Under arbete . . . . . .

Network Time Protocol
Många av de saker som är involverade i säkerheten i ett nätverk, till exempel säkerhetsloggar, beror på ett korrekt datum och tidsstämpel. Sekunder spelar roll när man hanterar en attack eftersom det är viktigt att identifiera i vilken ordning en specificerad attack inträffade. Se till att loggmeddelanden är korrekt tidsstämplade genom att upprätthålla synkroniseringen av klockor på värdar och nätverksenheter.
Vanligtvis kan inställningarna för datum och tid på routern ställas in med en av två metoder:
• Redigera datum och tid manuellt
• Konfigurera Network Time Protocol (NTP)
Bilden visar ett exempel på manuell inställning av klockan. När ett nätverk växer blir det svårt att säkerställa att alla infrastrukturenheter fungerar med synkroniserad tid. Även i en mindre nätverksmiljö är den manuella metoden inte idealisk. Om en router startar om, hur får den ett korrekt datum och tidsstämpel?
En bättre lösning är att konfigurera NTP på nätverket. Detta protokoll tillåter routrar på nätverket att synkronisera sina tidsinställningar med en NTP-server. En grupp NTP-klienter som får information om tid och datum från en enda källa har mer konsekventa tidsinställningar. När NTP är implementerad i nätverket kan den ställas in för att synkronisera med en privat huvudklocka eller så kan den synkroniseras till en allmänt tillgänglig NTP-server på Internet.
NTP använder UDP-port 123 och är dokumenterad i RFC 1305.
NTP-server
När D för att avgöra om en privat klocka ska användas för synkronisering jämfört med en offentlig klocka, är det nödvändigt att väga riskerna och fördelarna med båda.
Om en privat masterklocka implementeras måste administratören se till att tidskällan är giltig och från en säker plats. Sårbarheter kan införas om webbplatsen inte är säker. Till exempel kan en angripare starta en DoS-attack genom att skicka falska NTP-data över Internet till nätverket i ett försök att ändra klockorna. Denna attack kan möjligen göra att digitala certifikat blir ogiltiga. En angripare kan försöka förvirra en nätverksadministratör under en attack genom att störa klockorna på nätverksenheter. Detta scenario skulle göra det svårt för nätverksadministratören att bestämma ordningen för syslog-händelser på flera enheter.
Att få klocktid från Internet innebär att osäkra paket tillåts genom brandväggen. Många NTP-servrar på Internet kräver ingen autentisering av peers. Därför måste nätverksadministratören lita på att själva klockan är pålitlig, giltig och säker.
Kommunikationen (så kallad associationer) mellan maskiner som kör NTP är vanligtvis statiskt konfigurerade. Varje enhet får IP-adressen för NTP-masters. Noggrann tidshållning är möjlig genom att utbyta NTP-meddelanden mellan varje par av maskiner med en association.
I ett NTP-konfigurerat nätverk är en eller flera routrar utsedda som master clock keeper (även känd som en NTP-master) med hjälp av kommandot ntp master globalt konfigurationsläge, som visas i figur 1.
NTP-klienter kontaktar antingen mastern eller lyssnar efter meddelanden från mastern för att synkronisera sina klockor. Kontakta befälhavaren genom att använda kommandot ntp-serverns ip-adress, som visas i figur 2.
I en LAN-miljö kan NTP konfigureras för att använda IP-sändningsmeddelanden genom att använda kommandot ntp broadcast-klientgränssnittskonfigurationsläge, som visas i figur 3. Detta alternativ minskar konfigurationskomplexiteten eftersom varje maskin kan konfigureras för att skicka eller ta emot broadcastmeddelanden. Noggrannheten i tidtagningen minskar marginellt eftersom informationsflödet endast är enkelriktat.
Figur 4 visar ett exempel på NTP-master- och NTP-servertopologi. Figurerna 5 och 6 visar de konfigurationer som är nödvändiga för att stödja den topologin på R1 och R2.
