Hálózati biztonság
Router - egy „első védelmi vonalat” a vállalati hálózat közvetlen kapcsolatban az internethez. Gyakran használják a legfontosabb elemei a hálózati biztonsági rendszer (például tűzfal szűrési csomagok és megakadályozzák a bizonyos IP-forgalom). A legelterjedtebb most Cisco Systems berendezések cég, annak köszönhető, hogy a különböző végrehajtását „tulajdonosi” Cisco IOS operációs rendszer lehet megszerezni tulajdonságokat rendszergazdák kell.
És ő (Cisco router), hogy megvédje?
Adjon meg egy jelszót kiváltságos hozzáférést.
Annak érdekében, hogy minimális védelmét jelszavakat a konfigurációt.
nincs szolgáltatás, tcp-kis-szerverek
ha nincs szolgáltatás udp-kis-szerverek
Kerülje az egyszerű szolgáltatás DoS és egyéb támadások.
nincs szolgáltatás ujj
Hogy elkerüljük a terjedését információkat a felhasználók.
nem cdp futás
nem cdp lehetővé
Annak elkerülése érdekében, az információk terjesztését erről router a szomszédos eszközöket.
Rohamok megelőzésére az NTP szolgáltatás.
nincs ip irányított broadcast-
Annak megakadályozása érdekében, hogy a támadó router használatával törpe támadásokat.
Határozza meg, mely protokollokat lehet felhasználni a távoli felhasználók számára adja meg a VTY vagy elérni a TTY portok.
Ne vegyen be VTY végtelenségig inaktív munkamenet.
Felismerni és eltávolítani a „lógott” Session felszabadító használt VTY.
fakitermelés pufferolt puffer méretű
Logiruemye menteni az adatokat a puffer memória a router. A legújabb verzióit IOS ekkora mehet együtt a sürgősség küszöböt.
ip access-group listája
ip ellenőrzi unicast RPF
nincs ip forrás-útvonal
hozzáférés-lista szám akció kritériumok jelentkezzen
hozzáférés-lista szám akció kritériumok log-bemenet
Engedélyezze csomagokat naplózni kielégítő speciális állapotától hozzáférési listát. Használja a log-input ha rendelkezésre áll a változat IOS.
ütemező-intervallum
ütemező osztja
Védje az árvíz ellen, és lehetővé teszi a munka egy fontos folyamat.
ip route 0.0.0.0 0.0.0.0 null 0255
osztja-list listája
Szűrés kapott routing információk akadályozni, hogy bárki a rossz utak.
SNMP-szerver közösség valamit inobvious ro listája
SNMP-szerver közösség valamit inobvious rw listája
SNMP-szerver párt.
hitelesítés md5 titok.
Állítsa hitelesítést MD5 SNMP version 2. Az SNMP csak akkor, ha szükség van rá a hálózatban.
ip http hitelesítési eljárás
Kapcsolatok azonosítására HTTP (ha nincs engedélyezve a HTTP szervert a router).
ip http hozzáférés-class listája
További szabályozása hozzáférést a HTTP szerver, amely lehetővé teszi, hogy csak néhány állomás (ha nincs engedélyezve a HTTP szervert a router).
Állítsa egy figyelmeztető üzenetet, hogy minden felhasználó, aki megpróbál bejelentkezni a router.
Jelszavak (titkok és más ilyen szekvenciák SNMP) ellen nyújt védelmet az illetéktelen hozzáférés router. A legjobb módja annak, hogy működjön együtt a jelszó adatbázis - tárolja azokat a RADIUS hitelesítési kiszolgáló típusát vagy TACACS +. Azonban a legtöbb esetben továbbra is az egyes forgalomirányító jelszavainak privilegizált hozzáférést és egyéb jelszavakat.
lehetővé titka
Ez a parancs lehet beállítani jelszót, amely a privilegizált hozzáférés rendszergazda IOS. Ez a jelszó mindig kell állítani. Ne telepítse az enable jelszót. mert Ez a parancs használja a gyenge titkosítás.
szolgáltatás jelszóval titkosítás
Ez a parancs lehetővé teszi, hogy titkosítja a jelszavakat, CHAP titkokat és egyéb tárolt adatok a konfigurációs fájlban.
