 5901 / 3358 / 1036
Регистрация: 03.11.2009
Сообщений: 10,009
|
|
| 1 | |
Базовая настройка безопасности Cisco28.05.2013, 18:12. Показов 32521. Ответов 0
Все настройки безовой безопасности не расписаны, практически - лишь перечислены возможности и функции защиты. По мере времени и возможности буду дополнять и/или исправлять. О найденных недочетах можно писать ЛС. Включить-настроить ssh, отключить телнет
Код
router>enable router#configure terminal Enter configuration commands, one per line. End with CNTL/Z.
Код
router(config)#hostname SSH_ROUTER
Код
SSH_ROUTER(config)#username cisco priv 15 secret cisco
Код
SSH_ROUTER(config)#ip domain-name company.local
Код
SSH_ROUTER(config)#crypto key generate rsa general modul 1024 The name for the keys will be: SSH_ROUTER.company.local % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] SSH_ROUTER(config)# *Mar 1 00:02:20.251: %SSH-5-ENABLED: SSH 1.99 has been enabled
Код
SSH_ROUTER(config)#ip ssh version 2 SSH_ROUTER(config)#ip ssh time-out 60 SSH_ROUTER(config)#ip ssh logging events SSH_ROUTER(config)#ip ssh authentication-retries 3
Код
SSH_ROUTER(config)#line vty 0 4 SSH_ROUTER(config-line)#transport input ssh LINES
можно обеспечить определенный уровень безопасности на vty, auxiliary и console lines выполнив следующие рекомендации:
Timeout (session, exec) - время, через которое администратор будет "выкинут" через заданное время неактивности. На Console такое таймаут по умолчанию выключен, - это небезопасно. В большинстве случаев 10-15 минут - это вполне приемлимое значение для этого параметра. Код
Router(config-line)# session-timeout <minutes> Router(config-line)# exec-timeout <minutes> [seconds] Код
Router(config-line)# speed 115200 Код
Router(config)# service tcp-keepalives-in Код
Router(config-line)#session-limit 10 Код
access-list <xACL#> deny ip any any log-input ! line vty 0 4 access-class <ACL#> in TYPE-7 PASSWORD
Пароли, перед которыми Вы видите цифру 7 - не далеко ушли от clear text и спасают разве что он подсматривания "из-за спины". Где это возможно, используйте, пожалуйста, md5 и service password-encryption.
AAA
Используйте функицонал ААА для организации унифицированной системы доступа к устройству. Хорошей идеей будет использовать централизированную систему авторизации и аутентификации с планом "Б" в виде локальной базы на устройстве. Код
Router(config)#aaa new-model Router(config)#aaa authentication login default group tacacs+ local-case Router(config)#aaa authentication enable default group tacacs+ enable Router(config)#aaa authorization commands 15 default group tacacs+ local Router(config)#aaa accounting exec default stop-only group tacacs+ Router(config)#aaa accounting commands 15 default stop-only group tacacs+ Router(config)#aaa accounting network default stop-only group tacacs+ Общая безопасность
Cisco IOS предлагает ряд функций по улучшению общего уровня безопасности устройства:
Минимальная длина пароля: Код
Router(config)# security passwords min-length length Код
Router(config)# login delay <seconds> Код
Router(config)# access-list 10 permit host 172.26.150.206 Router(config)# login block-for 100 attempts 15 within 100 Router(config)# login quiet-mode access-class 10 Код
Router(config)#login on-failure log every {num}
Router(config)#login on-success log every {num}
Защита образа IOS и существующих файлов конфигурации
В случае если кто-то все же залогинился в устройство и стер IOS и файл конфигурации, может привести к достаточно долгому даунтайму (пока IOS скачать, пока бекап конфига найти, если он есть), в определенных сферах деятельности просто недопустимому.
Две команды-спасителя, встречайте: Эта команда включает защиту IOS (создает неудаляемую копию IOS) Код
Router(config)#secure boot-image Код
Router(config)#secure boot-config В режиме rommon указываем устройству грузиться с PCMCIA и имя образа Код
rommon>boot slot: c3745-js2-mz.bin Код
Router(config)#secure boot-config restore flash:rescue-cfg Код
Router#copy flash:rescue-cfg startup-config Настройка доступа «по ролям»
Итак, простым языком говоря, настройка доступа «по ролям» позволяет Вам создать профили второстепенных администраторов для конфигурируемых устройств с ограниченным доступом и набором команд.
