Cisco Security

From HackerNet
Revision as of 20:34, 27 June 2016 by Helikopter (talk | contribs)
Jump to: navigation, search

Cisco IOS har stöd för många säkerhetsmekanismer och protokoll. Se även L2 Security och L3 Security.

Device Security

Login enhancements 

login block-for [seconds] attempts [attempts] within [seconds]

login quiet-mode access-class TRUSTED_HOSTS
ip access-list standard TRUSTED_HOSTS
 permit host 10.0.0.10

Syslog-meddelande om det görs 8 misslyckade inloggningsförsök inom en minut. 

security authentication failure rate 8 log

Password recovery är på default men går att stänga av. 

no service password-recovery

Control Plane

Det är viktigt att skydda CPU i sina enheter, man kan styra accessen (Control-Plane Policing) och man kan överbelastningsskydda (Control-Plane Protection). Man kan styra trafik till control plane med hjälp av ACL:er och QoS-filter. 

control-plane
 service-policy input CONTROL-PLANE
show policy-map control-plane

Management Plane Protection 

control-plane host
 management-interface GigabitEthernet 0/1 allow ssh https

SSH 

ip ssh version 2
crypto key generate rsa modulus 2048
line vty 0 15
 transport input ssh

Verify 

show ssh
show ip ssh
show control-plane host open-ports

AAA

The aaa new-model command causes the local username and password on the router to be used in the absence of other AAA statements. 

aaa new-model
show aaa
show aaa local user lockout

Fallback user account ifall AAA-server är unreachable 

username fallback privilege 15 secret SECRETS

TACACS

TACACS+ är Ciscoproperitärt och all trafik är krypterad. Tacacs kommunicerar på TCP port 49. 

aaa group server tacacs+ 
 server-private 10.0.0.20 key 7 078905478...
 server-private 10.0.0.21 key 7 134272319...
 ip vrf forwarding Mgmt
 ip tacacs source-interface gi0
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local

Verify 

show tacacs

Radius

Använder UDP 1645-1646 eller 1812-1813, accounting är separat från authentication och authorization. Endast lösenord är krypterat. 

radius-server host 10.0.0.10 auth-port 1812 acct-port 1813 key RadiusKey
aaa authentication login default group radius local

Verify 

show radius

IPv6

RA guard 

interface GigabitEthernet0/1
 ipv6 nd raguard

Verify 

show ipv6 snooping features
show ipv6 nd raguard

DHCP guard, Binding table, Device tracking, ND inspection/snooping, Source guard, PACL

IPS

IOS kan sättas upp som ett Intrusion Prevention System. 

mkdir ips
ip ips config location flash:/ips
ip ips name IPS
show ip ips config
Retrieved from "https://hackernet.se/index.php?title=Cisco_Security&oldid=1902"