CCNA Security kapitel 2 Securing Network Devices
Agenda 2.1 Sikring af enhedsadgang 2.2 Tildeling af administrative roller/adgang 2.3 Overvågning og styring af enheder 2.4 Brug automatiseret sikkerhedsfunktioner
2.1 Sikring af enhedsadgang
Cisco Integrated Services Routers G2 Cisco har en ny serie af 2. generation routers. G2 ISRs indeholder Gigabit Ethernet interfaces. http://www.cisco.com/en/us/products/ps10906/products_sub_category_home.html#
Håndhævelse perimeter sikkerhedspolitik Routers beskytter netværks perimeter (kanten). Scenario 1: Router beskytter LAN. Internet Router 1 (R1) LAN 1 192.168.2.0 Scenario 1 Scenario 2: Router skærmer trafik før en firewall (PIX/ASA). Internet R1 Firewall LAN 1 192.168.2.0 Scenario 2 Scenario 3: Zonen direkte forbundet til firewall kaldes en DMZ. Internet-tilgængelige servere er placeret i DMZ. Internet R1 Firewall DMZ Scenario 3 R2 LAN 1 192.168.2.0
Tre områder af router sikkerhed Router hardening Sikker administrativ kontrol autoriserede personer har adgang, og at deres niveau af adgangen er kontrolleret. Deaktivere ubrugte porte og interfaces. Fysisk sikkerhed Sikker infrastruktur udstyr i et aflåst rum som: Kun er tilgængelige for autoriseret personale. Er fri for elektrostatisk eller magnetisk interferens. Har brandslukningssystem. Har kontrol med temperatur og fugtighed. Installer et nødstrømsforsyning (UPS) Anbefalet sikkerhed praksis forhindrer angribere i at udføre password recovery Operativ system Konfigurere routeren med den maksimale muligt mængde hukommelse. Hjælper med at beskytte imod DoS angeb Brug den seneste stabile version af OS Kopi af OS image og router konfiguration backup
Sikker administrative adgang Begræns enheds tilgængelighed Begræns de tilgængelige porte, begræns antallet af tilladte kommunikatører og begræns de tilladte metoder til adgang. Log og account for al adgang Henblik på revision, optag alle, der får adgang til en enhed, herunder hvad der sker, og hvornår. Godkend adgang Sørg for, at der kun gives adgang til godkendte brugere, grupper og tjenester. Begræns antallet af mislykkede login-forsøg og tiden mellem logins. Godkend handlinger Begrænse handlinger og views tilladt af bestemt bruger, gruppe eller tjeneste. Husk juridisk meddelelse (ved login og MOTD) Vis en juridiske meddelelse, der er udviklet i samarbejde med selskabets juridiske rådgivere, for interaktive sessioner. Sikre fortroligheden af data Beskyt lokalt følsomme data fra at blive set og kopieret. Overvej sårbarhed hos data i transit over en kommunikationskanal ifht sniffing, sessionskapring, og man-i-the-middle (MITM) angreb.
2.2 Tildeling af administrative roller/adgang
Password At stjæle passwords, hackere Se over skulder, gæt personlig information, Sniff TFTP pakker pws i plaintext, brute force attack L0phtCrack/Cain & Abel Stærke passwords Minus dictionary words Lav passwords kompleks ved at inkludere en blanding af store og små bogstaver, tal, symboler og mellemrum, 10 karakter Implementer politik til ændring at PWS Stærke adgangskoder er det primære forsvar mod uautoriseret adgang til en router!
Cisco router passwords Minimum pws længde: security passwords min-length Eksisterende router passwords er upåvirkede Deaktiver uovervåget tilslutninger: exec-timeout min sek [lab 0 0]. Krypter alle pws i run-config: services password-encryption Lokal database passwords username name password {[0] password 7 hidden-password} username name secret {[0] password encrypted-secret} Brug MD5 hashing for en stærk beskyttelse med adgangskode. Mere sikker end type 7 kryptering http://www.ibeast.com/content/tools/ciscopassword/index.asp (pws næste slide) username admin secret Admin01pa55 secret = MD5
Sikring af lokal databaase passwords security passwords min-length R1# conf t R1(config)# username JR-ADMIN password letmein % Password too short - must be at least 10 characters. Password configuration failed R1(config)# username JR-ADMIN password cisco12345 R1(config)# username ADMIN secret cisco54321 R1(config)# line con 0 R1(config-line)# login local R1# show run include username username JR-ADMIN password 7 060506324F41584B564347 username ADMIN secret 5 $1$G3oQ$hEvsd5iz76WJuSJvtzs8I0 R1# R1 con0 is now available Press RETURN to get started. User Access Verification Username: ADMIN Password: R1>
Sikring at virtuelle logins R1# configure terminal R1(config)# username ADMIN secret cisco54321 R1(config)# line vty 0 4 R1(config-line)# login local R1(config)# exit R1(config)# login block-for 120 attempts 5 within 60 R1(config)# ip access-list standard PERMIT-ADMIN R1(config-std-nacl)# remark Permit only Administrative hosts R1(config-std-nacl)# permit 192.168.10.10 R1(config-std-nacl)# permit 192.168.11.10 R1(config-std-nacl)# exit R1(config)# login quiet-mode access-class PERMIT-ADMIN R1(config)# login delay 10 R1(config)# login on-success log R1(config)# login on-failure log R1(config)# exit R1# show login failures Total failed logins: 22 Detailed information about last 50 failures Hvis 5 loginfejl forekommer inden for 60 sekunder, vil alle logins bliver deaktiveret i 120 sekunder (blokerer dictionary attack) Mislykkede login forsøg "quiet mode". routeren blokere alle login-forsøg, indtil timeren udløber. Gælder ikke ACL PERMIT-ADMIN R1# show login A login delay of 10 seconds is applied. Quiet-Mode access list PERMIT-ADMIN is applied. Router enabled to watch for login Attacks. If more than 5 login failures occur in 60 seconds or less, logins will be disabled for 120 seconds. Username SourceIPAddr lport Count TimeStamp admin 1.1.2.1 23 5 15:38:54 UTC Wed Dec 10 2011 Admin 10.10.10.10 23 13 15:58:43 UTC Wed Dec 10 2011 R1# Router presently in Normal-Mode. Current Watch Window Time remaining: 5 seconds. Login failures for current window: 4. Total login failures: 4.
Sniffing Telnet Password Husk at benytte Wireshark når i arbejder med labs
Konfiguration af SSH Angriberen vil kun se TCP og SSH pakker der ubrugelige krypterede oplysninger
Konfiguration af SSH R1# show ip ssh SSH Enabled - version 1.99 Authentication timeout: 120 secs; Authentication retries: 3 R1# R1# conf t VALGFRIT Enter configuration commands, one per line. End with CNTL/Z. R1(config)# ip ssh version 2 R1(config)# ip ssh authentication-retries 2 R1(config)# ip ssh time-out 60 R1(config)# ^Z R1# R1# show ip ssh SSH Enabled - version 2.0 Authentication timeout: 60 secs; Authentication retries: 2 R1# Cisco IOS Release 12.1(1)T og senere <-> SSHv1. Cisco IOS Release 12.3(4)T og senere <->SSHv1 og SSHv2 Standard 3 logningførsøg (authentication-retries) Standard tidsinterval, routeren vil vente på SSH-klient reagere i SSH forhandlingsfasen er 60 sekunder. (ssh time-out) Step 1: Konfiguration af IP domain name. Step 2: Generer one-way secret RSA keys. Step 3: Opret lokal database username post. Step 4: Aktiver VTY indgående for SSH sessions. R1# conf t R1(config)# ip domain-name span.com R1(config)# crypto key generate rsa general-keys modulus 1024 The name for the keys will be: R1.span.com % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable...[ok] R1(config)# *Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled R1(config)# username Bob secret cisco R1(config)# line vty 0 4 R1(config-line)# login local R1(config-line)# transport input ssh R1(config-line)# exit
