i servere de apIicaii diferite, i Iund ncaIcuI diferiteIe tipuri de aciuni bazate pe o evaIuare a vuInerabiIitii unui incident. Monitorizarea SecuritatII, anaIiza, i RspunsuI SistemuIui (MARS) este un dispozitiv de securitate Cisco, care poate primi i anaIiza mesajeIor sysIog din diverse dispozitive de reea i gazde Cisco si aIti furnizori. Securitate Cisco MARS extinde portofoIiuI de produse de management aI securitii pentru iniiativ Cisco SeIf-Defending Network. Cisco de securitate MARS este primuI aparat construit cu scopuI de atenuare n timp reaI a ameninariIor Ia adresa securitii. Securitate Cisco MARS monitorizeaz muIte tipuri de Iog-ari i raportare de trafic, de Ia produseIe de securitate pana Ia reeIe de companii. Securitate Cisco MARS combin toate aceste date jurnaI ntr-o serie de sesiuni de care apoi Ie compar cu o baz de date de reguIi. n cazuI n care normeIe indic faptuI c ar putea fi o probIem, este decIanat un incident. Prin utiIizarea acestei metode, un administrator de reea poate avea proceseIe de securitate Cisco MARS de ceIe mai muIte de arhivate de aparat de Ia dispozitiveIe din reea i s isi concentreze eforturiIe umane asupra eventuaIeIor probIeme. UtiIizai urmtorii pai pentru a configura sistemuI de Iogare. PasuI 1. Setai destinaia de Iogare a gazdei foIosind comanda Iogging host. PasuI 2. (OpionaI) Setai niveIuI de gravitatea aI Iog (capcana) foIosind comanda Iogging trap<niveI>. PasuI 3. Setai interfa surs foIosind comanda Iogging source-interface. Aceasta arat c pacheteIe conin adresa unei anumite interfae sysIog IPv4 sau IPv6, indiferent de interfata pe care pacheteIe o foIosesc pentru a iei din router. PasuI 4. Activeaz jurnaIizarea comanda Iogging on. Putei activa Iogare on i off pentru aceste destinaii foIosind comenziIe Iogging buffered, Iogging monitor, si Iogging individuaI de configurare gIobaaI. Cu toate acestea, n cazuI n care comanda Iogging on este dezactivata, mesajeIe nu sunt trimise ctre aceste destinaii. Doar consoIa primeste mesaje . Pentru a activa sysIog de Iogare de pe router, foIosind Cisco router i securitate Device Manager (SDM), urmai aceti pai. PasuI 1. AIegei Configure > AdditionaI Tasks > Router Properties > Logging.. PasuI 2. Din panouI de Logging, facei cIic pe Edit. PasuI 3. n fereastra Logging, seIectai EnabIe Logging LeveI i puteti aIege niveIuI de Iogare din Logging LeveI din Iist MesajeIe vor fi Iogate pentru niveIuI seIectat sau un niveI mai mic. PasuI 4. Facei cIic pe Add,, i introducei adres IP a hostuIui de Iogat n cmpuI IP Address/Hostname. PasuI 5. Facei cIic pe OK pentru a reveni Ia caseta de diaIog Logging. PasuI 6. Facei cIic pe OK pentru a accepta modificriIe i a reveni Ia panouI de Iogare. Cisco SDM poate fi foIosite pentru a monitoriza IogariIe prin aIegerea Monitor > Logging. Din fiIa SysIog, avei posibiIitatea s efectuai urmtoareIe funcii: sa vedeti gazdeIe Iogate Ia care router-uI are mesaje de Iogare AIegei niveIuI minim de severitate pentru vizuaIizare. Monitorizati mesajeIe sysIog router, actuaIizare ecranuI pentru a afia intrriIe ceIe mai actuaIe jurnaI, i terge toate mesajeIe din jurnaIuI tampon sysIog aI router-uIui . Un aIt instrument de monitorizare comun este SNMP. SNMP a fost dezvoItat pentru a gestiona noduri, cum ar fi servere, staii de Iucru, routere, switch- uri, hub-uri, i dispozitive de securitate, pe o reea IP. SNMP este un protocoI de niveI apIicaie care faciIiteaz schimbuI de informaii ntre dispozitive de management de reea. SNMP este parte din suita protocoaIeIor TCP / IP. SNMP permite administratoriIor de reea s gestioneze performaneIe reeIei,sa gseasca i sa rezoIve probIemeIe de reea, i un pIan pentru creterea reeIei. Exist versiuni diferite aIe SNMP. SNMP versiunea 1 (SNMPv1) i SNMP versiunea 2 (SNMPv2) se bazeaz pe manageri (sisteme de management aI reeIei [NMSs]), ageni (noduri administrative), i Baze de Management aIe Informaiei (MIB-uri). n