вторник, 5 апреля 2016 г.

Базовые настройки безопасности Cisco

При настройке сетевого оборудования Cisco углубляюсь в процессы коммутации и маршрузтизации администраторы часто забывают доконфигурировать параметры безопасности. Однако, этот встроенный функционал весьма полезен и обеспечивает хоть и базовый но все таки необходимый уровень безопасности. Сегодня в публикации мы кратко опишем встроенные команды и общие советы по управлению безопасностью.

И так, давай начнем с удаленного доступа, а именно подключение по SSH.
!Никогда не используйте устаревший протокол Telnet

Включить-настроить ssh, отключить телнет
  • Войдите в режим конфигурации
1
2
3
router>enable
router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
  • Назначьте имя конфигурируемому устройству
1
router(config)#hostname SSH_ROUTER
  • Создайте хотя бы один пользоватльский и/или администраторский аккаунт
1
SSH_ROUTER(config)#username cisco priv 15 secret cisco
  • Назначьте устройству имя доменной группы

1
SSH_ROUTER(config)#ip domain-name company.local
  • Сгенерируйте RSA ключ
1
2
3
4
5
6
SSH_ROUTER(config)#crypto key generate rsa general modul 1024
The name for the keys will be: SSH_ROUTER.company.local
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SSH_ROUTER(config)#
*Mar 1 00:02:20.251: %SSH-5-ENABLED: SSH 1.99 has been enabled
  • Сконфигурируйте версию, таймаут, логирование и кол-во попыток авторизации
1
2
3
4
SSH_ROUTER(config)#ip ssh version 2
SSH_ROUTER(config)#ip ssh time-out 60
SSH_ROUTER(config)#ip ssh logging events
SSH_ROUTER(config)#ip ssh authentication-retries 3
  • Включите SSH на нужных VTY
1
2
SSH_ROUTER(config)#line vty 0 4
SSH_ROUTER(config-line)#transport input ssh

Вторым шагом можно обеспечить определенный уровень безопасности на vty, auxiliary и console lines выполнив следующие рекомендации:

Timeout (session, exec) - время, через которое администратор будет "выкинут" через заданное время неактивности. На Console такое таймаут по умолчанию выключен, - это небезопасно. В большинстве случаев 10-15 минут - это вполне приемлимое значение для этого параметра.

1
2
Router(config-line)# session-timeout <minutes>
Router(config-line)# exec-timeout <minutes> [seconds]

Port Speed - скорость консольного порта (т.н. baud rate) может быть увеличена до максимального поддерживаемого значения, по умолчанию значение равно 9600bps и может быть увеличено до 115200bps. 
1
Router(config-line)# speed 115200

Hung session - зависшие сессии можно система может выявить и и закрыть с помощью сервиса 
1
Router(config)# service tcp-keepalives-in

Session Limit - определяет как много sshv2, telnet (или обоих) сессий может быть активно одновременно. По умолчанию этот параметр равен 32, и может быть уменьшен до более практичного с точки зрения безопасности значения 5-10.

1
Router(config-line)#session-limit 10

Access-List - списки доступа должны быть применены на vty, aux и con порты для обеспечения безопасности путем органичения доступа по таким условиям как отправитель или получатель, административно авторизованные к управлению или настройке устройства. Также хорошей идеей было бы включить логирование подобного доступа в соответствующих списках доступа с помощью ключевого слова log.
1
2
3
4
access-list <xACL#> deny ip any any log-input
!
line vty 0 4
access-class <ACL#> in

Общая безопасность
Cisco IOS предлагает ряд функций по улучшению общего уровня безопасности устройства:

Минимальная длина пароля:
1
Router(config)# security passwords min-length length
Частота попыток авторизации - задает интервал между попытками авторизации в секундах {sec}.
1
Router(config)# login delay <seconds>
Временная блокировка после определенного кол-ва неудачных попыток авторизации с белым листом - полностью выключает возможность авторизации на устройстве на заданное кол-во времени {sec1} после определенного кол-ва {num} неудачных попыток в течение взятого промежутка времени {sec2}, ip адреса обозначенные в соответствующем списке доступа 10 - в "белом листе" и имеют право авторизации даже при блокировке.
1
2
3
Router(config)# access-list 10 permit host 172.26.150.206
Router(config)# login block-for 100 attempts 15 within 100
Router(config)# login quiet-mode access-class 10

Логирование удачных и неудачных попыток авторизации:
1
2
Router(config)#login on-failure log every {num}
Router(config)#login on-success log every {num}

Отключаем не нужные Сервисы

Подумайте, нужны ли вам сервисы, работающие на устройстве такие как:
Cisco Discovery Protocol (CDP) - думаю, объяснять, что такое CDP не нужно.
Выключить глобально:
1
no cdp run
Выключить на интерфейсе:
1
2
interface X/X
no cdp enable

Directed Broadcast - пакет ip directed broadcast имеет своим destination валидный broadcast адрес. когда подобный пакет приходит на роутер, последний (если соответственно сконфигурирован и имеет в своих подключенных сетях (directly connected) сеть назначения) может перенаправлять подобные пакеты по назначению, в отличие от стандартного поведения, когда интерфейс роутера оконечивает домен широковещательных сообщений.
Отменить поведение можно с помощью команды уровня интерфейса:

1
no ip directed-broadcast
и другие...

