BST Laboratorium 1
Wykorzystanie NTP
oð Czas (zegary) hostów i urzÄ…dzeÅ„ sieciowych powinien
być zsynchronizowany i zarządzany aby zapewnić
jednoznaczność i synchronizację informacji
generowanej przez systemy logujÄ…ce
oð Data i czas na urzÄ…dzeniach sieciowych mogÄ… być
ustawiane z wykorzystaniem 2 metod:
Manualnie edytujÄ…c datÄ™ i czas
KonfigurujÄ…c Network Time Protocol
Utrzymywanie aktualnego czasu
oð Pobieranie czasu z Internetu wymaga utworzenia reguÅ‚ na
urządzeniach firewall, które zezwolą na ruch pakietów NTP przez
firewall
oð Wiele serwerów NTP w Internecie nie wymaga uwierzytelniania
partnerów
oð ZostaÅ‚y wyznaczone tzw. NTP masters (konkretne IP urzÄ…dzeÅ„). W
sieci z usługa NTP jedno lub kilka urządzeń sieciowych powinno być
wskazane jako tzw. master clock keeper (NTP Master  komenda
ntp master w trybie konfiguracji globalnej IOS)
oð W celu synchronizacji czasu klienci NTP zarówno wysyÅ‚ajÄ… zapytania
jak i nasłuchują wiadomości od master NTP. Aby skonfigurować tę
funkcjonalność należy wykonać komendę ntp server ntp-
server-address w trybie konfiguracji globalnej IOS.
oð W sieci LAN, NTP może zostać skonfigurowane z wykorzystaniem
rozgłaszania (IP broadcast), z wykorzystaniem komendy ntp
broadcast client w trybie konfiguracji globalnej IOS.
Cechy/Funkcje
oð Możliwe sÄ… dwa mechanizmy bezpieczeÅ„stwa:
Schemat restrykcji z wykorzystaniem ACL
Szyfrowany mechanizm uwierzytelniania zawarty w
specyfikacji wersji 3 i wyższych NTP
oð Należy wdrożyć NTP wersji 3 lub wyższej. Należy
wykorzystać poniższe komendy dla NTP Master i NTP
client.
ntp authenticate
ntp authentication key md5 value
ntp trusted-key key-value
Wykorzystanie Syslog
oð Implementacja logowania na Routerze
oð Syslog
oð Konfiguracja Logowania Systemowego
oð Uruchomienie Syslog z poziomu SDM
Implementacja logowania na routerze 1
Istnieje możliwość wysyłania logów przez
router do:
oð Konsoli: logowanie tego typu jest używane podczas
modyfikowania konfiguracji i testowania, podczas gdy
router jest podłączony przez port konsoli. Wiadomości
wysyłane do konsoli nie są przechowywane przez
router, a zatem z punktu widzenia bezpieczeństwa
mało przydatne.
oð Linii terminali: konfiguracja tego typu jest możliwa w
przypadku pracy w trybie sesji enabled EXEC aby
otrzymywać logi na dowolną linię terminali. Podobnie
jak w przypadku Konsoli, wiadomości nie są
przechowywane przez router, a zatem z punktu
widzenia bezpieczeństwa mało przydatne.
Implementacja logowania na routerze 2
oð Buffered logging: Przechowywanie logów w buforze
routera. Logi są przechowywane przez określony czas,
jednak zdarzenia sÄ… tracone z chwilÄ… restartu
urzÄ…dzenia.
oð Trapów SNMP: istnieje możliwość logowania
przekroczeń pewnych progów. Zdarzenia mogą być
przetwarzane przez router i wysyłane jako trapy SNMP
do zewnętrznego serwera SNMP. Wymaga to jednak
konfiguracji i zarządzania usługą SNMP.
oð Syslog: istnieje możliwość przesyÅ‚ania logów przez
urządzenia do zewnętrznych serwerów usług syslog.
Usługa serwera syslog może zostać skonfigurowania
na wielu platformach sprzętowych i programowych
(Microsoft Windows, Linux, UNIX).
Syslog
oð Serwery Syslog: znane jako hosty logujÄ…ce, te systemy przyjmujÄ…,
akceptują i przetwarzają wiadomości z klientów syslog
oð Klienci Syslog: routery i inne typy urzÄ…dzeÅ„, które generujÄ… i
wysyłają logi do serwerów syslog
Administrator
Public Web Mail
Server
Server Server
10.2.2.5
10.2.2.3 10.2.2.4
Syslog Client
e0/0
10.2.1.1
e0/1
R3
DMZ LAN 10.2.2.0/24
10.2.2.1
e0/2
10.2.3.1
Syslog
Server 10.2.3.2
User 10.2.3.3
Protected LAN
10.2.3.0/24
Konfigurowanie usługi Syslog
Włącz/wyłącz logowanie używając
komend logging buffered,
logging monitor i logging
1. Ustaw hosta do którego wysyłany jest log
R3(config)# logging 10.2.2.6
R3(config)# logging trap informational
2. Ustaw poziom logowania
R3(config)# logging source-interface loopback 0
R3(config)# logging on
3. Ustaw interfejs z
ródłowy
4. WÅ‚Ä…cz logowanie
WÅ‚Ä…czanie Syslog z poziomu CCP
Monitorowanie Syslog z poziomu CCP
Bannery
oð Bannery sÄ… domyÅ›lnie wyÅ‚Ä…czone i należy je wÅ‚Ä…czyć.
oð Można wykorzystać nastÄ™pujÄ…ce zmienne systemowe
w komendzie banner
$(hostname) Wyświetla nazwę routera
$(domain) Wyświetla domenę routera
$(line) Wyświetla numer linii vty lub tty
$(line-desc) Wyświetla opis, który jest skonfigurowany dla
linii
R1(config)# banner {exec | incoming | login | motd | slip-ppp} d message d
SSH wersja 1, 2
oð Konfiguracja Routera
oð Komendy SSH
oð Użycie SDM do konfiguracji demona SSH
Konfiguracja SSH na routerze
1. Skonfiguruj nazwÄ™ domeny
R1# conf t
R1(config)# ip domain-name span.com
R1(config)# crypto key generate rsa general-keys
modulus 1024
2. Wygeneruj klucze
The name for the keys will be: R1.span.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-
exportable...[OK]
R1(config)#
*Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has
been enabled
3. Utwórz lub zweryfikuj
R1(config)# username Bob secret cisco
bazę uzytkowników
R1(config)# line vty 0 4
R1(config-line)# login local
4. Włącz obsługę sesji
R1(config-line)# transport input ssh
R1(config-line)# exit
SSH nawiÄ…zywanych
przez VTY
Opcjonalne komendy SSH
R1# show ip ssh
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication
retries: 3
R1#
R1# conf t
Enter configuration commands, one per line. End with
CNTL/Z.
R1(config)# ip ssh version 2
R1(config)# ip ssh time-out 60
R1(config)# ip ssh authentication-retries 2
R1(config)# ^Z
R1#
R1# show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 60 secs; Authentication
retries: 2
R1#
Wykorzystanie CCP
Wykorzystanie CCP
CCP Security Audit Wizard
CCP Security Audit Wizard
CCP Security Audit Wizard
CCP Security Audit Wizard
Porównuje konfigurację
routera z rekomendowanymi
ustawieniami zwiÄ…zanymi z
bezpieczeństwem:
oð WyÅ‚Ä…czenie nieużywanych
serwerów
oð WyÅ‚Ä…czenie niepotrzebnych
serwisów
oð WÅ‚Ä…czenie firewalla na
interfejsach zewnętrznych
oð WyÅ‚Ä…czenie lub utwardzenie
SNMP
oð WyÅ‚Ä…czenie nieużywanych
interfejsów
oð Sprawdzenie siÅ‚y haseÅ‚
oð Wymuszenie używania ACL
CCP Security Audit
CCP Security Audit: Podsumowanie
Cisco AutoSecure
oð Inicjowane z CLI i wykonuje skrypt.
Funkcja AutoSecure w pierwszej kolejności
sprawdza zalecenia dotyczÄ…ce ustalenia luk
w zabezpieczeniach, a następnie
modyfikuje konfiguracjÄ™ router.
oð Może zablokować funkcje usÅ‚ug
management plane i forwarding plane oraz
inne funkcje routera
oð Wykorzystywane do wyegzekwowania
podstawowej polityki bezpieczeństwa na
nowym routerze
Komenda Auto Secure
oð Komenda wÅ‚Ä…czajÄ…ca setup Cisco
AutoSecure:
auto secure [no-interact]
oð W trybie interaktywnym, inicjowany jest
dialog dotyczący włączania lub wyłączania
poszczególnych serwisów. Jest to tryb
domyślny, jednak można go włączyć
komendÄ… auto secure full.
Komenda Auto Secure
router#
auto secure [no-interact | full] [forwarding | management ]
[ntp | login | ssh | firewall | tcp-intercept]
R1# auto secure ?
firewall AutoSecure Firewall
forwarding Secure Forwarding Plane
full Interactive full session of AutoSecure
login AutoSecure Login
management Secure Management Plane
no-interact Non-interactive session of AutoSecure
ntp AutoSecure NTP
ssh AutoSecure SSH
tcp-intercept AutoSecure TCP Intercept

R1#
CCP One-Step Lockdown
Przetestuje konfiguracjÄ™
routera pod kÄ…tem
ewentualnych problemów
zwiÄ…zanych z
bezpieczeństwem i
automatycznie dokona
niezbędnych zmian w
konfiguracji korygujÄ…c
ewentualne znalezione
problemy
CCP One-Step Lockdown Wizard
AutoSecure Versus CCP Security
Audit One-Step Lockdown
R1# auto secure
--- AutoSecure Configuration ---
*** AutoSecure configuration enhances the
security of the router, but it will not make
it absolutely resistant to all security
attacks ***
AutoSecure will modify the configuration of
your device.
All configuration changes will be shown. For a
detailed explanation of how the configuration
changes enhance security and any possible side
effects, please refer to Cisco.com for
Autosecure documentation.
CCP implementuje podobne
Ponadto Cisco AutoSecure:
funkcjonalności inaczej:
" Wyłącza NTP
" SNMP jest wyłączane jednak nie włącza
" Konfiguruje AAA
siÄ™ SNMPv3
" Ustawia wartości SPD
" WÅ‚Ä…cza siÄ™ SSH (pod warunkiem
" WÅ‚Ä…cza przechwytywanie TCP
posiadania odpowiedniego IOS).
" Konfiguruje anti-spoofing ACL na
" Nie włącza się Secure Copy Protocol
" interfejsach zewnętrznych
(SCP)  włącza się FTP.