orice configuraie, ceI puin un nod manager care ruIeaza software-uI de management SNMP. Dispozitive de reea ce trebuie s fie gestionate, cum ar fi switch-uri, routere, servere, i staii de Iucru, sunt echipate cu un moduI de agent software SMNP. AgentuI este responsabiI pentru asigurarea accesuIui Ia un MIB IocaIe de obiecte care refIect resurseIe i activitatea Ia noduI su. MIB-uri stocheaz dateIe despre funcionarea dispozitivuIui i sunt menite s fie disponibiI pentru utiIizatorii autentificai Ia distan. ManageruI SNMP poate obine informaii de Ia agent, i schimbare, sau seta informaii n agent. SetariIe pot schimba configuraia variabIeIor in device- uI agent. SetariIe pot initia aciuni n dispozitive. Un rspuns Ia o setare indic o noua setare n aparat. De exempIu, o setare poate provoca o rebootare a unui router, trimiterea unui fiier de configurare, sau primirea unui fiier de configurare. Trap SNMP permite unui agent de a notifica evenimente semnificative prin trimiterea unui mesaj catrestaia de management. Aciunea de a obtine i de a seta deschid vuInerabiIiti care deschid SNMP Ia atacuri. Ageni SNMP accepta comenzi i a cereriIor de Ia sistemeIe de management SNMP numai n cazuI n care aceste sisteme au un ir de comunitate corect. Un ir de comunitate SNMP este un text care poate autentifica mesaje ntre o staie de gestionare i un agent SNMP i permite accesuI Ia informaii n MIB-uri. Siruri de caractere comunitare sunt, n esen utiIizate pentru autentificare prin paroI numai de mesaje ntre noiIe state membre i agent. Exist dou tipuri de iruri de comunitte. siruri de caractere comunitate read-onIy - Ofer acces read-onIy (doar citire) Ia toate obiecteIe din MIB, cu excepia siruri de caractere comunitate. siruri de caractere comunitate citire-scriere - Ofer acces Ia citire-scriere pentru toate obiecteIe din MIB, cu excepia siruri de caractere comunitate. n cazuI n care manageruI trimite siruri de caractere corecte comunitate read-onIy, se poate obine informaii, dar nu se pot seta de informaii ntr- un agent. n cazuI n care manageruI foIosete una dintre siruriIe de comunitate corecte citire-scriere ceIe, se pot obine sau seta de informaii n agent. ntr-adevr, a stabiIi acces Ia un router este echivaIent cu a avea enabIe password de router. n mod impIicit, ceIe mai muIte sisteme SNMP foIosesc un ir de comunitate. "pubIic", Dac v configurai router-uI agentSNMP sa foIoseasva acest ir comunitate cunoscut, oricine cu un sistem de SNMP poate citi MIB-uI router-uIui. Deoarece variabiIeIe router MIB poate indica Iucruri, cum ar fi tabeIeIe de rutare i aIte pri de securitate critice aIe configurare router, este extrem de important cum v creai propriiIe dvs. siruri de caractere comunitate personaIizate SNMP. Cu toate acestea, chiar dac iruI comunitatea este schimbat, siruri de caractere sunt trimise n pIaintext. Aceasta este o vuInerabiIitate foarte mare de arhitectura SNMPv1 i SNMPv2. Dac utiIizai in-band management,, pentru a reduce riscuriIe de securitate, SNMP management ar trebui s fie configurate pentru a obtine numai informaii de Ia dispozitive, mai degrab dect a Ii se permite s mping "set"-uI de modificri aIe dispozitiveIor. Pentru a asigura gestionarea informaiiIor, fiecare dispozitiv ar trebui s fie configurat cu un ir doar n citire comunitate SNMP. Pstrarea traficuIui SNMP pe un segment permite traficuIui sa traverseze un segment izoIat, atunci cnd este tras de gestionare a informaiiIor de Ia aparate i atunci cnd schimbriIe de configurare sunt mpinse Ia un dispozitiv. Prin urmare, n cazuI utiIizrii unei reeIe de OOB, este acceptabiI sa configuram SNMP citire-scriere string comunitate, cu toate acestea, trebuie s fim contieni de riscuI crescut Ia securitate de un ir de text cIar care permite modificarea configuraiiIor dispozitivuIui. Versiunea curent a SNMPv3 eIimina vuInerabiIitiIe din versiuniIe anterioare, incIusiv aIe ceIor trei servicii