Säkerhetskonfigurationer

Grundläggande konfigurationer:

  • no ip domain-lookup
  • security passwords min-length 10
  • service password-encryption
  • enable secret
  • banner motd # meddelande #
  • security passwords min-length 10
  • username <skapa adminkonto>

Inloggningshantering

  • login block-for <seconds> attempts <tries> within <seconds>
  • login quiet-mode access-class <ACL namn eller nummer>
  • login delay <seconds>
  • login on-success log
  • login on-failure log

SSH konfigurationer

  • domain-name <domän namn>
  • crypto key generate rsa general-keys modulus 1024
  • ip ssh version 2

Säkra åtkomst

  • line console 0
  • login local
  • exec-timeout <minutes> <seconds>
  • logging synchronous
  • line vty 0 4
  • login local
  • transport input ssh
  • exec-timeout <minutes> <seconds>
  • logging synchronous

Begränsa kommandoexekveringar

  • Privilege levels
  • Level 0: user-level
  • Level 1: Default level
  • Level 2-14 customized for user-level privileges
  • Superviews

Säkra IOS och konfigurationsfiler

  • Cisco IOS Resilient – detekterar automatiskt IOS-image och konfigurationsfilers version
  • secure boot-image
  • secure boot-config

Syslog server

NTP server

auto secure

Följande säkerhetskonfigurationer ska genomföras:

  1. Grundkonfigurationer: namn och IP-adress g0/1
  2. Lösenordshantering (sätt min 8 tecken).
  3. Skapa användarkonto admin och lösenord som cisco123
  4. Säkra enable med lösenord enpass123
  5. Kryptera alla lösenord (befintliga och nya).
  6. Säkra konsolporten och Telnet (VTY) som lokal databas.
  7. Konfigurera idle-time-out för VTY och konsol (max 3 min).
  8. Blockera misslyckade inloggningar ( blockering för 3 minuter, 5 försök under 60 sekunder).
  9. Konfigurera loggning av inloggningsförsök för lyckade eller misslyckade försök.
  10. Konfigurera SSH version 2
  11. Säkra IOS och konfigurationsfiler startup-config med Cisco Reselient.
  12. Konfigurera NTP-server.
  13. Konfigureras Syslog-server.
  14. Delegera administrationsverktyg till specifik uppgift via Cisco view.
  15. Skapa användarkonto för user1 med behörighet 5

Lösenordshantering

Från versionen 12.3 (1) och senare kan nätverksadministratörer ställa in lösenordslängden från 0 till 15 tecken. Det rekommenderas som minimal längden 8 – 10 tecken.
Cisco routrar kan drifta en lokal kontodatabas som kan användas för att autentisera inloggningar. Det finns två metoder för att konfigurera användarkonto och dess lösenord: password och secret. Kommandot password krypterar inte lösenord, men med kommandot service password-encryption kan lösenord krypteras till typ 7. I dagens nätverk används kommandot secret som krypterar lösenord till typ 5 därmed betydligt säkrare kryptering.

För att ställa krypterat MD5 lösenord för användare chalo exekvera:

R1(config)# username chalo secret EntradaSecreta#1

Banner meddelande

Det är alltid bra att visa varningsmeddelande till alla som försöker få ogiltig åtkomst. I meddelandet ska framgå att juridiska åtgärder ska vidtas. Organisationers advokater bör komma med ett varningsmeddelande som kan används i en domstol.

Exempel:

UNAUTHORIZED ACCESS TO THIS DEVICE IS STRICTLY PROHIBITED AND PROSECUTED TO FULL EXTENT OF THE LAW. ALL ACTIVIES PERFORMED ON THIS DEVICE ARE LOGGED AND MONITORED

YOU MUST HAVE EXPLICIT, AUTHORIZED PERMISSION TO ACCESS THIS DEVICE. UNAUTHORIZED ATTEMPTS AND ACTIONS TO ACCESS OR USE THIS DEVICE MAY RESULT IN CIVIL AND/OR CRIMINAL PENALTIES.

Konfigurationen görs med kommandot banner login

R1(config)# banner login # Varningsmeddelande #

Cisco CCP eller Cisco Configuration Professional

Ett program som följer nya Cisco routrar. CCP Express brukar installeras i flash-minnet tillsammans med standard konfigurationer som inkluderar en HTTPS server och autentiseringsmekanismer för lokala konto, SSH och VTY anslutningar. Dessa standar konfigurationer genererar en RSA nyckel. För att generera fler RSA nycklar följ följande principer:

  • Om modulus värde är mellan 512 och 1024, ange ett värde som är multipel av 64
  • Om modulus värde är högre en 1024, ange 1536 eller 2048
  • Efter konfigurationer behöver VTY anslutningar konfigureras för att stödja SSH protokollet. I CCP navigera Configure –> Router –> Router Access –> VTY och sedan Edit.