– ntp master kommandosyntax
Router(config)# ntp master [stratum]
• Gör systemet till en auktoritativ NTP-server.
• Stratumnumret är antalet hopp bort från en auktoritativ källa som en atomklocka.
Router(config)# ntp-server {ip-adress | värdnamn} [versionsnummer] [nyckelnyckelid] [källgränssnitt] [föredrar]
Tillåter att mjukvaruklockan synkroniseras av en NTP-tidsserver.
Router(config)# ntp broadcast-klient
Konfigurerar enheten för att ta emot NTP-sändningsmeddelanden på gränssnittet.
Exempel på NTP-topologi
NTP-autentisering
NTP version 3 (NTPv3) och senare, stöder en kryptografisk autentiseringsmekanism mellan NTP-kamrater. Denna autentiseringsmekanism kan användas för att lindra en attack. Tre kommandon används på NTP-mastern och NTP-klienten:
• ntp authenticate (Figur 1)
• ntp-autentiseringsnyckel nyckelnummer md5 nyckel-värde (Figur 2)
• ntp betrodd-nyckel-nyckelnummer (Figur 3)
Figur 4 visar ett exempel på en NTP-autentiseringskonfiguration.
Klienter som konfigurerats utan autentisering får fortfarande tiden från servern. Skillnaden är att dessa klienter inte autentiserar servern som en säker källa.
Använd kommandot show ntp associations detail, som visas i figur 5, för att bekräfta att servern är en autentiserad källa.
Obs! Du kan också ställa in nyckeltalsvärdet som ett argument i kommandot ntp-server ntp-server-adress.
Använd Syntax Checker i figur 6 för att konfigurera NTP-autentisering på R1.
Router# ntp autentisera
Aktiverar autentiseringsfunktionen
Definierar NTP-autentiseringsnyckel
Router(config)# ntp-autentiseringsnyckel nyckelnummer md5 nyckel-värde
Identifiera betrodd NTP-nyckel
Router(config)# ntp betrodd-nyckel-nyckelnummer
Säker NTP-konfiguration
NTP-autentisering
NTP version 3 (NTPv3) och senare, stöder en kryptografisk autentiseringsmekanism mellan NTP-kamrater. Denna autentiseringsmekanism kan användas för att lindra en attack. Tre kommandon används på NTP-mastern och NTP-klienten:
• ntp authenticate (Figur 1)
• ntp-autentiseringsnyckel nyckelnummer md5 nyckel-värde (Figur 2)
• ntp betrodd-nyckel-nyckelnummer (Figur 3)
Figur 4 visar ett exempel på en NTP-autentiseringskonfiguration.
Klienter som konfigurerats utan autentisering får fortfarande tiden från servern. Skillnaden är att dessa klienter inte autentiserar servern som en säker källa.
Använd kommandot show ntp associations detail, som visas i figur 5, för att bekräfta att servern är en autentiserad källa.
Obs! Du kan också ställa in nyckeltalsvärdet som ett argument i kommandot ntp-server ntp-server-adress.
Använd Syntax Checker i figur 6 för att konfigurera NTP-autentisering på R1.
Router# ntp autentisera
Aktiverar autentiseringsfunktionen
Definierar NTP-autentiseringsnyckel
Router(config)# ntp-autentiseringsnyckel nyckelnummer md5 nyckel-värde
Identifiera betrodd NTP-nyckel
Router(config)# ntp betrodd-nyckel-nyckelnummer
Säker NTP-konfiguration
Konfigurera NTP-autentisering på R1
Konfigurera NTP-autentisering på R1:
• Aktivera NTP-autentisering
• Definiera en autentiseringsnyckel på 1 med MD5-hashning med nyckellösenordet cisco123.
• Identitetsnyckel 1 som den betrodda nyckeln att använda för NTP-autentisering.
