Securizarea traficului de reţea a traficului de ieşire şi examinarea traficului

de intrare sunt aspecte critice de securitate a reţelei. Securizarea routerelor

din marginea retelei, care se conectează la reţeaua exterioară, este un prim
pas important în securizarea reţelei.

Intărirea dispozitivului este o sarcină esenţială, care nu trebuie trecute cu

vederea. Aceasta implică punerea în aplicare a metodelor dovedite pentru
securizarea fizica a routerelor şi protejarea accesului a router-ului
administrative, folosind Cisco IOS interfaţă linie de comandă (CLI), precum
şi router Cisco şi de Securitate Device Manager (SDM). Unele dintre aceste
metode implică asigurarea accesului administrativ, menţinerea parolelor,
configurarea caracteristici îmbunătăţite virtuale autentificare, şi de punere
în aplicare Secure Shell (SSH). Deoarece nu tot personalul din tehnologia
informaţiei n-ar trebui să aibă acelaşi nivel de acces la dispozitivele din
infrastructura, definirea rolurilor administrative în ceea ce priveşte accesul
este un alt aspect important legat de infrastructura.

Securizarea caracteristicilor de gestionare şi raportarea dispozitivelor

Cisco IOS sunt practici importante. recomandate pentru asigurarea syslog,
folosind Simple Network Management Protocol (SNMP), şi configurarea
Network Time Protocol (NTP).

Multe servicii pe router sunt activate în mod implicit. Un număr din aceste
caracteristici sunt activate pentru motive istorice, dar nu mai sunt astăzi
necesare. Acest capitol discută unele dintre aceste servicii şi examinează
configuraţii router cu funcţie de securitate de Audit al Cisco SDM. Acest
capitol analizează, de asemenea lockdown un pas caracteristică Cisco SDM
şi comanda auto sigure, care pot fi folosite pentru a automatiza activităţile
dispozitiv de întărire.

Un hands-on pentru laborator capitol, Asigurarea router pentru acces

administrativ, este un laborator foarte cuprinzător, care oferă o
oportunitate de a practica caracteristicile largă de securitate introduse în
acest capitol. Laborator introduce diferitele mijloace de a asigura acces
administrativ la un router, inclusiv cele mai bune practici parola,
configurare banner este cazul, caracteristici îmbunătăţite de conectare, şi
SSH. Bazat pe roluri caracteristică CLI acces se bazează pe crearea
vederilor ca un mijloc de a oferi diferite niveluri de acces la routere. Cisco
IOS rezistente Configuration permite asigurarea router imagini şi fişiere de
configurare. Syslog şi SNMP sunt folosite pentru raportarea de
management. Cisco AutoSecure este un instrument automat pentru
securizarea routere Cisco folosind CLI. SDM Caracteristica audit de
securitate oferă funcţionalitate similară cu AutoSecure. Laboratorul se
găseşte în manualul de laborator pe Conexiunea la Academia
cisco.netacad.net.

O activitate Packet Tracer, Configurare routere Cisco pentru Syslog, NTP,

şi SSH, oferă cursanţilor practică suplimentare de punere în aplicare a
tehnologiilor introduse în acest capitol. În special, elevii configureaza
routerele cu NTP, syslog, timestamp logare de mesaje, conturi de utilizator
local, conectivitate exclusiv SSH, şi perechi RSA cheie pentru servere SSH.
Utilizarea de acces client SSH de pe un PC Windows şi de la un router
Cisco este, de asemenea, explorat. Packet Tracer activităţi pentru CCNA
Security se găsesc pe conexiune la Academia cisco.netacad.net.
Securizarea infrastructurii de reţea este critică pentru securitatea reţelei
globale. Infrastructura de reţea include routere, switch-uri, servere, puncte
finale, şi alte dispozitive.

Luaţi în considerare un angajat nemulţumit uitat întâmplător de un

administrator de reţea în timp ce administratorul este conectat la un router
margine. Acest lucru este cunoscut sub numele de shoulder surfing, şi
acesta este un mod surprinzător ca un atacator sa obtina acces
neautorizat.

Dacă un atacator obţine accesul la un router, de securitate gestionarea

întregii reţele poate fi compromisa,. Este foarte important ca politicile de
securitate adecvate şi controalele să fie puse în aplicare pentru a preveni
accesul neautorizat la toate dispozitivele de infrastructură. Deşi toate
dispozitivele de infrastructură sunt supuse riscului unei agresiuni,
routerele sunt primele vizate de atacatorii de reţea. Acest lucru se
datorează faptului că routerele acţioneaza ca poliţia rutieră, dirijarea
traficului în, din şi între reţele.

Routerul de margine (edge router) este ultimul router între reţeaua internă
şi o reţea de încredere, cum ar fi Internetul. Din moment ce tot traficul de
internet pentru o organizaţie trece prin acest router de margine, de multe
ori acesta funcţionează ca prima linie de apărare şi ultimul pentru o reţea.
Prin filtrare initiala si finala, router-ul marginea ajută la asigurarea
perimetrul unei reţele protejate. Este, de asemenea responsabil pentru
punerea în aplicare a acţiunilor de securitate care se bazează pe politicile
de securitate ale organizaţiei. Din aceste motive, asigurarea router-ului este
imperativă

Implementarea routerului de margine variază în funcţie de mărimea

organizaţiei şi complexitatea reţelei. Implementarile Router-ului poate
include un router singur care protejeaza o întreagă reţea în interiorul sau
un router ca prima linie de apărare într-o abordare de apărare în
profunzime.

Abordarea Router-ului unic

În abordarea router-ului unic, un singur router conectează reţeaua

protejata, sau LAN-ul intern, la Internet. Toate politicile de securitate sunt
configurate pe acest dispozitiv. Acest lucru este mai frecvent utilizate în
implementari de site-uri mai mici, cum ar fi site-urile ramură şi SOHO. În
reţele mai mici, caracteristici de securitate cerute pot fi sprijinite de către
ISR fără a împiedica performanţa si capacităţile router-ului .
Abordarea apărare în profunzime (Defense-in-Depth Approach)

O abordare de apărare în profunzime este mai sigura decât o abordare a

unui singur router. În această abordare, router de marginea acţionează ca
prima linie de apărare şi este cunoscut ca un router de screening. Se trec
toate conexiunile care sunt destinate pentru LAN printr-un firewall intern.

A doua linie de apărare este firewall. Firewall-ul de obicei, preia traficul în

cazul în care router marginea actioneaza superficial şi efectuează filtrare
suplimentare. Acesta oferă control suplimentar in urmărirea statutului
conexiunilor şi acţionează ca un dispozitiv de control.

Router marginea are un set de reguli specifice care permite traficul sau il
opreste. În mod implicit, firewall-ul opreste iniţierea de conexiuni din
exteriorul reţelelei in interior. Cu toate acestea, permite utilizatorilor interni
sa stabileasca conexiuni cu reţelele exterioare de încredere şi permite
răspunsurile să vină înapoi prin firewall. Se pot efectua, de asemenea,
autentificarea utilizatorului (proxy de autentificare), în cazul în care
utilizatorii trebuie să fie autentificat pentru a avea acces la resursele reţelei.

DMZ

O variantă a abordării apărare în profunzime este oferita un spaţiu

intermediar, denumit adesea zona demilitarizată (DMZ). DMZ poate fi folosit
pentru servere care trebuie să fie accesibile de pe Internet sau a unor alte
surse externe de reţea. DMZ poate fi pur şi simplu un port suplimentar
inchis pe un singur router, sau ridicat , între routere. În cazul în care DMZ
se stabileşte între două rutere, router-ul intern se conectează la reţea şi
router extern se conectează la reţea neprotejata. Firewall, situat între
reţelele protejate şi neprotejate, este înfiinţat pentru a permite conexiunile
necesare (de exemplu, HTTP), din exterior (încredere), la reţelele de servere
publice din DMZ. Firewall-ul serveşte ca protecţie primară pentru toate
dispozitivele pe DMZ. În abordarea DMZ, router-ul oferă o oarecare
protecţie prin filtrarea unor trafic, dar lasă cea mai mare parte a protecţiei
pe seama firewall-ui.

(Accentul acestui curs este pe ISR caracteristici de securitate, inclusiv

explicaţii despre cum să configuraţi aceste caracteristici Cu privire la Cisco
Adaptive Security Appliance (ASA),. Discuţia se limitează la punerea în
aplicare de proiectare în acest curs. Pentru configurarea dispozitivului
ASA, a se vedea www.cisco.com.)
Securizarea routerelor de marginea este un prim pas critic al securizarii
reţelei. Dacă există alte routere interne, ele ar trebui să fie, de asemenea,
asigurate. Trei domenii de securitate pe router trebuie să fie menţinută.

Securitatea Fizică (Physical Security)

Asigura securitatea fizică pentru router:

Amplasati router-ele si dispozitivele fizice care se conectează la acesta într-

o cameră încuiată securizata, care este accesibil numai personalului
autorizat, fara interferenţe electrostatice sau magnetice, are echipamente
de stingere a incendiilor, şi are control pentru temperatură şi umiditate.
Instalaţi o sursă de alimentare neîntreruptibilă (UPS) care să păstreze
componente de schimb disponibile. Acest lucru reduce posibilitatea unui
atac DoS prin pierdera tensiunii in cladire.

Securitatea sistemului de operare (Operating System Security)

Securizarea caracteristicilor şi performanţelor sistemelor de operare pe

router:
Configurarea router cu valoarea maximă de memorie posibial.
Disponibilitatea de memorie poate ajuta la protejarea reţelei de unele
atacuri DoS, sprijinind în acelaşi timp cea mai largă gamă de servicii de
securitate.
Utilizaţi cea mai recentă versiune stabilă a sistemului de operare care
îndeplineşte caracteristica ceruta de reţea. Caracteristici de securitate într-
un sistem de operare evoluaeaza în timp. Ţineţi minte că cea mai recentă
versiune a unui sistem de operare nu ar putea fi versiunea cea mai stabilă
Păstraţi o copie a imaginii sistemului de operare şi a fişierelor de
configurare a routerului ca o copie de rezervă pentru siguranta

Pregatirea router-ului pentru orice eveniment( Router Hardening)

Eliminarea potenţialului abuz de porturi neutilizate şi servicii:

Asigura controlul administrativ. Asiguraţi-vă că numai personalul autorizat

au acces şi că nivelul lor de acces este controlat.
Dezactiva porturile neutilizate şi interfeţele. Reduceţi numărul de moduri de
un dispozitiv care poate fi accesat.
Dezactivati servicii inutile. Similar cu mai multe calculatoare, un router are
servicii care sunt activate în mod implicit. Unele dintre aceste servicii nu
sunt necesare şi pot fi utilizate de către un atacator pentru a aduna
informaţii sau pentru exploatare.
Accesul administrativ este necesar în scopul de gestionarii router-ului, prin
urmare, asigurarea accesului administrative este o sarcină de securitate
extrem de important. Dacă o persoană neautorizată are acces administrativ
la un router, acea persoană ar putea modifica parametrii de rutare,
dezactivaţi funcţiile de rutare, sau descoperi şi obţine acces la alte sisteme
din reţea.

Mai multe sarcini importante sunt implicate în asigurarea accesului

administrativ la un dispozitiv de infrastructură:

Restricţionarea accesibilitatii la dispozitiv - Limitarea porturilor accesibile,

limitare comunicatiilor permise, şi r restricţionarea metodele permise de
acces.
Cont de logare şi de acces pentru toate calculoatoarele din retea- Pentru
scopuri de audit, înregistrarea oricarui dispozitiv care accesează, inclusiv
ce se intampla şi când.
Autentificarea accesului - Asiguraţi-vă că accesul este acordat numai
pentru utilizatorii autentificati, grupuri, şi servicii. Limitarea numărului de
încercări eşuate de autentificare şi de timp între datele de conectare.
Autorizarea acţiunilor - Restricţionaţi acţiunile şi punctele de vedere
permise de către orice utilizator special, de grup, sau de serviciu.
Prezentarea notificarii juridice - Aratarea unei notificari juridic, dezvoltate
în colaborare cu consilierul legal al companiei, pentru sesiuni interactive.
Asigura confidenţialitatii datelor - Protejaţi datele stocate la nivel local
sensibile de la vizionare şi copiere. Luaţi în considerare vulnerabilitatea
datelor în tranzit pe un canal de comunicare pentru atacurille sniffing,
hijack, şi man-in-the-middle (MITM)
Există două moduri de a accesa un dispozitiv pentru scopuri
administrative, la nivel local şi la distanţă.

Toate dispozitivele de reţea din infrastructură pot fi accesate la nivel local.

Accesul local la un router de obicei necesită o conexiune directă la un port
de consolă pe router Cisco folosind un computer pe care se execută
software pentru emulare de terminal.

Unele dispozitive de reţea pot fi accesate de la distanţă. Accesul de la

distanţă de obicei implică conexiuni prin Telnet, Secure Shell (SSH), HTTP,
HTTPS, sau Simple Network Management Protocol (SNMP), la router de la
un computer. Computer poate fi pe aceeaşi subreţea sau o altă subreţea.
Unele protocoale de acces la distanţă trimit datele, inclusiv nume de
utilizator şi parole, la router in clar. În cazul în care un atacator poate
colecta traficul de reţea în timp ce un administrator este la distanţă
conectat la un router, un atacator poate captura parole sau informaţii de
configurare router.

Din acest motiv, este preferabil să se permită numai accesul local la router.
Cu toate acestea, acces de la distanta ar putea fi încă necesară. La
accesarea reţelei de la distanţă, câteva măsuri de precauţie trebuie luate:
Criptarea intregului traffic dintre calculatorul administratorului si router.
De exemplu, în loc de a utiliza Telnet, sa se utilizeze SSH. Sau in loc de a
folosi HTTP,sa se utilizeze.HTTPS
Crearea unei reţele de management dedicata. Reţelei de gestionare ar
trebui să includă doar gazdele identificate de administrare şi racordurile la
o interfaţă dedicată a router-ului.
Configurarea unui filtru de pachete pentru a permite numai gazdelor
identificate de administrare şi protocoalelor preferate sa acceseze router-
ul. De exemplu, permite doar cererile SSH de la adresa IP a gazdei
administraţiei pentru a iniţia o conexiune la routerele din reţea.
Aceste măsuri de precauţie sunt importante, dar ele nu protejeaza complet
reţeaua. Alte linii de apărare trebuie să fie, de asemenea, puse în aplicare.
Una dintre cele mai sigure este utilizarea unei parole sigure.
Atacatorii folosesc metode diferite de a descoperi parolele administrative.
Ei pot naviga, încercand sa ghiciasca parolele, pe baza informaţiilor
personale ale utilizatorului, pot intercepta pachetele TFTP care conţin
fişiere de configurare in plaintext. Atacatorii pot utiliza, de asemenea,
instrumente, cum ar fi L0phtCrack şi Cain & Abel pentru a încerca atacuri
brute force si pentru a ghici parolele.

