Обновлено: 04.07.2024

При настройке сетевого оборудования Cisco углубляюсь в процессы коммутации и маршрузтизации администраторы часто забывают доконфигурировать параметры безопасности. Однако, этот встроенный функционал весьма полезен и обеспечивает хоть и базовый но все таки необходимый уровень безопасности. Сегодня в публикации мы кратко опишем встроенные команды и общие советы по управлению безопасностью.

И так, давай начнем с удаленного доступа, а именно подключение по SSH.
!Никогда не используйте устаревший протокол Telnet

Enter configuration commands, one per line. End with CNTL / Z.

The name for the keys will be : SSH_ROUTER. company . local

% Generating 1024 bit RSA keys, keys will be non - exportable. [ OK ]

* Mar 1 00 : 02 : 20.251 : % SSH - 5 - ENABLED : SSH 1.99 has been enabled

Вторым шагом можно обеспечить определенный уровень безопасности на vty, auxiliary и console lines выполнив следующие рекомендации:

Timeout (session, exec) - время, через которое администратор будет "выкинут" через заданное время неактивности. На Console такое таймаут по умолчанию выключен, - это небезопасно. В большинстве случаев 10-15 минут - это вполне приемлимое значение для этого параметра.

Port Speed - скорость консольного порта (т.н. baud rate) может быть увеличена до максимального поддерживаемого значения, по умолчанию значение равно 9600bps и может быть увеличено до 115200bps.

Hung session - зависшие сессии можно система может выявить и и закрыть с помощью сервиса

Session Limit - определяет как много sshv2, telnet (или обоих) сессий может быть активно одновременно. По умолчанию этот параметр равен 32, и может быть уменьшен до более практичного с точки зрения безопасности значения 5-10.

Access-List - списки доступа должны быть применены на vty, aux и con порты для обеспечения безопасности путем органичения доступа по таким условиям как отправитель или получатель, административно авторизованные к управлению или настройке устройства. Также хорошей идеей было бы включить логирование подобного доступа в соответствующих списках доступа с помощью ключевого слова log.

Cisco IOS предлагает ряд функций по улучшению общего уровня безопасности устройства:

Частота попыток авторизации - задает интервал между попытками авторизации в секундах .

Временная блокировка после определенного кол-ва неудачных попыток авторизации с белым листом - полностью выключает возможность авторизации на устройстве на заданное кол-во времени после определенного кол-ва неудачных попыток в течение взятого промежутка времени , ip адреса обозначенные в соответствующем списке доступа 10 - в "белом листе" и имеют право авторизации даже при блокировке.

Логирование удачных и неудачных попыток авторизации:

Подумайте, нужны ли вам сервисы, работающие на устройстве такие как:

Cisco Discovery Protocol (CDP) - думаю, объяснять, что такое CDP не нужно.

Отменить поведение можно с помощью команды уровня интерфейса:

service timestamps debug datetime localtime show - timezone msec

service timestamps log datetime localtime show - timezone msec

• Ограничьте зоны широковещательных доменов
• Используйте функции защиты Dynamic ARP Inspection, DHCP Snooping и IP Source Guard
• Используйте функции защиты STP (фильтры и гарды)

• Ограничьте круг возможных участников процесса маршрутизации
• Используйте авторизацию
• Используйте встроенные методы безопасности протоколов, т.к. BGP TTL
• Security Check
• Маршрутизацию включайте только на нужных интерфейсах
• Не включайте маршрутизацию на "пользовательских" интерфейсах
• Контролируйте распространяемые маршруты
• Логируйте статусы " соседей " (log-neighbor-changes)

Настроить пароль для привилегированного доступа к маршрутизатору.

Обеспечить минимальную защиту для настроенных паролей.

Предотвратить злоумышленное использование малых служб для проведения различных сетевых атак, включая DoS-атаки.

Предотвратить предоставление пользовательской информации потенциальным злоумышленникам.

Предотвратить предоставление информации о маршрутизаторе устройствам, которые напрямую подключены к этому маршрутизатору.