• Lämna konfigurationsläget
R1(config)# ntp autentisera
R1(config)# ntp-autentiseringsnyckel 1 md5 cisco123
R1(config)# ntp betrodd-nyckel 1
R1(config)# avsluta
R1#
Utför kommandot show ntp association för att visa NTP-detaljer.
R1# visa ntp-associationsdetalj
Discovery Protocols CDP och LLDP
Cisco-routrar distribueras initialt med många tjänster som är aktiverade som standard. Detta görs för bekvämlighets skull och för att förenkla konfigurationsprocessen som krävs för att enheten ska fungera. Vissa av dessa tjänster kan dock göra enheten sårbar för attacker om säkerheten inte är aktiverad. Administratörer kan också aktivera tjänster på Cisco-routrar som kan utsätta enheten för betydande risker. Båda dessa scenarier måste beaktas när nätverket säkras.
Cisco Discovery Protocol (CDP) är ett exempel på en tjänst som är aktiverad som standard på Cisco-routrar. Link Layer Discovery Protocol (LLDP) är en öppen standard som kan aktiveras på Cisco-enheter, såväl som andra leverantörsenheter som stöder LLDP. LLDP-konfiguration och verifiering liknar CDP. I figur 1 är R1 och S1 båda konfigurerade med LLDP, med hjälp av kommandot lldp run global configuration. Båda enheterna kör CDP som standard. Utdata för visa cdp grannar detaljer och visa lldp grannar detaljer kommer att avslöja en enhets adress, plattform och operativsystem detaljer.
Tyvärr behöver angripare inte ha CDP-aktiverade eller LLDP-aktiverade enheter för att samla in denna känsliga information. Lättillgänglig programvara, som Cisco CDP Monitor som visas i figur 2, kan laddas ner för att få information. Syftet med CDP och LLDP är att göra det lättare för administratörer att upptäcka och felsöka andra enheter i nätverket. Men på grund av säkerhetskonsekvenserna bör dessa upptäcktsprotokoll användas med försiktighet. Även om det är ett extremt användbart verktyg, bör det inte finnas överallt i nätverket. Edge-enheter är ett exempel på en enhet som bör ha den här funktionen inaktiverad.
Jämför CDP- och LLDP-information
Discovery Protocols CDP och LLDP
Cisco-routrar distribueras initialt med många tjänster som är aktiverade som standard. Detta görs för bekvämlighets skull och för att förenkla konfigurationsprocessen som krävs för att enheten ska fungera. Vissa av dessa tjänster kan dock göra enheten sårbar för attacker om säkerheten inte är aktiverad. Administratörer kan också aktivera tjänster på Cisco-routrar som kan utsätta enheten för betydande risker. Båda dessa scenarier måste beaktas när nätverket säkras.
Cisco Discovery Protocol (CDP) är ett exempel på en tjänst som är aktiverad som standard på Cisco-routrar. Link Layer Discovery Protocol (LLDP) är en öppen standard som kan aktiveras på Cisco-enheter, såväl som andra leverantörsenheter som stöder LLDP. LLDP-konfiguration och verifiering liknar CDP. I figur 1 är R1 och S1 båda konfigurerade med LLDP, med hjälp av kommandot lldp run global configuration. Båda enheterna kör CDP som standard. Utdata för visa cdp grannar detaljer och visa lldp grannar detaljer kommer att avslöja en enhets adress, plattform och operativsystem detaljer.
Tyvärr behöver angripare inte ha CDP-aktiverade eller LLDP-aktiverade enheter för att samla in denna känsliga information. Lättillgänglig programvara, som Cisco CDP Monitor som visas i figur 2, kan laddas ner för att få information. Syftet med CDP och LLDP är att göra det lättare för administratörer att upptäcka och felsöka andra enheter i nätverket. Men på grund av säkerhetskonsekvenserna bör dessa upptäcktsprotokoll användas med försiktighet. Även om det är ett extremt användbart verktyg, bör det inte finnas överallt i nätverket. Edge-enheter är ett exempel på en enhet som bör ha den här funktionen inaktiverad.
