Cisco L3 Security

Huvudartikel: Cisco Security

Routing

Tillåt ej IP options och source routing är bra praktik!

ip options drop
no ip source-route

ACL

Accesslistor finns i flera olika varianter.

Reflexive ACL
För att använda reflexive ACL behövs det en ACL för inbound traffic, en för outbound och en reflexive för att hålla koll på dynamic entries. Några begränsningar är att trafik endast kan initieras från ena sidan och det går inte ge olika trafikklasser olika access. Trafik initierad lokalt i routern behandlas ej heller. Det funkar inte heller med applikationer som jobbar med olika portnummer, t.ex. FTP.

ip access-list extended Egress
 permit ip any any reflect Mirror
ip access-list extended Ingress
 evaluate Mirror

interface gi0/1
 description Outside
 ip access-group out Egress
 ip access-group in Ingress

Timeout

ip reflexive-list timeout 30

Verify

show ip access-lists Mirror
show ip access-lists

Lock and Key (Dynamic ACLs)
Lock and key configuration starts with the application of an extended ACL to block traffic through the router. Users that want to traverse the router are blocked by the extended ACL until they Telnet to the router and are authenticated. The Telnet connection then drops and a single-entry dynamic ACL is added to the extended ACL that exists. This permits traffic for a particular time period; idle and absolute timeouts are possible.

Turbo ACL
The turbo ACL feature is designed in order to process ACLs more efficiently in order to improve router performance. Found only on high-end platforms.

show access-list compiled

CBAC

Context-Based Access Control tillhandahåller stateful packet inspection på IOS-enheter.

ip access-list extended DENY_ALL
 deny ip any any
ip inspect name Web http
ip inspect name Web https
interface gi0/0
 description Outside
 ip access-group DENY_ALL in
 ip inspect Web out

Verify

show ip inspect all
show ip inspect sessions

ZFW

Zone-based policy firewall är stateful packet inspection som är VRF-aware. Man skapar zoner som man binder ett eller flera interface till. Default tillåts trafik mellan interface i samma zon. Konfigurationssyntaxen som används kallas Cisco Policy Language.

zone security INTERNET
zone security INSIDE
interface Gi1
 zone-member security INTERNET
interface Gi2
 zone-member security INSIDE

Bind ihop zonerna och ange source zon.

zone-pair security ZONE-PAIR source INSIDE destination INTERNET
 service-policy type inspect INSIDE-TO-INTERNET

För att tillåta trafik mellan zoner måste en policy skapas.

class-map type inspect match-any ALLOW-TRAFFIC
 match protocol icmp
 match protocol dns
 match protocol http

policy-map type inspect INSIDE-TO-INTERNET
 class type inspect ALLOW-TRAFFIC
  inspect
 class class-default
  drop

Verify

show zone-pair security
show policy-map type inspect zone-pair

uRPF

Unicast Reverse Path Forwarding är en mekanism som förhindrar spoofing attacks. Source-adressen på paket som kommer in kollas och jämförs mot den egna FIB:en för att säkerställa att paketen kommer in på det interface som routern själv hade använt för att nå den adressen. CEF är därför ett prereq för uRPF. uRPF finns i två modes och tar hänsyn till equal och unequal cost load sharing. Om default-routen också ska användas vid kontrollen måste allow-default sättas efter interface-kommandot.

Strict mode, fungerar såklart inte med asymmetric routing.

ip verify unicast source reachable-via rx

Loose mode
Med Loose mode räcker det att sourcen är reachable via något interface.

ip verify unicast source reachable-via any

Vill man inte kontrollera all trafik kan man matcha RPF-checken mot en ACL.

ip verify unicast source reachable-via rx <ACL> 

Verify

Show ip traffic
show ip verify source