Помешать нападающим использовать маршрутизатор в качестве "усилителя" smurf-атаки.

Указать, какие протоколы могут использоваться удаленными пользователями для установления интерактивного подключения к терминалу VTY или к портам TTY на маршрутизаторе.

Указать, какие IP-адреса могут использоваться для подключения к портам TTY или VTY. Зарезервировать один порт VTY для доступа с управляющей рабочей станции.

Запретить "пустым" сеансам связи занимать VTY на неопределенно долгое время.

Выявить и закрыть нерабочие интерактивные сеансы, которые необоснованно занимают VTY.

Сохранить регистрационную информацию в RAM-буфере маршрутизатора. В последних версиях программного обеспечения после размера буфера можно указать порог важности.

Отбросить сфальсифицированные IP-пакеты. Сбросить входящие перенаправления ICMP.

Сбросить сфальсифицированные IP-пакеты в сетях с симметричной маршрутизацией и только при использование режима CEF.

Предотвратить использование функций IP-маршрутизации от источника в целях фальсификации трафика.

access-listnumber action criterialog-input

Включить регистрацию пакетов, которые совпадают с критериями, указанными в данном списке доступа. Используйте команду log-input, если таковая имеется в вашем ПО.

Предотвратить отключение важных процессов при лавинном трафике.

Включить быстрый сброс пакетов, имеющих недействительный конечный адрес.

Фильтровать данные о маршрутизации, чтобы предотвратить использование недействительных маршрутов.

snmp-server communitysomething-inobvious rolist

snmp-server communitysomething-inobvious rwlist

Включить протокол SNMP версии 1, настроить аутентификацию и ограничить доступ к определенным IP-адресам. Протокол SNMP версии 1 следует использовать только в случае, если недоступна версия 2, при этом нужно принять меры защиты от анализаторов пакетов. Включайте протокол SNMP, только если он нужен в вашей сети. Включайте доступ с правами чтение-запись, только если это действительно необходимо.

snmp-server party. authentication md5 secret .

Настроить процедуру аутентификации для протокола SNMP версии 2, использующего алгоритм аутентификации MD5. Включайте протокол SNMP, только если это действительно необходимо в данной сети.

Установить предупредительный баннер, который будет демонстрироваться пользователям, пытающимся зарегистрироваться на маршрутизаторе.

В современном мире безграничной власти технологий все больше и больше внимания уделяется конфиденциальности, целостности и доступности хранимых или передаваемых данных. И это понятно, ибо кто захочет, чтобы информация, которая считается личной или секретной досталась третьим лицам или (не дай Бог) конкурентам или даже врагам.

Так что же такое защищенная информация в области сетей передачи данных? Абсолютно защищенной сети не бывает и быть не может и полностью защищенной она может считаться, вероятно, только если отключить каждое устройство от сети (или даже, пожалуй, лучше вообше выключить, для надежности). Но кому нужна такая сеть, данные в которой не передаются? Верно, никому. Таким образом, встает вопрос о том как же сделать её максимально защищенной, учтя вместе с тем все те возможные уязвимости, снова и снова подкидываемые нам производителями (софт/хард)вара.

В этой статье я расскажу/покажу некоторые нюансы настройки устройств Cisco таким образом, чтобы иметь возможность контролировать кто имеет доступ к этим устройствам, как к одним из основных узлов сети, и какого, собственно говоря, этот доступ будет рода.

Три основных подтемы:

— Настройка доступа «по ролям»

где будет рассказано про так называемые views, которые определяют какие именно команды могут быть использованы (читай «доступны») для того или иного авторизовавшегося пользователя

— Средства повышения безопасности процесса авторизации

где будет рассказано про улучшения, которые можно привнести в процесс авторизации пользователей, как то сколько попыток ввода неверных данных может быть произведено, логирование процесса авторизации и т.д.

— Защита образов IOS и существующих файлов конфигурации

где будет рассказано про возможности защиты и восстановление удаленных IOS и файла конфигурации, да-да, и такое бывает.

1. Настройка доступа «по ролям».

Итак, простым языком говоря, настройка доступа «по ролям» позволяет Вам создать профили второстепенных администраторов для конфигурируемых устройств с ограниченным доступом и набором команд.

Процесс создания view (шаблона профиля):

— Включить ААА (Authorization, Authentication, Accounting)

— Включить Root View (режим, находящийся на ступень выше Privilege Mode, именно из него и только из него можно создать другие view-шаблоны)

— Создать новый(-е) View

Полный пример рабочей конфигурации:

Теперь, после авторизации пользователи st_admin, sp_admin и sview_admin имеют весьма ограниченное количество команд:

User Access Verification

Username: st_admin
Password:

Router>?
Exec commands:
enable Turn on privileged commands
exit Exit from the EXEC
show Show running system information
telnet Open a telnet connection

Router> User Access Verification

Username: sp_admin
Password:

Router>?
Exec commands:
enable Turn on privileged commands
exit Exit from the EXEC
ping Send echo messages
show Show running system information

Router> User Access Verification

Username: sview_admin
Password:

Router>?
Exec commands:
enable Turn on privileged commands
exit Exit from the EXEC
ping Send echo messages
show Show running system information
telnet Open a telnet connection

2. Средства повышения безопасности процесса авторизации

В этой части я приведу набор команд, имеющих своей целью повысить безопасность процесса авторизации пользователей на устройстве Cisco и кратко объясню их назначение.

Разрешает заданной листом доступа группе устройств доступ до роутера даже в том случае, если возможность авторизации заблокирована предыдущей командой «login block-for…». То есть другими словами — в случае, когда злоумышленник перебором пытается подобрать пароль, чтобы мы сами все равно могли иметь возможность авторизироваться.

3. Защита образа IOS и существующих файлов конфигурации

В случае если кто-то все же залогинился в устройство и стер IOS и файл конфигурации, может привести к достаточно долгому даунтайму (пока IOS скачать, пока бекап конфига найти, если он есть), в определенных сферах деятельности просто недопустимому.

Две команды-спасителя, встречайте:

Данная статья написана под впечатлением от просмотра CCNA Security CBT_Nuggets для обобщения и систематизации знаний, а также для последующей подготовки к экзаменам.

Чтобы обеспечить дополнительную безопасность, используйте команду enable password или enable secret . Любая из этих команд может использоваться, чтобы установить аутентификацию прежде, чем получить доступ к привилегированному режиму EXEC (режиму enable).

Всегда используйте команду enable secret , а не более старую команду enable password по возможности. Команда enable secret обеспечивает большую безопасность, потому что пароль шифруется. Команда enable password может использоваться только если enable secret еще не была установлена.

Команду enable password можно использовать, если устройство использует более старую копию программного обеспечения Cisco IOS, которое не распознает команду enable secret .

Следующие команды используются, чтобы устанавливать пароли:

Отметьте: Если не установлен пароль enable password или enable secret , IOS предотвращает привилегированный доступ EXEC из сеанса Telnet.

Без установки пароля посредством enable password , сеанс Telnet произвел бы следующий вывод:

Switch>enable
% No password set
Switch>

Пароль VTY

Линии vty предоставляют доступ к маршрутизатору через Telnet. По умолчанию многие устройства Cisco поддерживают пять линий VTY, которые нумеруются от 0 до 4. Пароль должен быть установлен для всех доступных линий vty. Один и тот же пароль может быть установлен для всех соединений. Однако, часто требуется, чтобы для одной из линий устанавливается уникальный пароль, чтобы обеспечить альтернативную запись при подключении администратора, если другие соединения используются.

Следующие команды применяются, чтобы установить пароль на линии vty:

По умолчанию IOS включает команду login для линий VTY. Это предотвращает доступ Telnet к устройству без предварительной аутентификации. Если, по ошибке, устанавливается команда no login , которая удаляет требование аутентификации, неправомочные люди могут соединиться с линией, используя Telnet. Это является большой угрозой безопасности.