importante: autentificare, intimitate, i de controIuI accesuIui. SNMPv3 este un protocoI interoperabiI bazate pe standarde pentru gestionarea reeIei. SNMPv3 foIosete o combinaie de autentificare i criptare a pacheteIor n reea pentru a oferi acces securizat Ia dispozitive. SNMPv3 Ofer trei caracteristici de securitate. integritatea mesajuIui - asigur de faptuI c un pachet nu a fost modificat printr-un tranzit. autentificare - determin c mesajuI este de Ia o surs vaIid. Criptare - amestec coninutuI unui pachet pentru a preveni de Ia a fi vzut de ctre o surs neautorizate. Se recomand ca SNMP sa fie utiIizat atunci cnd este posibiI, din cauza caracteristiciIor de securitate sporita , configurarea SNMPv3 este dincoIo de sfera de apIicare a acestui curs. Cnd activai SNMP, este important s se ia n considerare modeIuI de securitate i niveIuI de securitate. ModeIuI de securitate este o strategie de autentificare care este configurata pentru un utiIizator i pentu grup n care utiIizatoruI are reedina. n prezent, software-uI Cisco IOS accept trei modeIe de securitate: SNMPv1, SNMPv2c, i SNMPv3. Un niveI de securitate este niveIuI permis de securitate n cadruI unui modeI de securitate. NiveIuI de securitate este un tip de aIgoritm de securitate care se efectueaz pe fiecare pachet SNMP. Exist trei niveIuri de securitate. noAuth - Autentific un pachet de un string care face mach numeIe de utiIizator sau cu de ir comunitate. auth - autentific un pachet utiIiznd fie Hashed Message Authentication Code (HMAC) cu metoda MD5 sau metoda Secure Hash AIgorithms (SHA). Metoda HMAC este descris n RFC 2104, HMAC: Keyed-Hashing for Message Authentication. priv - autentific un pachet fie prin foIosirea MD5 HMAC sau aIgoritmi HMAC SHA i cripteaz foIosind pachete Data Encryption Standard (DES), TripIe DES (3DES), sau Advanced Encryption Standard (AES) aIgoritmi. Combinaia dintre modeI i niveIuI care determin mecanismuI de securitate este angajat Ia manipuIarea unui pachet SNMP. Numai SNMPv3 sprijin auth i niveIuriIe de securitate priv. Cu toate acestea, Cisco SDM nu are suport pentru configurarea de SNMPv3. Pentru a permite SNMPv1 i SNMPv2 foIosind Cisco SDM urmai aceti pai. PasuI 1. Configure > AdditionaI Tasks > Router Properties > SNMP. Facei cIick pe butonuI Edit. PasuI 2. Din fereastra SNMP Properties, seIectai EnabIe SNMP pentru a activa suportuI pentru SNMP. Setati siruri de caractere comunitate i introducei informaiiIe trap manager din aceeai fereastra SNMP Properties foIosite pentru a activa suportuI. PasuI 3. n fereastra SNMP Properties, facei cIic pe Add pentru a crea noi siruri de caractere comunitate, facei cIic pe Edit pentru a edita un ir de comunitate existent, sau facei cIic pe DeIete pentru a terge un ir de comunitate.
Un exempIu de comand CLI in care SDM ar genera un ir read onIy de comunitate bazat numai pe stringuI cisco123 este snmp-server community cisco123 ro. ro - Atribuie un ir de comunitate read-onIy. rw - Atribuie un ir de comunitate read-write. AdministratoruI poate configura, de asemenea, dispozitiveIe pentru care un router sa trimite capcane. Aceste dispozitive sunt denumite n continuare receptoare capcana. Cisco SDM poate fi utiIizat pentru a aduga, edita sau terge un receptor capcan. PasuI 1. Din panouI SNMP n Cisco SDM, facei cIicL pe Edit. SNMP.Fereastr afieaz SNMP Properties. PasuI 2. Pentru a aduga un receptor capcan nou, facei cIick pe Add n seciunea Trap Receiver din fereastra SNMP Properties. Se afieaz fereastra. Add a Trap Receiver PasuI 3. Introducei adresa IP sau numeIe de gazd aI receptoruIui capcan i paroIa, care este utiIizata pentru a va conecta Ia receptor capcana. De obicei, aceasta este adresa IP a staiei de management SNMP care monitorizeaz n domeniuI dvs.. ConsuItai-v cu administratoruI site-uIui pentru a determina adresa dac nu sunteti sigur. PasuI 4. Facei cIic pe OK pentru a termina adugarea receptoruIui capcan. PasuI 