Цели:
· Установка и краткое описание Cisco Security Device Manager.
· Настройка защиты маршрутизатора с помощью опции auto secure.
Оборудование:
Для выполнения понадобится маршрутизатор серии 1700, 2600, 2690, 3600, 3700, 7200, также понадобится rollover кабель и хост для подключения к маршрутизатору через консольный порт, нужны файлы Cisco SDM для того, чтобы закачать их на флэш-память маршрутизатора, установленное программное обеспечение TFTP сервера на хосте, файлы Cisco SDM доступны по этой ссылке ftp://ftp.cisco.com/pub/web/sdm/.
Задание 1. Установка и краткое описание Cisco Security Device Manager.
Cisco Security Device Manager это мощное средство для настройики и конфигурирования оборудования Cisco, Cisco Security Device Manager имеет очень удобный, понятный интерфейс, доступ к устройству осуществляется с хоста через веб-браузер. Для того чтобы пользоваться Cisco Security Device Manager нужно закачать его рабочие файлы с помощью TFTP, как минимум во флэш памяти должны находиться следующие файлы:
■ sdmconfig-router_platform.cfg
■ sdm.tar
■ es.tar
■ common.tar
■ home.shtml
■ home.tar
После этого нужно настроить доступ к маршрутизатору посредством протокола HTTP или HTTPS:
Router (config)# ip http server
Router (config)# ip http secure-server
Router (config)# ip http authentication local
Для того чтобы войти на устройство нужно в строке адреса браузера адреса указать адрес активного IP интерфейса устройства. Вот так выглядит окно Cisco SDM:
Слева на панели находятся все необходимыые настройки маршрутизатора, сверху можно выбрать режим настройки или мониторинга. Выполните все задания приведенные в лабороторной работе №1 с помощью Cisco SDM.
Задание 2 . Настройка защиты маршрутизатора с помощью опции auto secure.
Функция программного обеспечения Cisco IOS AutoSecure упрощает конфигурацию атрибутов безопасности на маршрутизаторах и снижает риск ошибок конфигурации. В интерактивном режиме, который подходит для опытных пользователей, пользователям выдаются подсказки по индивидуальной настройке атрибутов безопасности и сервисов на маршрутизаторах. Это обеспечивает больший контроль над функциями безопасности маршрутизаторов. Для этого используем команду:
Router#auto secure management
Неопытным пользователям AutoSecure дает возможность быстро обеспечить безопасность маршрутизатора без значительного ручного вмешательства, в неинтерактивном режиме работы, который автоматически активирует функции безопасности маршрутизаторов на базе настроек, заданных Cisco Systems по умолчанию. Одна команда мгновенно конфигурирует профиль безопасности маршрутизаторов и дезактивирует не требующиеся системные процессы и сервисы, устраняя потенциальные угрозы для безопасности сети.
R1# auto secure
--- AutoSecure Configuration ---
*** AutoSecure configuration enhances the security of
the router, but it will not make it absolutely resistant
to all security attacks ***
AutoSecure will modify the configuration of your device.
All configuration changes will be shown. For a detailed
explanation of how the configuration changes enhance security
and any possible side effects, please refer to Cisco.com for
Autosecure documentation.
At any prompt you may enter '?' for help.
Use ctrl-c to abort this session at any prompt.
Gathering information about the router for AutoSecure
Is this router connected to internet? [no]: yes
Enter the number of interfaces facing the internet [1]:
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 192.168.0.29 YES NVRAM up up
FastEthernet0/1 172.16.2.1 YES NVRAM up up
Serial1/0 172.16.1.1 YES NVRAM up up
Serial1/1 unassigned YES NVRAM administratively down down
Serial1/2 unassigned YES NVRAM administratively down down
Serial1/3 unassigned YES NVRAM administratively down down
Enter the interface name that is facing the internet: FastEthernet0/1
Securing Management plane services...
Disabling service finger
Disabling service pad
Disabling udp & tcp small servers
Enabling service password encryption
Enabling service tcp-keepalives-in
Enabling service tcp-keepalives-out
Disabling the cdp protocol
Disabling the bootp server
Disabling the http server
Disabling the finger service
Disabling source routing
Disabling gratuitous arp
Here is a sample Security Banner to be shown
at every access to device. Modify it to suit your
enterprise requirements.
Authorized Access only
This system is the property of So-&-So-Enterprise.
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
You must have explicit permission to access this
device. All activities performed on this device
are logged. Any violations of access policy will result
in disciplinary action.
Enter the security banner {Put the banner between
k and k, where k is any character}:
%
WARNING: This router is the property of Cisco Press.
Any unauthorized access is monitored. Violators will be prosecuted.