Процесс создания view (шаблона профиля): — Включить ААА (Authorization, Authentication, Accounting) Код
Router(config)#aaa new-model Код
Router#enable view Код
*Oct 17 20:53:57.203: %PARSER-6-VIEW_SWITCH: successfully set to view 'root'. (создадим, к примеру, один view-шаблон ST_ONLY, с доступом только до команд, начинающихся с «show...» и “telnet…”, а также view-шаблон SP_ONLY c доступом до команд «show…» и «ping») и присвоить созданному View пароль (заметьте, не пользователю, а именно view-шаблону) и набор доступных команд Код
Router(config)#parser view ST_ONLY *Oct 17 20:58:12.943: %PARSER-6-VIEW_CREATED: view 'ST_ONLY' successfully created. Router(config-view)#secret pass2st Router(config-view)#commands exec include all show Router(config-view)#commands exec include all telnet Router(config)#parser view SP_ONLY *Oct 17 21:00:12.771: %PARSER-6-VIEW_CREATED: view 'SP_ONLY' successfully created. Router(config-view)#secret pass2sp Router(config-view)#commands exec include show Router(config-view)#commands exec include ping Код
Router(config)#parser view SUP_VIEW superview Router(config-view)#secret pass2sview Router(config-view)#view ST_ONLY Router(config-view)#view SP_ONLY Код
Router(config)#username st_admin view ST_ONLY secret cisco1 Router(config)#username sp_admin view SP_ONLY secret cisco2 Router(config)#username sview_admin view SUP_VIEW secret cisco3 Код
Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#aaa new-model Router(config)#enable secret supersecretciscopassword Router(config)#exit *Oct 17 21:13:37.511: %SYS-5-CONFIG_I: Configured from console by console Router#enable view Password: Router# *Oct 17 21:13:56.035: %PARSER-6-VIEW_SWITCH: successfully set to view 'root'. Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#parser view ST_ONLY *Oct 17 21:14:41.699: %PARSER-6-VIEW_CREATED: view 'ST_ONLY' successfully created. Router(config-view)#secret pass2st Router(config-view)#commands exec include all show Router(config-view)#commands exec include all telnet Router(config-view)#exit Router(config)# Router(config)#parser view SP_ONLY *Oct 17 21:15:32.279: %PARSER-6-VIEW_CREATED: view 'SP_ONLY' successfully created. Router(config-view)#secret pass2sp Router(config-view)#commands exec include all show Router(config-view)#commands exec include all ping Router(config-view)#exit Router(config)# Router(config)#parser view SUP_VIEW superview *Oct 17 21:16:31.783: %PARSER-6-SUPER_VIEW_CREATED: super view 'SUP_VIEW' successfully created. Router(config-view)#secret pass2sview Router(config-view)#view ST_ONLY *Oct 17 21:17:39.451: %PARSER-6-SUPER_VIEW_EDIT_ADD: view ST_ONLY added to superview SUP_VIEW. Router(config-view)#view SP_ONLY *Oct 17 21:17:44.083: %PARSER-6-SUPER_VIEW_EDIT_ADD: view SP_ONLY added to superview SUP_VIEW. Router(config-view)#exit Router(config)#username st_admin view ST_ONLY secret cisco1 Router(config)#username sp_admin view SP_ONLY secret cisco2 Router(config)#username sview_admin view SUP_VIEW secret cisco3 Router(config)#aaa authentication login default local Router(config)#aaa authorization exec default local Router(config)#aaa authorization console Router(config)#exit Router#wr Building configuration… *Oct 17 21:23:19.771: %SYS-5-CONFIG_I: Configured from console by console[OK] Router# Код
User Access Verification Username: st_admin Password: Router>? Exec commands: enable Turn on privileged commands exit Exit from the EXEC show Show running system information telnet Open a telnet connection Router> User Access Verification Username: sp_admin Password: Router>? Exec commands: enable Turn on privileged commands exit Exit from the EXEC ping Send echo messages show Show running system information Router> User Access Verification Username: sview_admin Password: Router>? Exec commands: enable Turn on privileged commands exit Exit from the EXEC ping Send echo messages show Show running system information telnet Open a telnet connection Баннеры
Рекомендуется устанавливать баннеры и уведомления на всех интерактивных сессиях, чтобы убедиться что пользователи красочно уведомлены о летальных последствиях своих необдуманных действий. Удачной идеей является указать "что будет" в случае нарушения "электронных" границ компании и то, что действия логируются. В то время как раскрытие информации о имени устройства, адресах, именах и прочей "personal" информации - является плохой идеей.
