Documente Academic
Documente Profesional
Documente Cultură
Multe servicii pe router sunt activate în mod implicit. Un număr din aceste
caracteristici sunt activate pentru motive istorice, dar nu mai sunt astăzi
necesare. Acest capitol discută unele dintre aceste servicii şi examinează
configuraţii router cu funcţie de securitate de Audit al Cisco SDM. Acest
capitol analizează, de asemenea lockdown un pas caracteristică Cisco SDM
şi comanda auto sigure, care pot fi folosite pentru a automatiza activităţile
dispozitiv de întărire.
Routerul de margine (edge router) este ultimul router între reţeaua internă
şi o reţea de încredere, cum ar fi Internetul. Din moment ce tot traficul de
internet pentru o organizaţie trece prin acest router de margine, de multe
ori acesta funcţionează ca prima linie de apărare şi ultimul pentru o reţea.
Prin filtrare initiala si finala, router-ul marginea ajută la asigurarea
perimetrul unei reţele protejate. Este, de asemenea responsabil pentru
punerea în aplicare a acţiunilor de securitate care se bazează pe politicile
de securitate ale organizaţiei. Din aceste motive, asigurarea router-ului este
imperativă
Router marginea are un set de reguli specifice care permite traficul sau il
opreste. În mod implicit, firewall-ul opreste iniţierea de conexiuni din
exteriorul reţelelei in interior. Cu toate acestea, permite utilizatorilor interni
sa stabileasca conexiuni cu reţelele exterioare de încredere şi permite
răspunsurile să vină înapoi prin firewall. Se pot efectua, de asemenea,
autentificarea utilizatorului (proxy de autentificare), în cazul în care
utilizatorii trebuie să fie autentificat pentru a avea acces la resursele reţelei.
DMZ
Din acest motiv, este preferabil să se permită numai accesul local la router.
Cu toate acestea, acces de la distanta ar putea fi încă necesară. La
accesarea reţelei de la distanţă, câteva măsuri de precauţie trebuie luate:
Criptarea intregului traffic dintre calculatorul administratorului si router.
De exemplu, în loc de a utiliza Telnet, sa se utilizeze SSH. Sau in loc de a
folosi HTTP,sa se utilizeze.HTTPS
Crearea unei reţele de management dedicata. Reţelei de gestionare ar
trebui să includă doar gazdele identificate de administrare şi racordurile la
o interfaţă dedicată a router-ului.
Configurarea unui filtru de pachete pentru a permite numai gazdelor
identificate de administrare şi protocoalelor preferate sa acceseze router-
ul. De exemplu, permite doar cererile SSH de la adresa IP a gazdei
administraţiei pentru a iniţia o conexiune la routerele din reţea.
Aceste măsuri de precauţie sunt importante, dar ele nu protejeaza complet
reţeaua. Alte linii de apărare trebuie să fie, de asemenea, puse în aplicare.
Una dintre cele mai sigure este utilizarea unei parole sigure.
Atacatorii folosesc metode diferite de a descoperi parolele administrative.
Ei pot naviga, încercand sa ghiciasca parolele, pe baza informaţiilor
personale ale utilizatorului, pot intercepta pachetele TFTP care conţin
fişiere de configurare in plaintext. Atacatorii pot utiliza, de asemenea,
instrumente, cum ar fi L0phtCrack şi Cain & Abel pentru a încerca atacuri
brute force si pentru a ghici parolele.
Line Console
În mod implicit, routere Cisco sprijina până la cinci sesiuni de linii vty
virtuale simultane pe terminal (Telnet sau SSH). Pe router, porturile vty
sunt numerotate de la 0 la 4. Utilizaţi comanda line vty 0 4, urmat de
subcomenzle password şi login pentru a solicita şi pentru a stabili o parolă
de conectare la sesiuni Telnet de intrare.
Auxiliary Line
Începând cu Cisco IOS Release 12.3 (1) şi mai târziu, administratorii pot
seta lungimea minimă a caracterelor pentru toate parolele router-ului
utilizând intre 0-16 caractere.Comanda de configurare a lungimi parolei
minime este security passwords min-length<lungime> de la nivel global.
Este recomandat ca lungimea minimă a parolei să fie de cel puţin 10
caractere pentru a elimina parolele comune, care sunt predominante pe
termen scurt şi pe cele mai multe reţele, cum ar fi " laborator" şi "Cisco".
Comanda enable secret este mult mai sigură, deoarece criptează parola
folosind un algoritm MD5, care este mai puternic
O altă caracteristică de securitate disponibilă este autentificarea. Routerele
Cisco pot menţine o listă de nume de utilizatori şi parole într-o bază de date
locala pe router pentru efectuarea autentificarii locale prin login. Există
două metode de configurare a conturilor locale cu nume de utilizator.
login on-failure log [every login] generează mesaje de log care contorizeaza
cererile de autentificare eşuate.
login on-success log [every login] generează mesaje de log pentru cererile
de autentificare de succes.
