Безопасность роутера
Для удобства использования на роутерах по умолчанию включены различные сервисы. Эти сервисы создают угрозу для безопасности. При правильном дизайне сети роутеры находятся за файерволом, что исключает доступ к устройству или его сервисам из вне. Некоторые сетевые устройства помещают в зону DMZ в которой к ним открывается доступ. Не безопасное решение если роутер смотрит напрямую в интернет. В этом случае необходимо отключать открытые сервисы, и ограничивать доступ.
Уязвимость сервисов роутера
Сервисы роутера по угрозам безопасности группируются в след группы:
- Unnecesary services and inderfaces (сервисы и интерфейсы в которых нет необходимости).
- Common management services (сервисы для управления устройством).
- Path integrity mechanisms (сервисы, которые влияют на forwarding plane).
- Probes and scans (сервисы, которые возвращают информацию атакующему).
- Terminal access security (сервисы, которые ограничивают доступ к роутеру).
- Gratuitous and proxy ARP (сервисы, помогающие идентифицировать устройство в сегменте).
Рассмотрим эти группы подробнее.
Unnecessary services and interfaces
| Сервисы |
Описание |
Значения по умолчанию |
Способ отключения |
| Интерфейсы роутера |
Осуществляют прием и передачу пакетов |
Выключены у роутера |
(config-if)#shutdown |
| BOOTP сервер |
Роутер выступает в качестве bootp сервера
для сетевых устройств |
Включен |
(config)#no ip bootp server |
| CDP |
Рассылает инфу соседям |
Включен глобально и на
интерфейсах |
(config)#no cdp run
(config-if)#no cdp enable |
| Configuration auto-loading |
Автоматически копирует конфигу с сервера
при загрузке |
Выключен |
(config)#no service config |
| FTP сервер |
FTP сервер |
Выключен |
(config)#no ftp-server enable |
| TFTP сервер |
TFTP сервер |
Выключен |
(config)#no tftp-server file-sys:image name |
| NTP сервис |
Возволяет как принимать время с другого
сервера так и отсылать время другим NTP клиентам |
Выключен |
(config)#no ntp server ip address |
| Packet assemble/disassemble (PAD) сервис |
Обеспечивает доступ для X.25 PAD команд в
X.25 сети |
Включен |
(config)#no service pad |
| TCP и UDP minor service |
Небольшой сервер в роутере используемый
для диагностики. |
До 11.3 включен, после выключен |
(config)#no service tcp-small-servers
(config)#no service udp-small-servers |
| Maintance Operation Protocol (MOP) |
Сервис поддержки Digital Equipment
Corporation (DEC) в роутере. |
Включен на большинстве
Ethernet интерфейсах |
(config-if)#no mop enable |
Common Management Services
Сервисы в этой категории служат для передачи конфигурационных файлов и IOS роутеру.
| Сервисы |
Описание |
Значение по умолчанию |
Способ отключения |
| SNMP |
Используется для конфигурации и получения информации с роутера |
Включен |
(config)#no snmp-server enable |
| HTTP сервер |
Позволяет конфигурировать роутер по HTTP протоколу |
В зависимости от устройства |
(config)#no ip http server
(config)#no ip http secure-server |
| DNS |
Cisco роутеры по умолчанию используют 255.255.255.255 адрес для поиска DNS сервера и реализации имени |
Включен |
(config)#no ip domain-lookup |
Path integrity Mechanisms
Сервисы этой категории используются для передачи конфигурационных файлов, IOS, и вообще пакетов.
| Сервис |
Описание |
Значение по умолчанию |
Способ отключения |
| ICMP Redirects |
Этот сервис используется роутером для отсылки ICMP redirect сообщение когда пакет форвардится на тот же интерфейс, с которого и получен этот интерфейс |
Включен |
(config)#no ip icmp redirect
(config-if)#no ip redirects |
| IP Source Routing |
Этот сервис позволяет отправителю контролировать маршрут по которому пройдет пакет через сеть. |
Включен |
(config)#no ip source-route |
Probes and Scans
Сервисы этой категории используются для сбора информации, которая может быть использована злоумышленником.
| Сервис |
Описание |
Значение по умолчанию |
Способ отключения |
| Finger service |
Через Finger протокол (79 порт) получают список пользователей от сетевого устройства, который описывает номер линии, название соединения, время и место расположения терминала. |
Включен |
(config)#no service finger |
| ICMP unreachable notification |
Этот сервис отправляет пользователю ICMP сообщение в котором говорится о недоступности IP подсети или IP адреса |
Включен |
(config-if)#no ip unreachables |
| ICMP mask reply |
Этот сервис отправляет маску IP подсети по запросу |
Выключен |
(config)#no ip mask-reply |
| IP directed broadcast |
Этот сервис обеспечивает уникастовому пакету попавшему на роутер стать броадкастовым для определенного сегмента. |
Включен до 12.0, выключен после |
(config-if)#no ip directed-broadcast |
Terminal Access Security
Эта группа сервисов используется для сбора информации о пользоваетлях или для DoS атак.
| Сервис |
Описание |
Значение по умолчанию |
Способ отключения |
| IP identification service |
Этот сервис по протоколу RFC 1413 оповещает идентификатор инициатора TCP соединения. |
Включен |
(config)#no ip identd |
| TCP keepalives |
TCP keepalives позволяют закрыть TCP соединение если удаленная сторона перестала отвечать. |
Выключен |
(config)#service tcp-keepalives-in
(config)#service tcp-keepalives-out |
Gratuitous and Proxy ARP
Эта группа сервисов используется для сбора информации о пользоваетлях или для DoS атак.
| Сервис |
Описание |
Значение по умолчанию |
Способ отключения |
| Gratuitous ARP |
Этот сервис обычно используется для атак ARP poisoning. |
Включен |
(config)#no ip arp gratuitous |
| Proxy ARP |
Этот сервис используется для резолва адресов 2го уровня если роутер выступает в качестве бриджа. |
Включен |
(config)#no ip arp proxy |
Использование AutoSecure для защиты роутера.
Эта команда доступна с версии IOS 12.3 и позже. Может применятся в автоматическом режиме или интерактвном. В автоматическом режиме опции безпасности применяются ко всем сервисам, в интерактивном можно опционально отключать сервисы. Помимо отключения AutoSecure еще использует и другие функции для обеспечения безопасности.
- Management plane services and functions - к ним относятся finger, PAD, UDP and TCP small server, password encription, TCP keepalives, CDP, BOOTP, HTTP, source routing, gratuitous ARP, proxy ARP, ICMP redirects, ICMP mask replies, directed broadcast, MOP, banner.
- Forwarding plane services and functions - включает CEF и ACL, которые влияют на каждый пакет проходящий через роутер.
- Firewall services and functions - включает Cisco IOS fierwall inspection для основных протоколов, которая проводит более глубокий анализ пакетов.
- Logging functions - включает логирование и сохранение событий на роутере.
- NTP - проверяет что NTP настроен корректно и безопасно.
- SSH доступ - включает SSH доступ вместо telnet.
- TCP intercept services - предотвращает TCP SYN-flood атаки.
Команда имеет следующий вид:
router#auto secure [management | forwarding] [no-interact | full] [login | ntp | ssh | firewall | tcp-intercept]
no-interact включает ручной режим в котором можно конфигурировать отдельные сервисы.
full - обеспечивает полное выполнение команды по следующим этапам:
- Определяем внешний интерфейс.
- Защита management plane.
- Создается банер безопасности.
- Настройка passwords, AAA, SSH.
- Настройка безопасности на интерфейсах - no ip redirects, no ip proxy-arp, no ip unreachables, no ip directed-broadcast, no ip mask-reply, no mop enable.
- Защита forwarding plane - включается CEF, uRFP, CBAC (Router Firewall)
При использовании AutoSecure необходимо сохранить старую конфигу. Начиная с IOS версии 12.3(8)Т AutoSecure сохраняе дамп running-config в файле pre_autosec.cfg. Чтоб откатиться обратно к предыдущей конфигкрации необходимо configure replace flash:pre_autosec.cfg
Настройка AutoSecure через SDM.
Для настройки имеется два визарда
- SDM Security Audit Wizard
Сканирует конфигу и сообщает проблемную информацию. Находится в Configure - Security Audit - Perform Security Audit. При настройке необходимо указать какой интерфейс внешний. После проверки вылетает процесс проверки и исправления конфиги. После исправления указываются те пункты, которые не удалось исправить.
- SDM One-Step Lockdown Wizard
Этот мастер работает как команда auto secure full. Находится Configure - Security Audit - One-step lockdown.
|