Jämför CDP- och LLDP-information
Inställningar för protokoll och tjänster
Angripare väljer tjänster och protokoll som gör nätverket mer sårbart för skadlig exploatering.
Många av dessa funktioner bör inaktiveras eller begränsas i sina möjligheter baserat på en organisations säkerhetsbehov. Dessa funktioner sträcker sig från nätverksupptäcktsprotokoll, som CDP och LLDP, till globalt tillgängliga protokoll som ICMP och andra skanningsverktyg.
Några av standardinställningarna i Cisco IOS-programvara finns där av historiska skäl. De var logiska standardinställningar vid den tidpunkt då programvaran ursprungligen skrevs. Andra standardinställningar är vettiga för de flesta system, men kan skapa säkerhetsexponeringar om de används i enheter som utgör en del av ett nätverksperimeterförsvar. Ytterligare andra standardinställningar krävs av standarder men är inte alltid önskvärda ur säkerhetssynpunkt.
Figur 1 sammanfattar funktionen och standardinställningarna för protokoll och tjänster. Figur 2 visar rekommenderade säkerhetsinställningar för protokoll och tjänster.
Det finns flera viktiga metoder tillgängliga för att säkerställa att en enhet är säker:
• Inaktivera onödiga tjänster och gränssnitt.
• Inaktivera och begränsa vanligt konfigurerade hanteringstjänster, såsom SNMP.
• Inaktivera sonder och skanningar, såsom ICMP. Säkerställ terminalåtkomstsäkerhet.
• Inaktivera gratis och proxy-adressupplösningsprotokoll (ARP).
• Inaktivera IP-riktade sändningar.
Standardstatustjänster
Cisco Autosecure
Cisco AutoSecure släpptes i IOS version 12.3 och är en funktion som initieras från CLI och exekverar ett skript. AutoSecure ger först rekommendationer för att åtgärda säkerhetsbrister och ändrar sedan säkerhetskonfigurationen för routern, som visas i figuren.
AutoSecure kan låsa hanteringsplanets funktioner och vidarekopplingsplanets tjänster och funktioner för en router. Det finns flera förvaltningsplanstjänster och funktioner:
• Säker BOOTP, CDP, FTP, TFTP, PAD, UDP och TCP små servrar, MOP, ICMP (omdirigeringar, mask-svar), IP-källrouting, Finger, lösenordskryptering, TCP Keepalives, gratis ARP, proxy ARP och riktad utsända
• Juridisk underrättelse med hjälp av en banner
• Säkra lösenord och inloggningsfunktioner
• Säker NTP
• Säker SSH-åtkomst
• TCP-avlyssningstjänster
Det finns tre vidarebefordringsplanstjänster och funktioner som AutoSecure möjliggör:
• Cisco Express Forwarding (CEF)
• Trafikfiltrering med ACL
• Cisco IOS-brandväggsinspektion för vanliga protokoll
AutoSecure används ofta i fält för att tillhandahålla en grundläggande säkerhetspolicy på en ny router. Funktioner kan sedan ändras för att stödja organisationens säkerhetspolicy.
Använda Cisco AutoSecure-funktionen
Använd kommandot autosecure för att aktivera Cisco AutoSecure-funktionsinställningen. Denna inställning kan vara interaktiv eller icke-interaktiv. Figur 1 visar kommandosyntaxen för kommandot autosecure. Figur 2 visar kommandoparametrarna. Figur 3 visar beskrivningar av kommandoparametrarna.
I interaktivt läge uppmanar routern med alternativ för att aktivera och inaktivera tjänster och andra säkerhetsfunktioner. Detta är standardläget, men det kan också konfigureras med kommandot autosecure full.
Det icke-interaktiva läget konfigureras med kommandot auto secure no-interact. Detta kommer automatiskt exkör Cisco AutoSecure-funktionen med de rekommenderade Cisco-standardinställningarna. Kommandot automatisk säker kan också anges med nyckelord för att konfigurera specifika komponenter, såsom hanteringsplanet (hanteringsnyckelord) och vidarebefordransplanet (vidarebefordran nyckelord).
