Router-ul este "prima linie de apărare" a rețelei noastre corporative direct în contact cu Internetul. Acestea sunt adesea folosite ca elemente cheie în sistemele de securitate a rețelei (de exemplu, un firewall pentru filtrarea pachetelor și restricționarea trecerii unui anumit trafic IP). Cea mai răspândită este acum echipamentul companiei Cisco Systems, care datorită implementării diferite a sistemului de operare "proprietar" Cisco IOS poate achiziționa proprietățile solicitate de administratori.
Și cum să îl protejați (routerul Cisco)?
Setați parola pentru acces privilegiat.
Asigurați o protecție minimă pentru parole în configurație.
niciun serviciu tcp-servere mici
niciun serviciu udp-small-servers
Evitați utilizarea serviciilor simple pentru DoS și alte atacuri.
nici un deget de serviciu
Evitați diseminarea informațiilor despre utilizatori.
nu funcționează cdp
nu permiteți cdp
Evitați să răspândiți informații despre acest router la dispozitivele din apropiere.
Preveniți atacurile asupra serviciului NTP.
nici o emisiune IP direcționată
Pentru a împiedica atacatorii să folosească routerul pentru atacuri smurf.
Specificați protocoalele care pot fi folosite de utilizatorii de la distanță pentru a intra prin VTY sau pentru a accesa porturile TTY.
Nu imprumutați VTY pentru o sesiune inertă îndelungată.
Detectați și ștergeți sesiunile "hovering", eliberând VTY utilizat.
logging buffer-size tampon
Stocați datele înregistrate în tamponul RAM al routerului. În versiunile recente de iOS, această dimensiune poate fi partajată cu parametrul prag de urgență.
lista de acces ip-uri în grup
ip verificați unicast rpf
nici o ruta sursă ip
numărul de listă de acces criterii de acțiune log
criterii de acces criterii de acțiune criterii log-input
Activați logarea pachetelor care satisfac o anumită condiție din lista de acces. Utilizați log-input, dacă este posibil, în versiunea iOS.
Scheduler-interval
planificator aloca
Pentru a vă proteja de inundații și pentru a permite procesarea unor procese importante.
ip ruta 0.0.0.0 0.0.0.0 null 0 255
lista de distribuție în
Filtrați informațiile despre traseele primite pentru a preveni rutele incorecte.
snmp-server de comunitate ceva-inobvious ro lista
snmp-server comunitatea ceva-inobvious rw list
snmp-server parte.
autentificare md5 secret.
Configurați autentificarea utilizând MD5 pentru versiunea SNMP 2. Activați numai SNMP dacă este necesar în rețea.
ip metoda de autentificare http
Autentificați conexiunile prin HTTP (dacă ați activat serverul HTTP pe router).
ip http list-clasa de acces
Controlul suplimentar al accesului la serverul HTTP, permițându-l doar de la niște gazde (dacă ați activat serverul HTTP de pe router).
Setați un mesaj de avertizare pentru a afișa toți utilizatorii care încearcă să se conecteze la router.
Parolele (și alte secrete, cum ar fi secvențele SNMP) oferă protecție împotriva NRM-ului Router-ului. Cea mai bună modalitate de a lucra cu o bază de date pentru parole este să le stocați pe serverele de autentificare cum ar fi RADIUS sau TACACS +. Cu toate acestea, în majoritatea cazurilor, parolele pentru acces privilegiat și alte parole rămân pe fiecare router.
activați secretul
Această comandă este utilizată pentru a seta parolele care acordă acces privilegiat administratorului din iOS. Această parolă trebuie să fie întotdeauna setată. Nu puteți seta parola de activare. deoarece această comandă utilizează criptografia slabă.
serviciu de criptare parola
Această comandă vă permite să criptați parolele, secretele CHAP și alte date în fișierul de configurare.
Accesul la router presupune capacitatea de reconfigurare, inclusiv neautorizată. Prin urmare, problema protecției împotriva accesului neautorizat în timpul accesului este foarte importantă.
Accesați prin portul consolei
Trebuie reținut faptul că portul consolei are privilegii speciale. De exemplu, dacă lansați comanda BREAK pe portul consolei pentru primele câteva secunde după repornire, puteți efectua cu ușurință procedura de recuperare a parolei, ceea ce va duce la acces neautorizat la router. Aceasta înseamnă că atacatorul, dacă poate executa procedura de repornire a ruterului și dacă are acces la portul consolei (prin conexiune directă, conexiune modem etc.), poate accesa sistemul.
Metoda de acces de bază
Există destule modalități de conectare la router. CISCO IOS, în funcție de configurație, suportă conexiunile prin telnet, rlogin, SSH, LAT, MOP, X.29, V.120. Terminalele și modemurile asincrone locale utilizează linii standard - TTY. Conexiunile de rețea la distanță (independente de protocol) utilizează TTY virtuală (VTY). Pentru a proteja, trebuie să setați parole pe toate liniile de acces, puteți utiliza comanda fără parolă pentru a proteja VTY.
În mod implicit, un utilizator de la distanță poate stabili o conexiune la TTY printr-o rețea, așa-numita "Telnet inversă", care permite acestui utilizator să lucreze cu un modem sau un terminal conectat la acest TTY. Pentru protecție, trebuie să lucrați cu comanda de intrare a transportului, fără nici o comandă. care interzice acceptarea conexiunilor din rețea. Dacă este posibil. este necesar să se distribuie modemurile dial-in și dial-out și să se interzică utilizarea Telnet inversă pentru liniile care sunt utilizate în dial-in.
CISCO IOS utilizează un număr limitat de VTY (de obicei cinci). Când toate VTY-urile sunt folosite, nimeni altcineva nu se poate conecta. Aceasta este posibilitatea utilizării unui atac DoS. Modul de protejare este de a restricționa accesul utilizând clasa de acces ip. De exemplu, un VTY este partajat, iar pentru patru, numai de la o stație de lucru.
De asemenea, puteți utiliza comanda exec-timeout pentru a limita timpul de atac.
Puteți utiliza comanda pentru TCP keepalive de intrare service-tcp-keepalive în conexiuni pentru a proteja împotriva atacurilor gazdă.
Este de dorit să dezactivați capacitatea de a utiliza protocoale non-IP pentru a accesa VTY.
Avertizare banner
Pentru a împiedica accesul neautorizat la sistem, se recomandă utilizarea anteturilor de limitare (avertizare). Aceste anteturi pot fi configurate folosind login banner.
Mulți utilizatori gestionează routerele utilizând protocoale speciale, de exemplu, HTTP sau SNMP.
Acest protocol este folosit pe scară largă pentru monitorizarea și gestionarea routerelor. Din păcate, versiunea 1 a acestui protocol utilizează o schemă de autentificare foarte slabă, bazată pe "șirul de comunitate", în care parola poate fi transmisă în formă clară. Prin urmare, trebuie să utilizați versiunea 2. Aceasta funcționează cu algoritmul MD5 și nu transmite parola prin canalele de comunicare.
Dacă totuși trebuie să utilizați versiunea 1, trebuie să fiți atent atunci când selectați șir comunitar (nu puteți utiliza public sau privat). Ar trebui să evitați folosirea aceluiași șir comunitar pentru diferite dispozitive. Dacă este posibil, setați periodic sondajele SNMP ver 1 la șirul de comunitate numai pentru citire.
Pentru versiunea 1, trebuie să utilizați comanda ACL din comanda comunității snmp-server pentru a restricționa accesul la posturile de administrare. Nu puteți utiliza comanda comunității snmp-server într-un mediu în care este utilizată versiunea 2 (comută la versiunea 1).
Pentru versiunea 2, trebuie să configurați protecția folosind comenzile de autentificare și md5 în configurația de partid de tip snmp-server. Dacă este posibil, este mai bine să folosiți diferite secrete MD5 pentru fiecare router.
HTTP
Pentru a facilita configurarea routerului, este posibil să se "ridice" serverul HTTP pe acesta. Parola este transmisă în text clar.
Metode de logare în CISCO
- Înregistrarea AAA - păstrarea înregistrărilor despre utilizatori. care sunt conectate.