Router til router SSH DEMO CCP/CLI R1(config)# ip domain-name span.com R1(config)# crypto key generate rsa general-keys modulus 512 eller 1024... R1(config)# username cisco secret ciscodisco R1(config)# line vty 0 4 R1(config-line)# login local R1(config-line)# transport input ssh R1(config-line)# exit 1... Evt. R1(config)# ip ssh version 2 R1(config)# ip ssh authentication-retries 2 R1(config)# ip ssh time-out 60 R1# sho ssh %No SSHv2 server connections running. %No SSHv1 server connections running. R1# 2 R2# ssh -l cisco 192.168.2.101 Password: R1> 3 R1# sho ssh Connection Version Mode Encryption Hmac State Username 0 2.0 IN aes128-cbc hmac-sha1 Session started cisco 0 2.0 OUT aes128-cbc hmac-sha1 Session started cisco %No SSHv1 server connections running. R1# 4
Host til router SSH (router access VTY)
Spørgsmål Bør alle i en IT-afdeling har samme adgang til infrastrukturen i et netværk (routere, switches, AP,...)? Nej! Konfigurer enten: Privilege levels Role-Based CLI Privilege Levels Forskellige rettigheder
Privilege Levels Rettigheder for netværkssikkerhedsoperatører og en WAN ingeniør behøver ikke være ens. Cisco routere giver mulighed for konfiguration på forskellige privilegiums niveauer. Forskellige passwords kan konfigureres til at styre, hvem der har adgang til de forskellige privilegium niveauer. Der er 16 privilegium niveauer. Niveauer 2 til 14 kan konfigureres. Læs dokumentet..\noter\kap2\privilege Levels.docx
Router Privilege Levels DEMO I dette eksempel blever fire brugerkonti oprettet. En brugerkonto med normal niveau 1 adgang. En support-konto med niveau 1 og ping-kommandoen adgang. En JR-ADMIN konto med de samme privilegier som SUPPORT konto plus adgang til reload kommando. En admin konto, der har alle de almindelige privilegerede EXEC kommandoer. R1# conf t R1(config)# username USER privilege 1 secret cisco R1(config)# R1(config)# privilege exec level 5 ping R1(config)# enable secret level 5 cisco5 R1(config)# username SUPPORT privilege 5 secret cisco5 R1(config)# R1(config)# privilege exec level 10 reload R1(config)# enable secret level 10 cisco10 R1(config)# username JR-ADMIN privilege 10 secret cisco10 R1(config)# R1(config)# username ADMIN privilege 15 secret cisco123 R1(config)#
Router Privilege Levels DEMO Administratoren tester kontoer, logger på som niveau 1 bruger ping-kommandoen som normalt er tilgængelig fra niveau 1 er ikke længere tilgængelig R1> enable 5 Password:<cisco5> R1# R1# show privilege Current privilege level is 5 R1# R1# ping 10.10.10.1 Verificerer Level 5 adgang R1# enable 10 Password:<cisco10> R1# show privilege Current privilege level is 10 R1# ping 10.10.10.1 User Access Verification Username: user Password: <cisco> R1> show privilege Current privilege level is 1 R1# ping 10.10.10.1 ^ % Invalid input detected at '^' marker. Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.10.1, Type timeout escape is sequence 2 seconds: to abort.!!!!! Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds: Success rate is 100 percent (5/5), round-trip!!!!! min/avg/max = 1/2/4 ms R1# Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms R1# reload R1# reload Translating "reload" System configuration has been modified. Save? [yes/no]: ^C R1# show running-config Translating "reload" ^ % Unknown command or computer name, or unable % to Invalid find computer input detected address at '^' marker. R1# R1# Verificerer Level 10 adgang. Herefter kontroller om alle kommandoer er tilgængelige fra level 15 R1> R1# enable 15 Password: <cisco123>
Privilege Level begrænsninger Ingen adgangskontrol til specifikke interfaces, porte, logiske interfaces og slots på en router. Kommandoer der er tilgængelige på lavere privilegium niveauer er altid eksekverbare på højere niveauer. Kommandoer der specifikt er fastsat på et højere privilegium niveau er ikke tilgængelige for lavere privilegerede brugere. Tildeling af en kommando med flere keywords til et bestemt privilegium niveau tildeler også alle kommandoer, der er forbundet med den første keyword til det samme privilegium niveau. Eksempel show ip route kommandoen Hvis en administrator har behov for at oprette en brugerkonto, der har adgang til de fleste, men ikke alle kommandoer skal privilegium Exec udsagnet konfigureres for hver kommando, der skal udføres på et privilegium niveau lavere end 15. Dette kan være en kedelig proces.