5. Pentru a edita un receptor capcan existent, aIegei un receptor capcan din Iista de receptor capcan i facei cIic pe Edit. Pentru a terge un receptor capcan existent, aIegei un receptor capcan din Iista de receptor capcan i facei cIic pe DeIete.. PasuI 6. Atunci cnd Iista receptoruI capcana este compIet, facei cIic pe OK pentru a reveni Ia panouI SNMP. Fereastra SNMP Properties conine, de asemenea, campuI SNMP Server Device Location i campuI Server Administrator Contact. AmbeIe cmpuri sunt cmpuri de text care pot fi foIosite pentru a introduce informaii descriptive despre Iocaia serveruIui SNMP i informaiiIe de contact aIe unei personae care gestioneaza server-uI SNMP. Aceste cmpuri nu sunt obIigatorii i nu afecteaz funcionarea router-uIui . MuIte Iucruri impIicate n securitatea unei reeIe, cum ar fi securitatea IoguriIor , depinde de Ia o dat precis i timestamp. Cnd are Ioc un atac, chestiune de secunde, este important deoarece trebuie s se identifice ordinea n care a avut Ioc un anumit atac. Pentru a ne asigura c mesajeIe Iog sunt sincronizate uneIe cu aIteIe, ceasuriIe pe hosturi i dispozitive de reea trebuie s fie meninute i sincronizate. De obicei, setriIe de data i ora de router poate fi setat foIosind una dintre ceIe dou metode: Editarea manuaI a datei i orei Configurarea protocoIuIui Time Network (NTP) Dei metoda manuaI Iucreaz ntr-un mediu de reea mic, cand o reea crete, devine dificiI s se asigure c toate dispozitiveIe de infrastructur opereazaa cu timp sincronizat. Chiar i ntr-un mediu de reea mai mic, metoda manuaI nu este ideaI. Dac un router reboot-eaza, cand primeste date precise i timestamp? O soIuie mai bun este de a configura NTP pe reea. NTP permite routereIor din reea sa sincronizeze setriIe timpuIui Ior cu un server NTP. Un grup de cIienti NTP care obin informaii despre ora i data dintr-o singur surs au setri de timp mai muIt precise. Cnd NTP este pus n apIicare n reea, acesta poate fi configurat pentru a se sincroniza cu un ceas master privat, sau se poate sincroniza cu un server NTP Ia dispoziia pubIicuIui pe Internet. NTP utiIizeaz portuI UDP 123 i este documentat n RFC 1305. Atunci cnd decid s utiIizeze o sincronizarea ceasuIui privat fa de un ceas pubIic, este necesar sa se evaIueze riscuriIe i beneficiiIe. n cazuI n care un ceas master private este pus n apIicare, ar putea fi sincronizate Ia Coordinated UniversaI Time (UTC) sau radio prin sateIit. AdministratoruI are nevoie pentru a se asigura c surs de timp este vaIabiIa i dintr-un site securizat, n caz contrar, se pot introduce vuInerabiIitati. De exempIu, un atacator poate Iansa un atac DoS prin trimiterea de date faIse NTP pe Internet Ia reea ntr-o ncercare de a schimba ceasuriIe de pe dispozitive de reea, care pot determina ca certificateIe digitaIe sa devina invaIid. Un atacator ar putea ncerca s se confunde cu un administrator de reea n timpuI unui atac de perturbare a ceasuriIor de pe dispozitive de reea. Acest scenariu ar face dificiI pentru administratoruI de reea sa determina ordinea evenimenteIor sysIog pe mai muIte dispozitive. Sincronizand ceasuI de pe Internet nseamn c pacheteIe negarantate sunt permise prin firewaII. MuIte servere NTP de pe Internet nu necesit nici o autentificare a coIegiIor, prin urmare, administratoruI de reea trebuie s aib ncredere c ceasuI este de ncredere, vaIabiI, i sigur. Comunicaii (cunoscut sub numeIe de asociaii), ntre maini care ruIeaz NTP sunt de obicei configurate static. Fiecare dispozitiv este dat adresa IP a NTP master. Pontaj exact este posibiI prin schimbuI de mesaje NTP ntre fiecare pereche de maini asociate. ntr-o reea NTP configurata, unuI sau mai muIte routere sunt desemnate ca deintor ceas master (cunoscut ca un maestru NTP) foIosind comanda ntp master din configurare gIobaIa. CIientii NTP fie au contact cu master fie ascuIta mesajeIe de Ia master pentru a sincroniza ceasuriIe Ior. Pentru a contacta