Cisco reititin tietoturva
Suljetaan ylimääräiset pääsyt, esimerkiksi aux
line aux 0 no password login exit
Nyt ei pääse kirjautumaan, koska salasanaa ei ole asetettu.
VTY tietoturva
Kannattaa sulkea ylimääräiset pääsyt, esim telnet.
line vty 0 4 no transport input transport input telnet ssh #sallii sekä telnet että ssh pääsyn
line vty 0 4 no transport input transport input ssh #sallii vain ssh pääsyn
Cisco laitteissa on vain tietty määrä vty linejä, yleensä viisi. Jos kaikkiin on pääsy, voi joku ilkkimys ottaa viisi yhteyttä samaan aikaan ja estää pääsyn adminilta, ei siis tarvitse edes päästä kirjautumaan sisään. Jos haluaa olla varma voi konffata yhden linen sallituksi vain adminilta, esimerkiksi acces listalla tietyltä koneelta.
Yksi hyvä keino on konffata tcp-keepalive
line vty 0 4 exec-timeout 3 exit service tcp-keepalives-in
Nyt idle yhteydet pätkäisee kolmen minuutin kuluttua
ssh kannattaa ehdottomasti laittaa. kaikki iossit ei kuitenkaan tue ssh, jos iossin nimessä on k8 tai k9 niin ne tukee.
Ssh kannattaa laittaa timeoutit
ip ssh time-out 15 ip ssh authentication-retries 2
Reitittimissä on paljon featureja, joista joitain kannattaa disabloida.
Tässä joitain joiden disabloimista kannattaa harkita:
- Cisco Discovery Protocol (CDP)
- TCP small servers
- UDP small servers
- Finger
- HTTP server
- BOOTP server
- Configuration autoloading
- IP source routing
- Proxy ARP
- IP directed broadcast
- Classless routing
- IP unreachable notifications
- IP mask reply
- IP redirects
- NTP service
- Simple Network Managment Protocol
- Domain Name Service
Reititys
Jollei reittipäivityksiä salata mitenkään, niitä voi urkkia ja häiritä. Joku voi esimerkiksi mainostaa välissä jotain ip osoitetta niin että paketti mikä pitäisi mennä jonnekin muualle sekoaa ja alkaa luuppaamaan.
Paras keino suojeluun on käyttää md5 algoritmiä reititys pakettien autentikointiin.
RIPv2 suojaaminen. Estetään ensiksi päivitysten lähetys interfaceista mihin niiden ei tarvitse mennä. Teemme kaikista ensin passiivia, niin ne vastaanottaa päivityksiä, mutta eivät lähetä niitä. Sitten nostetaan se normaaliksi mistä tulee päivitysten myös lähteä.
router rip passive-interface default no passive-interface fa0/0 (eli se interface mistä on tarve päivitysten mennä)
Nyt konffataan md5 autentikointi jotta asiattomat vierailijat verkossa eivät saisi rip päivityksiä.
key chain rip_salaus key 1 key-string Qwerty1 exit exit interface fastEthernet 0/0 ip rip authentication mode md5 ip rip authentication key-chain rip_salaus
Nyt salausavain on nimeltään rip_salaus ja se on Qwerty1 ja käyttää md5 salaus algoritmiä. HUOM! samat jutut pitää tehdä kaikkiin routtereihin.
EIGRP ja OSPF konffit melko samanlaisia:
key chain eigrp_avain key 1 key-string Qwerty1 exit exit interface fastEthernet 0/0 ip authentication mode eigrp 1 md5 ip authentication key-chain eigrp 1 eigrp_avain
interface fastEthernet 0/0 ip ospf message-digest-key 1 md5 Qwerty1 ip ospf authentication message-digest exit router ospf 10 area 0 authentication message-digest