Hozzáférés a forgalomirányító feltételezi annak lehetőségét újrabeállításával, beleértve az adatok kerüljön veszélybe. Ezért a probléma az illetéktelen hozzáféréssel szemben, ha a hozzáférés fontos.
Hozzáférés a konzol port
Nem szabad elfelejteni, hogy a konzol port különleges kiváltságokat. Például, ha kiadod a parancsot szünetet a konzol port az első néhány másodperc után az újraindítás, akkor könnyen eltölteni egy jelszót behajtási eljárás, amely a jogosulatlan hozzáférést a router. Ez azt jelenti, hogy a támadó, ha tudta tölteni a router újraindítása eljárás, és ha hozzáfér a konzol port (egy közvetlen kapcsolat, modem csatlakozó, stb) is elérhetik a rendszert.
Az elsődleges módja a hozzáférés
Van elég sok módja van a router. CISCO IOS konfigurációtól függően támogatja csatlakozások révén telnet, rlogin, SSH, LAT, MOP, X.29, V.120. Helyi aszinkron terminálok és modemek normál sor - TTY. A távoli hálózati kapcsolatok (független a protokollt) használó virtuális TTY (VTY). Védelméhez szükséges valamennyi hozzáférési vonalak beállítani jelszavakat VTY nem lehet jelszavas védelmet nyújt a csapatnak.
Alapértelmezés szerint, a távoli felhasználó csatlakozhat a TTY a hálózaton keresztül, az úgynevezett „fordított Telnet”, amely lehetővé teszi ezt a felhasználó számára, hogy a munka egy modem vagy egy terminális csatlakoztatott TTY. Hogy megvédje a szükségességét, hogy működjön együtt a közlekedési bemeneti sem paranccsal. amely tiltja a vevő a hálózati kapcsolat. Ha van lehetőség. meg kell terjeszteni a dial-in és dial-out modemek és megtiltsa a fordított Telnet a vonalakat, amelyek a dial-in.
A Cisco IOS használja a korlátozott számú VTY (általában öt). Ha minden VTY használt, senki sem tud csatlakozni. Ez a lehetőségét, hogy a DoS támadás. védelmi módszer - korlátozza a hozzáférést az ip access-class. Például egy VTY osztott, és négy - egyetlen munkaállomáson.
Is, akkor használhatja az exec-timeout korlátozhatja azt az időt a támadás.
Paranccsal lehet a bejövő kapcsolatokat TCP keepalive szolgáltatás, tcp-ébrenléti-in elleni támadások a házigazdák.
Célszerű, hogy letiltja a képességét, hogy használja a nem-IP protokoll használatával a VTY.
figyelmeztető banner
Ahhoz, hogy megakadályozzák az esetleges jogosulatlan hozzáférést a rendszer célszerű használni korlátozó (figyelmeztetés) fejlécét. Ezek a fejlécek segítségével konfigurálható a banner bejelentkezést.
Sok felhasználó kezelni a router segítségével speciális protokollok, mint a HTTP vagy SNMP.
Ezt a protokollt széles körben használják nyomon követhető és ellenőrizhető router. Sajnos, a 1-es verzió ennek a protokoll egy nagyon gyenge hitelesítési rendszer alapján „közösség string”, amelyben a jelszót lehet továbbítani az egyértelmű. Ezért meg kell használni a 2-es verziója, amely együttműködik a MD5 algoritmus, és nem továbbítja a jelszót kommunikációs csatornákat.
Ha mégis szükség lenne, hogy egy 1-es verzió, akkor legyen óvatos, amikor kiválasztják a közösségi string (nem tudja használni állami vagy magán). Ne használja ugyanazt a közösség húr a különböző eszközöket. Ha lehetséges, állítsa be az időszakos SNMP ver 1 lekérdezés az írásvédett közösség húr.
Mert 1-es verzió, akkor kell használni az ACL SNMP-szerver közösség parancsot korlátozza a hozzáférést az ellenőrző állomáson. Nem tudja használni a parancsot SNMP-szerver közösség egy olyan környezetben, amely felhasználja 2-es verzió (kapcsoló 1-es verzió).
Mert 2-es verziója, be kell állítani a biztonsági hitelesítési és md5 parancsot konfigurációhoz SNMP-szerver párt. Ha lehetséges, akkor a legjobb, ha egy másik MD5 titkok minden router.