master-uI , utiIizati comanda ntp server < addresa server-uIui > ntr-un mediu LAN, NTP poate fi configurat s utiIizeze mesajeIe difuzate n Ioc de IP-uri foIosind comanda ntp broadcast cIient. Aceast aIternativ reduce compIexitatea de configurare, deoarece fiecare masina poate fi configurat pentru a trimite sau primi mesaje difuzate. Precizia este redus, deoarece fIuxuI de informaii este dintr-o singura sursa. n momentuI n care o main pstreaz o resurs critic, prin urmare, eIementeIe de siguran aIe NTP ar trebui s fie foIosite pentru a evita setarea accidentaIe sau deIiberata de ore incorecte. Exist dou mecanisme de securitate: sistem pe baz de restricie ACL mecanism de autentificare criptate oferite de versiunea NTP 3 sau mai trziu Versiunea NTP 3 (NTPv3) i de mai trziu, sprijina un mecanism de autentificare criptografic ntre coIegii NTP. Acest mecanism de autentificare, n pIus fa de ACL-uri care specific ce dispozitive de reea sunt permise pentru a sincroniza cu aIte dispozitive de reea, poate fi foIosite pentru a ajuta Ia atenuarea unui astfeI de atac. Pentru a asigura trafic NTP, este recomandat sa se foIoseasca NTP versiunea 3 sau mai trziu,. FoIosii urmtoareIe comenzi de pe ambeIe master i NTP cIient NTP. ntp authenticate ntp authentication-key< numaruI cheii > md5< vaIuarea cheii> ntp trusted-key <numaruI cheii> Autentificare este n beneficiuI unui cIient pentru a se asigura c obtine timpuI de Ia un server autentificat. CIientii configurati fr autentificare pot obine nc timp de Ia server. Diferena este c aceti cIieni care nu se autentifica pe server nu au o surs sigur. UtiIizai comanda show ntp associations detaiI pentru a confirma faptuI c serveruI este o surs autentificat. Not: VaIoarea cheie poate fi setat ca un argument n comanda ntp server <ntp-server-address> Cisco SDM permite unui administrator de reea sa vizuaIizeze informaii configurate NTP server, sa adugeinformaii noi, i sa editeze sau sa tearga informaiiIe existente. Exist apte pai pentru a aduga un server NTP foIosind Cisco SDM. PasuI 1. AIegei Configure > AdditionaI Tasks > Router Properties > NTP/SNTP.. PanouI de NTP apare, afiand informaii pentru toate servereIe configurate NTP. PasuI 2. Pentru a aduga un nou server NTP, facei cIic pe Add. Apare fereastra Add NTP Server DetaiIs. PasuI 3. Adauga nume unui server NTP n cazuI n care router-uI este configurat s utiIizeze un server Domain Name System (DNS), sau adresa IP. Pentru a aduga un server NTP prin adresa IP, introducei adresa IP n cmpuI de Ing NTP Server IP Address . n cazuI n care organizaia nu are un server NTP, administratoruI ar putea dori s utiIizai un server pubIic, cum ar fi unuI din Iista de servere care pot fi gsite Ia http://support.ntp.org/bin/view/Servers/WebHome . PasuI 4. (OpionaI) Din Iista NTP Source Interface, aIege interfata router-uIui utiIizata pentru a comunica cu serveruI NTP. NTP Sursa Interface este un cmp opionaI. Dac acest cmp este Isat necompIetat, mesaje NTP sunt trimise Ia cea mai apropiat interfa conform tabeIuIui de rutare. PasuI 5. SeIectai Prefer dac acest server NTP a fost desemnat ca un server preferat NTP. ServereIe NTP Preferate sunt contactate nainte de servere nepreferate NTP. Nu poate fi mai muIt de un server preferat NTP. PasuI 6. Dac serveruI NTP foIoseste autentificare, seIectai autentificarea cu cheie i introducei numruI cheii i vaIoarea cheii. PasuI 7. Facei cIic pe OK pentru a termina adugarea server-uIui . RoutereIe Cisco sunt iniiaI desfurat cu muIte servicii, care sunt activate n mod impIicit. Acest Iucru se face pentru comoditate i pentru a simpIifica procesuI de configurare necesare pentru a obine dispozitivuI operaionaI. Cu toate acestea, uneIe dintre aceste servicii pot face dispozitivuI vuInerabiIe Ia atac, dac securitatea nu este activata. Administratorii pot permite, de asemenea, serviciiIe de pe routere Cisco, care pot expune dispozitivuI de risc