AutoSecure kommandosyntax

kör Cisco AutoSecure-funktionen med de rekommenderade Cisco-standardinställningarna. Kommandot automatisk säker kan också anges med nyckelord för att konfigurera specifika komponenter, såsom hanteringsplanet (hanteringsnyckelord) och vidarebefordransplanet (vidarebefordran nyckelord).
AutoSecure kommandosyntax
Använder kommandot auto säker
När kommandot automatisk säker initieras, leder en CLI-guide administratören genom konfigurationen av enheten. Användarinmatning krävs.
1. Kommandot auto säker anges. Routern visar välkomstmeddelandet från AutoSecure-konfigurationsguiden, som visas i figur 1.
2. Guiden samlar in information om de yttre gränssnitten, som visas i figur 2.
3. AutoSecure säkrar hanteringsplanet genom att inaktivera onödiga tjänster, som visas i figur 3.
4. AutoSecure frågar efter en banner, som visas i figur 4.
5. AutoSecure frågar efter lösenord och aktiverar lösenords- och inloggningsfunktioner, som visas i figur 5.
6. Gränssnitt är säkrade, som visas i figur 6.
7. Frammatningsplanet är säkrat, som visas i figur 7.
När guiden är klar visar en pågående konfiguration alla konfigurationsinställningar och ändringar.
Obs: AutoSecure ska användas när en router initialt konfigureras. Det rekommenderas inte på produktionsroutrar.
Använd Syntax Checker i figur 8 för att säkra R1 med AutoSecure.
Routing Protocol Spoofing
Routingsystem kan attackeras genom att störa peer-nätverksroutrar eller genom att förfalska eller förfalska informationen som finns inom routingprotokollen. Spoofing-routinginformation kan i allmänhet användas för att få system att felinformera (ljuga för) varandra, orsaka en DoS-attack eller få trafik att följa en väg som den normalt inte skulle följa. Det finns flera konsekvenser av att routinginformation förfalskas:
• Omdirigera trafik för att skapa routingslingor
• Omdirigera trafik så att den kan övervakas på en osäker länk
• Omdirigera trafik för att kassera den
Klicka på Play-knappen på animationen för att se ett exempel på en attack som skapar en routingslinga.
Antag att en angripare har kunnat ansluta direkt till länken mellan R1 och R2. Angriparen skickar R1 falsk routinginformation som indikerar att R2 är den föredragna destinationen till 192.168.10.0/24-nätverket. Även om R1 redan har en rutttabellpost till 192.168.10.0/24-nätverket, har den nya rutten ett lägre mått och är därför den föredragna posten i routingtabellen.
Följaktligen, när PC3 skickar ett paket till PC1 (192.168.10.10/24), vidarebefordrar R3 paketet till R2 som i sin tur vidarebefordrar det till R1. R1 vidarebefordrar inte paketet till PC1-värden. Istället dirigerar den paketet till R2 eftersom den uppenbart bästa vägen till 192.168.10.0 /24 är genom R2. När R2 får paketet letar den i sin routingtabell och hittar en legitim väg till 192.168.10.0/24-nätverket genom R1 och vidarebefordrar paketet tillbaka till R1, vilket skapar slingan. Slingan orsakades av felaktig information som injicerades i R1.
För mer information om generiska hot mot routingprotokoll, klicka här och hänvisa till RFC 4593. Minska mot routingprotokollattacker genom att konfigurera OSPF-autentisering.
OSPF MD5 Routing Protocol Authentication
OSPF stöder routingprotokollautentisering med MD5. MD5-autentisering kan aktiveras globalt för alla gränssnitt eller per gränssnitt.
Aktivera OSPF MD5-autentisering globalt:
• ip ospf meddelande-sammandrag-nyckel md5 lösenordsgränssnittskonfigurationskommando.