- SNMP trap logging - trimiterea datelor despre modificările în starea sistemului.
- logging-ul sistemului - înregistrează o gamă imensă de evenimente: consemnarea consolei de logare ip-address, logging trap logging monitor, monitorizarea temporară a monitorului tamponată
Salvarea informațiilor
În mod prestabilit, informațiile înregistrate sunt trimise numai portului consolei asincrone.
Aproape toate routerele stochează informațiile de înregistrare într-un tampon RAM local care are o dimensiune finită (afișarea memoriei, logarea tamponului de dimensiune tampon).
Puteți salva, de asemenea, date pe serverul syslog, logging ip-address server, urgency logging trap.
Dacă router-ul are un ceas în timp real sau NTP este pornit, puteți scrie un jurnal cu marcator de timp - timestamps service log datetime msecs.
Scrieți încălcări ale listelor de acces
Dacă listele de acces sunt utilizate pentru a limita traficul, este posibil să se înregistreze încălcările acestora. Comenzi - în versiuni mai vechi - jurnal, în versiuni noi - log-input.
exemplu:
numărul de listă de acces refuza icmp orice redirecționare
numărul de acces nu deny ip 127.0.0.0 0.255.255.255 orice
numărul accesului deny ip 224.0.0.0 31.255.255.255 orice
numărul de acces nu permite ip host 0.0.0.0 any
Anti-spoofing cu verificări RPF
Practic, în toate CISCO IOS. care suportă CISCO Express Forwarding (CEF), este posibil să "forțeze" routerul să verifice adresa sursă a fiecărui pachet. Acest lucru va funcționa numai dacă rutarea este simetrică. Dacă rețeaua este construită astfel încât calea de trafic de la gazda A la gazda B să treacă într-un mod diferit de traficul de la B la A, cecul va da întotdeauna rezultate greșite, iar comunicarea între gazde nu va fi posibilă. Această rutare asimetrică este folosită de obicei pe nucleul de Internet. Această verificare este cunoscută ca redirecționare cale inversă (RPF) și este activată utilizând comanda rpf unicast ip verifică ip.
Controlarea emisiunilor direcționate
Pentru un tip de atac "smurf", difuzările direcționate IP sunt de obicei utilizate.
Pe interfața routerului CISCO, puteți utiliza comanda no-directed-broadcast pentru protecție și nu trebuie să configurați nicio transmisie directă pe fiecare interfață a fiecărui router care poate fi conectat la subrețeaua de destinație.
Sursă IP de rutare
IP acceptă opțiunea de rutare sursă, care permite expeditorului de pachete IP să controleze calea pachetului către destinație. Implementările anterioare ale IP-urilor nu aveau pachete corecte în mod sursă, ceea ce ar putea duce la un pachet cu opțiunea de rutare a sursei care ar fi cauzat blocarea mașinii.
Routerele CISCO fără instalare de rutere sursă ip nu vor trimite pachete IP în care opțiunea de rutare sursă va fi activată.
Redirecționări ICMP
Mesajul de redirecționare ICMP determină CBT-ul final să utilizeze routerul specificat pentru a ajunge la un anumit punct din rețea. Într-o rețea care funcționează în mod normal, routerul trimite redirecționări numai către gazdele situate pe subrețea locală, niciun nod de sfârșit nu trimite aceste pachete și nici un astfel de pachet nu trece mai mult de o rețea de hamei. Cu toate acestea, un atacator poate ocoli aceste reguli. O idee bună este să filtrați redirecționările ICMP primite pe interfața de intrare a oricărui router situat la limita dintre domeniile administrative.
Trebuie remarcat faptul că această filtrare protejează împotriva atacurilor de redirecționare. care încep cu atacatori la distanță.
Routing Protocol Protocol Filtrare și autentificare
Dacă se utilizează o rutare dinamică care folosește autentificarea, atunci trebuie utilizată. Acest lucru evită problema înlocuirii datelor de rutare.