%
Enter the new enable password:
Confirm the enable password:
Configuring AAA local authentication
Configuring Console, Aux and VTY lines for
local authentication, exec-timeout, and transport
Securing device against Login Attacks
Configure the following parameters
Blocking Period when Login Attack detected: 30
Maximum Login failures with the device: 3
Maximum time period for crossing the failed login attempts: 10
Configure SSH server? [yes]:
Enter the domain-name: ciscopress.com
Configuring interface specific AutoSecure services
Disabling the following ip services on all interfaces:
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
Disabling mop on Ethernet interfaces
Securing Forwarding plane services...
Enabling CEF (This might impact the memory requirements for your platform)
Enabling unicast rpf on all interfaces connected
to internet
Configure CBAC Firewall feature? [yes/no]: yes
This is the configuration generated:
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
service password-encryption
service tcp-keepalives-in
service tcp-keepalives-out
no cdp run
no ip bootp server
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
no ip identd
banner motd ^C
WARNING: This router is the property of Cisco Press.
Any unauthorized access is monitored. Violators will be prosecuted.
^C
security passwords min-length 6
security authentication failure rate 10 log
enable password 7 095F4B0A0B0003022B1F17
aaa new-model
authentication login local_auth local
line con 0
login authentication local_auth
exec-timeout 5 0
transport output telnet
line aux 0
login authentication local_auth
exec-timeout 10 0
transport output telnet
line vty 0 4
login authentication local_auth
transport input telnet
login block-for 30 attempts 3 within 10
ip domain-name ciscopress.com
crypto key generate rsa general-keys modulus 1024
ip ssh time-out 60
ip ssh authentication-retries 2
line vty 0 4
transport input ssh telnet
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
logging facility local2
logging trap debugging
service sequence-numbers
logging console critical
logging buffered
interface FastEthernet0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
interface FastEthernet0/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
interface Serial1/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
interface Serial1/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
interface Serial1/2
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
interface Serial1/3
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
ip cef
access-list 100 permit udp any any eq bootpc
interface FastEthernet0/1
ip verify unicast source reachable-via rx allow-default 100
ip inspect audit-trail
ip inspect dns-timeout 7
ip inspect tcp idle-time 14400
ip inspect udp idle-time 1800
ip inspect name autosec_inspect cuseeme timeout 3600
ip inspect name autosec_inspect ftp timeout 3600
ip inspect name autosec_inspect http timeout 3600
ip inspect name autosec_inspect rcmd timeout 3600
ip inspect name autosec_inspect realaudio timeout 3600
ip inspect name autosec_inspect smtp timeout 3600
ip inspect name autosec_inspect tftp timeout 30
ip inspect name autosec_inspect udp timeout 15
ip inspect name autosec_inspect tcp timeout 3600
ip access-list extended autosec_firewall_acl
permit udp any any eq bootpc
deny ip any any
interface FastEthernet0/1
ip inspect autosec_inspect out
ip access-group autosec_firewall_acl in
!
end
Apply this configuration to running-config? [yes]:
Applying the config generated to running-config
The name for the keys will be: R1.ciscopress.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R1
Контрольные вопросы:
1. Что такое Cisco SDM и зачем он нужен?
2. Что необходимо натсроить на маршрутизаторе, чтобы запустить Cisco SDM?
3. Как запустить Cisco SDM?
4. Что позволяет сделать команда auto secure?В каких режимах она используется?
Лабороторная работа №3.
Защита коммутатора.
Цели:
· Отключенеие транкования на всех портах кроме необходимых, отключение DTP, создание native vlan.
· Использование root guard, bpdu guard.
· Использование dhcp snooping, Dynamic ARP Inspection.
· Статические записи в arp-таблицу, отключение портов при несанкционированном доступе. Защита портов коммутатора с помощью switchport port-security.
Оборудование:
Для выполнения понадобится коммутатор Catalyst 2960, 3550, 3750, 4500, также понадобится rollover кабель и хост для подключения к коммутатору через консольный порт.
Введение:
Для обеспечения безопасности сети очень важно обеспечить безопасность коммутаторов сети, необходимо обеспечить защиту коммутаторов сети на 2 уровне для противостояния таким атакам как: VLAN hopping, switch spoofing, double tagging, STP атаки, DHCP атаки, ARP атаки, атаки переполнения CAM – таблицы, атаки подмены MAC-адресов.
Задание 1. Отключенеие транкования на всех портах кроме необходимых, отключение DTP, создание native vlan.
Для того чтобы нарушитель не смог подключть свой коммутатор к коммутатору сети нужно на всех портах, кроме необходимых, отключить транкование, либо отключить порт, отключим транкование на всех портах:
Cat3550 (config)#interface range FastEthernet 0/1 - FastEthernet 0/24
Cat3550(config-if)# switchport mode access
Cat3550(config-if)# exit
Также следует отключить протокол DTP (Dynamic Trunking Protocol) на портах, которые используются как транки, настроим транк на порту и отключим DTP:
Cat3550(config)# interface gigabitethernet 0/4
Cat3550(config-if)# switchport trunk encapsulation dot1q
Cat3550(config-if)# switchport mode trunk
Cat3550(config-if)# switchport nonegotiate
Также не следует в качестве native vlan использовать vlan, которая назначена для пользователей, чтобы избежать атаки double tagging когда нарушитель может направлять траффик между vlan`ами, поэтому нужно создать отдельную native vlan для передачи информации между коммутаторами, укажем native vlan для :
Cat3550(config)# interface gigabitethernet 0/4
Cat3550(config-if)# switchport trunk native vlan 99
Задание 2. Использование root guard, bpdu guard.
Когда в вашей сети используется протокол STP (Spanning Tree Protocol), у нарушителя появляется возможность вмешаться в топологию сети. Нарушитель подключает свой коммутатор к сети и устанавливает ему самый низкий приоритет, его коммутатор становится root bridge, протокол STP перестраивает маршрут и весь траффик такой сети будет идти через коммутатор нарушителя, чтобы избежать этого используем следующую команду:
Cat3550(config)# interface gigabitethernet 0/1
Cat3550(config-if)# spanning-tree guard root
Теперь, если этот порт начинает получать BPDU с большим числом revision number, то он уйдет в состояние root-inconsistent и траффик через этот порт идти не будет, до того момента пока он не перестанет получать такие BPDU.
Когда вы используете PortFast для портов, к которым присоеденены конечные устройства сети, для усиления безопасности нужно использовать bpdu guard:
Cat3550(config)# interface gigabitethernet 0/2
Cat3550(config-if)# spanning-tree portfast bpduguard
Теперь, если нарушитель попытается подключить свой коммутатор к этому порту,и порт начнет получать BPDU порт отключится.
Задание 2. Использование dhcp snooping, Dynamic ARP Inspection.
Если в сети настроен DHCP сервер, и хосты получают адреса от него, нарушитель может вмешаться в этот процесс. Он перехватывает запрос хоста к DHCP серверу и посылает ответ быстрее, чем это сделает DHCP сервер, таким образом нарушитель может манипулировать IP адресами в сети, чтобы предотвратить это используем следующую команду:
Cat3550(config)# ip dhcp snooping
Теперь нужно настроить порты, которым мы доверяем, то есть с которых должны идти легальные сообщения DHCP, для этого на порту используем команду:
Cat3550(config)# interface gigabitethernet 0/4
Cat3550(config-if)# ip dhcp snooping trust
Еще одна атака на DHCP сервер, когда нарушитель посылает много запросов к DHCP серверу и таким образом расходуется весь пул адресов, следовательно лигиттимные пользователи не могут получить адреса, для защиты от этого используем команду:
Cat3550(config)# interface range FastEthernet 0/1 - FastEthernet 0/24
Cat3550(config-if)# ip dhcp snooping limit rate 3
Теперь максимальное число запросов к DHCP серверу в секунду равно 3.
Нарушитель может использовать протокол ARP для того,чтобы траффик шел через него, например он начинает отсылать ARP replies хосту, говорящие о том, что его MAC адресс соответствует IP адресу шлюза по умолчанию, таким образом этот хост думает что отправляет пакеты шлюзу по умолчанию, на самом деле отправляет пакеты нарушителю, для избежания таких атак используем команду :
Cat3550(config)# ip arp inspection vlan 1
Теперь указываем порты которым мы доверяем, то есть через которые могут идти ARP replies:
Cat3550(config)# interface gigabitethernet 0/6
Cat3550(config-if)# ip arp inspection trust
Для защиты от подмены MAC-адресов, переполненения CAM-таблицы используется команда switchport port-security, чтобы установить максимально разрешенное число MAC-адресов испоользуем команду:
Cat3550(config-if)# switchport port-security maximum 5
Для того чтобы указать действие при превышении макс. числа MAC-адресов существует три опции: protect – порт не пускает через себя трафик, restrict – тоже самое что и protect плюс генерируется лог-сообщение, shutdown – порт выключается:
Cat3550(config-if)# switchport port-security violation shutdown
Для того чтобы адреса динамически выучивались и не удалялись после перезагрузки используем команду:
Cat3550(config-if)# switchport port-security mac-address sticky
Существует также возможность задать MAC-адресс статически:
Cat3550(config-if)# switchport port-security mac-address 1234.1234.1234
Контрольные вопросы:
1. С помощью каких команд можно защитится от атак VLAN hopping?
2. Как защитить коммутаторы на которых работает протокол STP от атак с использованием слабостей этого протокола?
3. С помощью каких команд можно защитится от DHCP и ARP атак?
4. Объясните возможности защиты портов коммутатора.
5. От атак какого уровня мы защишались в этой лабороторной работе?
Лабороторная работа №4.
Настройка SNMP
Цели:
· Настройка агента SNMP на устройстве: управление доступом SNMP с помощью групповых строк, привелигированный, не привелигированный доступ SNMP.
· Доступ по спискам доступа, разрешение прерываний и запросов SNMP только заданным системам, настройка отсылки только заданным узлам. Ограничение использования SNMP с серверами TFTP.
Введение:
Протокол SNMP (Simple Network Managment Protocol) является протоколом с помощью которого можно получить информацию о сети, при неправильной настройке данного протокола в сети, нарушитель может получить информацию о сети, с целью последующих атак. Поэтому необходимо настроить безопасную работу SNMP агентов.
Оборудование:
Для выполнения понадобится маршрутизатор серии 1700, 2600, 2690, 3600, 3700, 7200, также понадобится rollover кабель и хост для подключения к маршрутизатору через консольный порт.
Задание 1 . Управление доступом SNMP с помощью групповых строк.
Существует возможность настройки групповых строк SNMP, определяющих связи между диспетчером SNMP и соответствующим агентом. Групповые строки подобны паролям, разрешающим доступ к агенту в маршрутизаторе.
Чтобы определить групповую строку, используйте следующую команду в режиме глобальной конфигурации.
router(config)tsnmp-server community строка [view имя-представления] [го | rw] [число]
Поле число должно содержать необязательный номер списка доступа.
Для непривилегированного доступа SNMP к маршрутизаторам используется параметр ro команды snmp-server community. Следующая команда конфигурации разрешает агенту в маршрутизаторе принимать только запросы get-request и get-next-request SNMP, посылаемые с помощью групповой строки secure:
Router (config)# snmp server community secure ro
Для привилегированного доступа SNMP к маршрутизаторам используется параметр rw команды snmp-server community. Следующая команда конфигурации разрешает агенту в маршрутизаторе использовать только сообщения set-request SNMP, посылаемые с помощью групповой строки semisecure:
Router (config)# snmp server community semisecure rw
Задание 2 . Доступ по спискам доступа, разрешение прерываний и запросов SNMP только заданным системам.
Можно указать список хостов с конкретными IP-адресами, которым разрешается посылать сообщения маршрутизатору. Для этого используется параметр асcess-list команды snmp-server community, который можно применять как в привилегированном, так и в непривилегированном режимах. Следующие команды конфигурации разрешают доступ к маршрутизатору в привилегированном режиме SNMP только узлам с адресами 10.1.1.4 и 10.1.1.5:
Router (config)#access-list 1 permit 10.1.1.4
Router (config)#access-list 1 permit 10.1.1.5
Router (config)# snmp server community private rw 1
Вы должны быть уверены, что конфигурация маршрутизатора позволит отсылать прерывания SNMP только узлам, которые назначены вами для выполнения функций NMS. Настройка маршрутизатора для отсылки прерываний SNMP только заданным узлам NMS осуществляется с помощью команды:
Router (config)# snmp-server host 10.1.1.4 trap
А настройка маршрутизатора для отсылки информационных запросов SNMP только заданным узлам NMS с помощью команды:
Router (config)# snmp-server host 10.1.1.4 informs
Команда snmp-server enable traps предназначена для того, чтобы дать общее разрешение использовать механизм генерирования прерываний и информационных запросов.
Для интерфейсов, которые часто открываются и закрываются (например, для интерфейса ISDN), генерирование соответствующих прерываний может оказаться нежелательным. Чтобы отменить генерирование прерываний, используйте команду в режиме конфигурации интерфейса:
Router (config-if)# no snmp trap link-status
Кроме того, можно указать значения, отличные от значений по умолчанию, для числа попыток, интервала ретрансмиссии:
Router(config)#snmp-server inform retries 3
максимального числа отложенных запросов:
Router(config)#snmp-server inform pending 3
Контрольные вопросы:
1. Для чего нужно настраивать SNMP агент на маршрутизаторе?
2. Что используется как пароль доступа между агентом SNMP на маршрутизаторе и диспетчером SNMP? С помощью каких команд это нстроить?
3. Для усиления защиты доступа что необходимо настроить на SNMP агенте?
Лабороторная работа №5.
Дата: 2019-12-10, просмотров: 237.