Role-Based CLI overblik root view superview CLI view Privilege niveauer og enable mode passwords giver ikke den nødvendige detaljeringsgrad som er nødvendig, når man arbejder med Cisco IOS routere og switche. Role-Based CLI gør det muligt for administratoren at definere "views". Views er et sæt af operative kommandoer og konfiguration kapaciteter, der giver selektiv eller delvis adgang til Cisco IOS EXEC og konfigurations mode kommandoer. Views begrænser brugerens adgang til Cisco IOS CLI og konfigurationsinformationer, et view definere, hvilke kommandoer der er accepteret og hvilke konfigurationsinformationer der er synlig
Root View Root View er et krav for at definerer views og superviews. Views indeholder kommandoer. En kommando kan vises i mere end én view. Root view er det højeste administrative view. Oprettelse og ændring af en views eller 'Superview "er kun mulig fra root view. Forskellen mellem root view og privilegium level 15 er, at kun en root view bruger kan oprette eller ændre views og superviews Role-Based CLI views krav AAA new-model Secret pws tildeles view, hvis AAA er aktiveret Læs..\Noter\Kap2\Getting Started with Role-Based CLI.docx
Role-Based CLI DEMO CLI view FIRST oprettes og konfigureres til at medtage kommandoerne show version, configure terminal, og alle kommandoer startende med show ip R1(config)# aaa new-model R1(config)# exit R1# enable view %PARSER-6-VIEW_SWITCH: successfully set to view root. R1# configure terminal R1(config)# parser view FIRST %PARSER-6-VIEW_CREATED:view FIRST successfully created. R1(config-view)# secret firstpass R1(config-view)# command exec include show version R1(config-view)# command exec include configure terminal R1(config-view)# command exec include all show ip R1(config-view)# exit Tildel view til bruger R1# config t R1(config)# username cisco view FIRST password ciscodisco Verificer: (enable og exit er med i alle views R1> enable view FIRST Password: %PARSER-6-VIEW_SWITCH:successfully set to view FIRST'. R1#? Exec commands: configure Enter configuration mode enable Turn on privileged commands exit Exit from the EXEC show Show running system information R1# show? ip parser (altid) version R1# show ip? access-lists accounting --More-- IP information Display parser information System HW and SW status List IP access lists The active IP accounting
SuperViews Superviews indeholder views, men ikke kommandoer For eksempel kan både Superview 1 og Superview 2 omfatte CLI View 4 Hver Superview har et password, der bruges til at skifte mellem superviews eller til/fra en CLI view til Superview Hvis et Superview slettes, slettes CLI views forbundet med Superview ikke Læs..\Configure a Superview.docx
Resilient konfiguration Hvis en router er kompromitteret, er der en risiko for, at konfiguration og operativsystem image kan slettes. Availability threat (downtime) Behov for at sikre det primære bootset. Konfigurationsfilen og kører IOS Cisco IOS Resilient konfiguration giver mulighed for at en router kan sikre og opretholde en fungerende kopi af kørende image og konfigurationsfiler. Fremskynder recovery. Filer gemmes lokalt. Funktion kan deaktiveres via en konsol-session. (Image kan også kopieres til en anden enhed med af Secure Copy (SCP) kap 9.)
Sikring konfiguration filer For at aktivere Cisco IOS image resilience, bruge kommandoen: For at gemme en sikker kopi af det primære bootset som persistent lagring, brug kommandoen: R1# show secure bootset vertificering IOS resilience router id JMX0704L5GH IOS image resilience version 12.3 activated at 08:16:51 UTC Sun Jun 16 2005 Secure archive slot0:c3745-js2-mz type is image (elf) [] file size is 25469248 bytes, run size is 25634900 bytes Runnable image, entry point 0x80008000, run from ram IOS configuration resilience version 12.3 activated at 08:17:02 UTC Sun Jun 16 2002 Secure archive slot0:.runcfg-20020616-081702.ar type is config configuration archive size 1059 bytes..\secure Configuration Files Recovery.docx og..\noter\kap2\ios Resilient Configuration.pdf
Password Recovery (fysisk adgang) I tilfælde af, at en router er kompromitteret (eller glemt password), skal en administrator forstå password recovery.
no password-recovery kommando no service password-recovery deaktivere BREAK sekvens Kommandoen er en skjult Cisco IOS kommando ADVARSEL: Al adgang til rommon bliver deaktiveret. Reparation nyt Cisco IOS image på Flash SIMM eller returnere routeren til Cisco. BENYT IKKE DENNE KOMMADO I VORE LAB!!! MUUUHHAAA høre du efter Frederik R1(config)# no service password-recovery WARNING: Executing this command will disable password recovery mechanism. Do not execute this command without another plan for password recovery. Are you sure you want to continue? [yes/no]: yes R1(config) R1# sho run Building configuration... Current configuration : 836 bytes! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption no service password-recovery System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 2006 by cisco Systems, Inc. PLD version 0x10 GIO ASIC version 0x127 c1841 platform with 131072 Kbytes of main memory Main memory is configured to 64 bit mode with parity disabled PASSWORD RECOVERY FUNCTIONALITY IS DISABLED program load complete, entry point: 0x8000f000, size: 0xcb80
Sikring af management og rapportering funktioner
Informations stier Informationsstrømmen mellem management hosts og de managed enheder kan tage to veje Out of Band (OOB): Informationsstrømmene flows i netværk, der er ingen produktion trafik. In-Band: Informationsstrømmene flows på tværs af virksomheden produktion netværk eller internettet (eller begge).
Logning management overvejelser In-band management Hvilke management protokoller understøtter enheder? Er SNMP nødvendigt? Hvilke er de vigtigste logs? Hvordan adskilles vigtige meddelelser fra rutinemæssige meddelelser? Hvordan kan du forhindre manipulation med logfiler? Hvordan kan du sørge for tidsstempler passer? Hvilke log data er nødvendige i en strafferetlige efterforskning? Hvordan kan du håndtere mængden af log-meddelelser? Hvordan håndterer du alle enheder? Hvordan kan du spore ændringer, når angreb eller netværk fejl opstår?
Management guidelines In-Band Gælder kun for enheder, der kræver at blive management eller overvåget. Brug IPsec når muligt -> krypter alt management trafik. Brug SSH eller SSL i stedet for Telnet. Beslut, om management kanal skal være åben på alle tidspunkter. Hold ure på værter og netværksenheder synkroniseret. Optag/gem ændringer og akive konfigurationer Out of Band Give højeste niveau af sikkerhed og mindsker risikoen med at overføre usikre management protokoller over produktion netværket Hold ure på værter og netværksenheder synkroniseret. Optag/gem ændringer og akive konfigurationer.
Implementering Log Messaging for sikkerhed Routere skal konfigureres til at sende log beskeder til en eller flere af disse: Console Terminal lines Memory buffer SNMP Server Syslog Server
Logning destinationer Logging til console. Logging til VTY. Logging til Syslog Server. Logging til intern buffer. Mest overhead Mindst overhead To komponenter af SysLog systemer Syslog server: en hosts, der accepterer og behandler log-beskeder fra én eller flere syslog klienter Syslog klient: En hosts, der genererer logmeddelelser og videresender dem til en syslog server. Routere, switches, pixs, ASA, APs, servere,...
Syslog Error Message Levels Højeste level Laveste level Som standard er Severity niveau 7 (debugging) meddelelser sendt til routerens konsol-port (line con0).
Log besked format Tidsstempel Besked Oct 29 10:00:01 EST: %SYS-5-CONFIG_I: Configured from console by vty0 (10.2.2.6) Log beskedsnavn og Severity Level Bemærk: logmeddelelse navn ikke er det samme som en severity level navn
SysLog DEMO Installer Kiwi syslog Konfigurer destination logning host. Konfigurer log severity (trap) level Eksempel (int fa0/0) R3(config)# logging 10.2.2.6 R3(config)# logging trap informational! Specifies that syslog packets contain the IP or IPv6 address of a particular interface,!regardless of which interface the packet uses to exit the router R3(config)# logging source-interface loopback 0 R3(config)# logging on
Andet logging Telnet terminal monitor Det anbefales at etablere to VTY sessions: Én til visning event rapportering af data. Den anden for kommando udførelse. Hvorfor Når terminal monitoring er aktiveret, kan det ikke deaktiveres på VTY sessionen En stor mængde af log data kan generes, tilslører VTY sessionen med logning output kan gøre det vanskeligt at konfigurerer Konsol logging synchronous Logging i CCP (Configure > Router > Logging)
Konfiguration af NTP Time has been invented in the universe so that everything would not happen at once. NTP FAQ og HOWTO - http://www.ntp.org/ntpfaq Mange funktioner i et computernetværk afhænger tidssynkronisering For nøjagtig tidsinformation i syslog-meddelelser. Certifikat-baseret godkendelse i VPN. ACL med tidsinterval konfiguration.
System Clock Hjertet af routerens tidstjeneste er et software-baseret system ur. Dette ur holder styr på tiden fra det øjeblik systemet starter Når en router med en system-kalender er initialiseret eller genstartet, er systemet ur indstillet baseret på den tid der er i det interne batteri-drevne system, kalender. Systemuret kan derefter konfigureres: Manuelt med set clock Automatisk ved hjælp af Network Time Protocol (NTP). NTP er en Internet protokol, der bruges til at synkronisere ure af netværkstilsluttede enheder til en tid reference (zone).
NTP NTP er designet til tidssynkronisere et netværk (benytter UDP) Et NTP netværk henter normalt tiden fra en autoritativ tid kilde, såsom et radiour eller et atomur. NTP fordeler så denne tid på tværs af netværket. NTP er yderst effektiv, ikke mere end en pakke pr minut er nødvendigt at synkronisere to maskiner inden for 1 msek. Master: For at konfigurere en router som den autoritative tidskilde benyt ntp master kommando i global konfiguration mode. Client (2 måder): Opret en associering til en server ved hjælp af ntp server kommando Konfigurere routeren til at lytte til NTP broadcastpakker ntp broadcast client kommando
NTP sikkerhed To mekanismer er til rådighed: ACL-baserede begrænsning Krypteret godkendelse
NTP DEMO R1 sh clock clock set ntp master R2 sh clock ntp server 192.168.1.1 Eksempel 209.165.201.1 209.165.200.225 Fa0/0 Fa0/1 R1 Internet R2 R3 Verdens NTP-servere indgår i et globalt netværk, et hierarki. stratum-0-ure (atomure) stratum-1 servere R1(config)# ntp master 5 stratum R1(config)# ntp authentication-key 1 md5 R1-SECRET R1(config)# ntp peer 209.165.200.225 key 1 R2(config)# ntp authentication-key 1 md5 R1-SECRET R2(config)# ntp authentication-key 2 md5 R2-SECRET R2(config)# ntp trusted-key 1 R2(config)# ntp server 209.165.201.1 R2(config)# interface Fastethernet0/0 R2(config-if)# ntp broadcast R3(config)# ntp authentication-key 1 md5 R2-SECRET R3(config)# ntp trusted-key 1 R3(config)# interface Fastethernet0/1 R3(config-if)# ntp broadcast client
Deaktivering ubrugte router netværks services og interfaces Vulnerable Router Services (fra cisco.com) Medium size and large networks typically use a firewall appliance (PIX / ASA) behind the perimeter router, which adds security features and performs user authentication and more advanced packet filtering. Firewall installations also facilitate the creation of Demilitarized Zones (DMZs), where the firewall places hosts that are commonly accessed from the Internet. As an alternative, Cisco IOS software can incorporate many firewall features in the perimeter router. Option is valid only for small-to-medium business perimeter security requirements. However, Cisco IOS routers run many services that create potential vulnerabilities. To secure an enterprise network, all unneeded router services and interfaces must be disabled.
Unødvendige services
Almindeligt konfigurerede Management Services
Sti integritetsmekanismerne
Probe og scan
Terminal Access /ARP Service Router(config)# no ip bootp server Router(config)# no cdp run Router(config)# no ip source-route Router(config)# no ip classless Router(config)# no service tcp-small-servers Router(config)# no service udp-small-servers Router(config)# no ip finger Router(config)# no service finger Router(config)# no ip http server Router(config)# no ip name-server Router(config)# no boot network Router(config)# no service config Fra Cisco.com TCP keepalives are disabled by default but should be enabled globally to prevent certain DoS attacks.
Beskyt routingstabellen, passive interfaces samt Router Hardening overvejelser. Små netværk Benyt kun statiske router Store netværk Autentificere rute table opdateringer Passive Interfaces Pr interface Under routingsprotokol Router Hardening Hackere kan udnytte ubrugte router-services og interfaces. Administratorer behøver ikke at vide, hvordan en hacker exploit tjenester, men adm. skal vide, hvordan de deaktiveres. Det er trættende at deaktivere tjenester individuelt. Der er behov for en automatiseret metode til at fremskynde hardening.
Locking Down Router med AutoSecure AutoSecure tillader to driftsformer: Interactive mode: Prompts dig vælge den måde, du ønsker at konfigurere router og andre sikkerhedsrelaterede funktioner. Noninteractive mode: Konfigurerer sikkerhedsrelaterede funktioner på din router baseret på et sæt af Cisco defaults.
AutoSecure DEMO gem ikke Konfigurer auto secure på R2 CBAC security banner enable secret password MKC viser CCP One-Step Lockdown SSH adgang Password encryption service FW på alle outside interfaces CCP Security Audit Fix-it check boxes Identificer interfaces Router# auto secure --- AutoSecure Configuration --- *** AutoSecure configuration enhances the security of the router but it will not make router absolutely secure from all security attacks *** All the configuration done as part of AutoSecure will be shown here. For more details of why and how this configuration is useful, and any possible side effects, please refer to Cisco documentation of AutoSecure. At any prompt you may enter '?' for help. Use ctrl-c to abort this session at any prompt. Gathering information about the router for AutoSecure Is this router connected to internet? [no]: y Enter the number of interfaces facing internet [1]: 1 Interface IP-Address OK? Method Status Protocol Ethernet0/0 10.0.2.2 YES NVRAM up up Ethernet0/1 172.30.2.2 YES NVRAM up up Enter the interface name that is facing internet: Ethernet0/1 Wizard sammenligner en router konfiguration imod anbefalede indstillinger. Auto secure = SDM One-Step Lockdown
Lab 2A: Securing the Router for Administrative Access Part 1: Basic Network Device Configuration Part 2: Control Administrative Access for Routers Configure and encrypt all passwords. Configure a login warning banner. Configure enhanced username password security. Configure enhanced virtual login security. Configure an SSH server on a router. Configure an SSH client and verify connectivity. Part 3: Configure Administrative Roles Create multiple role views and grant varying privileges. Verify and contrast views. Part 4: Configure Cisco IOS Resilience and Management Reporting Secure the Cisco IOS image and configuration files. Configure a router as a synchronized time source for other devices using NTP. Configure Syslog support on a router. Install a Syslog server on a PC and enable it. Configure trap reporting on a router using SNMP. Make changes to the router and monitor syslog results on the PC. Part 5: Configure Automated Security Features Lock down a router using AutoSecure and verify the configuration. Use the CCP Security Audit tool to identify vulnerabilities and to lock down services. Contrast the AutoSecure configuration with CCP.