Безопасность устройств cisco

Search Безопасность в сетях cisco Безопасность устройств cisco Cisco - Безопасность Безопасность роутера

Для удобства использования на роутерах по умолчанию включены различные сервисы. Эти сервисы создают угрозу для безопасности. При правильном дизайне сети роутеры находятся за файерволом, что исключает доступ к устройству или его сервисам из вне. Некоторые сетевые устройства помещают в зону DMZ в которой к ним открывается доступ. Не безопасное решение если роутер смотрит напрямую в интернет. В этом случае необходимо отключать открытые сервисы, и ограничивать доступ.

Уязвимость сервисов роутера

Сервисы роутера по угрозам безопасности группируются в след группы:

  • Unnecesary services and inderfaces (сервисы и интерфейсы в которых нет необходимости).
  • Common management services (сервисы для управления устройством).
  • Path integrity mechanisms (сервисы, которые влияют на forwarding plane).
  • Probes and scans (сервисы, которые возвращают информацию атакующему).
  • Terminal access security (сервисы, которые ограничивают доступ к роутеру).
  • Gratuitous and proxy ARP (сервисы, помогающие идентифицировать устройство в сегменте).

Рассмотрим эти группы подробнее.

Unnecessary services and interfaces Сервисы Описание Значения по умолчанию Способ  отключения Интерфейсы роутера Осуществляют прием и передачу пакетов Выключены у роутера (config-if)#shutdown BOOTP сервер Роутер выступает в качестве bootp сервера
для сетевых устройств Включен (config)#no ip bootp server CDP Рассылает инфу соседям Включен глобально и на
интерфейсах (config)#no cdp run
(config-if)#no cdp enable
Configuration auto-loading Автоматически копирует конфигу с сервера
при загрузке Выключен (config)#no service config FTP сервер FTP сервер Выключен (config)#no ftp-server enable TFTP сервер TFTP сервер Выключен (config)#no tftp-server file-sys:image name NTP сервис Возволяет как принимать время с другого
сервера так и отсылать время другим NTP клиентам Выключен (config)#no ntp server ip address Packet assemble/disassemble (PAD) сервис Обеспечивает доступ для X.25 PAD команд в
X.25 сети Включен (config)#no service pad TCP и UDP minor service Небольшой сервер в роутере используемый
для диагностики. До 11.3 включен, после выключен (config)#no service tcp-small-servers
(config)#no service udp-small-servers
Maintance Operation Protocol (MOP) Сервис поддержки Digital Equipment
Corporation (DEC) в роутере. Включен на большинстве
Ethernet интерфейсах (config-if)#no mop enable

 

Common Management Services

Сервисы в этой категории служат для передачи конфигурационных файлов и IOS роутеру.

Сервисы Описание Значение по умолчанию Способ отключения SNMP Используется для конфигурации и получения информации с роутера Включен (config)#no snmp-server enable HTTP сервер Позволяет конфигурировать роутер по HTTP протоколу В зависимости от устройства (config)#no ip http server
(config)#no ip http secure-server
DNS Cisco роутеры по умолчанию используют 255.255.255.255 адрес для поиска DNS сервера и реализации имени Включен (config)#no ip domain-lookup

 

Path integrity Mechanisms

Сервисы этой категории используются для передачи конфигурационных файлов, IOS, и вообще пакетов.

Сервис Описание Значение по умолчанию Способ отключения ICMP Redirects Этот сервис используется роутером для отсылки ICMP redirect сообщение когда пакет форвардится на тот же интерфейс, с которого и получен этот интерфейс Включен (config)#no ip icmp redirect
(config-if)#no ip redirects
IP Source Routing Этот сервис позволяет отправителю контролировать маршрут по которому пройдет пакет через сеть. Включен (config)#no ip source-route

 

Probes and Scans

Сервисы этой категории используются для сбора информации, которая может быть использована злоумышленником.

Сервис Описание Значение по умолчанию Способ отключения Finger service Через Finger протокол (79 порт) получают список пользователей от сетевого устройства, который описывает номер линии, название соединения, время и место расположения терминала. Включен (config)#no service finger ICMP unreachable notification Этот сервис отправляет пользователю ICMP сообщение в котором говорится о недоступности IP подсети или IP адреса Включен (config-if)#no ip unreachables ICMP mask reply Этот сервис отправляет маску IP подсети по запросу Выключен (config)#no ip mask-reply IP directed broadcast Этот сервис обеспечивает уникастовому пакету попавшему на роутер стать броадкастовым для определенного сегмента. Включен до 12.0, выключен после (config-if)#no ip directed-broadcast

 

Terminal Access Security

Эта группа сервисов используется для сбора информации о пользоваетлях или для DoS атак.

Сервис Описание Значение по умолчанию Способ отключения IP identification service Этот сервис по протоколу RFC 1413 оповещает идентификатор инициатора TCP соединения. Включен (config)#no ip identd TCP keepalives TCP keepalives позволяют закрыть TCP соединение если удаленная сторона перестала отвечать. Выключен (config)#service tcp-keepalives-in
(config)#service tcp-keepalives-out

 

Gratuitous and Proxy ARP

Эта группа сервисов используется для сбора информации о пользоваетлях или для DoS атак.

Сервис Описание Значение по умолчанию Способ отключения Gratuitous ARP Этот сервис обычно используется для атак ARP poisoning. Включен (config)#no ip arp gratuitous Proxy ARP Этот сервис используется для резолва адресов 2го уровня если роутер  выступает в качестве бриджа. Включен (config)#no ip arp proxy

 

Использование AutoSecure для защиты роутера.

Эта команда доступна с версии IOS 12.3 и позже. Может применятся в автоматическом режиме или интерактвном. В автоматическом режиме опции безпасности применяются ко всем сервисам, в интерактивном можно опционально отключать сервисы. Помимо отключения AutoSecure еще использует и другие функции для обеспечения безопасности.

  • Management plane services and functions - к ним относятся finger, PAD, UDP and TCP small server, password encription, TCP keepalives, CDP, BOOTP, HTTP, source routing, gratuitous ARP, proxy ARP, ICMP redirects, ICMP mask replies, directed broadcast, MOP, banner.
  • Forwarding plane services and functions - включает CEF и ACL, которые влияют на каждый пакет проходящий через роутер.
  • Firewall services and functions - включает Cisco IOS fierwall inspection для основных протоколов, которая проводит более глубокий анализ пакетов.
  • Logging functions - включает логирование и сохранение событий на роутере.
  • NTP - проверяет что NTP настроен корректно и безопасно.
  • SSH доступ - включает SSH доступ вместо telnet.
  • TCP intercept services - предотвращает TCP SYN-flood атаки.

Команда имеет следующий вид:

router#auto secure [management | forwarding] [no-interact | full] [login | ntp | ssh | firewall | tcp-intercept]

no-interact включает ручной режим в котором можно конфигурировать отдельные сервисы.

full - обеспечивает полное выполнение команды по следующим этапам:

  1. Определяем внешний интерфейс.
  2. Защита management plane.
  3. Создается банер безопасности.
  4. Настройка passwords, AAA, SSH.
  5. Настройка безопасности на интерфейсах - no ip redirects, no ip proxy-arp, no ip unreachables, no ip directed-broadcast, no ip mask-reply, no mop enable.
  6. Защита forwarding plane - включается CEF, uRFP, CBAC (Router Firewall)

При использовании AutoSecure необходимо сохранить старую конфигу. Начиная с IOS версии 12.3(8)Т AutoSecure сохраняе дамп running-config в файле pre_autosec.cfg. Чтоб откатиться обратно к предыдущей конфигкрации необходимо configure replace flash:pre_autosec.cfg

Настройка AutoSecure через SDM.

Для настройки имеется два визарда

  • SDM Security Audit Wizard
    Сканирует конфигу и сообщает проблемную информацию. Находится в Configure - Security Audit - Perform Security Audit. При настройке необходимо указать какой интерфейс внешний. После проверки вылетает процесс проверки и исправления конфиги. После исправления указываются те пункты, которые не удалось исправить.
  • SDM One-Step Lockdown Wizard
    Этот мастер работает как команда auto secure full. Находится Configure - Security Audit - One-step lockdown.
< Предыдущая   Следующая > Обновлено 01.07.2010 10:19   Последнее на форуме Terms and Conditions | Cisco conf | Support | Contact Us 922-96-07 Design © CCIE | Cisco-conf. All rights reserved.
rss