Pentru a proteja activele, cum ar fi routere şi switch-uri, urmaţi aceste linii

directoare comune pentru alegerea parole puternice. Aceste linii directoare
sunt concepute pentru a face parolele mai greu de descoperit prin ghicitul
inteligent şi unelte pentru spargerea parolei:

Utilizaţi o parolă cu lungimea de 10 sau mai multe caractere. Cu cat mai

multe, cu atât mai bine.
Puneti parole complexe incluzand o combinaţie de litere mari şi mici,
numere, simboluri, si spatii.
Evitaţi parole bazat pe repetiţie, secvenţe de cuvinte de dicţionar, litere sau
un numerer, nume, nume de relativă sau animale de companie, informaţii
biografice, cum ar fi zile de naştere, numere de identificare, numele
strămoş, sau alte piese uşor de identificat de informaţii.
greşiti intenţionată o parola. De exemplu, Smith Smyth = = = 5mYth sau de
securitate 5ecur1ty.
Schimba parolele de multe ori. În cazul în care o parolă nu este cunoscuta,
oportunitatile pentru atacator de a utiliza parola sunt limitate.
Nu scrieti parolele şi apoi sa le lăsaţi în locuri la vedere cum ar fi pe birou
sau un monitor.

Pe routere Cisco şi multe alte sisteme, spaţiul de la inceputul parolei sunt

ignorate, dar spaţiile de după primul caracter nu sunt ignorate. Prin urmare,
o metodă pentru a crea o parolă puternică este de a folosi spaţii în
interiorul parolei şi de a crea o frază din mai multe cuvinte. Aceasta se
numeşte o frază de acces. O frază de acces este adesea mai uşor de reţinut
decât o simpla parola. Este, de asemenea, mai lung şi mai greu de ghicit.

Administratorii trebuie să se asigure că în întreaga reţea sunt utilizate

parole puternice, O modalitate de a realiza acest lucru este de a folosi
aceleaşi instrumente de atac brute force ca si atacatorii pentru a verifica
puterea parolei
Multe porturi de acces necesită parolele pe un router Cisco, inclusiv portul
consola, portul auxiliar, şi conexiuni virtuale terminale. Gestionarea
parolelor într-o reţea mare ar trebui să fie menţinută cu ajutorul unui
TACACS central + sau un server de autentificare RADIUS, cum ar fi Cisco
Secure Access Control Server (ACS). Toate routerele trebuie să fie
configurate cu username şi parole privilegiate EXEC. O bază de date cu
nume de utilizator local este, de asemenea, recomandata ca rezervă în
cazul în care accesul la un server de autentificare, autorizate, şi de
acounting (AAA) este compromis. Folosind o parolă şi nivelurile de
atribuirea privilegiu este un mod simplu de a oferi control accesului pe
terminal într-o reţea. Parolele trebuie să fie stabilite pentru accesul
privilegiat la modul EXEC şi linii individuale, cum ar fi liniile de consolă şi
auxiliare.

Enable Secret Password

Comanda enable secret <parola>de configurare a parolei din modul global

restricţionează accesul la modul privilegiat EXEC. Parola enable secret este
întotdeauna trunchiată în interiorul routerului utilizând un mesaj Digest 5
(MD5) cu algoritmul hash. În cazul în care parola enable secret este
pierduta sau uitata, acesta trebuie să fie înlocuite folosindu-se procedura
de recuperare a parolei pe routerele Cisco

Line Console

În mod implicit, portul consola nu are nevoie de o parolă pentru accesul

administrativ la consola, cu toate acestea, portul de consola ar trebui să
fie întotdeauna configurat cu o parolă. Utilizaţi comandă line console 0
urmată de password şi login de login pentru a cere autentificarea şi pentru
a stabili o parola de login pe linia de consola.

Virtual Terminal Lines

În mod implicit, routere Cisco sprijina până la cinci sesiuni de linii vty
virtuale simultane pe terminal (Telnet sau SSH). Pe router, porturile vty
sunt numerotate de la 0 la 4. Utilizaţi comanda line vty 0 4, urmat de
subcomenzle password şi login pentru a solicita şi pentru a stabili o parolă
de conectare la sesiuni Telnet de intrare.

Auxiliary Line

În mod implicit, porturile auxiliare ale router-ului Cisco nu necesită o parolă

pentru accesul administrativ de la distanţă. Administratorii folosesc uneori
acest port pentru a configura de la distanţă şi pentru monitorizeza router-
ul utilizând o conexiune modem dialup.
Pentru a accesa linia auxiliar utilizaţi comanda line aux 0. Utilizaţi
subcomenzile password şi login pentru a cere autentificare şi de a stabili o
parolă de conectare pe conexiunea de intrare.

În mod implicit, cu excepţia parolei enable secret, toate parolele pe routerul

Cisco sunt stocate în text clar în cadrul configurarii routerului. Aceste
parole pot fi vizualizate cu comanda show running-config. Snifferele pot
vedea, de asemenea, aceste parole în cazul în care fişierul de configurarea
al serverului traverseaza o zona nesecurizata in intranet spre serverul
TFTP . Dacă un intrus câştiga accesul la server TFTP în cazul în care
fişierele de configurare ale router-ului sunt stocate pe acest server ,
intrusul poate sa obţine aceste parole.
Pentru a creşte securitatea unei parole, ar trebui să fie configurate
următoarele:

lungimea minima a parolei.

dezactivarea conexiuni nesupravegheate.
criptarea tuturor parolelor în fişierul de configurare.

Lungimea minima de caractere

Începând cu Cisco IOS Release 12.3 (1) şi mai târziu, administratorii pot
seta lungimea minimă a caracterelor pentru toate parolele router-ului
utilizând intre 0-16 caractere.Comanda de configurare a lungimi parolei
minime este security passwords min-length<lungime> de la nivel global.
Este recomandat ca lungimea minimă a parolei să fie de cel puţin 10
caractere pentru a elimina parolele comune, care sunt predominante pe
termen scurt şi pe cele mai multe reţele, cum ar fi " laborator" şi "Cisco".

Această comandă se aplica parolelor de utilizator, parolelor enable

secret, şi parolelor line vty care sunt create după ce comanda este
executată. Parolele existente router rămân neafectate. Orice încercare de a
crea o parolă nouă, care este mai mică decât lungimea specificată eşuează
rezultand un mesaj de eroare asemănător cu următorul.
Password too short - must be at least 10 characters. Password
configuration failed..

Dezactivaţi conexiunile nesupravegheate

În mod implicit, o interfaţă administrativă rămâne activă şi autentificata în

timp de 10 minute după ultima activitate din sesiune. După aceea, interfaţa
estedezactivata.

În cazul în care un administrator este departe de terminalul în timp ce

consola de conexiunea este activă, un atacator in perioada de 10 minute
poate avea acces la nivelul de privilegii. Se recomandă ca aceste
cronometre sa fie reglate fin pentru a limita timpul de acces pana la două
sau maximum trei minute. Aceste cronometre pot fi ajustate folosind
comanda exec-timeout în modul de configurare linie pentru fiecare dintre
tipurile de linie care sunt utilizate.

De asemenea, este posibil sa oprim procesul de exec pentru o anumită

linie, cum ar fi pe port auxiliar, folosind comanda no exec în modul de
configurare linie. Această comandă permite doar ieşirea din conexiunea
linie. Comanda no exec vă permite să dezactivaţi procesului de EXEC
pentru conexiunile care încearca să trimită date nesolicitate la router.

Criptarea tuturor parolelor

În mod implicit, unele parole sunt prezentate în plaintext, in sensul ca nu

sunt criptate, în configurarea software-ului Cisco IOS. Cu excepţia a parolei
enable secret, toate celelalte parole sunt in text clar în fişierul de
configurare .Acestea pot fi criptate în fişierul de configurare folosind
comanda service password-encryption. Această comandă transforma in
hashes parolele actuale şi viitoarele fişiere de configurare din text clar într-
un text criptat. Pentru a opri criptarea parolelor, utilizează comandă no
service password-encryption Numai parolele create după aceasta comandă
nu vor fi necriptate. Parole existente,care au fost criptate anterior vor
rămâne aşa.

Comandă de criptare service password-encryption este în primul rând utila

pentru eliminarea persoanelor neautorizate de la vizualizarea parolele în
fişierul de configurare. Algoritmul de criptare folosit de comandă service
password-encryption este simplu si poate fi descifrat cu uşurinţă de către
cineva cu acces la textul cifrat criptate şi o aplicaţie parola de cracare. Din
acest motiv, această comandă nu ar trebui să fie utilizate cu scopul de a
proteja fişierele de configurare împotriva atacurilor puternice.

Comanda enable secret este mult mai sigură, deoarece criptează parola
folosind un algoritm MD5, care este mai puternic
O altă caracteristică de securitate disponibilă este autentificarea. Routerele
Cisco pot menţine o listă de nume de utilizatori şi parole într-o bază de date
locala pe router pentru efectuarea autentificarii locale prin login. Există
două metode de configurare a conturilor locale cu nume de utilizator.

username <nume> password <parola>

username <nume> secret <parola>

Comanda username secret este mai sigura, pentru ca foloseste algoritmul

de criptare puternic, MD5 hashing, pentru a ascunde parole. MD5 este un
algoritm mult mai bun decât tipul standard 7 utilizate de către comanda
service password-encryption. Protecţia suplimentara cu MD5 este utilă în
medii în care parola traversează reţeaua sau este stocata pe un server
TFTP. Tineti minte că atunci când configuraţi o combinaţie nume de
utilizator şi parola, trebuie să fie urmate restricţiile privitoare la lungimea
parolei. Utilizaţi comanda login local de pe linia de configurare pentru a
permite bazei de date locale sa se autentifice.

Toate exemplele rămase în acest capitol folosesc configurarea username

secret în loc de username password..
Alocarea şi autentificarea parolelor locale nu împiedică un dispozitiv de a fi
supus atacurilor. Atacurile DoS inunda un dispozitiv cu cereri de
conectare atât de multe că dispozitivul ar putea să nu ofere servicii
normale de login pentru a administratorilor de sistem legitim. Un atac
dicţionary, inunda un dispozitiv cu mii de combinatii de nume de utilizator
şi parole. Rezultatul final este la fel ca un atac DoS, în aceea că dispozitivul
nu poate procesa cererile legitime ale utilizatorului . Reţeaua trebuie să
aibă sisteme care sa detecteze şi sa previna aceste atacuri.

Prin activarea unui profil de detectare, un dispozitiv de reţea poate fi

configurat sa reacţioneze la repetatele încercări eşuate de autentificare,
prin refuzul altor cereri de conectare (blocarea conectarii). Aceasta blocare
poate fi configurat pentru o perioadă de timp, care se numeşte o perioadă
liniştită (quiet period.). Tentativele legitime la conexiune pot fi permise în
continuare într-o perioadă liniştită, prin configurarea unei liste de control al
accesului (ACL) cu adresele care sunt cunoscute a fi asociate cu
administratorii de sistem.

Caracteristica Cisco IOS login oferă îmbunătăţiri de securitate pentru mai

multe dispozitive Cisco IOS când creează o conexiune virtuală, cum ar fi
Telnet, SSH, sau HTTP, prin încetinirea atacuri şi oprirea atacurilor DoS
dicţionary. Pentru a configure mai bună a securitatii pentru conexiunile
login virtuale, procesul de login ar trebui să fie configurat cu parametrii:

Întârzierile între încercări succesive de autentificare

închiderea logarii în cazul în care atacurile DoS sunt suspectate
generarea sistemului de mesaje de logare pentru detectarea autentificarii

Aceste îmbunătăţiri nu se aplică la conexiunile consolei. Se presupune că

numai personalul autorizat are acces fizic la dispozitive
.

Următoarele comenzi sunt disponibile pentru a configura un dispozitiv

Cisco IOS pentru a sprijini caracteristicile îmbunătăţite de conectare.

Router# configure terminal

Router(config)# login block-for <secunde> attempts <nr. incercari >within
<secunde>
Router(config)# login quiet-mode access-class {acl-name | acl-number}
Router(config)# login delay <secunde>
Router(config)# login on-failure log [every login]
Router(config)# login on-success log [every login]

Autentificarea pe liniile vty trebuie să fie configurat pentru a utiliza o

combinaţie de nume de utilizator şi o parolă. În cazul în care liniile vty sunt
configurate să utilizeze numai o parola, caracteristicile îmbunătăţite de
conectare nu sunt activate.

Cum arata fiecare comanda, pe router-ul R1?

Toate caracteristicile de conectare superioare sunt dezactivate în mod
implicit. Utilizaţi comanda login block-for pentru a permite îmbunătăţiri de
logare. Caracteristica login block-for monitorizează activitatea
dispozitivului de conectare şi funcţionează în două moduri:
Modul normal (watch mode) – router-ul păstrează numărul de încercări
eşuate de autentificare în cadrul identificat intr-o perioada de timp.
Modul silenţios (perioada de acalmie) - În cazul în care numărul de login-uri
depăşeşte pragul configurat, toate tentativele de autentificare folosind
Telnet, SSH, şi HTTP sunt blocate.

Atunci când modul silenţios este activat, toate încercările de autentificare,

inclusiv accesul administrativ valabil, nu sunt permise. Cu toate acestea,
pentru a oferi acces gazdelor critice în orice moment, acest comportament
poate fi suprascris folosind un ACL. ACL-ul trebuie să fie creat şi
identificate cu ajutorul comenzii login quiet-mode access-class<lista de
acces>

În mod implicit, dispozitivele Cisco IOS pot accepta conexiuni, cum ar fi

Telnet, SSH, şi HTTP, deoarece acestea pot fi prelucrate. Dispozitivele
susceptibile de un atac dictionary, cum ar fi Cain sau L0phtcrack, sunt
capabile de mii de încercări ale parolei pe secundă. Comanda login block-
for invocă automat(implicit) o întârziere de o secundă între încercările de
autentificare. Atacatorii trebuie să aştepte o secundă înainte de a putea
încerca o altă parolă.

Acest timp de întârziere poate fi schimbată folosind comanda login delay.

Comanda login delay introduce o întârziere uniform între încercări
succesive de autentificare. Întârzierea are loc pentru toate încercările de
autentificare, inclusiv încercări eşuate sau de succes.

Comenzile login block-for, login quiet-mode , access-class, şi login delay,

ajuta la blocarea incercarilor de conectare pentru o perioadă limitată de
timp, dar nu poate împiedica un atacator să încerce din nou. Cum poate un
administrator ştii când cineva încearcă să obţină acces la reţeaua prin
ghicitul parolei?
Comandă auto secure emite un mesaj cu încercările eşuate de
autentificare. Contorizarea Incercările de logare si autentificare de succes
nu este activata în mod implicit.

Aceste comenzi pot fi folosite pentru a urmări numărul de încercări reuşite

şi nereuşite de conectare.

login on-failure log [every login] generează mesaje de log care contorizeaza
cererile de autentificare eşuate.

login on-success log [every login] generează mesaje de log pentru cererile
de autentificare de succes.