HTTP
Hogy megkönnyítsék a konfiguráció a router, hogy lehetőség van a „felvonó” a HTTP szervert. A jelszó tiszta szövegként küldi.
Módszerek bejelentkezik CISCO
- AAA fakitermelés - tartva a felhasználói bejegyzéseket. vannak kötve.
- SNMP fakitermelés - adatok továbbításának változásokat a rendszer állapotát.
- rendszernaplózás - rögzíti a hatalmas különféle események: naplózás konzol fakitermelés ip-címet, fakitermelés csapda fakitermelés monitor, monitor termonal fakitermelés pufferelt
Az információk megőrzése
Alapértelmezett logiruemaya információt küldeni csak az aszinkron konzol port.
Szinte minden router bejelentkezés tárolt információ a lokális RAM-pufferben, amelynek véges méretű (megjelenítése memória, fakitermelés pufferolt puffer-méret).
El is mentheti az adatokat a syslog szerver, fakitermelés szerver IP-címét, a fakitermelés csapda sürgős.
Ha a router egy valós idejű óra vagy fuss NTP, akkor tudjuk írni a napló időbélyeg - service timestamps jelentkezzen datetime msec.
Felvétel megsértése ACL
Ha ACL korlátozni a forgalom, akkor lehet felvenni a megsértése. Csapatok - a régebbi verziókban - jelentkezzen, új - log-bemenet.
például:
hozzáférés-lista szám tagadja icmp minden olyan átirányítási
hozzáférés-lista szám tagadja ip 127.0.0.0 0.255.255.255 bármilyen
hozzáférés-lista szám tagadja ip 224.0.0.0 31.255.255.255 bármilyen
hozzáférés-lista szám tagadja ip host 0.0.0.0 minden
Anti-hamisítást azzal RPF ellenőrzések
Gyakorlatilag az összes CISCO IOS. hogy a támogatás CISCO Express Forwarding (CEF), lehetséges, hogy „erőt” a router, hogy ellenőrizze a forrás címét minden egyes csomagot. Ez csak akkor működik, ha a szimmetrikus útvonal. Ha a hálózat úgy van kialakítva, hogy a közlekedési útvonal a fogadó A fogadó B fog futni a másik irányba, mint a forgalom a B-A, az ellenőrzést mindig ad rossz eredményt, és a kapcsolat a házigazdák nem lehetséges. Ez az aszimmetrikus routing gyakran használják az internetet mag. Ez a vizsgálat ismert, mint a visszirányú továbbítás (RPF), és tartalmazza a parancs ip ellenőrzi unicast RPF.
Controlling irányított üzenetszórást
Ahhoz, hogy megtámadják, mint a „törpe” általánosan használt IP irányított adásokat.
A CISCO router interfész védelme parancs használható nincs ip irányított-adás, így szükség van beállítani a no ip irányított-adás minden felületen minden router lehet csatlakoztatni a cél alhálózatban.
IP Source Routing
IP protokoll támogatja forrás routing opciót, ami lehetővé teszi, hogy a küldő IP-csomag irányítani az utat a csomagot a címzettnek. Korai megvalósítások gyakorolt IP forrás irányítva csomagokat megfelelően, ami azt eredményezheti, hogy küld neki egy csomagot forrás routing opciót, hogy a autóbalesetben.
CISCO router a telepítés nem ip forrás-útvonalon nem előre IP csomagok, amelyekben a forrás routing funkció engedélyezve van.
ICMP átirányítás
ICMP redirect üzenet „teszi” a végső CBT az előírt router elér egy bizonyos pontot a hálózatban. Egy megfelelően működő hálózati router küld átirányítja a csomagokat csak a hosts a helyi alhálózaton, nincs vége csomópont nem küld adatcsomagokat, és sem a csomag nem megy át egynél több hálózati hop. Azonban a támadó megkerülni ezeket a szabályokat. Jó ötlet -otfiltrovat bejövő ICMP átirányítás bejövő felület bármely router található a határ közötti közigazgatási területen.
Meg kell jegyezni, hogy a szűrés véd átirányítás támadásokat. kezdve egy távoli támadó.
