Difference between revisions of "Cisco Security"
Helikopter (talk | contribs) (Created page with "Cisco IOS har stöd för många säkerhetsmekanismer och protokoll. =Device= Login enhancements login block-for [seconds] attempts [attempts] within [seconds]...") |
Helikopter (talk | contribs) |
||
Line 1: | Line 1: | ||
− | [[Cisco_IOS|Cisco IOS]] har stöd för många säkerhetsmekanismer och protokoll. | + | [[Cisco_IOS|Cisco IOS]] har stöd för många säkerhetsmekanismer och protokoll. |
=Device= | =Device= | ||
Line 34: | Line 34: | ||
===TACACS=== | ===TACACS=== | ||
− | + | TACACS+ är Ciscoproperitärt och all trafik är krypterad. Tacacs kommunicerar på TCP port 49. | |
aaa group server tacacs+ TACACS_SERVER | aaa group server tacacs+ TACACS_SERVER | ||
server 10.0.0.10 | server 10.0.0.10 | ||
Line 43: | Line 43: | ||
===Radius=== | ===Radius=== | ||
+ | Använder UDP 1645-1646 eller 1812-1813, accounting är separat från authentication och authorization. Endast lösenord är krypterat. | ||
radius-server host 10.0.0.10 auth-port 1812 acct-port 1813 key RadiusKey | radius-server host 10.0.0.10 auth-port 1812 acct-port 1813 key RadiusKey | ||
show radius | show radius | ||
Line 60: | Line 61: | ||
switchport port-security mac-address sticky | switchport port-security mac-address sticky | ||
switchport port-security violation shutdown | switchport port-security violation shutdown | ||
+ | |||
+ | Ska port security kombineras med [[Cisco_HSRP|HSRP]] bör BIA MAC användas. | ||
===VACL=== | ===VACL=== | ||
Line 84: | Line 87: | ||
===802.1x=== | ===802.1x=== | ||
+ | 802.1x är ett säkerhetsprotokoll som låter klienter autentisera sig för att få tillgång till tråd/trådlösa nätverk. | ||
show dot1x | show dot1x | ||
+ | |||
+ | ==DAI== | ||
+ | Dynamic ARP inspection kräver DHCP Snooping. | ||
+ | ip arp inspection vlan 10 | ||
+ | show ip arp inspection | ||
+ | |||
+ | ip arp inspection trust | ||
+ | ip arp inspection validate ip | ||
+ | |||
+ | Static entries behövs för hostar som inte använder DHCP. | ||
+ | ip arp inspection filter ARP_ACL vlan 10 | ||
+ | |||
+ | Logging | ||
+ | ip arp inspection vlan 10 logging acl-match | ||
=IPv6= | =IPv6= | ||
Line 95: | Line 113: | ||
DHCP guard, Binding table, Device tracking, ND inspection/snooping, Source guard, PACL | DHCP guard, Binding table, Device tracking, ND inspection/snooping, Source guard, PACL | ||
+ | |||
+ | =IPS= | ||
+ | IOS kan sättas upp som ett Intrusion Prevention System. | ||
+ | mkdir ips | ||
+ | ip ips config location flash:/ips | ||
+ | ip ips name IPS | ||
+ | show ip ips config | ||
[[Category:Cisco]] | [[Category:Cisco]] |
Revision as of 20:21, 15 May 2016
Cisco IOS har stöd för många säkerhetsmekanismer och protokoll.
Contents
Device
Login enhancements
login block-for [seconds] attempts [attempts] within [seconds]
login quiet-mode access-class TRUSTED_HOSTS ip access-list standard TRUSTED_HOSTS permit host 10.0.0.10
Password recovery är på default men går att stänga av.
no service password-recovery
Management Plane Protection
control-plane host management-interface GigabitEthernet 0/1 allow ssh https
SSH
ip ssh version 2 crypto key generate rsa modulus 2048
Verify
show ssh show ip ssh show control-plane host open-ports
AAA
The aaa new-model command causes the local username and password on the router to be used in the absence of other AAA statements.
aaa new-model show aaa
Fallback user account
username fallback privilege 15 secret SECRETS
TACACS
TACACS+ är Ciscoproperitärt och all trafik är krypterad. Tacacs kommunicerar på TCP port 49.
aaa group server tacacs+ TACACS_SERVER server 10.0.0.10 aaa authentication login default group tacacs+ local aaa authorization exec default group tacacs+ local
Verify
show tacacs
Radius
Använder UDP 1645-1646 eller 1812-1813, accounting är separat från authentication och authorization. Endast lösenord är krypterat.
radius-server host 10.0.0.10 auth-port 1812 acct-port 1813 key RadiusKey show radius
L2 Security
Se även Private VLANs och DHCP Snooping.
Ändra beteende på en switch. Fungerar som säkerhetsmekansim om CAM går fullt för alla frames floodas inte.
switchport block unicast switchport block multicast
Port Security
interface [interface] switchport mode access switchport port-security switchport port-security maximum 1 switchport port-security mac-address sticky switchport port-security violation shutdown
Ska port security kombineras med HSRP bör BIA MAC användas.
VACL
VLAN ACL
access-list 100 permit ip any host 10.0.0.10 vlan access-map BLOCK-TO-SERVER 10 match ip address 100 action drop vlan access-map BLOCK-TO-SERVER 20 action forward
Apply to vlan
vlan filter BLOCK-TO-SERVER vlan-list 10
VACL funkar också med non-IP traffic.
Storm Control
Storm control är teknik för att låta administratörer dämpa unicast-, multicast- eller broadcast-trafik på L2-interface. Det kan användas för att reducera skadan vid broadcast-stormar. Man måste ange gränsvärde (rising) men falling är optional.
interface gi0/7 storm-control broadcast level bps 1m 500k
Ange vad som ska hända när tröskelvärde överskrids, t.ex. droppa frames eller skicka syslog-trap.
storm-control action trap
Verify
show storm-control
802.1x
802.1x är ett säkerhetsprotokoll som låter klienter autentisera sig för att få tillgång till tråd/trådlösa nätverk.
show dot1x
DAI
Dynamic ARP inspection kräver DHCP Snooping.
ip arp inspection vlan 10 show ip arp inspection
ip arp inspection trust ip arp inspection validate ip
Static entries behövs för hostar som inte använder DHCP.
ip arp inspection filter ARP_ACL vlan 10
Logging
ip arp inspection vlan 10 logging acl-match
IPv6
RA guard
interface GigabitEthernet0/1 ipv6 nd raguard
Verify
show ipv6 snooping features show ipv6 nd raguard
DHCP guard, Binding table, Device tracking, ND inspection/snooping, Source guard, PACL
IPS
IOS kan sättas upp som ett Intrusion Prevention System.
mkdir ips ip ips config location flash:/ips ip ips name IPS show ip ips config