Numărul de încercări de autentificare înaintea unui mesaj este generat de

logare si poate fi stabilit folosind parametrul [every login]. Valoarea
implicită este de o încercare. Gama este valabil de la 1 la 65.535.

Comandă security authentication failure rate <threshold-rate> log

generează un mesaj daca rata de esecuri de conectare este depăşită.

Pentru a verifica faptul că login block-for este configurata şi care mod de

router este prezent, utilizati comanda show login. Router-ul este fie în
modul normal fie quite, în funcţie dacă au fost depăşite pragurile de
conectare.

Informaţii comenzii show login failures afişează mai multe cu privire la

tentative eşuate, cum ar fi adresa IP de la care provine încercări eşuate de
autentificare
Utiliza mesajele banner pentru a prezenta notificari juridice pentru
potenţialii intruşi să le informeze că acestea nu sunt binevenite într-o reţea.
Bannerele sunt foarte importante pentru reţeaua dintr-o perspectivă
juridică. Intruşii au câştigat în instanţă, deoarece nu au întâmpinat mesaje
adecvate de avertizare atunci când au accesat router-ele din reţelele. În
plus faţă de avertizarea intrusilor, bannere sunt de asemenea folosite
pentru a informa administratorii de la distanţă asupra restricţiilor de
utilizare.

Alegerea în ce loc sa fie asezate mesaje banner este important şi ar trebui

să fie revizuite de un avocat înainte de a le pune pe routerele de reţea. Nu
folosiţi niciodată cuvântul bun venit sau orice alt salut familiare care poate
fi interpretat greşit ca o invitaţie de utilizare a reţelei.

Bannerele sunt dezactivate în mod implicit şi trebuie să fie activate explicit.

Utilizaţi comanda banner din modul de configurare la nivel global pentru a
specifica mesaje adecvate.

banner {exec | incoming | login | motd | slip-ppp} d message d

Cuvinte cheie de forma $ (token), atunci când sunt utilizate într-un mesaj
banner, afişeaza valoarea configurata prezenta a argumentului token.
Jetoane sunt opţionale şi pot fi utilizate în cadrul secţiunii mesajul de
comanda banner:

$ (Hostname)-Afişează numele de gazdă pentru router.

$(domain) -Afişează numele de domeniu pentru router.

$(line) Afişează vty sau tty (asincron), numărul de linie.

$(line-desc)- Afişează descrierea care este ataşata liniei.

Fii atent în plasarea acestor informaţii în bannerl, deoarece aceastea oferă

mai multe informaţii unui posibil intrus.

Cisco SDM poate fi de asemenea folosite pentru a configura mesaje

banner.
Atunci când permiteti accesul administrativ de la distanţă, este important
să se ia în considerare implicaţiile de securitate ale trimiterea de informaţii
în întreaga reţea. În mod tradiţional, acces de la distanţă pe routere a fost
configurat utilizând Telnet pe portul TCP 23. Cu toate acestea, Telnet a fost
dezvoltat în zilele când securitatea nu era o problemă, prin urmare, tot
traficul Telnet era transmis în plaintext. Folosind acest protocol, datele
importante , cum ar fi configuraţiile routerului, sunt uşor de accesat pentru
atacatori. Hackerii pot captura pachete transmise de către un administrator
de computer folosind un analizor de protocol, cum ar fi Wireshark. Dacă
iniţial fluxul Telnet este descoperit si urmat , atacatorii pot afla numele de
utilizator şi parola administratorului.

Cu toate acestea, având capacitatea de acces la distanţă se poate salva

timpul si banii atunci când se fac modificările necesare de configurare.
Deci, cum poate fi accesul la o conexiune la distanţă securizat pe
dispozitivele Cisco IOS?

O practica recomandată pentru administrare de la distanţă a router-elor

este înlocuirea Telnetului cu SSH pentru conexiunile care au nevoie de
confidenţialitate şi integritatea sesiuni. Acesta funcţioneaza similar cu o
conexiune de ieşire Telnet, cu excepţia faptului că traficul este criptat şi
funcţionează pe portul 22. Cu autentificare şi criptare, SSH permite
comunicaţii securizate printr-o reţea nesigură.
Patru etape trebuie să se încheie înainte de configurarea routere pentru
protocolul SSH:

Pasul 1. Asiguraţi-vă că pe router-ul ţintă se execută un Cisco IOS Release

12.1 (1) imagine T sau mai târziu pentru a sprijinirea SSH-ului. Numai
imaginile Cisco IOS care conţin caracteristici IPsec suporta SSH. Concret,
Cisco IOS 12.1 sau mai târziu, IPsec DES, şi Triple Data Encryption
Standard (3DES) sprijina SSH-ul. De obicei, aceste imagini au ID-uri de
imagine k8 sau K9 în numele imaginea lor. De exemplu, c1841-
advipservicesk9-mz.124-10b.bin este o imagine care poate suporta SSH.

Pasul 2. Asiguraţi-vă că fiecare dintre routere ţintă are un nume unic de

gazdă.

Pasul 3. Asiguraţi-vă că fiecare dintre routere ţintă este foloseste numele

de domeniu corect al reţelei.

Pasul 4. Asiguraţi-vă că routere ţintă sunt configurate pentru autentificare

locala sau servicii AAA pentru numele de utilizator şi parola de
autentificare. Acest lucru este obligatorie pentru o conexiune SSH router-
la-router
Folosind CLI, există patru paşi pentru a configura un router Cisco care sa
sprijine SSH:

Pasul 1. Dacă routerul are un nume unic de host , configuraţi numele de

domeniu IP de reţea folosind comanda ip domain-name <nume domeniu>
în modul de configurare la nivel global.

Pasul 2. O cheie secreta trebuie să fie generate pentru un router pentru a

cripta traficul SSH. Aceste chei sunt denumite chei asimetrice. Software-ul
Cisco IOS foloseste algoritmul Rivest, Shamir, şi Adleman (RSA) pentru a
genera chei. Pentru a crea cheia RSA, utilizaţi comanda crypto key
generate rsa general-keys modulus <marimea cheii> în modul de
configurare la nivel global. <Marimea cheii >determină dimensiunea cheie
RSA si poate fi configurat de la 360 biţi la 2048 biţi. Cu cat este mai mare
marimea cheii , cu atat este mai sigura cheie RSA. Cu toate acestea,
alegand valori mari ale lungimii dureaza mai mult generarea şi implicit
criptarea şi decriptarea, de asemenea. Minimum lungimii recomandate al
cheii este de 1024 biţi.

Pentru a verifica SSH şi afişa generarea cheii, folositi comanda show

crypto key mypubkey rsa în mod privilegiat EXEC. Dacă există deja
perechi de chei, se recomandă ca acestea sa fie suprascrise cu ajutorul
comenzii. crypto key zeroize rsa

Pasul 3. Asiguraţi-vă că există un nume de utilizator valid local in baze de

date de intrare. Dacă nu, creaţi unul folosind comanda username <nume>
secret <parola>.

Pasul 4. Permiteti organizarea unor sesiuni vty inbound SSH folosind

comenzile login local si transport input ssh..

SSH este activat automat după ce cheile RSA sunt generate. Serviciul de
router SSH poate fi accesat cu ajutorul software-ul client SSH
.
Comenzi SSH Opţionale
Comenzi SSH opţionalepoate fi folosit pentru a configura următoarele:

versiunea SSH
perioadă Timeout SSH
numărul de reîncercãri de autentificare

Routere Cisco sprijinul două versiuni de SSH: versiunea SSH 1 (SSHv1) şi

versiunea mai nouă,si mai sigura SSH 2 (SSHv2). SSHv2 oferă o securitate
mai bună folosind cursul de schimb Diffie-Hellman cheie şi puternic
integrităţii-verificarea codului de mesaj de autentificare (MAC).

Cisco IOS Release 12.1 (1) T şi mai târziu sprijină SSHv1. Cisco IOS
Release 12.3 (4) T şi mai târziu funcţionează în modul de compatibilitate şi
suportă atât SSHv1 şi SSHv2. Pentru a schimba modul de compatibilitate
de la o versiune specifică, utilizaţi comanda de configurare la nivel global
ip ssh version {1 | 2}.

Intervalul de timp în care router –ul aşteaptă clientul SSH pentru a

răspunde în timpul fazei de negociere SSH poate fi configurat cu ajutorul
comenzii ip ssh time-out <secunde> în modul de configurare la nivel
global. Implicit este de 120 de secunde. Când începe sesiunea de EXEC, se
aplică timeout-ul standard exec configurat pentru vty.

În mod implicit, un utilizator are trei încercări de logare înainte de a fi

deconectat. Pentru a configura un număr diferit de reîncercãri consecutive
SSH, utilizeazati comandă ip ssh authentication-retries<nr incercari> în
modul de configurare la nivel global

Pentru a verifica setările opţionale SSH, utilizati comanda show ip ssh.

Această comandă afişează versiunea de SSH care este activată, valorile
timeout –ului de autentificare, şi numărul de reîncercãri autentificare.

După ce SSH este configurat, ca si client SSH este necesar să se conecta

la un router SSH-activat
.
Există două moduri diferite de a ne conecta la un router SSH-activat:

Conectarea utilizând un router Cisco SSH- folosind comanda ssh din

modul privilegiat EXEC.
Conectarea utilizând un client SSH public şi comercial disponibil care
rulează pe un host. Exemple de astfel de clienti sunt PuTTY, OpenSSH, şi
TeraTerm.
Routerele Cisco sunt capabile de a acţioneze ca server SSH şi ca si client
SSH conectandu-se la un alt dispozitiv SSH-activat. În mod implicit, ambele
aceste funcţii sunt activate pe router atunci când SSH este activat. Ca
server, un router poate accepta conexiuni SSH client. Ca si client, un router
poate stabili o conexiune SSH cu un alt router SSH utilizând următoarea
comandă:

ssh {-l, -p} ip address

în care opţiunea {-l} se referă la userii care urmează să fie utilizati atunci
când se intră în dispozitiv de la distanţă. Optiunea{-p} se referă la numărul
de port dorit pentru gazdă de la distanţă. În mod implicit, SSH foloseşte
portul TCP 22. Opţiunea ip address se refera la IPv4 sau adresa IPv6 pentru
SSH-dispozitivul activat de la distanţă.

Opţiunile suplimentare sunt disponibile pentru comanda ssh şi pot fi

vizualizate folosind comanda ssh?din prompt –ul privileged EXEC pe un
router.

R1 # ssh?
-c Selectaţi Algoritmul de criptare a
-l Log ul utilizat al acestui nume de utilizator
-n-Selectaţi algoritm HMAC
-o Specificaţi opţiunile
-p Conectarea la acest port
-V Specificaţi versiunea de protocol SSH
-vrf Specificaţi numele VRF
WORD IP address or hostname of a remote system

Procedura pentru conectarea la un router Cisco de la un calculator

variază în funcţie de aplicaţia client SSH care este utilizata. În general,
clientul SSH initiaza o conexiune SSH la router. Serviciul de router SSH
solicită numele de utilizator corect şi parolă. Dupa ce autentificarea este
verificată, router-ul poate fi administrat ca în cazul în care administratorul
ar folosi o sesiune Telnet standard.

Utilizaţi comanda show ssh pentru a verifica starea conexiunii client.

Cisco SDM poate fi folosit pentru a configura un daemon ssh de pe un
router. Pentru a vedea setările curente SSH selectaţi cheia,astfel Configure
> Additional Tasks > Router Access > SSH Setările cheii SSH au două
opţiuni.

RSA key is not set on this router (cheia RSA nu este setata pe acest router)
- Acest anunţ apare în cazul în care nu există nici o cheie criptata
configurata pe dispozitivul. Dacă nu există nici o cheie de configurat,
introduceţi o dimensiune a cheii pentru a genera o cheie.
RSA key is set on this router ( cheia RSA este setata pe acest router )-
Acest anunţ apare în cazul în care o cheie de criptare a fost generată, în
aceste caz SSH este permis pe acest router.

Fişierul de configurare implicit de pe router-ul Cisco SDM- activat automat

permite accesul Telnet şi SSH din interfata LAN şi generează o cheie RSA.

Butonul Generate RSA Key configurează o cheie de criptare în cazul în care

nu este setata cheia in caseta de dialog .Dimensiune cheii care apare.
trebuie să fie între 512 şi 1024, introduceţi o valoare întreagă, care este un
multiplu de 64. Dacă valoarea modulului trebuie să fie mai mare decât 1024,
introduceţi 1536 sau 2048. În cazul în care o valoare mai mare de 512 este
înscrisa, generarea cheii poate dura un minut sau mai mult.

După ce SSH este activat pe router, trebuie să fie configurate liniile vty
pentru a sprijini SSH. Alegeţi Configure > Additional Tasks > Router
Access > VTY. Fereastra de VTY Liniile afişează setările vty pe router.
Faceţi click pe butonul Edit pentru a configura parametrii de vty.

Deşi este important ca un administrator de sistem sa poata conecta în

siguranţă la un dispozitiv, mai sunt necesare multe configuratii pentru a
menţine reţeaua securizată. De exemplu, ar trebui să acorde accesul pentru
toţi angajaţii într-o companie? Răspunsul la această întrebare este, de
obicei, nu. Majoritatea angajatilor companiei necesita doar domeniile
specifice de acces la reţea. Ce zici de accesul complet pentru toţi angajaţii
din departamentul IT? Ţineţi minte că organizaţiile mari au funcţii diferite
de locuri de muncă în cadrul unui departament IT. De exemplu, titlurile de
locuri de muncă include Chief Information Officer (CIO), Operator de
securitate, Network Administrator, Inginer WAN, LAN Administrator,
Software Administrator, Tech suport PC, Help Desk de sprijin, şi altele. Nu
toate funcţiile de locuri de muncă ar trebui să aibă acelaşi nivel de acces la
dispozitivele de infrastructura.

Ca un exemplu, un administrator de reţea senior pleaca in vacanţă şi, ca

măsură de precauţie, oferă unui administrator junior cu parole privilegiate
modul EXEC la toate dispozitivele de infrastructură. Câteva zile mai târziu,
administratorul junior curios dezactivează accidental reteaua companiei.
Acesta este un scenariu frecvente, pentru că, prea adesea, un router este
securizat cu o singură parolă privilegiat EXEC. Oricine cu cunoştinţe din
această parolă are acces deschis la router

Configurarea nivelurile de privilegiu este urmatorul pas pentru

administratorul de sistem care vrea sa asigure reţeaua.. Nivelele privilege
determina cui ar trebui să i se permită să se conecteze la aparatul şi ce ar
trebui să facă acea persoană. Software-ul Cisco IOS CLI are două niveluri
de acces la comenzi.

Modul User EXEC (nivelul de privilegii 1) - Ofera cel mai mic nivel de
privilegii EXEC privilegiile modul ca utilizator şi permite numai comenzi la
nivel de utilizator disponibile la prompt-ul,, Router >” .
Modul Privileged EXEC (nivelul de privilegii 15) - Include toate comenzile
enable-nivel de la prompt-ul ,,Router # “

Deşi aceste două niveluri realizează un control, uneori, este necesar un

nivel mai precis de control.

Software-ul Cisco IOS are două metode care ofera acces-ul la

infrastructură: nivelul de privilegii şi rolul bazat pe CLI( role-based CLI)
Alocarea Niveluri-lor de Privilege
Cisco IOS Release 10.3, routere Cisco permite unui administrator sa
configureze mai multe niveluri de privilegiu. Configurarea niveluri de
privilegiu este utilă în special într-un mediu de birou în cazul în care
anumiti administratori trebuie să poata să configureze şi să monitorizeze
fiecare parte a router-ului (nivelul 15), şi alţi administratori sa poata doar
sa monitorizeze, nu si sa configureze, nivelurile pe router (personalizate 2-
14 ). Există 16 nivele privilegiu în total. Nivelele 0, 1, şi 15 au setări
predefinite.

Un administrator poate defini mai multe nivele personalizate de privilegii şi

atribui comenzi diferite pentru fiecare nivel.Cu cat este mai mare nivelul de
privilegii, cu atat accesul pe router al utilizatorului este mai mare.
Comenzile care sunt disponibile la niveluri mai mici privilegii sunt,
executabile la nivelemai ridicate, deoarece un nivel de privilegii include
toate privilegiile nivelurilor inferioare. De exemplu, un utilizator autorizat
pentru nivelul de privilegii 10 are acordat accesul la comenzile permise la
niveluri de privilegiu de la 0 la 10 (în cazul în care, acestea sunt definite).
Un privilegiu-nivel-10 de utilizator nu poate accesa comenzi acordate la
nivelul de privilegii 11 sau mai mare. Un utilizator autorizat pentru nivelul
de privilegii de 15 poate executa toate comenzile Cisco IOS.

Pentru a aloca comenzi la un nivelul de privilegii personalizat, utilizaţi

comanda privilege din modul de configurare la nivel global.

Router(config)# privilege mode {level level command | reset}

Este important să reţineţi că atribuirea unei comenzi cu mai multe cuvinte

cheie, cum ar fi show ip route, la un anumit nivel de privilegii atribuie în
mod automat toate comenzile asociate cu primele câteva cuvinte cheie la
nivelul de privilegii specificat. De exemplu, atât comanda show cat şi
comanda show ip sunt setate automat la nivelul de privilegii în cazul în
care show ip route este setata Acest lucru este necesar deoarece comanda
show ip route nu poate fi executată fără acces la comanda show şi show ip
Subcomenzi care intră sub incidenţa comenzii show ip route , , sunt
atribuite în mod automat cu acelaşi nivel de privilegiu. Atribuirea comenzii
show ip route permite utilizatorului sa emita toate comenzile show, cum ar
fi show version.
Nivelurile Privilege ar trebui să fie configurate pentru autentificare. Există
două metode pentru atribuirea parolelor la diferite niveluri:

De la nivelul privilege folosind comanda de configurare de la nivel global

enable secret level <nivelul parolei>.
De la nivelul utilizator care are un anumit nivel de privilegii, folosind
comanda de la nivel global username <nume> privilege <nivel> secret
<parola>.

De exemplu, un administrator ar putea aloca patru niveluri de acces pe un

dispozitiv în cadrul unei organizaţii:

Un cont de utilizator (care necesită nivelul 1, nu include posibilitatea de

ping)
Un cont SUPORT (necesită toate drepturile de acces de nivelul 1, plus
comanda ping)
Un cont JR-admin (care necesită toate drepturile de acces de nivelul 1 şi 5,
plus comanda reload)
Un cont de administrator (care necesită accesul complet)

Punere în aplicare a nivelurilor privilegiu variază în funcţie de structura

organizaţiei şi diferite funcţii de locuri de muncă care necesită accesul la
dispozitivele de infrastructura.

În cazul USER, care necesită nivelul de acces implicit 1 (Router>), nici un

nivel de privilegii nu este definit. Acest lucru se datorează faptului că
modul de utilizator implicit este echivalent cu nivelul 1.

Contul SUPPORT account ar putea fi atribuit de un nivel superior de acces,

cum ar fi nivelul 5. Nivelul 5 moşteneşte automat comenzile de la nivelurile
cuprise intre 1 si 4, plus comenzile suplimentare care pot fi atribuite.
Tineti minte că atunci când o comandă este atribuită la un anumit nivel,
accesul la această comandă este luat de la orice nivel inferior. De exemplu,
pentru a asocia nivelului 5 comanda ping, utilizaţi secventa de comanda de
mai jos.

privilege exec level 5 ping

Contului de utilizator (nivelul 1) nu mai are acces la comanda ping, pentru

că un utilizator trebuie să aibă acces la nivelul 5 sau mai mare pentru a
îndeplini funcţia de ping.

Pentru a atribui o parolă la nivelul 5, introduceţi următoarea comandă.

enable secret level 5 cisco5

Pentru a accesa nivelul 5, trebuie să fie utilizata parola cisco5.

Pentru a atribui un abumit nume de utilizator avand nivelul de privilegii 5,

introduceţi următoarea comandă.

username <suport >privilege <5> secret <cisco5 >

Un utilizator care se conectează în username-ul <suport >are doar

posibilitatea de a accesa nivelul de privilegii 5, care moşteneşte de
asemenea, nivelul de privilegii 1.
Contul de JR-ADMIN are nevoie de acces la toate nivelele intre 1 şi nivelul
5, precum si la comanda reload. Acest cont trebuie să i se atribuie un nivel
superior de acces, cum ar fi nivelul 10. Nivel 10 moşteneşte automat toate
comenzile de la nivelurile inferioare.

Pentru a atribui nivelul de privilegii 10 din modul privilegiat EXEC

comanda, reload se utilizeaza ca in secventa de comanda de mai jos.

privilege exec level 10 reload

username jr-admin privilege 10 secret cisco10
enable secret level 10 cisco10

Prin efectuarea acestor comenzi, comanda reload este disponibilă numai

pentru utilizatorii cu nivelul 10 de acces sau mai mare. Numele de utilizator
jr-admin este dat nivelulului de privilegii 10 şi tuturor comenzilor
asociate, inclusiv a celor alocate pentru comenzi privilege ale nivelurilor
inferioare. Pentru a accesa modul de nivelul 10, este necesară parola
cisco10.

Un cont de administrator ar putea fi atribuite implicit de nivelul 15 pentru

modul de acces privilegiat EXEC. În acest caz, comenzile nu trebuie să fie
definite. O parolă personalizata ar putea fi atribuita folosind comanda
enable secret level 15 cisco123, totuşi, că nu încalcă permite parola
secrete, care ar putea fi, de asemenea, utilizata pentru a accesa nivelul 15.
Utilizaţi comanda username <admin> privilege <15> secret <cisco15>
pentru a asocia nivelul 15 de acces utilizatorului admin cu parola cisco15.

Tineti minte că, atunci când atribuiti username-ul la niveluri privilegii,

privilege şi cuvintele cheie secret nu sunt interschimbabile. De exemplu, o
comanda username USER secret cisco privilege 1 nu atribuie contului
USER nivelul de aces 1al contului de acces.Chiar daca acesta creează un
cont care necesită parola " cisco privilege 1". .

Pentru a accesa nivelul stabilit de privilegiu, introduceţi comanda enable

<nivel>din modul de utilizator, şi introduceţi parola care a fost repartizata la
nivelul de privilegii personalizat. Utilizaţi aceeaşi comandă pentru a trece
de la un nivel mai mic la un nivel superior.

Pentru a trece de la nivelul 1 la nivelul 5, utilizaţi comanda enable 5 din

promptul EXEC.
Pentru a trece la nivelul 10, utilizati enable 10 cu parola corectă.
Pentru a trece de la nivelul 10 la nivelul 15, utilizaţi comanda enable. Dacă
nu este specificat nivelul de privilegii, atunci despre nivelul 15 este vorba
Uneori este uşor să uităm ce nivel de acces are în prezent un utilizator.
Utilizaţi comanda show privilege pentru a afişa şi a confirma nivelul de
privilegii actual. Amintiţi-vă că un nivel mai ridicat de privilegii moşteneste
automat accesul la nivelurile inferioare

Deşi atribuirea nivelurile privilegiu nu oferi mai multă flexibilitate, unele

organizaţii nu ar putea să le găsesc potrivite, din cauza următoarelor
limitări:

Nu exista nici un control al accesului la anumite interfeţe, porturi, interfeţe

logice, şi sloturi pe un router.
Comenzi disponibile la nivele de privilegii mai mici sunt întotdeauna
executabile la niveluri mai ridicate.
Comenzi specifice setate pe un nivel de privilegii mai mari nu sunt
disponibile pentru utilizatorii cu nivele de privilegii mai mici.
Atribuirea unei comenzi cu mai multe cuvinte cheie la un anumit nivel de
privilegii atribuie, de asemenea, toate comenzile asociate cu cuvintele
cheie în primul rând la nivel de acelaşi privilegiu. Un exemplu este
comanda.
show ip route

+
Cum pot fi limitările de atribuire de niveluri de privilegiul sa fie depăşite?
Role-Based CLI

Pentru a oferi mai multă flexibilitate decât nivelurile de privilegiu, Cisco a

introdus caracteristică Role-Based CLI Access incepand cu IOS Release
12.3 (11) T. Această caracteristică oferă finete, un acces mai granulară prin
controlul specific al comenzilor care sunt disponibile la anumite roluri.
Bazat pe roluri de acces CLI permite administratorului de reţea sa creeze
puncte de vedere diferite configuraţii de router pentru utilizatori diferiţi.
Fiecare vedere defineşte comenzile CLI pe care fiecare utilizator le poate
accesa.

Securitate

Bazata pe roluri de acces CLI securitatea dispozitivului sporeşte prin

definirea unui set de comenzi CLI care sunt accesibile de către un anumit
utilizator. În plus, administratorii pot controla accesul utilizatorilor la
anumite porturi, interfeţe logice, şi sloturi pe un router. Acest lucru
impiedica un utilizator sa schimbe configuraţia accidental sau intenţionat
sau sa colectze informaţii la care nu ar trebui să aibă acces.

Disponibilitate
Bazat pe roluri de acces CLI împiedică executarea neintenţionată de
comenzi CLI de către personal neautorizat, care ar putea duce la rezultate
nedorite. Acest lucru minimizează timpii morţi.

Eficienţei operaţionale

Numai utilizatorii pot vedea comenzile CLI aplicabile porturi şi CLI la care
au acces, prin urmare, router-ul pare să fie mai puţin complex, şi comenzile
sunt mai uşor de a identifica atunci când folosiţi funcţia help de pe
dispozitivul.
Role-based CLI oferă trei tipuri de puncte de vedere:

viziune de Root
viziune CLI
Superview

Fiecare vedere dictează ce comenzi sunt disponibile.

viziune de Root

Pentru a configura orice vedere pentru sistem, administratorul trebuie să

fie în viziune root. Vedere de root are aceleaşi privilegii de acces ca un
utilizator care are privilegii de nivel 15. Cu toate acestea, veziunea de root
nu este acelaşi lucru cu un utilizator de nivel 15. Numai un utilizator cu
vederea root poate configura o nouă viziune şi adăuga sau elimina comenzi
al punctelor de vedere existente.

viziune CLI

Un set specific de comenzi poate fi inclus într-o vizualizare CLI. Spre

deosebire de nivelurile de privilegiu, în vederea CLI nu exista nici o ierarhie
de comandă şi, prin urmare, nu exista punctele de vedere mai mare sau
mai mic. Fiecare vizualizare trebuie să i se atribuie toate comenzile
asociate cu acest punct de vedere, şi o vedere nu moşteneste comenzile de
la alte puncte de vedere. În plus, aceleaşi comenzi pot fi folosite în mai
multe vizualizări.

Superview

Un superview constă dintr-unul sau mai multe vizualizări CLI.

Administratorii pot defini care comenzile sunt acceptate şi care informaţii
de configurare sunt vizibile. Superviews permite unui administrator de
reţea sa atribuie utilizatorilor şi grupurilor de utilizatori mai multe
vizualizări CLI, în loc de a atribui o singura vedere CLI per utilizator cu
toate comenzile asociate pentru vizualizare CLI.

Superviews au următoarele caracteristici:

O singura vizualizare CLI poate fi partajata în cadrul superviews multiple.

Comenzile nu pot fi configurate pentru o superview. Un administrator
trebuie să adauge comenzi la vizualizarea CLI şi sa adauge vizualizarea
CLI la superview.
Utilizatorii care sunt conectaţi într-un superview pot accesa toate
comenzile care sunt configurate pentru oricare dintre vizualizarile CLI care
fac parte din superview.
Fiecare superview are o parola care este folosita pentru a comuta între
superviews sau de la vederea CLI la superview.

Ştergerea unei superview nu şterge punctele de vedere asociate CLI.

Punctele de vedere CLI rămân disponibile pentru a fi atribuite la un alt
superview.
Înainte ca un administrator sa poata crea o vizualizare, trebuie să fie
activată AAA prin folosirea comenzii aaa new-model sau Cisco SDM..

Pentru a configura şi modifica punctele de vedere, un administrator trebuie

să se autentifice cu vedere de root, folosind comanda enable view din
privilegiate EXEC. Command enable view root poate fi, de asemenea,
utilizata. Când vi se solicită, introduceţi enable secret <parola>..

Există cinci paşi pentru a crea şi de a gestiona o anumita vedere.

Pasul 1. Permiteti AAA cu comanda aaa new-model din configurare globala.

Ieşi şi intra în vedere root cu comanda enable view.

Pasul 2. Creaţi o vizualizare utilizând comanda parser view < namele

viziunii>. Acest lucru permite modul de configurare vizualizare. Excluzând
opinia rădăcină, există o limită maximă de 15 vizualizări în total.

Pasul 3. Atribuiti o parolă pentru a vizualiza utilizând comanda secret

<parola criptata>

Pasul 4. Atribuiti comenzi de vizualizare selectate utilizând comenzile

commands parser-mode {include | include-exclusive | exclude} [all]
[interface interface-name | command] în modul de configurare view.

Pasul 5. Iesiti din modul de configurare vizualizare tastând comanda exit.

Paşi pentru a configura un superview sunt în esenţă aceleaşi ca
configurarea unui vedere CLI, cu excepţia faptului că în loc să utilizaţi
comanda commands pentru a atribui comenzi, utilizaţi comanda view <
name vizionat>pentru a atribui punctele de vedere. Administratorul trebuie
să fie in rol de root pentru a configura un superview. Pentru a confirma
acest punct de vedere utilizati fie enable view fie enable view root. Când vi
se solicită, introduceţi enable secret password.
Există patru paşi pentru a crea si a gestiona o superview.

