BST Laboratorium 1

Wykorzystanie NTP



Czas (zegary) hostów i urządzeń sieciowych powinien

być zsynchronizowany i zarządzany aby zapewnić

jednoznaczność i synchronizację informacji

generowanej przez systemy logujące



Data i czas na urządzeniach sieciowych mogą być

ustawiane z wykorzystaniem 2 metod:



Manualnie edytując datę i czas



Konfigurując Network Time Protocol

Utrzymywanie aktualnego czasu



Pobieranie czasu z Internetu wymaga utworzenia reguł na

urządzeniach firewall, które zezwolą na ruch pakietów NTP przez

firewall



Wiele serwerów NTP w Internecie nie wymaga uwierzytelniania

partnerów



Zostały wyznaczone tzw. NTP masters (konkretne IP urządzeń). W

sieci z usługa NTP jedno lub kilka urządzeń sieciowych powinno być

wskazane jako tzw. master clock keeper (NTP Master – komenda
ntp master

w trybie konfiguracji globalnej IOS)



W celu synchronizacji czasu klienci NTP zarówno wysyłają zapytania

jak i nasłuchują wiadomości od master NTP. Aby skonfigurować tę

funkcjonalność należy wykonać komendę ntp server ntp-
server-address

w trybie konfiguracji globalnej IOS.



W sieci LAN, NTP może zostać skonfigurowane z wykorzystaniem

rozgłaszania (IP broadcast), z wykorzystaniem komendy ntp
broadcast client

w trybie konfiguracji globalnej IOS.

Cechy/Funkcje



Możliwe są dwa mechanizmy bezpieczeństwa:



Schemat restrykcji z wykorzystaniem ACL



Szyfrowany mechanizm uwierzytelniania zawarty w

specyfikacji wersji 3 i wyższych NTP



Należy wdrożyć NTP wersji 3 lub wyższej. Należy

wykorzystać poniższe komendy dla NTP Master i NTP

client.



ntp authenticate



ntp authentication

key

md5

value



ntp trusted-key

key-value

Wykorzystanie Syslog



Implementacja logowania na Routerze



Syslog



Konfiguracja Logowania Systemowego



Uruchomienie Syslog z poziomu SDM

Implementacja logowania na routerze 1

Istnieje możliwość wysyłania logów przez

router do:



Konsoli: logowanie tego typu jest używane podczas

modyfikowania konfiguracji i testowania, podczas gdy

router jest podłączony przez port konsoli. Wiadomości

wysyłane do konsoli nie są przechowywane przez

router, a zatem z punktu widzenia bezpieczeństwa

mało przydatne.



Linii terminali: konfiguracja tego typu jest możliwa w

przypadku pracy w trybie sesji enabled EXEC aby

otrzymywać logi na dowolną linię terminali. Podobnie

jak w przypadku Konsoli, wiadomości nie są

przechowywane przez router, a zatem z punktu

widzenia bezpieczeństwa mało przydatne.



Buffered logging: Przechowywanie logów w buforze

routera. Logi są przechowywane przez określony czas,

jednak zdarzenia są tracone z chwilą restartu

urządzenia.



Trapów SNMP: istnieje możliwość logowania

przekroczeń pewnych progów. Zdarzenia mogą być

przetwarzane przez router i wysyłane jako trapy SNMP

do zewnętrznego serwera SNMP. Wymaga to jednak

konfiguracji i zarządzania usługą SNMP.



Syslog: istnieje możliwość przesyłania logów przez

urządzenia do zewnętrznych serwerów usług syslog.

Usługa serwera syslog może zostać skonfigurowania

na wielu platformach sprzętowych i programowych

(Microsoft Windows, Linux, UNIX).

Implementacja logowania na routerze 2

Syslog



Serwery Syslog: znane jako hosty logujące, te systemy przyjmują,

akceptują i przetwarzają wiadomości z klientów syslog



Klienci Syslog: routery i inne typy urządzeń, które generują i

wysyłają logi do serwerów syslog

e0/0

10.2.1.1

e0/1
10.2.2.1

e0/2

10.2.3.1

User 10.2.3.3

Public Web

Server

10.2.2.3

Mail

Server

10.2.2.4

Administrator

Server

10.2.2.5

Syslog
Server 10.2.3.2

Protected LAN

10.2.3.0/24

DMZ LAN 10.2.2.0/24

Syslog Client

R3

Konfigurowanie usługi Syslog

R3(config)# logging 10.2.2.6

R3(config)# logging trap informational

R3(config)# logging source-interface loopback 0

R3(config)# logging on

1.

Ustaw hosta do którego wysyłany jest log

2.

Ustaw poziom logowania

3.

Ustaw interfejs źródłowy

4.

Włącz logowanie

Włącz/wyłącz logowanie używając

komend logging buffered,
logging monitor

i logging

Włączanie Syslog z poziomu CCP

Monitorowanie Syslog z poziomu CCP

Bannery



Bannery są domyślnie wyłączone i należy je włączyć.



Można wykorzystać następujące zmienne systemowe

w komendzie banner



$(hostname)—Wyświetla nazwę routera



$(domain)—Wyświetla domenę routera



$(line)—Wyświetla numer linii vty lub tty



$(line-desc)—Wyświetla opis, który jest skonfigurowany dla

linii

R1(config)#

banner {

exec

|

incoming

|

login

|

motd

|

slip-ppp

}

d

message

d

SSH

wersja 1, 2



Konfiguracja Routera



Komendy SSH



Użycie SDM do konfiguracji demona SSH

Konfiguracja SSH na routerze

R1# conf t

R1(config)# ip domain-name span.com

R1(config)# crypto key generate rsa general-keys

modulus 1024

The name for the keys will be: R1.span.com

% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-

exportable...[OK]

R1(config)#

*Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has

been enabled

R1(config)# username Bob secret cisco

R1(config)# line vty 0 4

R1(config-line)# login local

R1(config-line)# transport input ssh

R1(config-line)# exit

1.

Skonfiguruj nazwę domeny

2.

Wygeneruj klucze

3.

Utwórz lub zweryfikuj

bazę uzytkowników

4.

Włącz obsługę sesji

SSH nawiązywanych
przez VTY

Opcjonalne komendy SSH

R1# show ip ssh

SSH Enabled - version 1.99

Authentication timeout: 120 secs; Authentication

retries: 3

R1#

R1# conf t

Enter configuration commands, one per line. End with

CNTL/Z.

R1(config)# ip ssh version 2

R1(config)# ip ssh time-out 60

R1(config)# ip ssh authentication-retries 2

R1(config)# ^Z

R1#

R1# show ip ssh

SSH Enabled - version 2.0

Authentication timeout: 60 secs; Authentication

retries: 2

R1#

Wykorzystanie CCP

Wykorzystanie CCP

CCP Security Audit Wizard

CCP Security Audit Wizard

CCP Security Audit Wizard

CCP Security Audit Wizard

Porównuje konfigurację

routera z rekomendowanymi

ustawieniami związanymi z

bezpieczeństwem:



Wyłączenie nieużywanych

serwerów



Wyłączenie niepotrzebnych

serwisów



Włączenie firewalla na

interfejsach zewnętrznych



Wyłączenie lub utwardzenie

SNMP



Wyłączenie nieużywanych

interfejsów



Sprawdzenie siły haseł



Wymuszenie używania ACL

CCP Security Audit

CCP Security Audit: Podsumowanie

Cisco AutoSecure



Inicjowane z CLI i wykonuje skrypt.

Funkcja AutoSecure w pierwszej kolejności

sprawdza zalecenia dotyczące ustalenia luk

w zabezpieczeniach, a następnie

modyfikuje konfigurację router.



Może zablokować funkcje usług

management plane i forwarding plane oraz

inne funkcje routera



Wykorzystywane do wyegzekwowania

podstawowej polityki bezpieczeństwa na

nowym routerze

Komenda Auto Secure



Komenda włączająca setup Cisco

AutoSecure:

auto secure [no-interact]



W trybie interaktywnym, inicjowany jest

dialog dotyczący włączania lub wyłączania

poszczególnych serwisów. Jest to tryb

domyślny, jednak można go włączyć

komendą auto secure full.

Komenda Auto Secure

R1# auto secure ?

firewall AutoSecure Firewall

forwarding Secure Forwarding Plane

full Interactive full session of AutoSecure

login AutoSecure Login

management Secure Management Plane

no-interact Non-interactive session of AutoSecure

ntp AutoSecure NTP

ssh AutoSecure SSH

tcp-intercept AutoSecure TCP Intercept

<cr>

R1#

auto secure [no-interact | full] [forwarding

|

management ]

[ntp | login | ssh | firewall | tcp-intercept]

router#

CCP One-Step Lockdown

Przetestuje konfigurację

routera pod kątem

ewentualnych problemów

związanych z

bezpieczeństwem i

automatycznie dokona

niezbędnych zmian w

konfiguracji korygując

ewentualne znalezione

problemy

CCP One-Step Lockdown Wizard

AutoSecure Versus CCP Security

Audit One-Step Lockdown

R1# auto secure

--- AutoSecure Configuration ---

*** AutoSecure configuration enhances the

security of the router, but it will not make

it absolutely resistant to all security

attacks ***

AutoSecure will modify the configuration of

your device.

All configuration changes will be shown. For a

detailed explanation of how the configuration

changes enhance security and any possible side

effects, please refer to Cisco.com for

Autosecure documentation.

Ponadto Cisco AutoSecure:
•

Wyłącza NTP

• Konfiguruje AAA
• Ustawia

wartości SPD

•

Włącza przechwytywanie TCP

• Konfiguruje anti-spoofing ACL na
•

interfejsach zewnętrznych

CCP implementuje podobne

funkcjonalności inaczej:

• SNMP

jest wyłączane jednak nie włącza

się SNMPv3

•

Włącza się SSH (pod warunkiem
posiadania odpowiedniego IOS).

•

Nie włącza się Secure Copy Protocol
(SCP) –

włącza się FTP.