Cuvinte cheie de forma $ (token), atunci când sunt utilizate într-un mesaj
banner, afişeaza valoarea configurata prezenta a argumentului token.
Jetoane sunt opţionale şi pot fi utilizate în cadrul secţiunii mesajul de
comanda banner:
SSH este activat automat după ce cheile RSA sunt generate. Serviciul de
router SSH poate fi accesat cu ajutorul software-ul client SSH
.
Comenzi SSH Opţionale
Comenzi SSH opţionalepoate fi folosit pentru a configura următoarele:
versiunea SSH
perioadă Timeout SSH
numărul de reîncercãri de autentificare
Cisco IOS Release 12.1 (1) T şi mai târziu sprijină SSHv1. Cisco IOS
Release 12.3 (4) T şi mai târziu funcţionează în modul de compatibilitate şi
suportă atât SSHv1 şi SSHv2. Pentru a schimba modul de compatibilitate
de la o versiune specifică, utilizaţi comanda de configurare la nivel global
ip ssh version {1 | 2}.
în care opţiunea {-l} se referă la userii care urmează să fie utilizati atunci
când se intră în dispozitiv de la distanţă. Optiunea{-p} se referă la numărul
de port dorit pentru gazdă de la distanţă. În mod implicit, SSH foloseşte
portul TCP 22. Opţiunea ip address se refera la IPv4 sau adresa IPv6 pentru
SSH-dispozitivul activat de la distanţă.
R1 # ssh?
-c Selectaţi Algoritmul de criptare a
-l Log ul utilizat al acestui nume de utilizator
-n-Selectaţi algoritm HMAC
-o Specificaţi opţiunile
-p Conectarea la acest port
-V Specificaţi versiunea de protocol SSH
-vrf Specificaţi numele VRF
WORD IP address or hostname of a remote system
RSA key is not set on this router (cheia RSA nu este setata pe acest router)
- Acest anunţ apare în cazul în care nu există nici o cheie criptata
configurata pe dispozitivul. Dacă nu există nici o cheie de configurat,
introduceţi o dimensiune a cheii pentru a genera o cheie.
RSA key is set on this router ( cheia RSA este setata pe acest router )-
Acest anunţ apare în cazul în care o cheie de criptare a fost generată, în
aceste caz SSH este permis pe acest router.
După ce SSH este activat pe router, trebuie să fie configurate liniile vty
pentru a sprijini SSH. Alegeţi Configure > Additional Tasks > Router
Access > VTY. Fereastra de VTY Liniile afişează setările vty pe router.
Faceţi click pe butonul Edit pentru a configura parametrii de vty.
Modul User EXEC (nivelul de privilegii 1) - Ofera cel mai mic nivel de
privilegii EXEC privilegiile modul ca utilizator şi permite numai comenzi la
nivel de utilizator disponibile la prompt-ul,, Router >” .
Modul Privileged EXEC (nivelul de privilegii 15) - Include toate comenzile
enable-nivel de la prompt-ul ,,Router # “
+
Cum pot fi limitările de atribuire de niveluri de privilegiul sa fie depăşite?
Role-Based CLI
Securitate
Disponibilitate
Bazat pe roluri de acces CLI împiedică executarea neintenţionată de
comenzi CLI de către personal neautorizat, care ar putea duce la rezultate
nedorite. Acest lucru minimizează timpii morţi.
Eficienţei operaţionale
Numai utilizatorii pot vedea comenzile CLI aplicabile porturi şi CLI la care
au acces, prin urmare, router-ul pare să fie mai puţin complex, şi comenzile
sunt mai uşor de a identifica atunci când folosiţi funcţia help de pe
dispozitivul.
Role-based CLI oferă trei tipuri de puncte de vedere:
viziune de Root
viziune CLI
Superview
viziune de Root
viziune CLI
Superview
Din pozitia de root, parserul folositi comanda show parser view all pentru
a vedea un rezumat al tuturor vizionarilor.
Dacă atacatorii au acces la un router, există multe lucruri pe care le-ar
putea face. De exemplu, ar putea modifica fluxurile de trafic, modifica
configuraţii, şi chiar şterge fişierul de configurare pornire şi Cisco IOS
imagine. Dacă imaginea de configurare sau IOS este ştearsa, operatorul ar
avea nevoie pentru a prelua o copie arhivată pentru a restabili router-ul.
Procesul de recuperare trebuie să fie apoi efectuatpe fiecare router afectat,
adăugând timpi morti la reţea.
ios resilience: Archived image and configuration version 12.2 differs from
running version 12.3
Pentru a face upgrade la imagine arhivata, reintroduceţi comanda secure
boot-image de la consola. Un mesaj despre imaginea upgrad-ata este
afişat. Imaginea veche este inlocuita cu o noua imagine care este vizibila
în comanda dir.
Fişierele securizate nu apar in comanda dir care este data din CLI. Acest
lucru se datorează faptului că sistemul Cisco IOS împiedică fişiere
securizate sa fie listate. Deoarece imaginea de funcţionare şi arhive de
funcţionare de configurare nu sunt vizibile în comanda dir, utilizaţi
comanda show secure bootset pentru a verifica existenţa arhivei. Acest
pas este important pentru a verifica dacă imaginea Cisco IOS şi fişierelor
de configurare le-au fost facute corect backup securizat.
Din punct de vedere de raportare, cele mai multe dispozitive de reţea pot
trimite date syslog care pot fi nepreţuit atunci când rezolvam probleme de
reţea sau de ameninţări la adresa securităţii. Datele de la orice dispozitiv
pot fi trimise la un host de analiză syslog pentru vizualizare. Aceste date
pot fi vizualizate în timp real, la cerere, şi în rapoartele programate. Există
diferite niveluri de logare pentru a se asigura că suma corectă de date este
trimisa, bazat pe dispozitivul care trimite datele. De asemenea, este posibil
să datele de jurnal sa fie afisate de un dispozitiv în software de analiză
pentru a permite vizualizarea granulare a rapoartelor . De exemplu, în
timpul unui atac, jurnal de date care este furnizat de switch-uri Layer 2 nu
ar putea fi la fel de interesant ca datele care sunt furnizate de sistemul de
prevenire a intruziunilor (IPS).
Timestamp
mesaj Numele Log şi nivel de severitate
Mesaj text
Pasul 1. Alegeţi Configure > Additional Tasks > Router Properties >
Logging..
.
Un alt instrument de monitorizare comun este SNMP. SNMP a fost dezvoltat
pentru a gestiona noduri, cum ar fi servere, staţii de lucru, routere, switch-
uri, hub-uri, şi dispozitive de securitate, pe o reţea IP. SNMP este un
protocol de nivel aplicaţie care facilitează schimbul de informaţii între
dispozitive de management de reţea. SNMP este parte din suita
protocoalelor TCP / IP. SNMP permite administratorilor de reţea să
gestioneze performanţele reţelei,sa găseasca şi sa rezolve problemele de
reţea, şi un plan pentru creşterea reţelei. Există versiuni diferite ale SNMP.
Se recomandă ca SNMP sa fie utilizat atunci când este posibil, din cauza
caracteristicilor de securitate sporita , configurarea SNMPv3 este dincolo
de sfera de aplicare a acestui curs.
Când activaţi SNMP, este important să se ia în considerare modelul de
securitate şi nivelul de securitate. Modelul de securitate este o strategie de
autentificare care este configurata pentru un utilizator şi pentu grup în care
utilizatorul are reşedinţa. În prezent, software-ul Cisco IOS acceptă trei
modele de securitate: SNMPv1, SNMPv2c, şi SNMPv3. Un nivel de
securitate este nivelul permis de securitate în cadrul unui model de
securitate. Nivelul de securitate este un tip de algoritm de securitate care
se efectuează pe fiecare pachet SNMP.
Pasul 1. Configure > Additional Tasks > Router Properties > SNMP. Faceţi
click pe butonul Edit.
Pasul 3. În fereastra SNMP Properties, faceţi clic pe Add pentru a crea noi
siruri de caractere comunitate, faceţi clic pe Edit pentru a edita un şir de
comunitate existent, sau faceţi clic pe Delete pentru a şterge un şir de
comunitate.
.
Multe lucruri implicate în securitatea unei reţele, cum ar fi securitatea
logurilor , depinde de la o dată precisă şi timestamp. Când are loc un atac,
chestiune de secunde, este important deoarece trebuie să se identifice
ordinea în care a avut loc un anumit atac. Pentru a ne asigura că mesajele
log sunt sincronizate unele cu altele, ceasurile pe hosturi şi dispozitive de
reţea trebuie să fie menţinute şi sincronizate.
De obicei, setările de data şi ora de router poate fi setată folosind una
dintre cele două metode:
ntp authenticate
ntp authentication-key< numarul cheii > md5< valuarea cheii>
ntp trusted-key <numarul cheii>
Există şapte paşi pentru a adăuga un server NTP folosind Cisco SDM.
Pasul 1. Alegeţi Configure > Additional Tasks > Router Properties >
NTP/SNTP.. Panoul de NTP apare, afişand informaţii pentru toate serverele
configurate NTP.
Pasul 2. Pentru a adăuga un nou server NTP, faceţi clic pe Add. Apare
fereastra Add NTP Server Details.
Pasul 3. Adauga nume unui server NTP în cazul în care router-ul este
configurat să utilizeze un server Domain Name System (DNS), sau adresa
IP. Pentru a adăuga un server NTP prin adresa IP, introduceţi adresa IP în
câmpul de lângă NTP Server IP Address . În cazul în care organizaţia nu are
un server NTP, administratorul ar putea dori să utilizaţi un server public,
cum ar fi unul din lista de servere care pot fi găsite la
http://support.ntp.org/bin/view/Servers/WebHome .
Pasul 4. (Opţional) Din lista NTP Source Interface, alege interfata router-ului
utilizata pentru a comunica cu serverul NTP. NTP Sursa Interface este un
câmp opţional. Dacă acest câmp este lăsat necompletat, mesaje NTP sunt
trimise la cea mai apropiat interfaţă conform tabelului de rutare.
Pasul 5. Selectaţi Prefer dacă acest server NTP a fost desemnat ca un
server preferat NTP. Serverele NTP Preferate sunt contactate înainte de
servere nepreferate NTP. Nu poate fi mai mult de un server preferat NTP.
Pasul 6. Dacă serverul NTP foloseste autentificare, selectaţi autentificarea
cu cheie şi introduceţi numărul cheii şi valoarea cheii.
Pasul 7. Faceţi clic pe OK pentru a termina adăugarea server-ului
Routerele Cisco sunt iniţial desfăşurat cu multe servicii, care sunt activate
în mod implicit. Acest lucru se face pentru comoditate şi pentru a simplifica
procesul de configurare necesare pentru a obţine dispozitivul operaţional.
Cu toate acestea, unele dintre aceste servicii pot face dispozitivul
vulnerabile la atac, dacă securitatea nu este activata. Administratorii pot
permite, de asemenea, serviciile de pe routere Cisco, care pot expune
dispozitivul de risc semnificativ. Ambele scenarii trebuie să fie luate în
considerare atunci când securizarea reţelei.
De exemplu, Cisco Discovery Protocol (CDP) este un exemplu de un
serviciu care este activată implicit în routere Cisco. Acesta este utilizat în
principal pentru a obţine adresele de protocol al dispozitivelor Cisco vecine
şi de a descoperi platforme acestor dispozitive. Din păcate, un atacator pe
reţea poate utiliza CDP pentru a descoperi dispozitivele din reţeaua locală.
În plus, atacatorii nu au nevoie de CDP-activat pe dispozitive. Un software
disponibil, cum ar fi Cisco CDP Monitor, pot fi descărcate pentru a obţine
informaţii. Intenţia de CDP este de a face mai uşor pentru administratori sa
descoperi şi sa depaneze alte dispozitive Cisco pe reţea. Cu toate acestea,
din cauza implicaţiilor de securitate, folosirea de CDP ar trebui să fie
determinista. Deşi este un instrument extrem de util, aceasta nu ar trebui
să fie peste tot în reţea. Un exemplu sunt dispozitive Edge (de margine)
care ar trebui să aibă această caracteristică dezactivata
Atacatorii aleg servicii şi protocoale care face reţeaua mai vulnerabilla
În funcţie de nevoile de securitate ale unei organizaţii, multe dintre aceste
servicii ar trebui să fie dezactivate sau, cel puţin, limitate. Aceste
caracteristici variază de la protocoale proprietare Cisco, cum ar fi Cisco
Discovery Protocol (CDP), la protocoale de nivel global disponibile, cum ar
fi ICMP şi alte instrumente de scanare.
Unele dintre setările implicite în software-ul Cisco IOS sunt acolo pentru
motive istorice, au avut sens atunci când au fost aleşe, dar, probabil, ar fi
diferit dacă noi valori implicite ar fi fost alese astăzi. Alte default-uri au
sens pentru majoritatea sistemelor, dar poate crea expuneri de securitate,
dacă acestea sunt utilizate în dispozitivele care fac parte din perimetrul
retelei. Alte implicite sunt de fapt cerute de standarde, dar nu sunt
întotdeauna de dorit din punct de vedere al securităţii.
serviciu Finger
serviciu PAD
servicii de servere mici TCP
servicii de servere mici UDP
servere de serviciu IP BOOTP
serviciul de identificare IP
Cisco Discovery Protocol
traseu IP sursă
IP GARPs
SNMP
IP redirecturile
IP proxy ARP
IP directed broadcast
serviciu MOP
IP unreachables
masca răspuns IP
unreachables IP pe interfete nule