Шифрование Отображения Пароля

Другая полезная команда препятствует тому, чтобы пароль отображался простым текстом при просмотре конфигурационных файлов. Это команда service password-encryption .

Эта команда заставляет шифровать пароли при их конфигурации. Команда service password-encryption применяет слабое шифрование ко всем незашифрованным паролям. Это шифрование не применяется к паролям, когда они отправляются через носитель, а используется только в конфигурации. Цель этой команды состоит в том, чтобы воспрепятствовать неправомочным людям подсмотреть пароли в конфигурационном файле.

Если Вы выполняете команду show running-config или show startup-config до выполнения команды service password-encryption , незашифрованные пароли будут видимы при выводе конфигурации. Если затем выполняется service password-encryption , то шифрование будет применено к паролям. Как только шифрование было применено, удаление службы шифрования не инвертирует шифрование.

Основные команды по настройке и эксплуатации маршрутизаторов Cisco

Маршрутизаторы серии Cisco 1601 служат для подключения небольших офисов, в которых развернута локальная сеть Ethernet, к Internet и к внутренней сети компании, или к корпоративной локальной сети через несколько подключений глобальных сетей, таких как ISDN, асинхронные последовательные и синхронные последовательные.

Cisco 1601 имеет один Ethernet-порт, один встроенный WAN-порт и один слот для необязательного второго WAN-порта.
Слот для интерфейсного модуля позволяет потребителю изменить тип или добавить ещё один порт на машрутизаторе, в случае изменения потребностей или цен на услуги компаний-провайдеров линий связи. Поэтому серия маршрутизаторов Cisco 1600 предлагает более широкую гибкость по сравнению с другими продуктами этого же класса. Последовательный порт на модели 1601 и интерфейсной карте может работать в следующих режимах:

• Асинхронный со скоростями до 115.2 Кб/с по коммутируемой телефонной линии (протоколы PPP, SLIP)
• Синхронный со скоростями до 2.048 Мб/с по выделенной линии (протоколы Frame Relay, SMDS, X.25, HDLC, LAPB, PPP)

Cisco 1601: вид сзади

Маршрутизаторы Cisco 2500

Маршрутизаторы серии Cisco 2509 предназначенны как для использования в небольшом офисе, так и в сетях с удаленными узлами.
Модель оснащена двумя из следующих интерфейсов:

• 1 Ethernet
• 2 Синхронный последовательный
• 8 Асинхронный последовательный

Маршрутизаторы серии Cisco 2500 оснащены Flash-памятью технологии EPROM, которая применяется для хранения программных образов и обеспечивает их легкую модернизацию.
Эти системы могут работать с разнообразными программными комплектами (feature set) операционной системы Cisco IOS, поэтому заказчик может выбрать комплект программ, соответствующий конкретным протоколам, применяемым в его сети. Программные комплекты имеют очень широкий спектр - от простых IP и мостовых соединений до полного набора функциональных возможностей ПО фирмы Cisco, включая APPN и RMON.
Все модели, за исключением комбинированных с концентратором, имеют AUI разъём Ethernet-портов. Синхронные порты имеют универсальный DB-60 разъем, а тип порта определяется подключаемым кабелем (V.35, RS-232, и т.д.). Асинхронные порты на серверах доступа собраны по 8 портов в 68 контактные разъёмы. На корпусе также имеется терминальный порт с разъёмом RJ-45, а также порт AUX, который можно использовать либо для удалённого управления маршрутизатором, либо как асинхронный порт для резервной линии связи.

Cisco 2511: вид сзади

2 . Начало работы с маршрутизатором Cisco

Конфигурирование осуществляется следующими способами:

1. Командный интерфейс:
telnet Router - имя Cisco
имя-Cisco>
с терминала: conf term
NVRAM: conf memory
из сети: conf network

3. ClickStart (конфигурирование Cisco 1003, 1004 и 1005).

Общие сведения о командном языке:

1. help - в любой момент можно ввести "?" - киска в ответ выдаст список команд или операндов.
2. Любое ключевое слово или имя можно сокращать до минимально возможного.
3. Если терминал нормально настроен, то можно редактировать командную строку как в emacs или bash ( как в UNIX ).
4. Почти каждую команду можно предварять словом no, если Вы собираетесь отказаться от команды.

Уровни привилегий: предусмотрено 16 уровней привилегий - от 0 до 15. Если не производить дополнительной настройки, то уровень 0 - это уровень пользователя: доступны только "безопасные" команды. Уровень 15 - это уровень супервизора: доступны все команды. Переходим с уровня на уровень по команде:
enable [номер уровня]
Любую команду можно перевести на уровень, отличный от стандартного; любому пользователю можно назначить определенный уровень, устанавливаемый при входе на киску этого пользователя; таким образом права пользователей можно тонко настраивать (только help-ом при этом тяжело пользоваться).

Режимы командного языка:

1. Режим пользователя

2. Привилегированный режим:

1. верхний уровень
2. режим глобальной конфигурации: 1. собственно верхний уровень конфигурирования
2. конфигурирование интерфейса 1. конфигурирование интерфейса
2. конфигурирование подинтерфейсa (serial в режиме Frame Relay)

3. конфигурирование контроллера (T1)
4. конфигурирование хаба (cisco 2500 - ethernet)
5. конфигурирование списка карт (ATM и FrameRelay)
6. конфигурирование класса карт (Quality of Service over Switched Virtual Circuit - ATM, FrameRelay или dialer)
7. конфигурирование линий
8. конфигурирование маршрутизатора (bgp, egp, igrp, eigrp, is-is, iso-igrp, mobile, OSPF, RIP, static)
9. конфигурирование IPX-маршрутизатора
10. конфигурирование карт маршрутизатора
11. конфигурирование ключевых цепочек с его подрежимами (RIP authentication)
12. конфигурирование генератора отчетов о времени ответа
13. конфигурирование БД LANE (ATM)
14. режим команд APPN с его подрежимами (advance peer-to-peer Networking - второе поколение SNA)
15. режим команд присоединения канала IBM с его подрежимами (Cisco 7000 с CIP)
16. режим команд сервера TN3270
17. конфигурирование списков доступа (для именованых IP ACL) 18.режим шестнадцатеричного ввода (задание публичного ключа для шифровки)
19. конфигурирование карт шифровки

3. ROM монитор (нажать break в первые 60 секунд загрузки, тоже есть help).

Редактирование командной строки

2.1 Подключение к маршрутизатору и начало работы

2.2 Восстановление забытого enable secret password

В случае утери пароля следует выключить маршрутизатор и снова включить.
1. послать Break в первые 60 секунд после включения питания. Сигнал Break посылается в зависимости от используемого терминала или Ctrl Break или Ctrl ^ C (можно найти в настройках терминала)
2. изменить регистры загрузки. Вы попадаете в другой режим, так называемый ROM Monitor режим с приглашением > После этого следует ввести команду (в зависимости от Cisco):

> confreg 0x141 (для 1000/1600/3600/4500)
> o/r 0x141 (для 2500/4000)

> reset (для 1000/1600/3600/4500)
> i (для 2500/4000)

3 . Работа с флэш-памятью (в ней лежит и из нее выполняется IOS) и NVRAM (конфигурация)

На Cisco работает ТРИ программы: ROM монитор (это загрузчик и отладчик -тупой до безобразия - попадаем в него если соответствующим образом установлен регистр конфигурации или нажал BREAK во время загрузки и это не запрещено); boot ROM - система в ROM (урезанная и очень старая система IOS - 9.1 - если не удалось найти более подходящую во флэш или по сети или ручная загрузка из ROM монитора) и система во флэш - версия, которуя сам поставил. Конфигурация хранится в NVRAM. Еще есть оперативная память, используемая для хранения данных (IOS выполняется прямо из ROM). Внимание: пароль администратора в IOS 9.1 задается командой "enable password", а не "enable secret"!
В руководстве делается предупреждение, что на Sun'е сервер TFTP должен быть настроен так, чтобы генерировать и проверять контрольные суммы UDP (я ничего не делал). Везде вместо TFTP можно использовать rcp (rsh), но мне лениво следить за безопасностью в этом случае. Посмотреть, что там лежит: show flash all

System flash directory:
File Length Name/status
addr fcksum ccksum
1 3243752 igs-i-l.110-1
0x40 0xB5C4 0xB5C4
[3243816 bytes used, 950488 available, 4194304 total]
4096K bytes of processor board System flash (Read ONLY)

Chip Bank Code Size Name
1 1 89A2 1024KB INTEL 28F008SA
2 1 89A2 1024KB INTEL 28F008SA
3 1 89A2 1024KB INTEL 28F008SA
4 1 89A2 1024KB INTEL 28F008SA
Executing current image from System flash

System flash directory:
File Length Name/status
1 5010180 c2500-ras-113.6
[5010244 bytes used, 3378364 available, 8388608 total]
Address or name of remote host 172.16.150.2
Source file name? c2500-ras-113.6 name of file in flash
Destination file name [c2500-ras-113.6] y
Accessing file 'c2500-ras-113.6' on 172.16.150.2.
Проверяет наличие файла на TFTP сервера.
Загрузить конфигурацию с tftp: copy tftp startup-config/running-config (по-моему, если грузить текущую конфигурацию, то происходит не копирование, а слияние).
Копировать из tftp во флэш (если достаточно памяти. ): copy tftp flash
Понятное дело, что если IOS выполняется из флэш, то грузить новое (заходить только с консоли - иначе ничего не увидишь, и об ошибках не узнаешь ;). После этого надо сохранить конфигурацию (copy run start). А все-таки интересно, как выбираться из ситуации, если что-то получилось не так. Кстати, рекомендуется сохранить конфигурацию куда-нибудь на tftp перед изменением флэша. p.s. все-таки можно было бы сделать и загрузившись из ROM (только не ROM монитор, а ROM IOS), если задать в регистре конфигурации младшие 4 бита равными 0-0-0-1.
Посмотреть состояние: show version
Проверить контрольную сумму: verify flash
Повторно выполнить конфигурационный файл: configure memory
Очистить конфигурацию: erase startup
Посмотреть текущую/загрузочную конфигурацию: show run/start
В NVRAM записываются только параметры, отличные от параметров по умолчанию. Параметры по умолчанию различны для различных версий, так что при смене версии бывает очень интересно ;)
На TFTP cервер можно скидывать и загружать с него файлы конфигурации, образ операционной системы (IOS), что является очень удобным прикаких либо неполадках.

4 . Настройка синхронных интерфейсов Serial для X25

5 . AAA (authentication, authorization, accounting), tacacs+, RADIUS

authentication

authorization

Проверка прав доступа (полномочий) производится в случаях:

• exec (атрибуты терминальной сессии)
• command (проверка прав на исполнение команд, в т.ч. конфигурации) network (соединение PPP, SLIP, ARAP)
• reverse access (для обратного telnet, установление личности потребуется в любом случае), только tacacs+ или radius

accounting

6 . Настройка асинхронного интерфейса и линий

7 . Управление и мониторинг

Можно всегда посмотреть по команде show ?
Эта команда показывает, какие события можно просмотреть.
show async status
show interface async номер
show compress
show controller имя-контроллера
show interface accounting
show interface тип номер
clear counters тип номер
show protocols
show version
clear interface тип номер
clear line номер
shutdown
no shutdown
show ip route
show x25 route

Читайте также:

  
• Ibox icon laser vision wifi signature dual настройка
  
• Как удалить устройства блютуз в машине форд фокус
  
• Как открыть порт 25565 на роутере билайн
  
• Какие факторы влияют на качество работы оборудования xdsl
  
• Схема подключения коммутатора от альфы на минск