Difference between revisions of "Cisco Security"

From HackerNet
Jump to: navigation, search
m
Line 1: Line 1:
[[Cisco_IOS|Cisco IOS]] har stöd för många säkerhetsmekanismer och protokoll. Se även [[Cisco_L2_Security|L2 Security]], [[Cisco_L3_Security|L3 Security]] och [[Cisco_IPsec|Cisco IPsec]].
+
[[Cisco_IOS|Cisco IOS]] har stöd för många säkerhetsmekanismer och protokoll. Se även [[Cisco_L2_Security|L2 Security]], [[Cisco_L3_Security|L3 Security]], [[Cisco_DMVPN|DMVPN]] och [[Cisco_IPsec|Cisco IPsec]].
  
 
=Device Security=
 
=Device Security=
 
Login enhancements
 
Login enhancements
 
  login block-for [seconds] attempts [attempts] within [seconds]
 
  login block-for [seconds] attempts [attempts] within [seconds]
  login quiet-mode access-class TRUSTED_HOSTS
+
   
 
  ip access-list standard TRUSTED_HOSTS
 
  ip access-list standard TRUSTED_HOSTS
 
   permit host 10.0.0.10
 
   permit host 10.0.0.10
 +
login quiet-mode access-class TRUSTED_HOSTS
 +
 
Syslog-meddelande om det görs 8 misslyckade inloggningsförsök inom en minut.  
 
Syslog-meddelande om det görs 8 misslyckade inloggningsförsök inom en minut.  
 
  security authentication failure rate 8 log  
 
  security authentication failure rate 8 log  
Line 13: Line 15:
 
  no service password-recovery
 
  no service password-recovery
  
'''AutoSecure''' <br/>
+
===SSH===
AutoSecure finns i två modes, Interactive och Noninteractive där det senare "Automatically executes the recommended Cisco default settings" vilket bland annat stänger av ICMP redirects, unreachables och Proxy-ARP på alla interface.
+
ip ssh version 2
  auto-secure no-interact
+
  crypto key generate rsa modulus 2048
 
   
 
   
  show auto secure config
+
line vty 0 15
 +
  transport input ssh
 +
 
 +
Verify
 +
  show ssh
 +
show ip ssh
 +
 
 +
'''Public key SSH authentication'''
 +
ip ssh pubkey-chain
 +
  username cisco
 +
  key-string
 +
    AAAAB3NzaC1yc2EAAAADAQABAAABAQDLf...
 +
    VPrV/fn35p1xq5Pc7b2oTxhe2sPEssVM7...
 +
    exit
 +
Ens SSH-nyckel får inte plats på en rad utan man får lägga in det på flera rader och avsluta med exit.
  
 
===Control Plane===
 
===Control Plane===
Line 38: Line 54:
 
   management-interface GigabitEthernet 0/1 allow ssh https
 
   management-interface GigabitEthernet 0/1 allow ssh https
  
===SSH===
+
'''AutoSecure''' <br/>
ip ssh version 2
+
AutoSecure finns i två modes, Interactive och Noninteractive där det senare "Automatically executes the recommended Cisco default settings" vilket bland annat stänger av ICMP redirects, unreachables och Proxy-ARP på alla interface.
crypto key generate rsa modulus 2048
+
  auto-secure no-interact
   
+
  show auto secure config
line vty 0 15
 
  transport input ssh
 
 
 
Verify
 
  show ssh
 
show ip ssh
 
show control-plane host open-ports
 
  
 
=AAA=
 
=AAA=
The aaa new-model command causes the local username and password on the router to be used in the absence of other AAA statements.
+
AAA authentication på IOS kan konfigureras att använda upp till fyra olika metoder för autentisering. aaa new-model gör att lokala usernames och passwords på enheten används vid avsaknad av andra AAA statements.
 
  aaa new-model
 
  aaa new-model
 
  show aaa
 
  show aaa

Revision as of 13:11, 25 July 2016

Cisco IOS har stöd för många säkerhetsmekanismer och protokoll. Se även L2 Security, L3 Security, DMVPN och Cisco IPsec.

Device Security

Login enhancements 

login block-for [seconds] attempts [attempts] within [seconds]

ip access-list standard TRUSTED_HOSTS
 permit host 10.0.0.10
login quiet-mode access-class TRUSTED_HOSTS

Syslog-meddelande om det görs 8 misslyckade inloggningsförsök inom en minut. 

security authentication failure rate 8 log

Password recovery är på default men går att stänga av. 

no service password-recovery

SSH 

ip ssh version 2
crypto key generate rsa modulus 2048

line vty 0 15
 transport input ssh

Verify 

show ssh
show ip ssh

Public key SSH authentication 

ip ssh pubkey-chain
 username cisco
  key-string
   AAAAB3NzaC1yc2EAAAADAQABAAABAQDLf...
   VPrV/fn35p1xq5Pc7b2oTxhe2sPEssVM7...
   exit

Ens SSH-nyckel får inte plats på en rad utan man får lägga in det på flera rader och avsluta med exit.

Control Plane

Det är viktigt att skydda CPU i sina enheter, man kan styra accessen (Control-Plane Policing) och man kan överbelastningsskydda (Control-Plane Protection). CoPP skyddar route processor genom att behandla det som en separat enhet med eget ingress interface. Man kan styra trafik till control plane med hjälp av ACL:er och QoS-filter. 

class-map match-all COPP-IN-IP
 match protocol ip

policy-map COPP-INBOUND
 class COPP-IN-IP
  police rate 10 pps conform-action transmit  exceed-action drop 

control-plane
 service-policy input COPP-INBOUND

show policy-map control-plane

Management Plane Protection 

control-plane host
 management-interface GigabitEthernet 0/1 allow ssh https

AutoSecure
AutoSecure finns i två modes, Interactive och Noninteractive där det senare "Automatically executes the recommended Cisco default settings" vilket bland annat stänger av ICMP redirects, unreachables och Proxy-ARP på alla interface. 

auto-secure no-interact
show auto secure config

AAA

AAA authentication på IOS kan konfigureras att använda upp till fyra olika metoder för autentisering. aaa new-model gör att lokala usernames och passwords på enheten används vid avsaknad av andra AAA statements. 

aaa new-model
show aaa

Fallback user account ifall AAA-server är unreachable 

username fallback privilege 15 secret SECRETS

Max failed attempts to lock the user 

aaa local authentication attempts max-fail 10
show aaa local user lockout
clear aaa local user locked

TACACS

TACACS+ är Ciscoproperitärt och all trafik är krypterad. Tacacs kommunicerar på TCP port 49. 

aaa group server tacacs+ 
 server-private 10.0.0.20 key 7 078905478...
 server-private 10.0.0.21 key 7 134272319...
 ip vrf forwarding Mgmt
 ip tacacs source-interface gi0

aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local

Verify 

test aaa group tacacs+ USER SECRET123 new-code
show tacacs

Radius

Använder UDP 1645-1646 eller 1812-1813, accounting är separat från authentication och authorization. Endast lösenord är krypterat. 

radius-server host 10.0.0.10 auth-port 1812 acct-port 1813 key RadiusKey
aaa authentication login default group radius local

Verify 

test aaa group radius USER SECRET123 new-code
show radius

IPv6

RA guard 

interface GigabitEthernet0/1
 ipv6 nd raguard

Verify 

show ipv6 snooping features
show ipv6 nd raguard

DHCP guard, Binding table, Device tracking, ND inspection/snooping, Source guard, PACL

IPS

IOS kan sättas upp som ett Intrusion Prevention System. 

mkdir ips
ip ips config location flash:/ips
ip ips name IPS
show ip ips config
Retrieved from "https://hackernet.se/index.php?title=Cisco_Security&oldid=1973"