Пример: Код
banner login # UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED You must have explicit, authorized permission to access or configure this device.Unauthorized attempts and actions to access or use this system may result in civil and/or criminal penalties.All activities performed on this device are logged and monitored. # Сервисы
Подумайте, нужны ли вам сервисы, работающие на устройстве такие как:
Cisco Discovery Protocol (CDP) - думаю, объяснять, что такое CDP не нужно. Выключить глобально: Код
no cdp run Код
interface X/X no cdp enable Отменить поведение можно с помощью команды уровня интерфейса: Код
no ip directed-broadcast Finger Код
no ip finger Код
no mop enabled Код
no ip bootp server Код
no ip redirects Код
no ip source-route Код
no ip gratuitous-arps Код
no service pad Код
service nagle Код
no ip proxy-arp Код
no ip identd Код
no service tcp-small-servers no service udp-small-servers Код
service tcp-keepalives-in service tcp-keepalives-out Код
no service dhcp Код
no ip http server Код
service timestamps debug datetime localtime show-timezone msec service timestamps log datetime localtime show-timezone msec service sequence-numbers Control Plane
Control Plane Policing позволяет выставить ограничения на уровень управления - этот трафик обрабатывается CPU и может наглухо подвесить систему. Сюда входят протоколы маршрутизации, пакеты, адресованые роутеру, менеджмент протоколы, аля SNMP, протоколы доступа (SSH, Telnet), другие протоколы, такие как ICMP или IP Options также могут требовать обработки в CPU, Layer 2 пакеты, такие как BPDU, CDP, DOT1X и т.д.
1. Определяем критерий отбора - кого мы полисим: Код
class-map <traffic_class_name> match <access-group | protocol* | ip prec | ip dscp> Код
policy-map <service_policy_name> class <traffic_class_name> police <cir | rate> conform-action <transmit | drop > exceed-action <transmit | drop> !cir Committed information rate (Bits per second) !rate Specify policy rate in packets per second (pps) Код
control-plane
service-policy {input | output} <service_policy_name>
! input Assign policy-map to the input of an interface
! output** Assign policy-map to the output of an interface
Контроль использования CAM таблицы коммутатора
Portsecurity - функция, строящая список безопасных мак адресов
динамически - лист строится динамически и адреса, которые разрешены на порту учатся свитчом самостоятельно, в кол-ве, заранее оговоренном. статически - администратор самостоятельно указывает разрешенные адреса. Код
interface fastethernet X/X switchport mode access switchport port-security switchport port-security maximum 10 switchport port-security mac-address 0000.0000.0003 !(Static secure MAC) switchport port-security mac-address sticky switchport port-security mac-address sticky 0000.0000.0001 !(Sticky static MAC) switchport port-security mac-address sticky 0000.0000.0002 Cisco AutoSecure
Функция интерактивного диалога с роутером, в результате которого вам предложат те или иные методы защиты
Код
R2#auto secure ? firewall AutoSecure Firewall forwarding Secure Forwarding Plane full Interactive full session of AutoSecure login AutoSecure Login management Secure Management Plane no-interact Non-interactive session of AutoSecure ntp AutoSecure NTP ssh AutoSecure SSH tcp-intercept AutoSecure TCP Intercept <cr> Безопасность маршрутизации
Безопасность коммутации
SNMP
Для "снятия показаний" со своих железных друзей вы можете использовать SNMP, который тоже не нужно забывать защищать.
Код
ip access-list standard management_hosts permit host X.X.X.X permit host X.X.X.X ! snmp-server community <COMMUNITY> RO management_hosts snmp-server ifindex persist snmp-server trap-source Gi0/0 snmp-server location <Site_ID> ! snmp-server enable traps ! snmp-server host <snmp_trap_receiver01> <community> snmp-server host <snmp_trap_receiver02> <community> Syslog
Все события на своих коробках по возможности логируем
Код
no logging console no logging monitor ! logging buffered 65535 ! logging trap notification ! logging facility local7 ! logging host <syslog server1> logging host <syslog server2> ! logging source-interface loopback0 Служба времени
NTP поддерживает аутентификацию - используйте её
Код
ntp authentication-key 1 md5 <KEY> ntp authenticate ntp trusted-key 1 ntp server 10.136.15.15 version 4 key 1 prefer burst ntp server 10.136.15.16 version 4 key 1 burst ntp source GigabitEthernet 0/0 Archive
Изменения конфигурации логируем
Код
archive log config logging enable hidekeys Чек-лист для безопасника
Код
Management Plane
Passwords
Enable MD5 hashing (secret option) for enable and local user passwords
Configure the password retry lockout
Disable password recovery (consider risk)
Disable unused services
Configure TCP keepalives for management sessions
Set memory and CPU threshold notifications
Configure
Memory and CPU threshold notifications
Reserve memory for console access
Memory leak detector
Buffer overflow detection
Enhanced crashinfo collection
Use iACLs to restrict management access
Filter (consider risk)
ICMP packets
IP fragments
IP options
TTL value in packets
Control Plane Protection
Configure port filtering
Configure queue thresholds
Management access
Use Management Plane Protection to restrict management interfaces
Set exec timeout
Use an encrypted transport protocol (such as SSH) for CLI access
Control transport for vty and tty lines (access class option)
Warn using banners
AAA
Use AAA for authentication and fallback
Use AAA (TACACS+) for command authorization
Use AAA for accounting
Use redundant AAA servers
SNMP
Configure SNMPv2 communities and apply ACLs
Configure SNMPv3
Logging
Configure centralized logging
Set logging levels for all relevant components
Set logging source-interface
Configure logging timestamp granularity
Configuration Management
Replace and rollback
Exclusive Configuration Change Access
Software resilience configuration
Configuration change notifications
Control Plane
Disable (consider risk)
ICMP redirects
ICMP unreachables
Proxy ARP
Configure NTP authentication if NTP is being used
Configure Control Plane Policing/Protection (port filtering, queue thresholds)
Secure routing protocols
BGP (TTL, MD5, maximum prefixes, prefix lists, system path ACLs)
IGP (MD5, passive interface, route filtering, resource consumption)
Configure hardware rate limiters
Secure First Hop Redundancy Protocols (GLBP, HSRP, VRRP)
Data Plane
Configure IP Options Selective Drop
Disable (consider risk)
IP source routing
IP Directed Broadcasts
ICMP redirects
Limit IP Directed Broadcasts
Configure tACLs (consider risk)
Filter ICMP
Filter IP fragments
Filter IP options
Filter TTL values
Configure required anti-spoofing protections
ACLs
IP Source Guard
Dynamic ARP Inspection
Unicast RPF
Port security
Control Plane Protection (control-plane cef-exception)
Configure NetFlow and classification ACLs for traffic identification
Configure required access control ACLs (VLAN maps, PACLs, MAC)
Configure Private VLANs
также смотрите в сторону таких технологий, как: Private VLAN / Private VLAN edge - технология защиты и разделения в VLAN 802.1X - технология авторизации доступа uRPF - технология защиты от нелегитимного трафика в сети NetFlow - не нуждается в представлении CPPr - CoPP++ CBAC - технология контроля доступа на основе контекста (минифаервол) ZBF - программный фаервол встроенный в IOS.
12
|
|
(| 28.05.2013, 18:12 | |
|
Ответы с готовыми решениями:
0
Cisco. Базовая настройка сети Базовая настройка Cisco 2821 Базовая настройка Cisco ASA 5506-X
|
| 28.05.2013, 18:12 | |
| 28.05.2013, 18:12 | |
|
Помогаю со студенческими работами здесь
1
Cisco C881 настройка SIP ALG через Cisco Configuration Professional Настройка сети с оборудивания Cisco, в Cisco Packet Tracer Проектирование малой сети и базовая настройка сетевых устройств Cisco настройки безопасности Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |
|
Наверх