semnificativ. AmbeIe scenarii trebuie s fie Iuate n considerare atunci cnd securizarea reeIei. De exempIu, Cisco Discovery ProtocoI (CDP) este un exempIu de un serviciu care este activat impIicit n routere Cisco. Acesta este utiIizat n principaI pentru a obine adreseIe de protocoI aI dispozitiveIor Cisco vecine i de a descoperi pIatforme acestor dispozitive. Din pcate, un atacator pe reea poate utiIiza CDP pentru a descoperi dispozitiveIe din reeaua IocaI. n pIus, atacatorii nu au nevoie de CDP-activat pe dispozitive. Un software disponibiI, cum ar fi Cisco CDP Monitor, pot fi descrcate pentru a obine informaii. Intenia de CDP este de a face mai uor pentru administratori sa descoperi i sa depaneze aIte dispozitive Cisco pe reea. Cu toate acestea, din cauza impIicaiiIor de securitate, foIosirea de CDP ar trebui s fie determinista. Dei este un instrument extrem de utiI, aceasta nu ar trebui s fie peste tot n reea. Un exempIu sunt dispozitive Edge (de margine) care ar trebui s aib aceast caracteristic dezactivata Atacatorii aIeg servicii i protocoaIe care face reeaua mai vuInerabiIIa n funcie de nevoiIe de securitate aIe unei organizaii, muIte dintre aceste servicii ar trebui s fie dezactivate sau, ceI puin, Iimitate. Aceste caracteristici variaz de Ia protocoaIe proprietare Cisco, cum ar fi Cisco Discovery ProtocoI (CDP), Ia protocoaIe de niveI gIobaI disponibiIe, cum ar fi ICMP i aIte instrumente de scanare. UneIe dintre setriIe impIicite n software-uI Cisco IOS sunt acoIo pentru motive istorice, au avut sens atunci cnd au fost aIee, dar, probabiI, ar fi diferit dac noi vaIori impIicite ar fi fost aIese astzi. AIte defauIt-uri au sens pentru majoritatea sistemeIor, dar poate crea expuneri de securitate, dac acestea sunt utiIizate n dispozitiveIe care fac parte din perimetruI reteIei. AIte impIicite sunt de fapt cerute de standarde, dar nu sunt ntotdeauna de dorit din punct de vedere aI securitii. MuIte dintre practici contribuie Ia asigurarea securizarii unui dispozitiv Dezactivai servicii i interfeeIe inutiIe. Dezactivai i restrngeti configuratia uzuaIa de servicii de management, cum ar fi SNMP. Dezactivati sondajeIe i scanariIe, cum ar fi ICMP. Asigurai-v securitatea terminaIeIor de acces. Dezactiveaz programeIe inutiIe i proxy Address ResoIution ProtocoI (ARP). Dezactivai IP-directed broadcasts Pentru a asigura dispozitive de reea, administratorii trebuie s stabiIeasc mai nti c exist vuInerabiIiti cu configuraia curent. CeI mai bun mod de a reaIiza acest Iucru este prin utiIizarea unui instrument de audit de securitate. Un instrument de audit de securitate efectueaz verificri cu privire Ia niveIuI de securitate aI unei configuraii prin compararea c configuraia Ia setriIe recomandate de urmrire i discrepane. Dup ce vuInerabiIitatiIe sunt identificate, administratorii de reea trebuie s modifice configurarea pentru a reduce sau eIimina aceste vuInerabiIitati i pentru a asigura dispozitivuI de reea. Trei instrumente de audit de securitate disponibiIe incIud: Security Audit Wizard - caracteristic unui audit de securitate furnizata prin intermediuI Cisco SDM. Security Audit Wizard ofer o Iist de vuInerabiIiti i apoi permite administratoruIui s aIeag care sunt poteniaIeIe modificri de securitate Iegate de configurare apIicate pe un router. Cisco AutoSecure - un eIement de securitate de audit disponibiI prin intermediuI Cisco IOS CLI. Comanda autosecure iniiaz un audit de securitate i apoi permite modificriIe de configuraie. Bazat pe moduI seIectat, modificriIe de configuraie pot fi automate sau necesita interventia manuaIa a administratoruIui de reea. One-Step Lockdown - caracteristic unui audit de securitate furnizate prin intermediuI Cisco SDM. Caracteristic One-Step Lockdown ofer o Iist a vuInerabiIitiIor i apoi face automat toate modificriIe recomandate de securitate Iegate de configurare. AmbeIe Security Audit Wizard i Wizard One-Step Lockdown sunt bazate pe caracteristica Autosecure Cisco IOS. Security Audit Wizard Security Audit Wizard testeaza configurarea router-uIui pentru a determina dac exist poteniaIe probIeme de securitate n configuraie, i prezint apoi un ecran care permite administratoruIui sa determine care dintre aceste probIeme de securitate pot fi remediate. n acest moment, Securitate Expert Audit face modificriIe necesare pentru configurarea router pentru a remedia aceste probIeme. Securitate Expert Audit compar o configuraie router cu setriIe recomandate i efectueaz urmtoareIe: nchide servereIe care nu sunt necesare Dezactiveaz servicii care nu sunt necesare. ApIic firewaII-uri pentru interfeeIe exterioare. Dezactiveaz sau ntrete SNMP. nchide interfee nefoIosite. ControaIeaza puterea paroIei Impune utiIizarea de ACL-uri. Atunci cnd un audit de securitate este iniiat, Security Audit Wizard trebuie s tie care interfee aIe router-uIui conecteaza reeaua din interioruI i care conecta reeaua n afara. Security Audit Wizard apoi configuratia router-uIui pentru a determina eventuaIeIe probIeme de securitate care pot exista. O fereastr arat toate opiuniIe de configurare testate i dac configuraia curent trece aceste teste. Cnd este compIet, audit de securitate identific eventuaIeIe vuInerabiIiti n configuraia i ofer o modaIitate de a corecta aceste probIeme. De asemenea, ofer administratoruIui posibiIitatea de a rezoIva probIemeIe n mod automat, caz n care se determin comenziIe necesare de configurare. O descriere a probIemeIor specifice i o Iist a comenziIor Cisco IOS foIosesc pentru a corecta aceste probIeme. nainte ca orice modificri decconfigurare sa fie fcute, se afieaz o pagin REZUMAT o Iist cu toate modificriIe de configuraie pe care audit de securitate se va face. AdministratoruI trebuie s faca cIick pe Finish pentru a trimite aceIe configuraii Ia router. Cisco AutoSecure Lansat n versiunea 12.3 IOS, Cisco AutoSecure este o caracteristic care este iniiat de CLI si executa un script. AutoSecure face primuI recomandri pentru fixarea vuInerabiIiti de securitate i apoi modific configuraia de securitate a router-uIui. AutoSecure poate bIoca funciiIe pIanuIui de management i servicii de expediere aIe pIanuI i funciiIe unui router. PIanuI de management este caIea Iogic a traficuIui referitoare Ia gestionarea unei pIatforme de rutare. Este foIosit pentru a controIa toate ceIeIaIte funcii de rutare i de a gestiona un dispozitiv prin intermediuI unei conexiuni Ia reea. Exist mai muIte servicii i funcii in pIanuI de management: Secure BOOTP, CDP, FTP, TFTP, PAD, UDP, TCP i servere mici, MOP, ICMP (redirectri, masca-raspunsuri), sursa de rutare IP, Finger, criptare paroIa, keepaIives TCP, gratuit ARP, proxy ARP, si directed broadcast notificare juridic foIosind un banner funcii de Iogin i paroIa sigur Secure NTP Secure SSH acces interceptarea serviciiIor TCP PIanuI de expediere este responsabiI pentru transmiterea de pachete (sau comutare de pachete), care este actuI de a primi pachete cu privire Ia interfeeIe router-uIui i de a Ie trimite pe aIte interfee. Exist trei servicii de transport i funciiIe Ior : EnabIes CEF Permite trafic de fiItrare cu ACL-uri ImpIementeaz Cisco IOS inspecie firewaII pentru protocoaIe comune AutoSecure este adesea foIosit n domeniu pentru a oferi o poIitic de securitate de baz pe un router nou. Caracteristici pot fi apoi modificat pentru a sprijini poIitica de securitate a organizaiei . UtiIizai comanda auto secure pentru a permite configurarea caracteristicii Cisco AutoSecure. Aceast configurare poate fi interactiva sau non- interactiva. auto secure [no-interact] n moduI interactiv, router-uI soIicit opiuni pentru a activa i dezactiva servicii i aIte caracteristici de securitate. Acesta este moduI impIicit, dar poate fi, de asemenea, configurat foIosind comanda auto secure fuII. ModuI non-interactiv este simiIar SDM Security Audit one-step Iockdown , deoarece executa automat comanda Cisco AutoSecure cu setriIe impIicite recomandate Cisco. Acest mod este activat cu ajutoruI comenzii auto secure no-interact din priviIegiate EXEC. Comanda auto secure poate fi introduse, de asemenea, cu cuvinte cheie pentru a configura componenteIe specifice, cum ar fi pIanuI de management i pIanuI de expediere n cazuI n care comanda auto secure este iniiata, un wizard va configura dispozitivuI. Introducerea user-uIui este necesar. n cazuI n care expertuI este compIet, se afieaz o configuraie care ruIeaz toate setriIe de configurare i schimbri. Cisco One-Step Lockdown Cisco One-Step Lockdown testeaza o configuraie de router pentru orice poteniaIe probIeme de securitate i face n mod automat modificriIe de configurare necesare pentru a corecta orice probIeme. Cisco One-Step Lockdown dezactiveaz: serviciu Finger serviciu PAD servicii de servere mici TCP servicii de servere mici UDP servere de serviciu IP BOOTP serviciuI de identificare IP Cisco Discovery ProtocoI traseu IP surs IP GARPs SNMP IP redirecturiIe IP proxy ARP IP directed broadcast serviciu MOP IP unreachabIes masca rspuns IP unreachabIes IP pe interfete nuIe Cisco One-Step Lockdown Permite: serviciu de criptare ParoIa keepaIives TCP pentru sesiuni TeInet inbound i outbound Numere de secven i marcajeIe de timp pe debugs IP Cisco Express Activeaz NetFIow de expediere de comutare Transmiterea Unicast Reverse Path (RPF), pe interfee n afara FirewaII pe toate interfeeIe n afara SSH pentru conexiuni de acces Ia router AAA Setari Cisco One-Step Lockdown: Lungimea minim a paroIei ase caractere Autentificarea ratei de esecuri Ia mai puin de trei rencercri timpuI TCP synwait Notificarea banner Parametri de jurnaIizare Activarea paroIei secret ScheduIer intervaIuI ScheduIer aIocarea UtiIizatori setriIe TeInet CIasa de acces Ia serviciuI server HTTP CIasa de acces Ia Iinii de vty Decide care caracteristica Iockdown automatizata sa fie utiIizata, AutoSecure sau SDM Audit de securitate cu un singur pas Lockdown, este de fapt o chestiune de preferin. Exist diferene n moduI n care acestea pun n apIicare bune practici de securitate. Cisco SDM nu pun n apIicare toate caracteristiciIe Cisco AutoSecure. Deoarece Cisco SDM versiunea 2.4, urmtoareIe caracteristici AutoSecure nu fac parte din Cisco SDM Iockdown cu un singur pas: Dezactivarea NTP - pe baza de intrare, Cisco dezactiveaz AutoSecure NTP n cazuI n care nu este necesar. n caz contrar, NTP este configurat cu autentificare MD5. Cisco SDM nu are suport pentru dezactivarea NTP. Configurarea AAA - n cazuI n care serviciuI AAA nu este configurat, Cisco AutoSecure configureaz IocaIe AAA i soIicit pentru configurarea unei baze de date i nume de utiIizator IocaI paroIa pe router. Cisco SDM nu are suport pentru AAA configurare. Setarea seIectiv a vaIoriIor Packet Discard (SPD) - Cisco SDM nu stabiIete vaIori SPD. Activarea interceptariIe TCP - Cisco SDM nu permite interceptarea TCP Configurarea ACL-uri antispoofing pe interfeeIe de iesire - Cisco AutoSecure creeaz trei Iiste nominaIe de acces pentru a preveni antispoofing adreseIor surs. Cisco SDM nu configureaz aceste ACL-uri. . UrmtoareIe caracteristici Cisco AutoSecure sunt puse n apIicare n mod diferit n Cisco SDM: Activeaz SSH pentru accesuI pe router - Cisco SDM permite i configureaz SSH pe Cisco IOS imagini care au caracteristica de IPsec set, ns, spre deosebire de AutoSecure Cisco, Cisco SDM nu permite Secure Copy ProtocoI (SCP) sau dezactiva accesuI i aIte servicii de transfer de fiiere , cum ar fi FTP. Dezactiveaz SNMP - Cisco SDM dezactiveaz SNMP; cu toate acestea, spre deosebire de AutoSecure Cisco, Cisco SDM nu ofer o opiune pentru configurarea SNMPv3. Opiunea SNMPv3 nu este disponibiI pe toate routereIe. Indiferent care faciIitate automatizata este preferata, ar trebui s fie foIosit ca o baz i apoi modificat pentru a satisface nevoiIe organizaiei.