Базовые настройки безопасности Cisco

При настройке сетевого оборудования Cisco углубляюсь в процессы коммутации и маршрузтизации администраторы часто забывают доконфигурировать параметры безопасности. Однако, этот встроенный функционал весьма полезен и обеспечивает хоть и базовый но все таки необходимый уровень безопасности. Сегодня в публикации мы кратко опишем встроенные команды и общие советы по управлению безопасностью.

И так, давай начнем с удаленного доступа, а именно подключение по SSH.
!Никогда не используйте устаревший протокол Telnet

Включить-настроить ssh, отключить телнет

• Войдите в режим конфигурации

1 2 3 router>enable router#configure terminal Enter configuration commands, one per line. End with CNTL/Z.

• Назначьте имя конфигурируемому устройству

1 router(config)#hostname SSH_ROUTER

• Создайте хотя бы один пользоватльский и/или администраторский аккаунт

1 SSH_ROUTER(config)#username cisco priv 15 secret cisco

• Назначьте устройству имя доменной группы

1 SSH_ROUTER(config)#ip domain-name company.local

• Сгенерируйте RSA ключ

1 2 3 4 5 6 SSH_ROUTER(config)#crypto key generate rsa general modul 1024 The name for the keys will be: SSH_ROUTER.company.local % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] SSH_ROUTER(config)# *Mar 1 00:02:20.251: %SSH-5-ENABLED: SSH 1.99 has been enabled

• Сконфигурируйте версию, таймаут, логирование и кол-во попыток авторизации

1 2 3 4 SSH_ROUTER(config)#ip ssh version 2 SSH_ROUTER(config)#ip ssh time-out 60 SSH_ROUTER(config)#ip ssh logging events SSH_ROUTER(config)#ip ssh authentication-retries 3

• Включите SSH на нужных VTY

1 2 SSH_ROUTER(config)#line vty 0 4 SSH_ROUTER(config-line)#transport input ssh

Вторым шагом можно обеспечить определенный уровень безопасности на vty, auxiliary и console lines выполнив следующие рекомендации:

Timeout (session, exec) - время, через которое администратор будет "выкинут" через заданное время неактивности. На Console такое таймаут по умолчанию выключен, - это небезопасно. В большинстве случаев 10-15 минут - это вполне приемлимое значение для этого параметра.

1 2 Router(config-line)# session-timeout <minutes> Router(config-line)# exec-timeout <minutes> [seconds]

Port Speed - скорость консольного порта (т.н. baud rate) может быть увеличена до максимального поддерживаемого значения, по умолчанию значение равно 9600bps и может быть увеличено до 115200bps. 

1 Router(config-line)# speed 115200

Hung session - зависшие сессии можно система может выявить и и закрыть с помощью сервиса 

1 Router(config)# service tcp-keepalives-in

Session Limit - определяет как много sshv2, telnet (или обоих) сессий может быть активно одновременно. По умолчанию этот параметр равен 32, и может быть уменьшен до более практичного с точки зрения безопасности значения 5-10.

1 Router(config-line)#session-limit 10

Access-List - списки доступа должны быть применены на vty, aux и con порты для обеспечения безопасности путем органичения доступа по таким условиям как отправитель или получатель, административно авторизованные к управлению или настройке устройства. Также хорошей идеей было бы включить логирование подобного доступа в соответствующих списках доступа с помощью ключевого слова log.

1 2 3 4 access-list <xACL#> deny ip any any log-input ! line vty 0 4 access-class <ACL#> in

Общая безопасность

Cisco IOS предлагает ряд функций по улучшению общего уровня безопасности устройства:

Минимальная длина пароля:

1 Router(config)# security passwords min-length length

Частота попыток авторизации - задает интервал между попытками авторизации в секундах {sec}.

1 Router(config)# login delay <seconds>

Временная блокировка после определенного кол-ва неудачных попыток авторизации с белым листом - полностью выключает возможность авторизации на устройстве на заданное кол-во времени {sec1} после определенного кол-ва {num} неудачных попыток в течение взятого промежутка времени {sec2}, ip адреса обозначенные в соответствующем списке доступа 10 - в "белом листе" и имеют право авторизации даже при блокировке.

1 2 3 Router(config)# access-list 10 permit host 172.26.150.206 Router(config)# login block-for 100 attempts 15 within 100 Router(config)# login quiet-mode access-class 10

Логирование удачных и неудачных попыток авторизации:

1 2 Router(config)#login on-failure log every {num} Router(config)#login on-success log every {num}

Отключаем не нужные Сервисы

Подумайте, нужны ли вам сервисы, работающие на устройстве такие как:

Cisco Discovery Protocol (CDP) - думаю, объяснять, что такое CDP не нужно.

Выключить глобально:

1 no cdp run

Выключить на интерфейсе:

1 2 interface X/X no cdp enable

Directed Broadcast - пакет ip directed broadcast имеет своим destination валидный broadcast адрес. когда подобный пакет приходит на роутер, последний (если соответственно сконфигурирован и имеет в своих подключенных сетях (directly connected) сеть назначения) может перенаправлять подобные пакеты по назначению, в отличие от стандартного поведения, когда интерфейс роутера оконечивает домен широковещательных сообщений.

Отменить поведение можно с помощью команды уровня интерфейса:

1 no ip directed-broadcast

и другие...

Finger

1 no ip finger

Maintenance Operations Protocol (MOP)

1 no mop enabled

IP BOOTP Server

1 no ip bootp server

IP Redirects

1 no ip redirects

IP Source Routing

1 no ip source-route

Gratuitous arps

1 no ip gratuitous-arps

PAD

1 no service pad

Nagle

1 service nagle

Proxy ARP

1 no ip proxy-arp

Ident

1 no ip identd

TCP and UDP Small Servers

1 2 no service tcp-small-servers no service udp-small-servers

TCP Keepalives

1 2 service tcp-keepalives-in service tcp-keepalives-out

DHCP service

1 no service dhcp

IP HTTP Server

1 no ip http server

Timestamps - сервис датирует сообщения сислога

1 2 3 service timestamps debug datetime localtime show-timezone msec service timestamps log datetime localtime show-timezone msec service sequence-numbers

Безопасность коммутации

• Ограничьте зоны широковещательных доменов
• Используйте функции защиты Dynamic ARP Inspection, DHCP Snooping и IP Source Guard
• Используйте функции защиты STP (фильтры и гарды)

Безопасность маршрутизации

• Ограничьте круг возможных участников процесса маршрутизации
• Используйте авторизацию
• Используйте встроенные методы безопасности протоколов, т.к. BGP TTL
• Security Check
• Маршрутизацию включайте только на нужных интерфейсах
• Не включайте маршрутизацию на "пользовательских" интерфейсах
• Контролируйте распространяемые маршруты
• Логируйте статусы "соседей" (log-neighbor-changes)

Список команд

Используйте команду		Чтобы
enable secret	Настроить пароль для привилегированного доступа к маршрутизатору.
service password-encryption	Обеспечить минимальную защиту для настроенных паролей.
no service tcp-small-servers no service udp-small-servers	Предотвратить злоумышленное использование малых служб для проведения различных сетевых атак, включая DoS-атаки.
no service finger	Предотвратить предоставление пользовательской информации потенциальным злоумышленникам.
no cdp running no cdp enable	Предотвратить предоставление информации о маршрутизаторе устройствам, которые напрямую подключены к этому маршрутизатору.
ntp disable	Предотвратить атаки против службы NTP.
no ip directed-broadcast	Помешать нападающим использовать маршрутизатор в качестве "усилителя" smurf-атаки.
transport input	Указать, какие протоколы могут использоваться удаленными пользователями для установления интерактивного подключения к терминалу VTY или к портам TTY на маршрутизаторе.
ip access-class	Указать, какие IP-адреса могут использоваться для подключения к портам TTY или VTY. Зарезервировать один порт VTY для доступа с управляющей рабочей станции.
exec-timeout	Запретить "пустым" сеансам связи занимать VTY на неопределенно долгое время.
service tcp-keepalives-in	Выявить и закрыть нерабочие интерактивные сеансы, которые необоснованно занимают VTY.
logging bufferedbuffer-size	Сохранить регистрационную информацию в RAM-буфере маршрутизатора. В последних версиях программного обеспечения после размера буфера можно указать порог важности.
ip access-group list in	Отбросить сфальсифицированные IP-пакеты. Сбросить входящие перенаправления ICMP.
ip verify unicast rpf	Сбросить сфальсифицированные IP-пакеты в сетях с симметричной маршрутизацией и только при использование режима CEF.
no ip source-route	Предотвратить использование функций IP-маршрутизации от источника в целях фальсификации трафика.
access-listnumber action criterialog access-listnumber action criterialog-input	Включить регистрацию пакетов, которые совпадают с критериями, указанными в данном списке доступа. Используйте команду log-input, если таковая имеется в вашем ПО.
scheduler-interval scheduler allocate	Предотвратить отключение важных процессов при лавинном трафике.
ip route 0.0.0.0 0.0.0.0 null 0 244	Включить быстрый сброс пакетов, имеющих недействительный конечный адрес.
distribute-listlist in	Фильтровать данные о маршрутизации, чтобы предотвратить использование недействительных маршрутов.
snmp-server communitysomething-inobvious rolist snmp-server communitysomething-inobvious rwlist	Включить протокол SNMP версии 1, настроить аутентификацию и ограничить доступ к определенным IP-адресам. Протокол SNMP версии 1 следует использовать только в случае, если недоступна версия 2, при этом нужно принять меры защиты от анализаторов пакетов. Включайте протокол SNMP, только если он нужен в вашей сети. Включайте доступ с правами чтение-запись, только если это действительно необходимо.
snmp-server party... authentication md5 secret ...	Настроить процедуру аутентификации для протокола SNMP версии 2, использующего алгоритм аутентификации MD5. Включайте протокол SNMP, только если это действительно необходимо в данной сети.
ip http authenticationmethod	Проводить аутентификацию запросов на HTTP-соединения (если HTTP включен на маршрутизаторе).
ip http access-classlist	Осуществлять дальнейший контроль за HTTP-доступом, ограничив его определенными адресами узлов (если HTTP включен на маршрутизаторе).
banner login	Установить предупредительный баннер, который будет демонстрироваться пользователям, пытающимся зарегистрироваться на маршрутизаторе.