Difference between revisions of "Cisco Security"
Helikopter (talk | contribs) |
Helikopter (talk | contribs) m |
||
| Line 1: | Line 1: | ||
| − | [[Cisco_IOS|Cisco IOS]] har stöd för många säkerhetsmekanismer och protokoll. Se även [[Cisco_L2_Security|L2 Security]] | + | [[Cisco_IOS|Cisco IOS]] har stöd för många säkerhetsmekanismer och protokoll. Se även [[Cisco_L2_Security|L2 Security]], [[Cisco_L3_Security|L3 Security]] och [[Cisco_IPsec|Cisco IPsec]]. |
=Device Security= | =Device Security= | ||
Login enhancements | Login enhancements | ||
login block-for [seconds] attempts [attempts] within [seconds] | login block-for [seconds] attempts [attempts] within [seconds] | ||
| − | |||
login quiet-mode access-class TRUSTED_HOSTS | login quiet-mode access-class TRUSTED_HOSTS | ||
ip access-list standard TRUSTED_HOSTS | ip access-list standard TRUSTED_HOSTS | ||
| Line 13: | Line 12: | ||
Password recovery är på default men går att stänga av. | Password recovery är på default men går att stänga av. | ||
no service password-recovery | no service password-recovery | ||
| + | |||
| + | '''Auto-secure''' | ||
| + | auto-secure no-interact | ||
| + | show auto secure config | ||
===Control Plane=== | ===Control Plane=== | ||
| − | Det är viktigt att skydda CPU i sina enheter, man kan styra accessen (Control-Plane Policing) och man kan överbelastningsskydda (Control-Plane Protection). Man kan styra trafik till control plane med hjälp av ACL:er och [[Cisco_QoS|QoS]]-filter. | + | Det är viktigt att skydda CPU i sina enheter, man kan styra accessen (Control-Plane Policing) och man kan överbelastningsskydda (Control-Plane Protection). CoPP skyddar route processor genom att behandla det som en separat enhet med eget ingress interface. Man kan styra trafik till control plane med hjälp av ACL:er och [[Cisco_QoS|QoS]]-filter. |
control-plane | control-plane | ||
Revision as of 16:02, 1 July 2016
Cisco IOS har stöd för många säkerhetsmekanismer och protokoll. Se även L2 Security, L3 Security och Cisco IPsec.
Contents
Device Security
Login enhancements
login block-for [seconds] attempts [attempts] within [seconds] login quiet-mode access-class TRUSTED_HOSTS ip access-list standard TRUSTED_HOSTS permit host 10.0.0.10
Syslog-meddelande om det görs 8 misslyckade inloggningsförsök inom en minut.
security authentication failure rate 8 log
Password recovery är på default men går att stänga av.
no service password-recovery
Auto-secure
auto-secure no-interact show auto secure config
Control Plane
Det är viktigt att skydda CPU i sina enheter, man kan styra accessen (Control-Plane Policing) och man kan överbelastningsskydda (Control-Plane Protection). CoPP skyddar route processor genom att behandla det som en separat enhet med eget ingress interface. Man kan styra trafik till control plane med hjälp av ACL:er och QoS-filter.
control-plane service-policy input CONTROL-PLANE show policy-map control-plane
Management Plane Protection
control-plane host management-interface GigabitEthernet 0/1 allow ssh https
SSH
ip ssh version 2 crypto key generate rsa modulus 2048 line vty 0 15 transport input ssh
Verify
show ssh show ip ssh show control-plane host open-ports
AAA
The aaa new-model command causes the local username and password on the router to be used in the absence of other AAA statements.
aaa new-model show aaa show aaa local user lockout
Fallback user account ifall AAA-server är unreachable
username fallback privilege 15 secret SECRETS
TACACS
TACACS+ är Ciscoproperitärt och all trafik är krypterad. Tacacs kommunicerar på TCP port 49.
aaa group server tacacs+ server-private 10.0.0.20 key 7 078905478... server-private 10.0.0.21 key 7 134272319... ip vrf forwarding Mgmt ip tacacs source-interface gi0 aaa authentication login default group tacacs+ local aaa authorization exec default group tacacs+ local
Verify
show tacacs
Radius
Använder UDP 1645-1646 eller 1812-1813, accounting är separat från authentication och authorization. Endast lösenord är krypterat.
radius-server host 10.0.0.10 auth-port 1812 acct-port 1813 key RadiusKey aaa authentication login default group radius local
Verify
show radius
IPv6
RA guard
interface GigabitEthernet0/1 ipv6 nd raguard
Verify
show ipv6 snooping features show ipv6 nd raguard
DHCP guard, Binding table, Device tracking, ND inspection/snooping, Source guard, PACL
IPS
IOS kan sättas upp som ett Intrusion Prevention System.
mkdir ips ip ips config location flash:/ips ip ips name IPS show ip ips config