Finger
1
no ip finger

Maintenance Operations Protocol (MOP)
1
no mop enabled

IP BOOTP Server
1
no ip bootp server

IP Redirects
1
no ip redirects

IP Source Routing
1
no ip source-route

Gratuitous arps
1
no ip gratuitous-arps

PAD
1
no service pad

Nagle
1
service nagle

Proxy ARP
1
no ip proxy-arp

Ident
1
no ip identd

TCP and UDP Small Servers
1
2
no service tcp-small-servers
no service udp-small-servers

TCP Keepalives
1
2
service tcp-keepalives-in
service tcp-keepalives-out

DHCP service
1
no service dhcp

IP HTTP Server
1
no ip http server

Timestamps - сервис датирует сообщения сислога
1
2
3
service timestamps debug datetime localtime show-timezone msec
service timestamps log datetime localtime show-timezone msec
service sequence-numbers

Безопасность коммутации
  • Ограничьте зоны широковещательных доменов
  • Используйте функции защиты Dynamic ARP Inspection, DHCP Snooping и IP Source Guard
  • Используйте функции защиты STP (фильтры и гарды)
Безопасность маршрутизации
  • Ограничьте круг возможных участников процесса маршрутизации
  • Используйте авторизацию
  • Используйте встроенные методы безопасности протоколов, т.к. BGP TTL
  • Security Check
  • Маршрутизацию включайте только на нужных интерфейсах
  • Не включайте маршрутизацию на "пользовательских" интерфейсах
  • Контролируйте распространяемые маршруты
  • Логируйте статусы "соседей" (log-neighbor-changes)
Список команд

Используйте команду
Чтобы
enable secret
Настроить пароль для привилегированного доступа к маршрутизатору.
service password-encryption
Обеспечить минимальную защиту для настроенных паролей.
no service tcp-small-servers
no service udp-small-servers
Предотвратить злоумышленное использование малых служб для проведения различных сетевых атак, включая DoS-атаки.
no service finger
Предотвратить предоставление пользовательской информации потенциальным злоумышленникам.
no cdp running
no cdp enable
Предотвратить предоставление информации о маршрутизаторе устройствам, которые напрямую подключены к этому маршрутизатору.
ntp disable
Предотвратить атаки против службы NTP.
no ip directed-broadcast
Помешать нападающим использовать маршрутизатор в качестве "усилителя" smurf-атаки.
transport input
Указать, какие протоколы могут использоваться удаленными пользователями для установления интерактивного подключения к терминалу VTY или к портам TTY на маршрутизаторе.
ip access-class
Указать, какие IP-адреса могут использоваться для подключения к портам TTY или VTY. Зарезервировать один порт VTY для доступа с управляющей рабочей станции.
exec-timeout
Запретить "пустым" сеансам связи занимать VTY на неопределенно долгое время.
service tcp-keepalives-in
Выявить и закрыть нерабочие интерактивные сеансы, которые необоснованно занимают VTY.
logging bufferedbuffer-size
Сохранить регистрационную информацию в RAM-буфере маршрутизатора. В последних версиях программного обеспечения после размера буфера можно указать порог важности.
ip access-group list in
Отбросить сфальсифицированные IP-пакеты. Сбросить входящие перенаправления ICMP.
ip verify unicast rpf
Сбросить сфальсифицированные IP-пакеты в сетях с симметричной маршрутизацией и только при использование режима CEF.
no ip source-route
Предотвратить использование функций IP-маршрутизации от источника в целях фальсификации трафика.
access-listnumber action criterialog
access-listnumber action criterialog-input
Включить регистрацию пакетов, которые совпадают с критериями, указанными в данном списке доступа. Используйте команду log-input, если таковая имеется в вашем ПО.
scheduler-interval
scheduler allocate
Предотвратить отключение важных процессов при лавинном трафике.
ip route 0.0.0.0 0.0.0.0 null 0 244
Включить быстрый сброс пакетов, имеющих недействительный конечный адрес.
distribute-listlist in
Фильтровать данные о маршрутизации, чтобы предотвратить использование недействительных маршрутов.
snmp-server communitysomething-inobvious rolist
snmp-server communitysomething-inobvious rwlist
Включить протокол SNMP версии 1, настроить аутентификацию и ограничить доступ к определенным IP-адресам. Протокол SNMP версии 1 следует использовать только в случае, если недоступна версия 2, при этом нужно принять меры защиты от анализаторов пакетов. Включайте протокол SNMP, только если он нужен в вашей сети. Включайте доступ с правами чтение-запись, только если это действительно необходимо.
snmp-server party... authentication md5 secret ...
Настроить процедуру аутентификации для протокола SNMP версии 2, использующего алгоритм аутентификации MD5. Включайте протокол SNMP, только если это действительно необходимо в данной сети.
ip http authenticationmethod
Проводить аутентификацию запросов на HTTP-соединения (если HTTP включен на маршрутизаторе).
ip http access-classlist
Осуществлять дальнейший контроль за HTTP-доступом, ограничив его определенными адресами узлов (если HTTP включен на маршрутизаторе).
banner login
Установить предупредительный баннер, который будет демонстрироваться пользователям, пытающимся зарегистрироваться на маршрутизаторе.


Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...