• område area-id authentication message-digest router konfigurationskommando.
Denna metod tvingar fram autentisering på alla OSPF-aktiverade gränssnitt. Om ett gränssnitt inte är konfigurerat med kommandot ip ospf message-digest-key, kommer det inte att kunna bilda angränsningar med andra OSPF-grannar.
Aktivera MD5-autentisering per gränssnitt:
• ip ospf meddelande-sammandrag-nyckel md5 lösenordsgränssnittskonfigurationskommando.
• kommando för konfiguration av ip ospf-autentisering meddelande-sammandrag gränssnitt.
Gränssnittsinställningen åsidosätter den globala inställningen. MD5-autentiseringslösenord behöver inte vara desamma i hela området. Men de måste vara desamma mellan grannar.
I figur 1 är R1 och R2 konfigurerade med OSPF och routing fungerar korrekt. OSPF-meddelanden är dock inte autentiserade eller krypterade. I figur 2 är R1 och R2 konfigurerade med OSPF MD5-autentisering. Autentisering konfigureras per gränssnitt eftersom båda routrarna endast använder ett gränssnitt för att bilda OSPF-angränsningar. Observera att när R1 är konfigurerad förloras OSPF-angränsning med R2 tills R2 konfigureras med den matchande MD5-autentiseringen.
OSPF SHA Routing Protocol Authentication
MD5 anses nu vara sårbart för attacker och bör endast användas när starkare autentisering inte är tillgänglig. Cisco IOS release 15.4(1)T lade till stöd för OSPF SHA-autentisering, enligt beskrivningen i RFC 5709. Därför bör administratören använda SHA-autentisering så länge som alla routerns operativsystem stöder OSPF SHA-autentisering.
OSPF SHA-autentisering inkluderar två huvudsteg. Syntaxen för kommandona visas i figur 1:
Steg 1. Ange en autentiseringsnyckelkedja i globalt konfigurationsläge:
• Konfigurera ett nyckelkedjenamn med nyckelkedjekommandot.
• Tilldela nyckelkedjan ett nummer och ett lösenord med nyckel- och nyckelsträngskommandona.
• Ange SHA-autentisering med kommandot kryptographic-algorithm.
• (Valfritt) Ange när denna nyckel ska upphöra med kommandot send-lifetime.
Steg 2. Tilldela autentiseringsnyckeln till önskade gränssnitt med kommandot ip ospf-autentiseringsnyckelkedje.
I figur 2 är R1 och R2 konfigurerade med OSPF SHA-autentisering med en nyckel som heter SHA256 och nyckelsträngen ospfSHA256. Observera att när R1 är konfigurerad förloras OSPF-angränsning med R2 tills R2 konfigureras med den matchande SHA-autentiseringen.
Använd Syntax Checker i figur 3 för att konfigurera OSPF-autentisering med SHA 256.

OSPF konfigurerad med SHA-autentisering

Nätverksenhetsfunktioner
Medan den primära funktionen hos routrar är att vidarebefordra användargenererat innehåll över dataplanet, genererar och tar routrar också emot trafik som är avsedd för kontroll- och hanteringsplanen. Därför måste routrar kunna skilja mellan dataplans-, kontrollplans- och hanteringsplanpaket för att behandla varje paket på rätt sätt, som visas i figuren.
• Dataplanspaket – Användargenererade paket som alltid vidarebefordras av nätverksenheter till andra slutstationsenheter. Ur nätverksenhetens perspektiv har dataplanspaket alltid en transitdestinations-IP-adress och kan hanteras av normala destinations-IP-adressbaserade vidarebefordran.
• Kontrollplanspaket – Nätverksenhet genererade eller mottagna paket som används för att skapa och driva nätverket. Exempel inkluderar protokoll som OSPF, ARP, Border Gateway Protocol (BGP) och andra protokoll som håller nätverket konvergerat och fungerar korrekt. Kontrollplanspaket är i allmänhet paket som skickas till routern eller nätverksenheten. Destinations-IP-adressen är routerns.
• Hanteringsplanspaket – Nätverksenhet genererade eller mottagna paket som används för att hantera nätverket. Exempel inkluderar protokoll som Telnet, SSH, SNMP, NTP och andra protokoll som används för att hantera enheten eller nätverket.
Under normala nätverksdriftsförhållanden är den stora majoriteten av paket som hanteras av nätverksenheter dataplanspaket. Dessa paket hanteras av Cisco Express Forwarding (CEF). CEF använder kontrollplanet för att i förväg fylla i CEF Forwarding Information Base (FIB)-tabellen i dataplanet med lämpligt utträdesgränssnitt för ett givet paketflöde. Efterföljande paket som flödar mellan samma källa och destination vidarebefordras av dataplanet baserat på informationen som finns i FIB.
Hantering av trafikplan och routerbearbetning

CoPP Operation
Control Plane Policing (CoPP) är en Cisco IOS-funktion utformad för att tillåta administratörer att hantera flödet av trafik som ”sänks” till ruttprocessorn, som visas i figuren. Termen ”punt” definieras av Cisco för att beskriva den åtgärd ett gränssnitt vidtar när ett paket skickas till ruttprocessorn. CoPP är utformad för att förhindra onödig trafik från att överväldiga ruttprocessorn som, om den lämnas oförminskad, kan påverka systemets prestanda.
CoPP skyddar ruttprocessorn på nätverksenheter genom att behandla ruttprocessorresurser som en separat enhet med ett eget gränssnitt. Följaktligen kan en CoPP-policy utvecklas och tillämpas på endast de paket inom kontrollplanet. Till skillnad från gränssnitts-ACL:er slösas inga ansträngningar på att undersöka dataplanspaket som aldrig kommer att nå kontrollplanet.
CoPP-konfiguration ligger utanför denna kurs.

Videodemonstration – Säkra routern
Den här videon visar hur man säkrar routrar genom att göra följande:
• Konfigurera en NTP-huvudserver och klienter
• Konfigurera NTP-autentisering
• Aktivera OSPF-autentisering
• Kryptera alla lösenord
• Kräv minsta längd lösenord
• Skapa användarkonton med säkra lösenord
• Logga meddelanden till en syslog-server
• Konfigurera SSH
• Säkra startbilden
• Skapa en säker säkerhetskopieringskonfiguration
• Använd kommandot autosecure
Klicka här för att läsa utskriften för den här videon.

Lab – Säkra routern för administrativ åtkomst
I det här labbet kommer du att slutföra följande mål:
• Konfigurera grundläggande enhetsinställningar.
• Kontrollera administrativ åtkomst för routrar.
• Konfigurera administrativa roller.
• Konfigurera Cisco IOS motståndskraft och hanteringsrapportering.
• Konfigurera automatiska säkerhetsfunktioner.
Lab – Säkra rutten r för administrativ åtkomst (2.6.1.2)
Packet Tracer – Konfigurera Cisco-routrar för Syslog-, NTP- och SSH-operationer
I denna Packet Tracer kommer du att slutföra följande mål:
• Konfigurera routrar som NTP-klienter.
• Konfigurera routrar för att uppdatera hårdvaruklockan med NTP.
• Konfigurera routrar för att logga meddelanden till syslog-servern.
• Konfigurera routrar för att tidsstämpla loggmeddelanden.
• Konfigurera lokala användare.
• Konfigurera VTY-linjer för att endast acceptera SSH-anslutningar.
• Konfigurera RSA-nyckelpar på SSH-servern.
• Verifiera SSH-anslutning från PC-klienten och routerklienten.
Packet Tracer – Konfigurera Cisco-routrar för Syslog-, NTP- och SSH-operationer – Instruktioner (2.6.1.3)
Packet Tracer – Konfigurera Cisco-routrar för Syslog-, NTP- och SSH-operationer – PKA (2.6.1.3, Packet Tracer-fil)