În ISP sau în alte rețele mari, este recomandabil să se folosească filtrarea protocolului de rutare utilizând comanda de distribuire în comandă. De exemplu, dacă utilizați rutarea dinamică pentru a comunica cu o rețea personalizată "stub", nu este necesar să primiți informații despre actualizarea rutei din această rețea.
Multe atacuri de Denial of Service (DoS) se bazează pe trimiterea de pachete inutile. Aceste acțiuni utilizează lățimea de bandă, reduc timpul de răspuns al gazdelor și pot duce la repornirea routerelor.
Configurarea corectă a routerelor reduce riscul unor astfel de atacuri. O parte importantă a controlului fluxului este căutarea unui blocaj de bandă.
Transmiterea inundațiilor
Este posibil să se utilizeze calitatea serviciului CISCO (QoS) pentru a proteja gazdele de aceste atacuri. Puteți utiliza coada de așteptare echilibrată (WFQ). WFQ este instalat în mod implicit pentru liniile cu viteză redusă în multe versiuni de sisteme de operare. De asemenea, puteți utiliza rata de acces (CAR), formarea generalizată a traficului (GTS) și coada personalizată.
Dacă intenționați să utilizați QoS pentru a controla traficul, este foarte important să înțelegeți cum funcționează acest lucru. De exemplu, WFQ este mai eficient împotriva inundațiilor decât împotriva inundațiilor SYN, deoarece inundațiile ping normale pentru WFQ sunt un singur trafic, iar pentru SYN flood, fiecare pachet este un flux separat.
CISCO oferă două modalități diferite de a reduce riscul unui tip de atac de inundații SYN. Metoda "TCP Intercept" este utilizată în routerele 4000 sau mai mari. De exemplu, Setul de caracteristici CISCO IOS Firewall include diferite modalități de a proteja împotriva inundațiilor SYN.
Protecția individuală a routerului
Mai întâi de toate, este necesar să protejăm router-ul însuși de atacuri și după aceea este necesar să protejăm gazdele care stau după el. Moduri de comutare și CISCO Express Forwarding
Mode - Modul de comutare CEF, care este disponibil în versiunile software 11.1CC, 11.1CT, 11.2GS și 12.0. Vă permite să schimbați traficul mai rapid decât ruta obișnuită.
Configurarea programatorului
Când routerul CISCO se află în modul de comutare rapidă a unui număr mare de pachete, este posibil să se "descarce" doar prin lucrul la răspuns. Alte lucrări nu vor fi efectuate. Acest efect poate fi redus utilizând comanda intervalelor de programare. O configurație tipică utilizează comanda intervalului de programare 500, care arată. că sarcina va fi efectuată la fiecare 500 de milisecunde.
Noile platforme CISCO utilizează comanda de alocare a planificatorului în locul comenzii intervalelor de programare.
Există mai multe servicii care nu sunt utilizate în mod obișnuit, iar prezența lor poate duce la un atac al atacatorului.
TCP și UDP "Servicii mici"
Implicit, CISCO, începând cu versiunea 11.3, ridică "servicii mici": ecou, chargen și aruncați. Aceste servicii. în special versiunile lor UDP, pot fi folosite pentru un atac DoS pe router.
Pentru a vă deconecta, utilizați comanda tcp-small-servers fără serviciu și niciun serviciu udp-small-servers.
deget
Routerul CISCO oferă un serviciu "deget", care vă permite să specificați cine este conectat de la utilizatori. Deconectat de comanda fără degetul de serviciu.
NTP
Network Time Protocol (NTP) nu este un serviciu periculos, dar orice servicii care nu sunt necesare sunt potențial periculoase. Pentru ao dezactiva, utilizați comanda de activare ntp no.
CDP
Protocolul de descoperire Cisco (CDP) este utilizat pentru schimbul de date între dispozitivele CISCO. Dezactivarea se face cu comanda "fără cdp". CDP poate fi ridicat pe unele dintre interfețe, dezactivând prin nici o activare cdp.
Articole similare
-
Utilizarea echipamentului de rețea cisco (partea i) (icnd1) de la cisco () în microtest, comandă
-
Ammyy admin sau - o altă gaură de securitate, un jurnal al unui specialist în rețea
Trimiteți-le prietenilor: