Difference between revisions of "Cisco Security"

From HackerNet
Jump to: navigation, search
(Created page with "Cisco IOS har stöd för många säkerhetsmekanismer och protokoll. =Device= Login enhancements login block-for [seconds] attempts [attempts] within [seconds]...")
 
 
(13 intermediate revisions by the same user not shown)
Line 1: Line 1:
[[Cisco_IOS|Cisco IOS]] har stöd för många säkerhetsmekanismer och protokoll.
+
[[Cisco_IOS|Cisco IOS]] har stöd för många säkerhetsmekanismer och protokoll. Se även [[Cisco_L2_Security|L2 Security]], [[Cisco_L3_Security|L3 Security]], [[Cisco_DMVPN|DMVPN]] och [[Cisco_IPsec|Cisco IPsec]].
  
=Device=
+
=Device Security=
 
Login enhancements
 
Login enhancements
 
  login block-for [seconds] attempts [attempts] within [seconds]
 
  login block-for [seconds] attempts [attempts] within [seconds]
 +
login on-failure log every 3
 +
 +
show login
 +
show login failures
  
login quiet-mode access-class TRUSTED_HOSTS
+
Lägg till undantag
 
  ip access-list standard TRUSTED_HOSTS
 
  ip access-list standard TRUSTED_HOSTS
 
   permit host 10.0.0.10
 
   permit host 10.0.0.10
 +
login quiet-mode access-class TRUSTED_HOSTS
 +
 +
Default genereras det ett syslog-meddelande om det görs 8 misslyckade inloggningsförsök inom en minut. Detta tröskelvärde går att konfigurera.
 +
security authentication failure rate 8 log
  
 
Password recovery är på default men går att stänga av.
 
Password recovery är på default men går att stänga av.
 
  no service password-recovery
 
  no service password-recovery
 
Management Plane Protection
 
control-plane host
 
  management-interface GigabitEthernet 0/1 allow ssh https
 
  
 
===SSH===
 
===SSH===
 
  ip ssh version 2
 
  ip ssh version 2
 
  crypto key generate rsa modulus 2048
 
  crypto key generate rsa modulus 2048
 +
 +
line vty 0 15
 +
  transport input ssh
  
 
Verify
 
Verify
 
  show ssh
 
  show ssh
 
  show ip ssh
 
  show ip ssh
  show control-plane host open-ports
+
  show users
 +
 
 +
'''Public key SSH authentication''' <br/>
 +
Ens SSH-nyckel får inte plats på en rad utan man får lägga in det på flera rader och avsluta med exit.
 +
ip ssh pubkey-chain
 +
  username cisco
 +
  key-string
 +
    AAAAB3NzaC1yc2EAAAADAQABAAABAQDLf...
 +
    VPrV/fn35p1xq5Pc7b2oTxhe2sPEssVM7...
 +
    exit
 +
 
 +
Enable key based authentication only. Ordning på authentication methods är default: publickey, keyboard-interactive, password.
 +
ip ssh server algorithm authentication publickey
 +
 
 +
===Control Plane===
 +
Det är viktigt att skydda CPU i sina enheter, man kan styra accessen (Control-Plane Policing) och man kan överbelastningsskydda (Control-Plane Protection). CoPP skyddar route processor genom att behandla det som en separat enhet med eget ingress interface. Man kan styra trafik till control plane med hjälp av ACL:er och [[Cisco_QoS|QoS]]-filter.
 +
 
 +
class-map match-all COPP-IN-IP
 +
  match protocol ip
 +
 +
policy-map COPP-INBOUND
 +
  class COPP-IN-IP
 +
  police rate 10 pps conform-action transmit  exceed-action drop
 +
 +
control-plane
 +
  service-policy input COPP-INBOUND
 +
 +
show policy-map control-plane
 +
 
 +
Default CoPP
 +
cpp system-default
 +
 
 +
Management Plane Protection
 +
control-plane host
 +
  management-interface GigabitEthernet 0/1 allow ssh https
 +
 +
show management-interface
 +
 
 +
'''AutoSecure''' <br/>
 +
AutoSecure finns i två modes, Interactive och Noninteractive där det senare "Automatically executes the recommended Cisco default settings" vilket bland annat stänger av ICMP redirects, unreachables och Proxy-ARP på alla interface.
 +
auto-secure no-interact
 +
show auto secure config
  
 
=AAA=
 
=AAA=
The aaa new-model command causes the local username and password on the router to be used in the absence of other AAA statements.
+
AAA authentication på IOS kan konfigureras att använda upp till fyra olika metoder för autentisering. Enheten kommer att använda metoderna i ordning och det är endast vid error som nästa metod används, detta gör att man kan ha fallbacks. ''aaa new-model'' gör att lokala usernames och passwords på enheten används vid avsaknad av andra AAA statements.  
 
  aaa new-model
 
  aaa new-model
  show aaa
+
  aaa authentication username-prompt "Enter Username:"
 +
aaa authentication password-prompt "Enter Password:"
 +
 +
aaa authentication enable default group tacacs+ enable
 +
aaa authentication login default group tacacs+ local
 +
Debug
 +
debug aaa authentication
  
Fallback user account
+
Fallback user account ifall AAA-server är unreachable
 
  username fallback privilege 15 secret SECRETS
 
  username fallback privilege 15 secret SECRETS
 +
 +
Max failed attempts to lock the user
 +
aaa local authentication attempts max-fail 10
 +
show aaa local user lockout
 +
clear aaa local user locked
  
 
===TACACS===
 
===TACACS===
All trafik är krypterad. Tacacs kommunicerar på TCP port 49.
+
TACACS+ är Ciscoproperitärt och all trafik är krypterad. Tacacs kommunicerar på TCP port 49.
  aaa group server tacacs+ TACACS_SERVER
+
  aaa group server tacacs+  
   server 10.0.0.10
+
   server-private 10.0.0.20 key 7 078905478...
 +
  server-private 10.0.0.21 key 7 134272319...
 +
  ip vrf forwarding Mgmt
 +
  ip tacacs source-interface gi0
 +
 
  aaa authentication login default group tacacs+ local
 
  aaa authentication login default group tacacs+ local
  aaa authorization exec default group tacacs+ local
+
  aaa authorization exec default group tacacs+ if-authenticated
 +
 
 
Verify
 
Verify
 +
test aaa group tacacs+ USER SECRET123 new-code
 
  show tacacs
 
  show tacacs
  
 
===Radius===
 
===Radius===
radius-server host 10.0.0.10 auth-port 1812 acct-port 1813 key RadiusKey
+
Cisco IOS RADIUS använder AV pairs, UDP port 1645-1646 eller 1812-1813, accounting är separat från authentication och authorization. Endast lösenord är krypterat.  
show radius
 
 
 
=L2 Security=
 
Se även [[Cisco_VLAN#Private_VLAN|Private VLANs]] och [[Cisco_DHCP#Snooping|DHCP Snooping]].
 
 
 
Ändra beteende på en switch. Fungerar som säkerhetsmekansim om CAM går fullt för alla frames floodas inte.
 
switchport block unicast
 
switchport block multicast
 
 
 
===Port Security===
 
interface [interface]
 
  switchport mode access
 
  switchport port-security
 
  switchport port-security maximum 1
 
  switchport port-security mac-address sticky
 
  switchport port-security violation shutdown
 
 
 
===VACL===
 
VLAN ACL
 
access-list 100 permit ip any host 10.0.0.10
 
vlan access-map BLOCK-TO-SERVER 10
 
  match ip address 100
 
  action drop
 
vlan access-map BLOCK-TO-SERVER 20
 
  action forward
 
Apply to vlan
 
vlan filter BLOCK-TO-SERVER vlan-list 10
 
  
VACL funkar också med non-IP traffic.
+
radius server ISE1
 +
  address ipv4 10.0.0.30 auth-port 1812 acct-port 1813
 +
  key 7 01300F175804575D72
 +
 +
aaa group server radius ISE-GROUP
 +
  server name ISE1
 +
  server name ISE2
 +
  ip vrf forwarding mgmt
 +
  ip radius source-interface Vlan100
 +
  retransmit 2
 +
  timeout 4
 +
  deadtime 1
 +
 +
aaa authentication login VTY-LINES group ISE-GROUP local
 +
aaa authorization exec default group radius local
  
===Storm Control===
 
Storm control är teknik för att låta administratörer dämpa unicast-, multicast- eller broadcast-trafik på L2-interface. Det kan användas för att reducera skadan vid broadcast-stormar. Man måste ange gränsvärde (rising) men falling är optional.
 
interface gi0/7
 
  storm-control broadcast level bps 1m 500k
 
Ange vad som ska hända när tröskelvärde överskrids, t.ex. droppa frames eller skicka syslog-trap.
 
  storm-control action trap
 
 
Verify
 
Verify
  show storm-control
+
  test aaa group radius USER SECRET123 new-code
 
+
  show radius
===802.1x===
 
show dot1x
 
 
 
=IPv6=
 
===RA guard===
 
interface GigabitEthernet0/1
 
  ipv6 nd raguard
 
Verify
 
show ipv6 snooping features
 
  show ipv6 nd raguard
 
  
DHCP guard, Binding table, Device tracking, ND inspection/snooping, Source guard, PACL
+
=IPS=
 +
IOS kan sättas upp som ett Intrusion Prevention System.
 +
mkdir ips
 +
ip ips config location flash:/ips
 +
ip ips name IPS
 +
 +
show ip ips config
  
 
[[Category:Cisco]]
 
[[Category:Cisco]]

Latest revision as of 08:55, 25 June 2019

Cisco IOS har stöd för många säkerhetsmekanismer och protokoll. Se även L2 Security, L3 Security, DMVPN och Cisco IPsec.

Device Security

Login enhancements

login block-for [seconds] attempts [attempts] within [seconds]
login on-failure log every 3

show login
show login failures

Lägg till undantag

ip access-list standard TRUSTED_HOSTS
 permit host 10.0.0.10
login quiet-mode access-class TRUSTED_HOSTS

Default genereras det ett syslog-meddelande om det görs 8 misslyckade inloggningsförsök inom en minut. Detta tröskelvärde går att konfigurera.

security authentication failure rate 8 log 

Password recovery är på default men går att stänga av.

no service password-recovery

SSH

ip ssh version 2
crypto key generate rsa modulus 2048

line vty 0 15
 transport input ssh

Verify

show ssh
show ip ssh
show users

Public key SSH authentication
Ens SSH-nyckel får inte plats på en rad utan man får lägga in det på flera rader och avsluta med exit.

ip ssh pubkey-chain
 username cisco
  key-string
   AAAAB3NzaC1yc2EAAAADAQABAAABAQDLf...
   VPrV/fn35p1xq5Pc7b2oTxhe2sPEssVM7...
   exit

Enable key based authentication only. Ordning på authentication methods är default: publickey, keyboard-interactive, password.

ip ssh server algorithm authentication publickey

Control Plane

Det är viktigt att skydda CPU i sina enheter, man kan styra accessen (Control-Plane Policing) och man kan överbelastningsskydda (Control-Plane Protection). CoPP skyddar route processor genom att behandla det som en separat enhet med eget ingress interface. Man kan styra trafik till control plane med hjälp av ACL:er och QoS-filter.

class-map match-all COPP-IN-IP
 match protocol ip

policy-map COPP-INBOUND
 class COPP-IN-IP
  police rate 10 pps conform-action transmit  exceed-action drop 

control-plane
 service-policy input COPP-INBOUND

show policy-map control-plane

Default CoPP

cpp system-default 

Management Plane Protection

control-plane host
 management-interface GigabitEthernet 0/1 allow ssh https

show management-interface

AutoSecure
AutoSecure finns i två modes, Interactive och Noninteractive där det senare "Automatically executes the recommended Cisco default settings" vilket bland annat stänger av ICMP redirects, unreachables och Proxy-ARP på alla interface.

auto-secure no-interact
show auto secure config

AAA

AAA authentication på IOS kan konfigureras att använda upp till fyra olika metoder för autentisering. Enheten kommer att använda metoderna i ordning och det är endast vid error som nästa metod används, detta gör att man kan ha fallbacks. aaa new-model gör att lokala usernames och passwords på enheten används vid avsaknad av andra AAA statements.

aaa new-model
aaa authentication username-prompt "Enter Username:"
aaa authentication password-prompt "Enter Password:"

aaa authentication enable default group tacacs+ enable
aaa authentication login default group tacacs+ local

Debug

debug aaa authentication

Fallback user account ifall AAA-server är unreachable

username fallback privilege 15 secret SECRETS

Max failed attempts to lock the user

aaa local authentication attempts max-fail 10
show aaa local user lockout
clear aaa local user locked

TACACS

TACACS+ är Ciscoproperitärt och all trafik är krypterad. Tacacs kommunicerar på TCP port 49.

aaa group server tacacs+ 
 server-private 10.0.0.20 key 7 078905478...
 server-private 10.0.0.21 key 7 134272319...
 ip vrf forwarding Mgmt
 ip tacacs source-interface gi0

aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ if-authenticated

Verify

test aaa group tacacs+ USER SECRET123 new-code
show tacacs

Radius

Cisco IOS RADIUS använder AV pairs, UDP port 1645-1646 eller 1812-1813, accounting är separat från authentication och authorization. Endast lösenord är krypterat.

radius server ISE1
 address ipv4 10.0.0.30 auth-port 1812 acct-port 1813
 key 7 01300F175804575D72

aaa group server radius ISE-GROUP
 server name ISE1
 server name ISE2
 ip vrf forwarding mgmt
 ip radius source-interface Vlan100
 retransmit 2
 timeout 4
 deadtime 1

aaa authentication login VTY-LINES group ISE-GROUP local
aaa authorization exec default group radius local

Verify

test aaa group radius USER SECRET123 new-code
show radius

IPS

IOS kan sättas upp som ett Intrusion Prevention System.

mkdir ips
ip ips config location flash:/ips
ip ips name IPS

show ip ips config