Difference between revisions of "Cisco Security"
Helikopter (talk | contribs) m |
Helikopter (talk | contribs) |
||
| Line 13: | Line 13: | ||
no service password-recovery | no service password-recovery | ||
| − | ''' | + | '''AutoSecure''' <br/> |
| + | AutoSecure finns i två modes, Interactive och Noninteractive där det senare "Automatically executes the recommended Cisco default settings" vilket bland annat stänger av ICMP redirects, unreachables och Proxy-ARP på alla interface. | ||
auto-secure no-interact | auto-secure no-interact | ||
| + | |||
show auto secure config | show auto secure config | ||
| Line 20: | Line 22: | ||
Det är viktigt att skydda CPU i sina enheter, man kan styra accessen (Control-Plane Policing) och man kan överbelastningsskydda (Control-Plane Protection). CoPP skyddar route processor genom att behandla det som en separat enhet med eget ingress interface. Man kan styra trafik till control plane med hjälp av ACL:er och [[Cisco_QoS|QoS]]-filter. | Det är viktigt att skydda CPU i sina enheter, man kan styra accessen (Control-Plane Policing) och man kan överbelastningsskydda (Control-Plane Protection). CoPP skyddar route processor genom att behandla det som en separat enhet med eget ingress interface. Man kan styra trafik till control plane med hjälp av ACL:er och [[Cisco_QoS|QoS]]-filter. | ||
| + | class-map match-all COPP-IN-IP | ||
| + | match protocol ip | ||
| + | |||
| + | policy-map COPP-INBOUND | ||
| + | class COPP-IN-IP | ||
| + | police rate 10 pps conform-action transmit exceed-action drop | ||
| + | |||
control-plane | control-plane | ||
| − | service-policy input | + | service-policy input COPP-INBOUND |
| + | |||
show policy-map control-plane | show policy-map control-plane | ||
| Line 31: | Line 41: | ||
ip ssh version 2 | ip ssh version 2 | ||
crypto key generate rsa modulus 2048 | crypto key generate rsa modulus 2048 | ||
| + | |||
line vty 0 15 | line vty 0 15 | ||
transport input ssh | transport input ssh | ||
| Line 43: | Line 54: | ||
aaa new-model | aaa new-model | ||
show aaa | show aaa | ||
| − | |||
Fallback user account ifall AAA-server är unreachable | Fallback user account ifall AAA-server är unreachable | ||
username fallback privilege 15 secret SECRETS | username fallback privilege 15 secret SECRETS | ||
| + | |||
| + | Max failed attempts to lock the user | ||
| + | aaa local authentication attempts max-fail 10 | ||
| + | show aaa local user lockout | ||
| + | clear aaa local user locked | ||
===TACACS=== | ===TACACS=== | ||
| Line 55: | Line 70: | ||
ip vrf forwarding Mgmt | ip vrf forwarding Mgmt | ||
ip tacacs source-interface gi0 | ip tacacs source-interface gi0 | ||
| + | |||
aaa authentication login default group tacacs+ local | aaa authentication login default group tacacs+ local | ||
aaa authorization exec default group tacacs+ local | aaa authorization exec default group tacacs+ local | ||
| + | |||
Verify | Verify | ||
| + | test aaa group tacacs+ USER SECRET123 new-code | ||
show tacacs | show tacacs | ||
| Line 64: | Line 82: | ||
radius-server host 10.0.0.10 auth-port 1812 acct-port 1813 key RadiusKey | radius-server host 10.0.0.10 auth-port 1812 acct-port 1813 key RadiusKey | ||
aaa authentication login default group radius local | aaa authentication login default group radius local | ||
| + | |||
Verify | Verify | ||
| + | test aaa group radius USER SECRET123 new-code | ||
show radius | show radius | ||
Revision as of 10:47, 12 July 2016
Cisco IOS har stöd för många säkerhetsmekanismer och protokoll. Se även L2 Security, L3 Security och Cisco IPsec.
Contents
Device Security
Login enhancements
login block-for [seconds] attempts [attempts] within [seconds] login quiet-mode access-class TRUSTED_HOSTS ip access-list standard TRUSTED_HOSTS permit host 10.0.0.10
Syslog-meddelande om det görs 8 misslyckade inloggningsförsök inom en minut.
security authentication failure rate 8 log
Password recovery är på default men går att stänga av.
no service password-recovery
AutoSecure
AutoSecure finns i två modes, Interactive och Noninteractive där det senare "Automatically executes the recommended Cisco default settings" vilket bland annat stänger av ICMP redirects, unreachables och Proxy-ARP på alla interface.
auto-secure no-interact show auto secure config
Control Plane
Det är viktigt att skydda CPU i sina enheter, man kan styra accessen (Control-Plane Policing) och man kan överbelastningsskydda (Control-Plane Protection). CoPP skyddar route processor genom att behandla det som en separat enhet med eget ingress interface. Man kan styra trafik till control plane med hjälp av ACL:er och QoS-filter.
class-map match-all COPP-IN-IP match protocol ip policy-map COPP-INBOUND class COPP-IN-IP police rate 10 pps conform-action transmit exceed-action drop control-plane service-policy input COPP-INBOUND show policy-map control-plane
Management Plane Protection
control-plane host management-interface GigabitEthernet 0/1 allow ssh https
SSH
ip ssh version 2 crypto key generate rsa modulus 2048 line vty 0 15 transport input ssh
Verify
show ssh show ip ssh show control-plane host open-ports
AAA
The aaa new-model command causes the local username and password on the router to be used in the absence of other AAA statements.
aaa new-model show aaa
Fallback user account ifall AAA-server är unreachable
username fallback privilege 15 secret SECRETS
Max failed attempts to lock the user
aaa local authentication attempts max-fail 10 show aaa local user lockout clear aaa local user locked
TACACS
TACACS+ är Ciscoproperitärt och all trafik är krypterad. Tacacs kommunicerar på TCP port 49.
aaa group server tacacs+ server-private 10.0.0.20 key 7 078905478... server-private 10.0.0.21 key 7 134272319... ip vrf forwarding Mgmt ip tacacs source-interface gi0 aaa authentication login default group tacacs+ local aaa authorization exec default group tacacs+ local
Verify
test aaa group tacacs+ USER SECRET123 new-code show tacacs
Radius
Använder UDP 1645-1646 eller 1812-1813, accounting är separat från authentication och authorization. Endast lösenord är krypterat.
radius-server host 10.0.0.10 auth-port 1812 acct-port 1813 key RadiusKey aaa authentication login default group radius local
Verify
test aaa group radius USER SECRET123 new-code show radius
IPv6
RA guard
interface GigabitEthernet0/1 ipv6 nd raguard
Verify
show ipv6 snooping features show ipv6 nd raguard
DHCP guard, Binding table, Device tracking, ND inspection/snooping, Source guard, PACL
IPS
IOS kan sättas upp som ett Intrusion Prevention System.
mkdir ips ip ips config location flash:/ips ip ips name IPS show ip ips config