Pasul 1. Creaţi o vizualizare folosind comanda parser view< view-name>

superview şi introduceţi modul de configurare superview.

Pasul 2. Atribuiti o parolă secretă pentru a vizualiza utilizând comanda

secret encrypted-password

Pasul 3. Atribui o vizualizare existentă utilizând comanda view <view-

name> în modul de configurare vedere.

Pasul 4.iesiti din modul de configurare superview tastând comanda exit.

Mai mult de o vizionare poate fi atribuita la un superview, şi acestea pot fi

partajate între superviews.

Pentru a accesa vizionrile existente, introduceţi comanda enable view

< namele vizionarii> în modul de utilizator şi introduceţi parola care a fost
repartizata la vizualizarea particularizată. Utilizaţi aceeaşi comandă pentru
a comuta de la o vizualizare la altul.
Pentru a verifica vizualizarea , utilizaţi comanda enable view. Introduceţi
numele vizualizarii cu scopul de a verifica, şi introduceti parola pentru a
accesa vizualizarea. Utilizaţi comandă semnul de întrebare (?)pentru a
verifica faptul că comenzile disponibile sunt corecte.

Din pozitia de root, parserul folositi comanda show parser view all pentru
a vedea un rezumat al tuturor vizionarilor.
Dacă atacatorii au acces la un router, există multe lucruri pe care le-ar
putea face. De exemplu, ar putea modifica fluxurile de trafic, modifica
configuraţii, şi chiar şterge fişierul de configurare pornire şi Cisco IOS
imagine. Dacă imaginea de configurare sau IOS este ştearsa, operatorul ar
avea nevoie pentru a prelua o copie arhivată pentru a restabili router-ul.
Procesul de recuperare trebuie să fie apoi efectuatpe fiecare router afectat,
adăugând timpi morti la reţea.

Cisco IOS Resilient Configuration permite recuperarea mai rapidă, dacă

cineva reformatează memoria flash sau sterge fisierul de configurare de
pornire în NVRAM. Această caracteristică permite unui router sa reziste la
tentativele malitioase de ştergere a fişierelor prin asigurarea şi menţinerea
unei imaginii sigure a copiei de lucru a configuraţiei de rulare.

Atunci când imaginea Cisco IOS este asigurată, caracteristica de

configurare elastica opreste toate tentativele de a o copia, modifica, sau
sterge. Copia securizata a configuraţiei de pornire este stocată în flash
împreună cu imaginea sigura a IOS-ului. Acest set de imagini Cisco IOS şi
fişiere de configurare de rulare pe router este menţionată ca bootset.

Caracteristica de configurare Cisco IOS Resilient este disponibilă numai

pentru sistemele care susţine o PCMCIA Advanced Technology Attachment
(ATA) interfaţă flash. Cisco IOS imagine de backup şi de configurare care
rulează pe unitatea flash sunt ascunse, astfel încât fişierul nu sunt incluse
în nici o listare director pe hard.

Două comenzi la nivel global al configuratiilor sunt disponibile pentru a

configura caracteristici elastice Cisco IOS de configurare: secure boot-
image şi secure boot-config.

Comanda de Securizare a boot-image

Comanda secure boot-image permite securizarea imaginii Cisco IOS. Când

este activata pentru prima dată, o imagine Cisco IOS este asigurată, şi este
generat un înregistrare în jurnal. Această facilitate poate fi dezactivată doar
printr-o sesiune de consolă folosind comandă:no secure boot-image

Această comandă funcţionează în mod corespunzător numai atunci când

sistemul este configurat sa execute o imagine dintr-o unitate flash cu o
interfata ATA. În plus, imaginea de rulare trebuie să fie încărcate dintr-o
sursa persistenta(sigura,stabila) pentru a fi asigurată primar. Imaginile care
sunt luate din reţea, cum ar fi un server TFTP, nu pot fi asigurate.

Caracteristica Cisco IOS de configurare a imaginii detectează nepotriviri de

versiune. Dacă router-ul este configurat să boot cu Cisco IOS rezilienţă şi o
imagine cu o altă versiune a software-ului Cisco IOS este detectata, un
mesaj, similar cu cel de mai jos, se afişează la boot-are:

ios resilience: Archived image and configuration version 12.2 differs from
running version 12.3
Pentru a face upgrade la imagine arhivata, reintroduceţi comanda secure
boot-image de la consola. Un mesaj despre imaginea upgrad-ata este
afişat. Imaginea veche este inlocuita cu o noua imagine care este vizibila
în comanda dir.

Comanda secure boot-config

Pentru a lua un instantaneu de configurare al routerului utilizati comandă

secure boot-config în modul de configurare la nivel global. Un mesaj de log
este afişat la consola informand utilizatorul că rezistenţa de configurare
este activata. Arhiva de configurare este ascunsa şi nu poate fi vizualizata
sau scoasa direct din prompt –ul CLI.

Scenariul upgrade de configurare este similar cu un upgrade imagine.

Această funcţie detectează o versiune diferită a Cisco IOS configuraţii şi
informeaza utilizatorul de o nepotrivire de versiuni. Comandă secure boot-
config poate fi rulata pentru a face upgrade la arhiva de configurare pentru
o versiune mai nouă după ce noile comenzi de configurare au fost emise.

Fişierele securizate nu apar in comanda dir care este data din CLI. Acest
lucru se datorează faptului că sistemul Cisco IOS împiedică fişiere
securizate sa fie listate. Deoarece imaginea de funcţionare şi arhive de
funcţionare de configurare nu sunt vizibile în comanda dir, utilizaţi
comanda show secure bootset pentru a verifica existenţa arhivei. Acest
pas este important pentru a verifica dacă imaginea Cisco IOS şi fişierelor
de configurare le-au fost facute corect backup securizat.

În timp ce sistemul Cisco IOS împiedică aceste fişiere sa fie vizualizate,

modul monitor ROM (ROMmon) nu are nici o restricţie şi poate lista şi boot-
a de pe fişierele securizate.

Există cinci paşi pentru a restabili un bootset primar dintr-o arhivă

securizată, după ce router-ul a fost modificat cu (printr-un NVRAM şterge
sau un format de disc):

Pasul 1. Reîncarcă routerului folosind comanda reload.

Pasul 2. Din modul ROMmon, introduceţi comanda dir pentru a lista

conţinutul dispozitivului care conţine fişierul secure bootset. Din CLI,
numele dispozitivului poate fi găsit cu comanda show secure bootset.

Pasul 3. Boot-ati router-ul cu imaginea bootset securizat folosind comanda

boot cu nume de fişier găsit în Pasul 2. La boot-area router-ului, schimbati
modul privilegiat EXEC pentru a restabili configuraţia.

Pasul 4. Intra în modul de configurare la nivel global folosind conf t.

Pasul 5. Restaureaza configuraţia securizata prin furnizate numelui

fişierului filename utilizând comanda. secure boot-config restore
<filename>
Daca un router este compromis sau trebuie să fie recuperată parola, un
administrator trebuie să înţeleagă procedurile de recuperare a parolei. Din
motive de securitate, de recuperare a parolei de administrator cere să aibă
acces fizic la router prin intermediul unui cablu de consola.

Recuperarea parolei router-ului presupune mai multe etape.

Pasul 1. Conectaţi-vă la portul de consola.

Pasul 2. Utilizaţi comanda show version pentru a vizualiza şi a înregistra

registrul de configurare.

Registrul de configurare este similară cu setarea BIOS la un calculator,

care controlează procesul de pornire. Un registru de configurare,
reprezentat de o valoare hexazecimală, spune unui router ce măsuri
necesare sa ia atunci când este pornit. Registrele de configurare au multe
utilizări, dar recuperarea parolei este probabil cel mai folosit. Pentru a
vizualiza şi înregistra registrul de configurare, utilizaţi comanda show
version.

R1> show version

<Output omitted>
Configuration register is 0x2102

Registrul de configurare este de obicei, setat pe 0x2102 sau 0x102. Dacă

nu există acces la router (din cauza unei login pierdut sau parola TACACS),
un administrator poate afirma cu siguranţă că registrul de configurare este
setat la 0x2102.

Pasul 3. Restartati router-ul.

Pasul 4. Apasati tasta BREAK în termen de 60 de secunde de la pornire

pentru a pune router-ul în ROMmon.
Secvenţa standard folosita de Hyperterminal este Ctrl-Break.

Pasul 5. Tipariti in prompt-ul rommon 1>. confreg 0x2142

Acest lucru va schimba configuraţia implicită a registrului şi face ca router-

ul sa ocoleasca configuraţia de pornire în cazul în care am uitat enable
password

Pasul 6. Tipariti reset in prompt-ul rommon 2>.. Router-ul se va reboot-a,

dar va ignoră configurarea salvata.

Pasul 7. Tipariti no după fiecare întrebare de configurare, sau apăsaţi Ctrl-C

pentru a anula procedura de configurarea iniţială.

Pasul 8. Tipariti enable in prompt.-ul Router>Acest lucru pune router-ul în

modul activ şi vă permite să vedeţi prompt Router #.

Pasul 9. Tipariti copy startup-config running-config pentru a copia în

memoria NVRAM. Fiţi atenţi nu tipariti copy running-config startup-config
pentru ca configuraţia de pornire va fi ştearsa.

Pasul 10. Tipariti show running-config. În această configuraţie, comanda

shutdown apare sub toate interfeţele, deoarece toate interfeţele sunt în
prezent închise. Un administrator poate vedea acum parolele (enable
password, enable secret, vty, and console passwords), fie în format criptat
sau necriptat. Parola necriptata poate fi refolosita, dar parola criptate
trebuie inlocuite cu o nouă parolă ..
Pasul 11. Intrati in configurare globala şi tastaţi comanda enable secret
pentru a schimba parola enable secret. De exemplu:

R1 (config) # enable secret cisco

Pasul 12. Dati comanda no shutdown pe fiecare interfaţă pentru a putea fi

utilizate. Apoi, dati comanda show ip interface brief în mod privilegiat EXEC
pentru a confirma faptul că interfaţa de configurare este corectă. Fiecare
interfaţă pentru a fi utilizata ar trebui să afişeze " up up."

Pasul 13. Din modul de configurare global tipariti config-register <registru

de configurare>. Registrul de configurare este fie valoarea înregistrată în
pasul 2 fie 0x2102. De exemplu:

R1(config)# config-register 0x2102

Pasul 14. Salvati modificările de configuraţie folosind comanda copy

running-config startup-config.

Recuperarea parolei este acum completa. Introduceţi comanda show

version pentru a confirma că router-ul este configurat cu registrul de
configurare pentru setarea de repornire.

Dacă cineva obţinut accesul fizic la un router, ar putea obţine controlul

asupra dispozitivului prin care procedura de recuperare a parolei. Această
procedură, dacă a fost efectuata corect, lasa configurarea router-ului
intacta. În cazul în care atacatorul nu face nici o schimbăre majora, acest
tip de atac este dificil de detectat. Un atacator poate folosi aceasta metoda
pentru a descoperi atac de configurare router-ul şi alte informaţii pertinente
referitoare la reţea, cum ar fi fluxurile de trafic şi de restricţii de control al
accesului.

Un administrator poate atenua această încălcare potenţiale de securitate

prin utilizarea comenzii de configurare no service password-recovery de la
nivel global. Comandă no service password-recovery este o comandă care
ascunde Cisco IOS şi nu are argumente sau cuvinte cheie. Dacă un router
este configurat cu comanda no service password-recovery -, toate căile de
acces la modul ROMmon sunt dezactivate.

În cazul în care comanda no service password-recovery este tiparita , un

mesaj de avertizare este afişat şi trebuie să fie recunoscut înainte ca
funcţia sa fie activată.
Comanda de configurare show running configuration afişează no service
password-recovery. În plus, în cazul în care router-ul boot-eaza , secvenţa
iniţiala de boot –are afişează un mesaj care să ateste "RECUPERAREA
PAROLEI FUNCŢIONALITATEA este dezactivat."

Pentru a recupera un dispozitiv după ce comanda no service password-

recovery este tiparita , iniţiati secvenţa BREAK (apasati tasta BREAK) în
termen de cinci secunde după boot-area . Vi se va solicită să confirmaţi
folosirea tastei BREAK. După ce acţiunea este confirmată, fisierele de
configurare sunt complet ştearse, procedura de recuperare a parolei este
activat, şi router-ul se ridica cu configuraţia implicită din fabrică. Dacă nu
confirmăti acţiunea BREAK, router-ul se ridica în mod normal, cu comanda
no service password-recovery activată.

Atentie , în cazul în care memoria flash a router-ului nu conţine o imagine

validă Cisco IOS din cauza ca a fost corupta sau ştearsa, comanda
xmodem ROMmon nu poate fi folosita pentru a încărca o nou imagine in
flash. Pentru a repara un router, un administrator trebuie să obţină o nouă
imagine Cisco IOS SIMM pe un flash sau pe un card PCMCIA. Se referă la
Cisco.com pentru mai multe informaţii cu privire la imagini de backup
flash.

Administratorii de reţea trebuie să gestioneze în siguranţă toate

dispozitivele şi hosturile dîn reţea. Într-o reţea mică, gestionarea şi
monitorizarea dispozitive de reţea este o operaţiune simplă. Cu toate
acestea, într-o întreprindere mare, cu sute de dispozitive, monitorizarea,
gestionarea şi prelucrarea mesajelor jurnal se poate dovedi a fi o
provocare.

Mai mulţi factori ar trebui să fie luate în considerare la punerea în aplicare a

managementului securizat. Aceasta include schimbarea configurari de
management. Când o reţea este atacata, este important să se cunoască
starea dispozitivelor din reţea critice şi cand au avut loc ultimile modificări
Gestionarea configuraţiei modificare include, de asemenea, aspecte cum ar
fi asigurarea accesului, când metodologii de management noi sunt
adoptate, şi cum să se ocupe de dispozitivele care nu mai sunt utilizate.
Crearea unui plan de gestionare a schimbărilor ar trebui să fie parte dintr-o
politică de securitate cuprinzătoare, însă, cel puţin, modificările folosind
autentificarea pe dispozitive şi configuraţii arhiva folosind FTP sau TFTP.

Există o politică de gestionare a schimbării sau planul se face pe loc?

Aceste aspecte ar trebui să fie stabilite şi tratate într-o schimbare de
politică de management.

Logarile automate şi raportarea de informaţii de la dispozitive identificate la

gazdele de management sunt, de asemenea, aspecte importante. Aceste
jurnale şi rapoarte pot include fluxul de conţinut, modificări de configurare,
şi instari de software noi, pentru a numi câteva. Pentru a identifica
priorităţile de raportare şi monitorizare, este important sa obţinem
informaţii de la conducere şi de la echipele de reţea şi de securitate.
Politica de securitate ar trebui să joace, de asemenea, un rol important
pentru a răspunde la întrebările cu ce informaţii să vă conectaţi şi ce
informatii sa se raporteze.

Din punct de vedere de raportare, cele mai multe dispozitive de reţea pot
trimite date syslog care pot fi nepreţuit atunci când rezolvam probleme de
reţea sau de ameninţări la adresa securităţii. Datele de la orice dispozitiv
pot fi trimise la un host de analiză syslog pentru vizualizare. Aceste date
pot fi vizualizate în timp real, la cerere, şi în rapoartele programate. Există
diferite niveluri de logare pentru a se asigura că suma corectă de date este
trimisa, bazat pe dispozitivul care trimite datele. De asemenea, este posibil
să datele de jurnal sa fie afisate de un dispozitiv în software de analiză
pentru a permite vizualizarea granulare a rapoartelor . De exemplu, în
timpul unui atac, jurnal de date care este furnizat de switch-uri Layer 2 nu
ar putea fi la fel de interesant ca datele care sunt furnizate de sistemul de
prevenire a intruziunilor (IPS).

Multe aplicaţii şi protocoale sunt de asemenea disponibile, cum ar fi SNMP,

care este utilizat în sistemele de management de retea sa monitorizeze şi
să facă modificări de configurare pentru dispozitivele la distanţă.
Când vă conectaţi pentru gestionarea informaţiilor, fluxul de informaţii
între gazde şi dispozitivele de gestionare a datelor pot lua două căi:

Out-of-band (OOB) - fluxuri de informaţii într-o reţea de gestionare dedicata

pe care nu exista trafic de producţie (de retea ).
In-band - fluxurile de informaţii traverseaza reţeaua, Internetul, sau ambele
periodic.

De exemplu, o reţea are două segmente de reţea, care sunt separate de un

router Cisco IOS care actioneaza ca un firewall şi o reţea privată virtuală
(VPN), dispozitiv de rezerva. O parte a firewall-ului se conectează la toate
gazdele de management şi la routerele Cisco IOS care acţionează ca
servere de terminal. Servere terminale ofera conexiuni directe OOB la orice
dispozitiv care necesită management pe reteaua de productie. Cele mai
multe dispozitive ar trebui să fie conectate la acest segment de gestionare
şi să fie configurate folosind OOB management.

De cealalta parte a firewall-ului se conectează la reţeaua de producţie în

sine. Conectarea la reţeaua de producţie este justificata numai pentru
accesul la Internet selectiv al hosturilor de management, limitand traficul
în-band, şi criptand traficul hosturilor În banda de management are loc
numai atunci când o aplicaţie de management nu utilizează OOB, sau când
aparatul Cisco fiind gestionate nu are fizic suficiente interfeţe pentru a
sprijini conexiune normală a reţelei de management. Dacă un dispozitiv
trebuie să se contacteze un host de management prin trimiterea de date în
întreaga reţea de producţie, traficul ar trebui să fie trimise în siguranţă
folosind un tunel privat criptat sau tunel VPN. Tunelul ar trebui să fie
preconfigurate pentru a permite numai traficul care este necesară sa fie
gestionat şi raportarea acestor dispozitive. Tunelul ar trebui să fie, de
asemenea, blocat, astfel încât numai gazdele adecvate sa poata iniţia şi
rezilia tuneluri. Cisco IOS Firewall-ul este configurat pentru a permite
informaţii syslog în segmentul de management. În plus, Telnet, SSH, şi
SNMP sunt permise cu condiţia ca aceste servicii sa fie mai intai iniţiate de
managementul de reţea.

Deoarece gestionarea reţelei are acces administrativ la aproape fiecare

zonă a reţelei, aceasta poate fi o ţintă foarte atractivă pentru hackeri.
Modulul de management pe firewall-ul a fost construit cu mai multe
tehnologii menite să atenueze astfel de riscuri. Principala ameninţare este
un hacker care încearcă să obţină acces la reţeaua de management de la
sine. Acest lucru poate fi, eventual, realizat printr-o gazdă compromisa care
are acces la un dispozitiv de gestionare. Pentru a reduce ameninţarea de
un dispozitiv compromis, controlati puternic accesul, ar trebui să fie puse
în aplicare firewall-uri la orice alt dispozitiv. În plus, dispozitivele de
management ar trebui să fie stabilite într-un mod care împiedică
comunicarea directă cu alte gazde pe aceeaşi subreţea de management,
folosind segmente separate LAN sau VLAN-uri.

Ca o regulă generală, în scopuri de securitate, management OOB este

adecvat pentru reţelele întreprinderi mari. Cu toate acestea, nu este
întotdeauna de dorit. Deseori decizia depinde de tipul de aplicaţii de
management care se execută şi de protocoalele care sunt monitorizate, de
exemplu, un instrument de management cu scopul de a determina dacă
toate dispozitivele dintr-o reţea poate fi atins. Luaţi în considerare o situaţie
în care două switch-uri de bază sunt gestionate şi monitorizate cu ajutorul
unei reţele de OOB. Dacă o legătură între aceste switch-uri critice cade,
aplicaţia de monitorizare a acestor dispozitive nu poate stabili că legătura a
cazut şi alerteaza administrator-ul. Acest lucru se datorează faptului că
reţeaua OOB face ca toate dispozitivele par a fi ataşat la o reţea unică de
management OOB. Reţeaua de gestionare a OOB nu este afectată de
caderea link-ului. Cu aplicaţii de management, cum ar fi acestea, este de
preferat sa rulam aplicatii de gestiune în bandă într-un mod securizat.

In-band management este, de asemenea, recomandat în reţelele mici, ca un

mijloc de a realiza o implementare de securitate mai rentabila. În astfel de
arhitecturi, gestionarea traficului în-band, în toate cazurile se va face cât
mai sigur posibil folosind variante sigure adaugate la protocoale nesigure
de management, cum ar fi utilizarea SSH în loc de Telnet. O altă opţiune
este de a crea tuneluri sigure, folosind protocoale cum ar fi IPsec, pentru
gestionarea traficului. Dacă accesul de management nu este necesară în
orice moment, pot fi plasate gauri, probabil, temporar într-un firewall în
timp ce sunt realizate funcţiile de management. Aceasta tehnica ar trebui
să fie utilizate cu precauţie, şi toate găurile ar trebui să fie închise imediat
după ce funcţiile de management sunt finalizate.

În cele din urmă, în cazul în care utilizam instrumente de management la

distanţă cu managementul in-band, trebuie sa avem grija la vulnerabilităţi
de securitate care stau la baza instrumentelor de management. De
exemplu, SNMP managers sunt adesea utilizate pentru a uşura sarcinile de
depanare şi configurare o reţea. Cu toate acestea, SNMP ar trebui să fie
tratate cu cea mai mare grija, deoarece protocolul care stau la baza are
propriul set de vulnerabilităţi de securitate.
Punere în aplicare a unui mecanism de logare pe router este o parte
importantă a oricărei politici de securitate de reţea.Pe routerele Cisco se
poate loga cu informaţii cu privire la modificările de configuraţie, încălcări
ACL, statutul de interfaţă, şi multe alte tipuri de evenimente. Routerele
Cisco pot trimite mesaje jurnal de mai multe facilităţi diferite. Trebuie să
configuraţi router-ul pentru a trimite mesaje de jurnal la unul sau mai multe
dintre următoarele elemente.

Consola - logare prin consola este în mod implicit. Mesaje jurnal la

consola pot fi vizualizate atunci când modificam sau testam routerului
folosind software-ul de emulare de terminal in timp ce suntem conectati la
portul de consola al router-ului.
linii Terminale - sesiuni Enabled EXEC poate fi configurata pentru a primi
mesaje de jurnal cu privire la orice linii terminale. Similar cu logare prin
consola, acest tip de logare nu este stocată de router şi, prin urmare, este
importanta pentru utilizatorul de pe acea linie.
Logarea Buffered (Buffered logging) acest tip de logare este un pic mai
utila ca un instrument de securitate, deoarece mesajele jurnal sunt stocate
în memorie router pentru un timp. Cu toate acestea, evenimentele sunt
sterse ori de câte ori router-ul este repornit.
SNMP traps -- anumite praguri pot fi preconfigurate pe routere si pe alte
dispozitive. Evenimentele de pe router, cum ar fi cele de peste un anumit
prag, pot fi prelucrate de către router şi transmise prin SNMP trap la un
server extern SNMP. SNMP trap sunt o facilitate de securitate viabila de
logare, dar necesita configurarea şi întreţinerea unui sistem de SNMP.
Syslog - routere Cisco poate fi configurat pentru a transmite mesaje de log
la un serviciu extern syslog. Acest serviciu se poate amplasa pe orice
număr de servere sau statii de lucru, inclusiv Microsoft Windows şi sisteme
bazate pe UNIX, sau aparatul de securitate Cisco MARS. Syslog este
facilitate de logare cea mai populara, pentru că acesta oferă capacităţi pe
termen lung jurnal de stocare şi o locaţie centrală pentru toate mesajele de
pe router.

Mesaje jurnal pe routerele Cisco se încadrează într-una din opt nivele. Cu

cat este mai mic număr de nivel, cu atat este mai ridicat nivel de severitate.

Mesajele jurnal pe routerele Cisco conţine trei părţi principale:

Timestamp
mesaj Numele Log şi nivel de severitate
Mesaj text

Syslog este standard pentru logare evenimente de sistem. Implementarile

Syslog conţin două tipuri de sisteme.
servere Syslog -, cunoscut sub numele de gazde jurnal, aceste sisteme
accepta şi procesul de mesaje de jurnal din syslog clienti.
clientii Syslog - router sau alte tipuri de echipamente care generează şi
transmite mesaje de la servere log syslog.

Protocolul syslog permite mesajelor login sa fie trimise de la un client

syslog la server syslog. În timp ce posibilitatea de a trimite jurnalele de la
un server central syslog este parte dintr-o solutie de securitate buna,
acesta poate fi, de asemenea potenţiala parte din problemele de securitate.
Cea mai mare problemă este enormitatea de sarcini rezultate prin cernerea
de informaţii, prin corelarea evenimentelor de la mai multe dispozitive de
reţea şi servere de aplicaţii diferite, şi luând încalcul diferitele tipuri de
acţiuni bazate pe o evaluare a vulnerabilităţii unui incident.

Monitorizarea SecuritatII, analiza, şi Răspunsul Sistemului (MARS) este un

dispozitiv de securitate Cisco, care poate primi şi analiza mesajelor syslog
din diverse dispozitive de reţea şi gazde Cisco si alti furnizori. Securitate
Cisco MARS extinde portofoliul de produse de management al securităţii
pentru iniţiativă Cisco Self-Defending Network. Cisco de securitate MARS
este primul aparat construit cu scopul de atenuare în timp real a
ameninţarilor la adresa securităţii.

Securitate Cisco MARS monitorizează multe tipuri de log-ari şi raportare de

trafic, de la produsele de securitate pana la reţele de companii. Securitate
Cisco MARS combină toate aceste date jurnal într-o serie de sesiuni de
care apoi le compară cu o bază de date de reguli. În cazul în care normele
indică faptul că ar putea fi o problemă, este declanşat un incident. Prin
utilizarea acestei metode, un administrator de reţea poate avea procesele
de securitate Cisco MARS de cele mai multe de arhivate de aparat de la
dispozitivele din reţea şi să isi concentreze eforturile umane asupra
eventualelor probleme.
Utilizaţi următorii paşi pentru a configura sistemul de logare.

Pasul 1. Setaţi destinaţia de logare a gazdei folosind comanda logging

host.

Pasul 2. (Opţional) Setaţi nivelul de gravitatea al log (capcana) folosind

comanda logging trap<nivel>.

Pasul 3. Setaţi interfaţă sursă folosind comanda logging source-interface.

Aceasta arată că pachetele conţin adresa unei anumite interfaţe syslog
IPv4 sau IPv6, indiferent de interfata pe care pachetele o folosesc pentru a
ieşi din router.

Pasul 4. Activează jurnalizarea comanda logging on. Puteţi activa logare on

şi off pentru aceste destinaţii folosind comenzile logging buffered, logging
monitor, si logging individual de configurare globaal. Cu toate acestea, în
cazul în care comanda logging on este dezactivata, mesajele nu sunt
trimise către aceste destinaţii. Doar consola primeste mesaje
.
Pentru a activa syslog de logare de pe router, folosind Cisco router şi
securitate Device Manager (SDM), urmaţi aceşti paşi.

Pasul 1. Alegeţi Configure > Additional Tasks > Router Properties >
Logging..

Pasul 2. Din panoul de Logging, faceţi clic pe Edit.

Pasul 3. În fereastra Logging, selectaţi Enable Logging Level şi puteti alege

nivelul de logare din Logging Level din listă Mesajele vor fi logate pentru
nivelul selectat sau un nivel mai mic.

Pasul 4. Faceţi clic pe Add,, şi introduceţi adresă IP a hostului de logat în

câmpul IP Address/Hostname.

Pasul 5. Faceţi clic pe OK pentru a reveni la caseta de dialog Logging.

Pasul 6. Faceţi clic pe OK pentru a accepta modificările şi a reveni la

panoul de logare.
Cisco SDM poate fi folosite pentru a monitoriza logarile prin alegerea
Monitor > Logging.

Din fila Syslog, aveţi posibilitatea să efectuaţi următoarele funcţii:

sa vedeti gazdele logate la care router-ul are mesaje de logare

Alegeţi nivelul minim de severitate pentru vizualizare.
Monitorizati mesajele syslog router, actualizare ecranul pentru a afişa
intrările cele mai actuale jurnal, şi şterge toate mesajele din jurnalul
tampon syslog al router-ului

.
Un alt instrument de monitorizare comun este SNMP. SNMP a fost dezvoltat
pentru a gestiona noduri, cum ar fi servere, staţii de lucru, routere, switch-
uri, hub-uri, şi dispozitive de securitate, pe o reţea IP. SNMP este un
protocol de nivel aplicaţie care facilitează schimbul de informaţii între
dispozitive de management de reţea. SNMP este parte din suita
protocoalelor TCP / IP. SNMP permite administratorilor de reţea să
gestioneze performanţele reţelei,sa găseasca şi sa rezolve problemele de
reţea, şi un plan pentru creşterea reţelei. Există versiuni diferite ale SNMP.

SNMP versiunea 1 (SNMPv1) şi SNMP versiunea 2 (SNMPv2) se bazează pe

manageri (sisteme de management al reţelei [NMSs]), agenţi (noduri
administrative), şi Baze de Management ale Informaţiei (MIB-uri). În orice
configuraţie, cel puţin un nod manager care ruleaza software-ul de
management SNMP. Dispozitive de reţea ce trebuie să fie gestionate, cum
ar fi switch-uri, routere, servere, şi staţii de lucru, sunt echipate cu un
modul de agent software SMNP. Agentul este responsabil pentru
asigurarea accesului la un MIB locale de obiecte care reflectă resursele şi
activitatea la nodul său. MIB-uri stochează datele despre funcţionarea
dispozitivului şi sunt menite să fie disponibilă pentru utilizatorii
autentificaţi la distanţă.

Managerul SNMP poate obţine informaţii de la agent, şi schimbare, sau seta

informaţii în agent. Setarile pot schimba configuraţia variablelor in device-
ul agent. Setarile pot initia acţiuni în dispozitive. Un răspuns la o setare
indică o noua setare în aparat. De exemplu, o setare poate provoca o
rebootare a unui router, trimiterea unui fişier de configurare, sau primirea
unui fişier de configurare. Trap SNMP permite unui agent de a notifica
evenimente semnificative prin trimiterea unui mesaj catrestaţia de
management. Acţiunea de a obtine şi de a seta deschid vulnerabilităţi care
deschid SNMP la atacuri.

Agenţi SNMP accepta comenzi şi a cererilor de la sistemele de

management SNMP numai în cazul în care aceste sisteme au un şir de
comunitate corect. Un şir de comunitate SNMP este un text care poate
autentifica mesaje între o staţie de gestionare şi un agent SNMP şi permite
accesul la informaţii în MIB-uri. Siruri de caractere comunitare sunt, în
esenţă utilizate pentru autentificare prin parolă numai de mesaje între noile
state membre şi agent.

Există două tipuri de şiruri de comunităte.

siruri de caractere comunitate read-only - Oferă acces read-only (doar

citire) la toate obiectele din MIB, cu excepţia siruri de caractere comunitate.
siruri de caractere comunitate citire-scriere - Oferă acces la citire-scriere
pentru toate obiectele din MIB, cu excepţia siruri de caractere comunitate.

În cazul în care managerul trimite siruri de caractere corecte comunitate

read-only, se poate obţine informaţii, dar nu se pot seta de informaţii într-
un agent. În cazul în care managerul foloseşte una dintre sirurile de
comunitate corecte citire-scriere cele, se pot obţine sau seta de informaţii
în agent. Într-adevăr, a stabili acces la un router este echivalent cu a avea
enable password de router.
În mod implicit, cele mai multe sisteme SNMP folosesc un şir de
comunitate. "public", Dacă vă configuraţi router-ul agentSNMP sa
foloseasva acest şir comunitate cunoscut, oricine cu un sistem de SNMP
poate citi MIB-ul router-ului. Deoarece variabilele router MIB poate indica
lucruri, cum ar fi tabelele de rutare şi alte părţi de securitate critice ale
configurare router, este extrem de important cum vă creaţi propriile dvs.
siruri de caractere comunitate personalizate SNMP. Cu toate acestea, chiar
dacă şirul comunitatea este schimbat, siruri de caractere sunt trimise în
plaintext. Aceasta este o vulnerabilitate foarte mare de arhitectura SNMPv1
şi SNMPv2.

Dacă utilizaţi in-band management,, pentru a reduce riscurile de securitate,

SNMP management ar trebui să fie configurate pentru a obtine numai
informaţii de la dispozitive, mai degrabă decât a li se permite să împingă
"set"-ul de modificări ale dispozitivelor. Pentru a asigura gestionarea
informaţiilor, fiecare dispozitiv ar trebui să fie configurat cu un şir doar în
citire comunitate SNMP.

Păstrarea traficului SNMP pe un segment permite traficului sa traverseze

un segment izolat, atunci când este tras de gestionare a informaţiilor de la
aparate şi atunci când schimbările de configurare sunt împinse la un
dispozitiv. Prin urmare, în cazul utilizării unei reţele de OOB, este
acceptabil sa configuram SNMP citire-scriere string comunitate, cu toate
acestea, trebuie să fim conştienţi de riscul crescut la securitate de un şir de
text clar care permite modificarea configuraţiilor dispozitivului.
Versiunea curentă a SNMPv3 elimina vulnerabilităţile din versiunile
anterioare, inclusiv ale celor trei servicii importante: autentificare,
intimitate, şi de controlul accesului.

SNMPv3 este un protocol interoperabil bazate pe standarde pentru

gestionarea reţelei. SNMPv3 foloseşte o combinaţie de autentificare şi
criptare a pachetelor în reţea pentru a oferi acces securizat la dispozitive.
SNMPv3 Oferă trei caracteristici de securitate.

integritatea mesajului – asigură de faptul că un pachet nu a fost modificat

printr-un tranzit.
autentificare - determină că mesajul este de la o sursă validă.
Criptare - amestecă conţinutul unui pachet pentru a preveni de la a fi văzut
de către o sursă neautorizate.

Se recomandă ca SNMP sa fie utilizat atunci când este posibil, din cauza
caracteristicilor de securitate sporita , configurarea SNMPv3 este dincolo
de sfera de aplicare a acestui curs.
Când activaţi SNMP, este important să se ia în considerare modelul de
securitate şi nivelul de securitate. Modelul de securitate este o strategie de
autentificare care este configurata pentru un utilizator şi pentu grup în care
utilizatorul are reşedinţa. În prezent, software-ul Cisco IOS acceptă trei
modele de securitate: SNMPv1, SNMPv2c, şi SNMPv3. Un nivel de
securitate este nivelul permis de securitate în cadrul unui model de
securitate. Nivelul de securitate este un tip de algoritm de securitate care
se efectuează pe fiecare pachet SNMP.

Există trei niveluri de securitate.

noAuth - Autentifică un pachet de un string care face mach numele de

utilizator sau cu de şir comunitate.
auth - autentifică un pachet utilizând fie Hashed Message Authentication
Code (HMAC) cu metoda MD5 sau metoda Secure Hash Algorithms (SHA).
Metoda HMAC este descrisă în RFC 2104, HMAC: Keyed-Hashing for
Message Authentication.
priv - autentifică un pachet fie prin folosirea MD5 HMAC sau algoritmi
HMAC SHA şi criptează folosind pachete Data Encryption Standard (DES),
Triple DES (3DES), sau Advanced Encryption Standard (AES) algoritmi.
Combinaţia dintre model şi nivelul care determină mecanismul de
securitate este angajat la manipularea unui pachet SNMP. Numai SNMPv3
sprijină auth şi nivelurile de securitate priv. Cu toate acestea, Cisco SDM
nu are suport pentru configurarea de SNMPv3.

Pentru a permite SNMPv1 şi SNMPv2 folosind Cisco SDM urmaţi aceşti

paşi.

Pasul 1. Configure > Additional Tasks > Router Properties > SNMP. Faceţi
click pe butonul Edit.

Pasul 2. Din fereastra SNMP Properties, selectaţi Enable SNMP pentru a

activa suportul pentru SNMP.

Setati siruri de caractere comunitate şi introduceţi informaţiile trap

manager din aceeaşi fereastra SNMP Properties folosite pentru a activa
suportul.

Pasul 3. În fereastra SNMP Properties, faceţi clic pe Add pentru a crea noi
siruri de caractere comunitate, faceţi clic pe Edit pentru a edita un şir de
comunitate existent, sau faceţi clic pe Delete pentru a şterge un şir de
comunitate.

Un exemplu de comandă CLI in care SDM ar genera un şir read only de

comunitate bazat numai pe stringul cisco123 este

snmp-server community cisco123 ro.

ro - Atribuie un şir de comunitate read-only.

rw - Atribuie un şir de comunitate read-write.
Administratorul poate configura, de asemenea, dispozitivele pentru care un
router sa trimite capcane. Aceste dispozitive sunt denumite în continuare
receptoare capcana. Cisco SDM poate fi utilizat pentru a adăuga, edita sau
şterge un receptor capcană.

Pasul 1. Din panoul SNMP în Cisco SDM, faceţi clicL pe Edit.

SNMP.Fereastră afişează SNMP Properties.

Pasul 2. Pentru a adăuga un receptor capcană nou, faceţi click pe Add în

secţiunea Trap Receiver din fereastra SNMP Properties. Se afişează
fereastra. Add a Trap Receiver

Pasul 3. Introduceţi adresa IP sau numele de gazdă al receptorului capcană

şi parola, care este utilizata pentru a va conecta la receptor capcana. De
obicei, aceasta este adresa IP a staţiei de management SNMP care
monitorizează în domeniul dvs.. Consultaţi-vă cu administratorul site-ului
pentru a determina adresa dacă nu sunteti sigur.

Pasul 4. Faceţi clic pe OK pentru a termina adăugarea receptorului

capcană.

Pasul 5. Pentru a edita un receptor capcană existent, alegeţi un receptor

capcană din lista de receptor capcană şi faceţi clic pe Edit. Pentru a şterge
un receptor capcană existent, alegeţi un receptor capcană din lista de
receptor capcană şi faceţi clic pe Delete..
Pasul 6. Atunci când lista receptorul capcana este completă, faceţi clic pe
OK pentru a reveni la panoul SNMP.

Fereastra SNMP Properties conţine, de asemenea, campul SNMP Server

Device Location şi campul Server Administrator Contact. Ambele câmpuri
sunt câmpuri de text care pot fi folosite pentru a introduce informaţii
descriptive despre locaţia serverului SNMP şi informaţiile de contact ale
unei personae care gestioneaza server-ul SNMP. Aceste câmpuri nu sunt
obligatorii şi nu afectează funcţionarea router-ului

.
Multe lucruri implicate în securitatea unei reţele, cum ar fi securitatea
logurilor , depinde de la o dată precisă şi timestamp. Când are loc un atac,
chestiune de secunde, este important deoarece trebuie să se identifice
ordinea în care a avut loc un anumit atac. Pentru a ne asigura că mesajele
log sunt sincronizate unele cu altele, ceasurile pe hosturi şi dispozitive de
reţea trebuie să fie menţinute şi sincronizate.
De obicei, setările de data şi ora de router poate fi setată folosind una
dintre cele două metode:

Editarea manuală a datei şi orei

Configurarea protocolului Time Network (NTP)
Deşi metoda manuală lucrează într-un mediu de reţea mică, cand o reţea
creşte, devine dificil să se asigure că toate dispozitivele de infrastructură
opereazaa cu timp sincronizat. Chiar şi într-un mediu de reţea mai mică,
metoda manuală nu este ideală. Dacă un router reboot-eaza, cand primeste
date precise şi timestamp?
O soluţie mai bună este de a configura NTP pe reţea. NTP permite
routerelor din reţea sa sincronizeze setările timpului lor cu un server NTP.
Un grup de clienti NTP care obţin informaţii despre ora şi data dintr-o
singură sursă au setări de timp mai mult precise. Când NTP este pus în
aplicare în reţea, acesta poate fi configurat pentru a se sincroniza cu un
ceas master privat, sau se poate sincroniza cu un server NTP la dispoziţia
publicului pe Internet.
NTP utilizează portul UDP 123 şi este documentat în RFC 1305.
Atunci când decid să utilizeze o sincronizarea ceasului privată faţă de un
ceas public, este necesar sa se evalueze riscurile şi beneficiile.

În cazul în care un ceas master private este pusă în aplicare, ar putea fi

sincronizate la Coordinated Universal Time (UTC) sau radio prin satelit.
Administratorul are nevoie pentru a se asigura că sursă de timp este
valabila şi dintr-un site securizat, în caz contrar, se pot introduce
vulnerabilitati. De exemplu, un atacator poate lansa un atac DoS prin
trimiterea de date false NTP pe Internet la reţea într-o încercare de a
schimba ceasurile de pe dispozitive de reţea, care pot determina ca
certificatele digitale sa devina invalid. Un atacator ar putea încerca să se
confunde cu un administrator de reţea în timpul unui atac de perturbare a
ceasurilor de pe dispozitive de reţea. Acest scenariu ar face dificil pentru
administratorul de reţea sa determina ordinea evenimentelor syslog pe mai
multe dispozitive.

Sincronizand ceasul de pe Internet înseamnă că pachetele negarantate

sunt permise prin firewall. Multe servere NTP de pe Internet nu necesită
nici o autentificare a colegilor, prin urmare, administratorul de reţea trebuie
să aibă încredere că ceasul este de încredere, valabil, şi sigur.

Comunicaţii (cunoscut sub numele de asociaţii), între maşini care rulează

NTP sunt de obicei configurate static. Fiecare dispozitiv este dat adresa IP
a NTP master. Pontaj exactă este posibilă prin schimbul de mesaje NTP
între fiecare pereche de maşini asociate. Într-o reţea NTP configurata, unul
sau mai multe routere sunt desemnate ca deţinător ceas master (cunoscut
ca un maestru NTP) folosind comanda ntp master din configurare globala.

Clientii NTP fie au contact cu master fie asculta mesajele de la master

pentru a sincroniza ceasurile lor. Pentru a contacta master-ul , utilizati
comanda ntp server < addresa server-ului >
Într-un mediu LAN, NTP poate fi configurat să utilizeze mesajele difuzate în
loc de IP-uri folosind comanda ntp broadcast client. Această alternativă
reduce complexitatea de configurare, deoarece fiecare masina poate fi
configurat pentru a trimite sau primi mesaje difuzate. Precizia este redusă,
deoarece fluxul de informaţii este dintr-o singura sursa.
În momentul în care o maşină păstrează o resursă critică, prin urmare,
elementele de siguranţă ale NTP ar trebui să fie folosite pentru a evita
setarea accidentale sau deliberata de ore incorecte. Există două
mecanisme de securitate:
sistem pe bază de restricţie ACL
mecanism de autentificare criptate oferite de versiunea NTP 3 sau mai
târziu

Versiunea NTP 3 (NTPv3) şi de mai târziu, sprijina un mecanism de

autentificare criptografică între colegii NTP. Acest mecanism de
autentificare, în plus faţă de ACL-uri care specifică ce dispozitive de reţea
sunt permise pentru a sincroniza cu alte dispozitive de reţea, poate fi
folosite pentru a ajuta la atenuarea unui astfel de atac.
Pentru a asigura trafic NTP, este recomandat sa se foloseasca NTP
versiunea 3 sau mai târziu,. Folosiţi următoarele comenzi de pe ambele
master şi NTP client NTP.

ntp authenticate
ntp authentication-key< numarul cheii > md5< valuarea cheii>
ntp trusted-key <numarul cheii>

Autentificare este în beneficiul unui client pentru a se asigura că obtine

timpul de la un server autentificat. Clientii configurati fără autentificare pot
obţine încă timp de la server. Diferenţa este că aceşti clienţi care nu se
autentifica pe server nu au o sursă sigură.
Utilizaţi comanda show ntp associations detail pentru a confirma faptul că
serverul este o sursă autentificată.
Notă: Valoarea cheie poate fi setat ca un argument în comanda ntp server
<ntp-server-address>
Cisco SDM permite unui administrator de reţea sa vizualizeze informaţii
configurate NTP server, sa adăugeinformaţii noi, şi sa editeze sau sa
ştearga informaţiile existente.

Există şapte paşi pentru a adăuga un server NTP folosind Cisco SDM.

Pasul 1. Alegeţi Configure > Additional Tasks > Router Properties >
NTP/SNTP.. Panoul de NTP apare, afişand informaţii pentru toate serverele
configurate NTP.

Pasul 2. Pentru a adăuga un nou server NTP, faceţi clic pe Add. Apare
fereastra Add NTP Server Details.

Pasul 3. Adauga nume unui server NTP în cazul în care router-ul este
configurat să utilizeze un server Domain Name System (DNS), sau adresa
IP. Pentru a adăuga un server NTP prin adresa IP, introduceţi adresa IP în
câmpul de lângă NTP Server IP Address . În cazul în care organizaţia nu are
un server NTP, administratorul ar putea dori să utilizaţi un server public,
cum ar fi unul din lista de servere care pot fi găsite la
http://support.ntp.org/bin/view/Servers/WebHome .

Pasul 4. (Opţional) Din lista NTP Source Interface, alege interfata router-ului
utilizata pentru a comunica cu serverul NTP. NTP Sursa Interface este un
câmp opţional. Dacă acest câmp este lăsat necompletat, mesaje NTP sunt
trimise la cea mai apropiat interfaţă conform tabelului de rutare.
Pasul 5. Selectaţi Prefer dacă acest server NTP a fost desemnat ca un
server preferat NTP. Serverele NTP Preferate sunt contactate înainte de
servere nepreferate NTP. Nu poate fi mai mult de un server preferat NTP.
Pasul 6. Dacă serverul NTP foloseste autentificare, selectaţi autentificarea
cu cheie şi introduceţi numărul cheii şi valoarea cheii.
Pasul 7. Faceţi clic pe OK pentru a termina adăugarea server-ului

Routerele Cisco sunt iniţial desfăşurat cu multe servicii, care sunt activate
în mod implicit. Acest lucru se face pentru comoditate şi pentru a simplifica
procesul de configurare necesare pentru a obţine dispozitivul operaţional.
Cu toate acestea, unele dintre aceste servicii pot face dispozitivul
vulnerabile la atac, dacă securitatea nu este activata. Administratorii pot
permite, de asemenea, serviciile de pe routere Cisco, care pot expune
dispozitivul de risc semnificativ. Ambele scenarii trebuie să fie luate în
considerare atunci când securizarea reţelei.
De exemplu, Cisco Discovery Protocol (CDP) este un exemplu de un
serviciu care este activată implicit în routere Cisco. Acesta este utilizat în
principal pentru a obţine adresele de protocol al dispozitivelor Cisco vecine
şi de a descoperi platforme acestor dispozitive. Din păcate, un atacator pe
reţea poate utiliza CDP pentru a descoperi dispozitivele din reţeaua locală.
În plus, atacatorii nu au nevoie de CDP-activat pe dispozitive. Un software
disponibil, cum ar fi Cisco CDP Monitor, pot fi descărcate pentru a obţine
informaţii. Intenţia de CDP este de a face mai uşor pentru administratori sa
descoperi şi sa depaneze alte dispozitive Cisco pe reţea. Cu toate acestea,
din cauza implicaţiilor de securitate, folosirea de CDP ar trebui să fie
determinista. Deşi este un instrument extrem de util, aceasta nu ar trebui
să fie peste tot în reţea. Un exemplu sunt dispozitive Edge (de margine)
care ar trebui să aibă această caracteristică dezactivata
Atacatorii aleg servicii şi protocoale care face reţeaua mai vulnerabilla
În funcţie de nevoile de securitate ale unei organizaţii, multe dintre aceste
servicii ar trebui să fie dezactivate sau, cel puţin, limitate. Aceste
caracteristici variază de la protocoale proprietare Cisco, cum ar fi Cisco
Discovery Protocol (CDP), la protocoale de nivel global disponibile, cum ar
fi ICMP şi alte instrumente de scanare.

Unele dintre setările implicite în software-ul Cisco IOS sunt acolo pentru
motive istorice, au avut sens atunci când au fost aleşe, dar, probabil, ar fi
diferit dacă noi valori implicite ar fi fost alese astăzi. Alte default-uri au
sens pentru majoritatea sistemelor, dar poate crea expuneri de securitate,
dacă acestea sunt utilizate în dispozitivele care fac parte din perimetrul
retelei. Alte implicite sunt de fapt cerute de standarde, dar nu sunt
întotdeauna de dorit din punct de vedere al securităţii.

Multe dintre practici contribuie la asigurarea securizarii unui dispozitiv

Dezactivaţi servicii şi interfeţele inutile.
Dezactivaţi şi restrângeti configuratia uzuala de servicii de management,
cum ar fi SNMP.
Dezactivati sondajele şi scanarile, cum ar fi ICMP.
Asiguraţi-vă securitatea terminalelor de acces.
Dezactivează programele inutile şi proxy Address Resolution Protocol
(ARP).
Dezactivaţi IP-directed broadcasts
Pentru a asigura dispozitive de reţea, administratorii trebuie să stabilească
mai întâi că există vulnerabilităţi cu configuraţia curentă. Cel mai bun mod
de a realiza acest lucru este prin utilizarea unui instrument de audit de
securitate. Un instrument de audit de securitate efectuează verificări cu
privire la nivelul de securitate al unei configuraţii prin compararea că
configuraţia la setările recomandate de urmărire şi discrepanţe. După ce
vulnerabilitatile sunt identificate, administratorii de reţea trebuie să
modifice configurarea pentru a reduce sau elimina aceste vulnerabilitati şi
pentru a asigura dispozitivul de reţea.
Trei instrumente de audit de securitate disponibile includ:

Security Audit Wizard - caracteristică unui audit de securitate furnizata prin

intermediul Cisco SDM. Security Audit Wizard oferă o listă de vulnerabilităţi
şi apoi permite administratorului să aleagă care sunt potenţialele
modificări de securitate legate de configurare aplicate pe un router.
Cisco AutoSecure - un element de securitate de audit disponibil prin
intermediul Cisco IOS CLI. Comanda autosecure iniţiază un audit de
securitate şi apoi permite modificările de configuraţie. Bazat pe modul
selectat, modificările de configuraţie pot fi automate sau necesita
interventia manuala a administratorului de reţea.
One-Step Lockdown - caracteristică unui audit de securitate furnizate prin
intermediul Cisco SDM. Caracteristică One-Step Lockdown oferă o listă a
vulnerabilităţilor şi apoi face automat toate modificările recomandate de
securitate legate de configurare.
Ambele Security Audit Wizard şi Wizard One-Step Lockdown sunt bazate
pe caracteristica Autosecure Cisco IOS.
Security Audit Wizard

Security Audit Wizard testeaza configurarea router-ului pentru a determina

dacă există potenţiale probleme de securitate în configuraţie, şi prezintă
apoi un ecran care permite administratorului sa determine care dintre
aceste probleme de securitate pot fi remediate. În acest moment,
Securitate Expert Audit face modificările necesare pentru configurarea
router pentru a remedia aceste probleme.

Securitate Expert Audit compară o configuraţie router cu setările

recomandate şi efectuează următoarele:

Închide serverele care nu sunt necesare

Dezactivează servicii care nu sunt necesare.
Aplică firewall-uri pentru interfeţele exterioare.
Dezactivează sau întăreşte SNMP.
Închide interfeţe nefolosite.
Controaleaza puterea parolei
Impune utilizarea de ACL-uri.

Atunci când un audit de securitate este iniţiat, Security Audit Wizard

trebuie să ştie care interfeţe ale router-ului conecteaza reţeaua din
interiorul şi care conecta reţeaua în afara. Security Audit Wizard apoi
configuratia router-ului pentru a determina eventualele probleme de
securitate care pot exista. O fereastră arată toate opţiunile de configurare
testate şi dacă configuraţia curentă trece aceste teste.

Când este complet, audit de securitate identifică eventualele vulnerabilităţi

în configuraţia şi oferă o modalitate de a corecta aceste probleme. De
asemenea, oferă administratorului posibilitatea de a rezolva problemele în
mod automat, caz în care se determină comenzile necesare de configurare.
O descriere a problemelor specifice şi o listă a comenzilor Cisco IOS
folosesc pentru a corecta aceste probleme.

Înainte ca orice modificări decconfigurare sa fie făcute, se afişează o

pagină REZUMAT o listă cu toate modificările de configuraţie pe care audit
de securitate se va face. Administratorul trebuie să faca click pe Finish
pentru a trimite acele configuraţii la router.
Cisco AutoSecure

Lansat în versiunea 12.3 IOS, Cisco AutoSecure este o caracteristică care

este iniţiată de CLI si executa un script. AutoSecure face primul
recomandări pentru fixarea vulnerabilităţi de securitate şi apoi modifică
configuraţia de securitate a router-ului.

AutoSecure poate bloca funcţiile planului de management şi servicii de

expediere ale planul şi funcţiile unui router.

Planul de management este calea logică a traficului referitoare la

gestionarea unei platforme de rutare. Este folosit pentru a controla toate
celelalte funcţii de rutare şi de a gestiona un dispozitiv prin intermediul
unei conexiuni la reţea. Există mai multe servicii şi funcţii in planul de
management:
Secure BOOTP, CDP, FTP, TFTP, PAD, UDP, TCP şi servere mici, MOP,
ICMP (redirectări, masca-raspunsuri), sursa de rutare IP, Finger, criptare
parola, keepalives TCP, gratuit ARP, proxy ARP, si directed broadcast
notificare juridică folosind un banner
funcţii de login şi parola sigur
Secure NTP
Secure SSH acces
interceptarea serviciilor TCP
Planul de expediere este responsabil pentru transmiterea de pachete (sau
comutare de pachete), care este actul de a primi pachete cu privire la
interfeţele router-ului şi de a le trimite pe alte interfeţe.
Există trei servicii de transport şi funcţiile lor :
Enables CEF
Permite trafic de filtrare cu ACL-uri
Implementează Cisco IOS inspecţie firewall pentru protocoale comune

AutoSecure este adesea folosit în domeniu pentru a oferi o politică de

securitate de bază pe un router nou. Caracteristici pot fi apoi modificat
pentru a sprijini politica de securitate a organizaţiei
.
Utilizaţi comanda auto secure pentru a permite configurarea caracteristicii
Cisco AutoSecure. Această configurare poate fi interactiva sau non-
interactiva.

auto secure [no-interact]

În modul interactiv, router-ul solicită opţiuni pentru a activa şi dezactiva

servicii şi alte caracteristici de securitate. Acesta este modul implicit, dar
poate fi, de asemenea, configurat folosind comanda auto secure full.
Modul non-interactiv este similar SDM Security Audit one-step lockdown ,
deoarece executa automat comanda Cisco AutoSecure cu setările implicite
recomandate Cisco. Acest mod este activat cu ajutorul comenzii auto
secure no-interact din privilegiate EXEC.
Comanda auto secure poate fi introduse, de asemenea, cu cuvinte cheie
pentru a configura componentele specifice, cum ar fi planul de
management şi planul de expediere
În cazul în care comanda auto secure este iniţiata, un wizard va configura
dispozitivul. Introducerea user-ului este necesară. În cazul în care expertul
este complet, se afişează o configuraţie care rulează toate setările de
configurare şi schimbări.
Cisco One-Step Lockdown

Cisco One-Step Lockdown testeaza o configuraţie de router pentru orice

potenţiale probleme de securitate şi face în mod automat modificările de
configurare necesare pentru a corecta orice probleme.
Cisco One-Step Lockdown dezactivează:

serviciu Finger
serviciu PAD
servicii de servere mici TCP
servicii de servere mici UDP
servere de serviciu IP BOOTP
serviciul de identificare IP
Cisco Discovery Protocol
traseu IP sursă
IP GARPs
SNMP
IP redirecturile
IP proxy ARP
IP directed broadcast
serviciu MOP
IP unreachables
masca răspuns IP
unreachables IP pe interfete nule

Cisco One-Step Lockdown Permite:

serviciu de criptare Parola

keepalives TCP pentru sesiuni Telnet inbound şi outbound
Numere de secvenţă şi marcajele de timp pe debugs
IP Cisco Express Activează NetFlow de expediere de comutare
Transmiterea Unicast Reverse Path (RPF), pe interfeţe în afara
Firewall pe toate interfeţele în afara
SSH pentru conexiuni de acces la router
AAA

Setari Cisco One-Step Lockdown:

Lungimea minimă a parolei şase caractere

Autentificarea ratei de esecuri la mai puţin de trei reîncercãri
timpul TCP synwait
Notificarea banner
Parametri de jurnalizare
Activarea parolei secret
Scheduler intervalul
Scheduler alocarea
Utilizatori
setările Telnet
Clasa de acces la serviciul server HTTP
Clasa de acces la linii de vty

Decide care caracteristica lockdown automatizata sa fie utilizata,

AutoSecure sau SDM Audit de securitate cu un singur pas Lockdown, este
de fapt o chestiune de preferinţă. Există diferenţe în modul în care acestea
pun în aplicare bune practici de securitate.

Cisco SDM nu pună în aplicare toate caracteristicile Cisco AutoSecure.

Deoarece Cisco SDM versiunea 2.4, următoarele caracteristici AutoSecure
nu fac parte din Cisco SDM lockdown cu un singur pas:
Dezactivarea NTP - pe baza de intrare, Cisco dezactivează AutoSecure NTP
în cazul în care nu este necesar. În caz contrar, NTP este configurat cu
autentificare MD5. Cisco SDM nu are suport pentru dezactivarea NTP.
Configurarea AAA - În cazul în care serviciul AAA nu este configurat, Cisco
AutoSecure configurează locale AAA şi solicită pentru configurarea unei
baze de date şi nume de utilizator local parola pe router. Cisco SDM nu are
suport pentru AAA configurare.
Setarea selectivă a valorilor Packet Discard (SPD) - Cisco SDM nu
stabileşte valori SPD.
Activarea interceptarile TCP - Cisco SDM nu permite interceptarea TCP
Configurarea ACL-uri antispoofing pe interfeţele de iesire - Cisco
AutoSecure creează trei liste nominale de acces pentru a preveni
antispoofing adreselor sursă. Cisco SDM nu configurează aceste ACL-uri.

Următoarele caracteristici Cisco AutoSecure sunt puse în aplicare în mod

diferit în Cisco SDM:

Activează SSH pentru accesul pe router - Cisco SDM permite şi

configurează SSH pe Cisco IOS imagini care au caracteristica de IPsec set,
însă, spre deosebire de AutoSecure Cisco, Cisco SDM nu permite Secure
Copy Protocol (SCP) sau dezactiva accesul şi alte servicii de transfer de
fişiere , cum ar fi FTP.
Dezactivează SNMP - Cisco SDM dezactivează SNMP; cu toate acestea,
spre deosebire de AutoSecure Cisco, Cisco SDM nu oferă o opţiune pentru
configurarea SNMPv3. Opţiunea SNMPv3 nu este disponibilă pe toate
routerele.
Indiferent care facilitate automatizata este preferata, ar trebui să fie folosit
ca o bază şi apoi modificat pentru a satisface nevoile organizaţiei.