Routing Protocol szűrése és hitelesítés
Ha a dinamikus routing, amely felhasználja a hitelesítés szükséges a használata. Ezzel elkerülhető az a probléma helyettesítési routing adatokat.
Ennek része az ISP vagy más nagy hálózatok, célszerű használni szűrési routing protokollok segítségével osztja-list parancs. Például, ha használja a dinamikus routing kommunikálni a felhasználóval „csonk” hálózat, akkor nem kell adatokat fogadni a frissítését az útvonal a hálózattal.
A készlet támadások, például a „Denial of Service” (DoS) alapuló továbbítás csomagokat haszontalan. Ezek az intézkedések vegye fel sávszélességet, csökkenti a reagálási idő a gazda és vezethet újraindítani router.
Megfelelő konfiguráció router csökkenti a kockázatát az ilyen támadások. Fontos része a flow control, hogy megtaláljuk a szűk sávszélesség.
tranzit árvíz
Ott van a lehetőségét, hogy a Cisco a szolgáltatás minősége (QoS), hogy megvédje állomása a támadások. Használhatja - súlyozott igazságos sorbanállás (WFQ). WFQ az alapértelmezett alacsony sebességű vonalakon sok operációs rendszer verziója. Ön is használja elkötelezett hozzáférési arány (CAR), általános forgalmi alakítására (GTS) és az egyéni sorbanállási.
Ha azt tervezi, hogy használja QoS irányítani a forgalom, ez nagyon fontos, hogy megértsük, hogyan működik. Például WFQ hatékonyabb árvíz ellen, mint ellen SYN árvíz, mert a normál ping árvíz a WFQ egyetlen forgalmat, és az egyes csomagok SYN flood egy külön téma.
CISCO kétféle módon, hogy csökkentsék a veszélyt a támadás típusát SYN elárasztás. Method „TCP Intercept” router a modellben használt 4000 vagy magasabb. Például CISCO IOS Firewall Feature Set magában foglalja a különböző módszerek elleni védelem SYN árvíz.
Önvédelem router
Először is szükség van, hogy megvédje magát a támadásoktól útválasztót, majd meg kell védeni házigazdák, állva utána. Kapcsolási módok és CISCO Express Forwarding
Mode - CEF kapcsolási mód, amely a rendelkezésre álló verziók 11.1CC, 11.1CT, 11.2GS, és 12,0. Ez lehetővé teszi, hogy váltani a forgalom a szokásosnál gyorsabb útvonal.
ütemező konfiguráció
Amikor a CISCO router van egy gyors kapcsolási mód, számos csomagokat, akkor lehetséges, hogy a „Letöltés” csak akkor működik a választ. Más munkát nem lehet elvégezni. Ez a hatás csökkenthető parancs segítségével ütemező intervallum. Egy tipikus konfiguráció használ parancsidőzítő intervallum 500, amely megjeleníti. hogy a feladat végrehajtásra kerül minden 500 milliszekundum.
Új CISCO cég állványok parancs használható ütemező osztja helyett parancsidőzítő intervallumot.
Számos szolgáltatások, amelyek nem általánosan használt, de jelenlétük vezethet támadás a hackerek.
TCP és UDP "Small Services"
Alapértelmezésben, CISCO, verziótól kezdődően 11,3, felveti a „kis szolgáltatások”: echo, chargen és dobja ki. Ezek a szolgáltatások. különösen azok UDP változatban lehet használni DoS támadások a router.
Letiltani akkor kell használni a szolgáltatást nem tcp-kis-szerverek és nincs szolgáltatás UDP-kis-szerverek.
ujj
CISCO router szolgáltatás „ujj”, amely lehetővé teszi, hogy meghatározza, aki csatlakozik a felhasználó. A deaktivált nincs szolgáltatás finger parancsot.
NTP
Network Time Protocol (NTP) szolgáltatás nem veszélyes, de a szükségtelen szolgáltatásokat potenciálisan veszélyes. Használatának letiltásához a nem ntp lehetővé.
CDP
CISCO Discovery Protocol (CDP) használunk közötti adatcsere a CISCO eszközök. A letiltás nem tett CDP futó csapat. CDP lehet emelni néhány, a felületek, off - semmi cdp enable parancsot.