Mainos / Advertisement:

Ero sivun ”Cisco reititin tietoturva” versioiden välillä

Kohteesta Taisto
Siirry navigaatioon Siirry hakuun
 
(2 välissä olevaa versiota samalta käyttäjältä ei näytetä)
Rivi 39: Rivi 39:
 
  ip ssh time-out 15
 
  ip ssh time-out 15
 
  ip ssh authentication-retries 2
 
  ip ssh authentication-retries 2
 +
 +
 +
Reitittimissä on paljon featureja, joista joitain kannattaa disabloida.
 +
Tässä joitain joiden disabloimista kannattaa harkita:
 +
 +
* Cisco Discovery Protocol (CDP)
 +
* TCP small servers
 +
* UDP small servers
 +
* Finger
 +
* HTTP server
 +
* BOOTP server
 +
* Configuration autoloading
 +
* IP source routing
 +
* Proxy ARP
 +
* IP directed broadcast
 +
* Classless routing
 +
* IP unreachable notifications
 +
* IP mask reply
 +
* IP redirects
 +
* NTP service
 +
* Simple Network Managment Protocol
 +
* Domain Name Service
 +
 +
 +
==== Reititys ====
 +
 +
Jollei reittipäivityksiä salata mitenkään, niitä voi urkkia ja häiritä. Joku voi esimerkiksi mainostaa välissä jotain ip osoitetta niin että paketti mikä pitäisi mennä jonnekin muualle sekoaa ja alkaa luuppaamaan.
 +
 +
Paras keino suojeluun on käyttää md5 algoritmiä reititys pakettien autentikointiin.
 +
 +
 +
RIPv2 suojaaminen. Estetään ensiksi päivitysten lähetys interfaceista mihin niiden ei tarvitse mennä. Teemme kaikista ensin passiivia, niin ne vastaanottaa päivityksiä, mutta eivät lähetä niitä. Sitten nostetaan se normaaliksi mistä tulee päivitysten myös lähteä.
 +
 +
router rip
 +
  passive-interface default
 +
  no passive-interface fa0/0 (eli se interface mistä on tarve päivitysten mennä)
 +
 +
Nyt konffataan md5 autentikointi jotta asiattomat vierailijat verkossa eivät saisi rip päivityksiä.
 +
 +
key chain rip_salaus
 +
  key 1
 +
  key-string Qwerty1
 +
  exit
 +
  exit
 +
interface fastEthernet 0/0
 +
  ip rip authentication mode md5
 +
  ip rip authentication key-chain rip_salaus
 +
 +
Nyt salausavain on nimeltään rip_salaus ja se on Qwerty1 ja käyttää md5 salaus algoritmiä.
 +
HUOM! samat jutut pitää tehdä kaikkiin routtereihin.
 +
 +
EIGRP ja OSPF konffit melko samanlaisia:
 +
 +
key chain eigrp_avain
 +
  key 1
 +
  key-string Qwerty1
 +
  exit
 +
  exit
 +
interface fastEthernet 0/0
 +
  ip authentication mode eigrp 1 md5
 +
  ip authentication key-chain eigrp 1 eigrp_avain
 +
 +
interface fastEthernet 0/0
 +
  ip ospf message-digest-key 1 md5 Qwerty1
 +
  ip ospf authentication message-digest
 +
  exit
 +
router ospf 10
 +
  area 0 authentication message-digest

Nykyinen versio 5. maaliskuuta 2015 kello 14.05

Suljetaan ylimääräiset pääsyt, esimerkiksi aux

line aux 0
 no password
 login
 exit

Nyt ei pääse kirjautumaan, koska salasanaa ei ole asetettu.


VTY tietoturva

Kannattaa sulkea ylimääräiset pääsyt, esim telnet.

line vty 0 4
 no transport input
 transport input telnet ssh  #sallii sekä telnet että ssh pääsyn
line vty 0 4
 no transport input
 transport input ssh  #sallii vain ssh pääsyn


Cisco laitteissa on vain tietty määrä vty linejä, yleensä viisi. Jos kaikkiin on pääsy, voi joku ilkkimys ottaa viisi yhteyttä samaan aikaan ja estää pääsyn adminilta, ei siis tarvitse edes päästä kirjautumaan sisään. Jos haluaa olla varma voi konffata yhden linen sallituksi vain adminilta, esimerkiksi acces listalla tietyltä koneelta.

Yksi hyvä keino on konffata tcp-keepalive

line vty 0 4
 exec-timeout 3
 exit
service tcp-keepalives-in

Nyt idle yhteydet pätkäisee kolmen minuutin kuluttua

ssh kannattaa ehdottomasti laittaa. kaikki iossit ei kuitenkaan tue ssh, jos iossin nimessä on k8 tai k9 niin ne tukee.


Ssh kannattaa laittaa timeoutit

ip ssh time-out 15
ip ssh authentication-retries 2


Reitittimissä on paljon featureja, joista joitain kannattaa disabloida. Tässä joitain joiden disabloimista kannattaa harkita:

  • Cisco Discovery Protocol (CDP)
  • TCP small servers
  • UDP small servers
  • Finger
  • HTTP server
  • BOOTP server
  • Configuration autoloading
  • IP source routing
  • Proxy ARP
  • IP directed broadcast
  • Classless routing
  • IP unreachable notifications
  • IP mask reply
  • IP redirects
  • NTP service
  • Simple Network Managment Protocol
  • Domain Name Service


Reititys

Jollei reittipäivityksiä salata mitenkään, niitä voi urkkia ja häiritä. Joku voi esimerkiksi mainostaa välissä jotain ip osoitetta niin että paketti mikä pitäisi mennä jonnekin muualle sekoaa ja alkaa luuppaamaan.

Paras keino suojeluun on käyttää md5 algoritmiä reititys pakettien autentikointiin.


RIPv2 suojaaminen. Estetään ensiksi päivitysten lähetys interfaceista mihin niiden ei tarvitse mennä. Teemme kaikista ensin passiivia, niin ne vastaanottaa päivityksiä, mutta eivät lähetä niitä. Sitten nostetaan se normaaliksi mistä tulee päivitysten myös lähteä.

router rip
 passive-interface default
 no passive-interface fa0/0 (eli se interface mistä on tarve päivitysten mennä)

Nyt konffataan md5 autentikointi jotta asiattomat vierailijat verkossa eivät saisi rip päivityksiä.

key chain rip_salaus
 key 1
  key-string Qwerty1
  exit
 exit
interface fastEthernet 0/0
 ip rip authentication mode md5
 ip rip authentication key-chain rip_salaus

Nyt salausavain on nimeltään rip_salaus ja se on Qwerty1 ja käyttää md5 salaus algoritmiä. HUOM! samat jutut pitää tehdä kaikkiin routtereihin.

EIGRP ja OSPF konffit melko samanlaisia:

key chain eigrp_avain
 key 1
  key-string Qwerty1
  exit
 exit
interface fastEthernet 0/0
 ip authentication mode eigrp 1 md5
 ip authentication key-chain eigrp 1 eigrp_avain
interface fastEthernet 0/0
 ip ospf message-digest-key 1 md5 Qwerty1
 ip ospf authentication message-digest
 exit
router ospf 10
 area 0 authentication message-digest
Mainos / Advertisement: