Difference between revisions of "Cisco Security"

From HackerNet
Jump to: navigation, search
Line 1: Line 1:
[[Cisco_IOS|Cisco IOS]] har stöd för många säkerhetsmekanismer och protokoll.  
+
[[Cisco_IOS|Cisco IOS]] har stöd för många säkerhetsmekanismer och protokoll. Se även [[Cisco_L2_Security|L2 Security]] och [[Cisco_L3_Security|L3 Security]].
  
 
=Device Security=
 
=Device Security=
Line 63: Line 63:
 
Verify
 
Verify
 
  show radius
 
  show radius
 
=L2 Security=
 
Se även [[Cisco_VLAN#Private_VLAN|Private VLANs]] och [[Cisco_DHCP#Snooping|DHCP Snooping]].
 
 
Ändra beteende på en switch. Fungerar som säkerhetsmekansim om CAM går fullt för då floodas inte alla frames.
 
switchport block unicast
 
switchport block multicast
 
 
===Port Security===
 
interface [interface]
 
  switchport mode access
 
  switchport port-security
 
  switchport port-security maximum 1
 
  switchport port-security mac-address sticky
 
  switchport port-security violation shutdown
 
Verify
 
show port-security interface
 
Ska port security kombineras med [[Cisco_HSRP|HSRP]] bör BIA MAC användas.
 
 
===VACL===
 
VLAN ACL
 
access-list 100 permit ip any host 10.0.0.10
 
vlan access-map BLOCK-TO-SERVER 10
 
  match ip address 100
 
  action drop
 
vlan access-map BLOCK-TO-SERVER 20
 
  action forward
 
Apply to vlan
 
vlan filter BLOCK-TO-SERVER vlan-list 10
 
 
VACL funkar också med non-IP traffic.
 
 
===Storm Control===
 
Storm control är teknik för att låta administratörer dämpa unicast-, multicast- eller broadcast-trafik på L2-interface. Det kan användas för att reducera skadan vid broadcast-stormar. Man måste ange gränsvärde (rising) men falling är optional.
 
interface gi0/7
 
  storm-control broadcast level bps 1m 500k
 
Ange vad som ska hända när tröskelvärde överskrids, t.ex. droppa frames eller skicka syslog-trap.
 
  storm-control action trap
 
Verify
 
show storm-control
 
 
===802.1x===
 
802.1x är ett säkerhetsprotokoll som låter klienter autentisera sig för att få tillgång till tråd/trådlösa nätverk.
 
show dot1x
 
 
===DAI===
 
För att skydda sitt L2-nätverk mot MITM med hjälp av G-ARP kan man använda Dynamic ARP inspection. DAI kräver DHCP Snooping eftersom ARP valideras mot snooping-databasen. Om inte ARPen stämmer överens mot det som står i databasen kommer frames att droppas, SW_DAI-4-DHCP_SNOOPING_DENY. Man slår på DAI per VLAN man vill skydda.
 
ip arp inspection vlan 10
 
show ip arp inspection
 
 
ip arp inspection trust
 
ip arp inspection validate ip
 
 
Static entries behövs för hostar som inte använder DHCP.
 
ip arp inspection filter ARP_ACL vlan 10
 
Logging
 
ip arp inspection vlan 10 logging acl-match
 
 
=L3 Security=
 
Tillåt ej IP options och source routing är bra praktik!
 
ip options drop
 
no ip source-route
 
 
===ACL===
 
Accesslistor finns i flera olika varianter.
 
 
'''Reflexive ACL''' <br/>
 
För att använda reflexive ACL behövs det en ACL för inbound traffic, en för outbound och en reflexive för att hålla koll på dynamic entries. Några begränsningar är att trafik endast kan initieras från ena sidan och det går inte ge olika trafikklasser olika access. Det funkar inte heller med applikationer som jobbar med olika portnummer, t.ex. FTP.
 
ip access-list extended Egress
 
  permit ip any any reflect Mirror
 
ip access-list extended Ingress
 
  evaluate Mirror
 
 
interface gi0/1
 
  description Outside
 
  ip access-group out Egress
 
  ip access-group in Ingress
 
Timeout
 
ip reflexive-list timeout 30
 
Verify
 
show ip access-lists Mirror
 
show ip access-lists
 
 
'''Lock and Key''' (Dynamic ACLs) <br/>
 
Lock and key configuration starts with the application of an extended ACL to block traffic through the router. Users that want to traverse the router are blocked by the extended ACL until they Telnet to the router and are authenticated. The Telnet connection then drops and a single-entry dynamic ACL is added to the extended ACL that exists. This permits traffic for a particular time period; idle and absolute timeouts are possible.
 
 
'''Turbo ACL''' <br/>
 
The turbo ACL feature is designed in order to process ACLs more efficiently in order to improve router performance. Found only on high-end platforms.
 
show access-list compiled
 
 
===CBAC===
 
Context-Based Access Control tillhandahåller stateful packet inspection på IOS-enheter.
 
ip access-list extended DENY_ALL
 
  deny ip any any
 
ip inspect name Web http
 
ip inspect name Web https
 
interface gi0/0
 
  description Outside
 
  ip access-group DENY_ALL in
 
  ip inspect Web out
 
 
Verify
 
show ip inspect all
 
show ip inspect sessions
 
 
===ZFW===
 
Zone-based policy firewall är stateful packet inspection som är VRF-aware. Man skapar zoner som man binder ett eller flera interface till. Default tillåts trafik mellan interface i samma zon. Konfigurationssyntaxen som används kallas Cisco Policy Language.
 
zone security INTERNET
 
zone security INSIDE
 
interface Gi1
 
  zone-member security INTERNET
 
interface Gi2
 
  zone-member security INSIDE
 
Bind ihop zonerna och ange source zon.
 
zone-pair security ZONE-PAIR source INSIDE destination INTERNET
 
  service-policy type inspect INSIDE-TO-INTERNET
 
 
För att tillåta trafik mellan zoner måste en policy skapas.
 
class-map type inspect match-any ALLOW-TRAFFIC
 
  match protocol icmp
 
  match protocol dns
 
  match protocol http
 
 
policy-map type inspect INSIDE-TO-INTERNET
 
  class type inspect ALLOW-TRAFFIC
 
  inspect
 
  class class-default
 
  drop
 
 
Verify
 
show zone-pair security
 
show policy-map type inspect zone-pair
 
 
===uRPF===
 
Unicast Reverse Path Forwarding är en mekanism som förhindrar spoofing attacks. Source-adressen på paket som kommer in kollas och jämförs mot den egna FIB:en för att säkerställa att paketen kommer in på det interface som routern själv hade använt för att nå den adressen. [[Cisco_CEF|CEF]] är därför ett prereq för uRPF. uRPF finns i två modes och tar hänsyn till equal och unequal cost load sharing. Om default-routen också ska användas vid kontrollen måste ''allow-default'' sättas efter interface-kommandot.
 
 
Strict mode, fungerar såklart inte med asymmetric routing.
 
ip verify unicast source reachable-via rx
 
 
Loose mode <br/>
 
Med Loose mode räcker det att sourcen är reachable via något interface.
 
ip verify unicast source reachable-via any
 
 
Vill man inte kontrollera all trafik kan man matcha RPF-checken mot en ACL.
 
ip verify unicast source reachable-via rx <ACL>
 
Verify
 
Show ip traffic
 
show ip verify source
 
  
 
=IPv6=
 
=IPv6=

Revision as of 19:34, 27 June 2016

Cisco IOS har stöd för många säkerhetsmekanismer och protokoll. Se även L2 Security och L3 Security.

Device Security

Login enhancements

login block-for [seconds] attempts [attempts] within [seconds]
login quiet-mode access-class TRUSTED_HOSTS
ip access-list standard TRUSTED_HOSTS
 permit host 10.0.0.10

Syslog-meddelande om det görs 8 misslyckade inloggningsförsök inom en minut.

security authentication failure rate 8 log 

Password recovery är på default men går att stänga av.

no service password-recovery

Control Plane

Det är viktigt att skydda CPU i sina enheter, man kan styra accessen (Control-Plane Policing) och man kan överbelastningsskydda (Control-Plane Protection). Man kan styra trafik till control plane med hjälp av ACL:er och QoS-filter.

control-plane
 service-policy input CONTROL-PLANE
show policy-map control-plane

Management Plane Protection

control-plane host
 management-interface GigabitEthernet 0/1 allow ssh https

SSH

ip ssh version 2
crypto key generate rsa modulus 2048
line vty 0 15
 transport input ssh

Verify

show ssh
show ip ssh
show control-plane host open-ports

AAA

The aaa new-model command causes the local username and password on the router to be used in the absence of other AAA statements.

aaa new-model
show aaa
show aaa local user lockout

Fallback user account ifall AAA-server är unreachable

username fallback privilege 15 secret SECRETS

TACACS

TACACS+ är Ciscoproperitärt och all trafik är krypterad. Tacacs kommunicerar på TCP port 49.

aaa group server tacacs+ 
 server-private 10.0.0.20 key 7 078905478...
 server-private 10.0.0.21 key 7 134272319...
 ip vrf forwarding Mgmt
 ip tacacs source-interface gi0
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local

Verify

show tacacs

Radius

Använder UDP 1645-1646 eller 1812-1813, accounting är separat från authentication och authorization. Endast lösenord är krypterat.

radius-server host 10.0.0.10 auth-port 1812 acct-port 1813 key RadiusKey
aaa authentication login default group radius local

Verify

show radius

IPv6

RA guard

interface GigabitEthernet0/1
 ipv6 nd raguard

Verify

show ipv6 snooping features
show ipv6 nd raguard

DHCP guard, Binding table, Device tracking, ND inspection/snooping, Source guard, PACL

IPS

IOS kan sättas upp som ett Intrusion Prevention System.

mkdir ips
ip ips config location flash:/ips
ip ips name IPS
show ip ips config