Säkerhetskonfigurationer

Följande säkerhetskonfigurationer ska genomföras:

  1. Grundkonfigurationer: namn och IP-adress g0/1
  2. Lösenordshantering (sätt min 8 tecken).
  3. Skapa användarkonto admin och lösenord som cisco123
  4. Säkra enable med lösenord enpass123
  5. Kryptera alla lösenord (befintliga och nya).
  6. Säkra konsolporten och Telnet (VTY) som lokal databas.
  7. Konfigurera idle-time-out för VTY och konsol (max 3 min).
  8. Blockera misslyckade inlogganingar ( blockering för 3 minuter, 5 försök under 60 sekunder).
  9. Konfigurera loggning av inloggningsförsök för lyckade eller misslyckade försök.
  10. Konfigurera SSH version 2
  11. Säkra IOS och konfigurationsfiler startup-config med Cisco Reselient.
  12. Konfigurera NTP-server.
  13. Konfigureras Syslog-server.
  14. Delegera administrationsverktyg till specifik uppgift via Cisco view.
  15. Skapa användarkonto för user1 med behörighet 5

Konfigurationer

Från versionen 12.3 (1) och senare kan nätverksadministratörer ställa in lösenordslängden från 0 till 15 tecken. Befintliga lösenord påverkas inte men nya lösenord måste ha minst den inställda minimivärdet, annars visas ett meddelande som följande:
Password too short – must be at least 10 characters. Password configuration failed.

  • R1(config)# security-password  min-length 8
  • R1(config)# enable secret enpass123
  • Skapa användarkonto för admin och högst behörighet
  • R1(config)# username admin privilege 15 secret cisco123
  • Konfigurera lokalt ankomst och inaktiv tid på 3 minuter 
  • Som default får nätverksadministratörer upp till 10 minuter för konsolanslutningar, därefter loggas de ut och anslutningen tas ner.
  • R1(config)# line console 0
  • R1(config-line)# login local
  • R1(config-line)# exec-timeout 3
  • R1(config-line)# exit
  • R1(config)# line vty 0 15
  • R1(config-line)# login local
  • R1(config-line)# exec-timeout 3
  • R1(config-line)# end
  • Blockera misslyckade inloggningar (blockeras i 3 minuter efter 5 försök under 60 sekunder
  • R1(config)#login block-for 180 attempts 5 within 60
  • Aktivera rapportering av lyckade och misslyckade inloggningsförsök
  • R1(config)#login on-failure log
  • R1(config)#login on-success log
  • Skapa en domän och säkerhetsnycklar
  • R1(config)# ip domain-name Diginto.se
  • R1(config)# crypto key generate rsa 1024
  • R1(config)# ip ssh version 2
  • R1(config)# line vty 0 4
  • R1(config-line)# transport input ssh
  • R1(config-line)# login local
  • Verifiera SSH inloggning: ssh -l admin 192.168.1.1
  • R1# show users
  • Verifiera att IOS-image är synlig som default
  • R1# dir flash:
  • Göm IOS (Cisco IOS Resilient)
  • R1# conf t
  • R1(config)# secure boot-image
  • R1(config)# secure boot-config
  • R1(config)# end
  • Verifiera att IOS-image är inte synlig
  • R1# dir flash:
  • R1# show secure bootset
  • För att återställa startup-config efter en hack-attak
  • R1(config)# secure boot-config restore startup-config

Network Time Protocol - NTP - synkroniserar kommunikationen mellan nätverksenheter så att självgenerande information kan identifieras. Synkroniseringen görs med Coordinated Universal Time, UTC.  NTP använder UDP som transport-protokoll.

  • Verifiera först tiden på R1
  • R1# show clock
  • NTP autenticering för tidsynkronisering
  • R1(config)# ntp authenticate
  • R1(config)# ntp authentication-key 1 md5 cisco
  • R1(config)# ntp trusted-key 1
  • R1(config)# ntp server 192.168.1.100 key 1
  • Verifiera tiden och NTP status
  • R1(config)# do show clock
  • R1(config)# do show ntp status

De flesta Cisco nätverkshanterare använder syslog-protokoll för hantering av självgenererande rapporteringar och larm. Det finns risken för överflödiga rapporteringar. Cisco använder interna temporära buffert-minne eller att omdirigera rapporteringar och larm till en syslog-server

  • Definiera tidstämpling för syslog-meddelande
  • R1(config)# service timestamps log datetime msec
  • Specificer syslog-server
  • R1(config)# logging host 192.168.1.100
  • Specificera felsökningsnivå (emergency:0; Alert:1; Critical:2; Error:3; Warning:4; Notice:5; Informational:6; Debug: 7)
  • R1(config)# logging trap debugging
  • För att verifiera om det finns felmeddelande behöver du logga in på syslog-server.

Roll-baserad CLI åtkomst tillåter delegera administrationsuppgifter associerade till rätt behörighet. Beroende på konfigurationer kan en viss administrator få åtkomst till de kommando som kräver för att genomföra en viss konfiguration.

  • Aktivera AAA
  • R1(config)#aaa new-model
  • Aktivera view
  • R1# enable view
  • Skapa en view-delegering
  • R1# conf t
  • R1(config)# parser view ADMIN1
  • R1(config-view)# secret enpass789
  • Associera CLI delegering för alla kommando med show
  • R1(config-view)# commands exec include all show
  • R1(config-view)# exit
  • R1(config)#

Alla avancerade säkerhetskonfigurationer är inaktiverade som default.

  • R1# configure terminal
  • R1(config)# username chalo secret mi1ntrad0culta
  • R1(config)# line vty 0 4
  • R1(config-line)# login local
  • R1(config-line)# exit
  •  Felaktiga inloggningar blockeras i 300 sekunder, 5 chanser för inloggning under 60 sekunder.
  • R1(config)# login block-for 300 attempts 5 within 60
  • Inloggningar på klientdatorer 192.168.10.10 och 192.168.11.10 via Telnet, SSH och HTTP styrs med ACL.
  • R1(config)# ip access-list standard PERMIT-CHALO
  • R1(config-std-nacl)# remark Permit only Administrative hosts
  • R1(config-std-nacl)# permit 192.168.10.10
  • R1(config-std-nacl)# permit 192.168.11.10
  • R1(config-std-nacl)# exit
  • Väntetiden för nya inloggningsförsök 5 minuter.
  • R1(config)# login delay 300
  • Meddelandehantering för respektive inloggning.
  • R1(config)# login on-success log
  • R1(config)# login on-failure log
  • R1(config)# exit

Lösenordshantering

Från versionen 12.3 (1) och senare kan nätverksadministratörer ställa in lösenordslängden från 0 till 15 tecken. Det rekommenderas som minimal längden 8 – 10 tecken.
Cisco routrar kan drifta en lokal kontodatabas som kan användas för att autentisera inloggningar. Det finns två metoder för att konfigurera användarkonto och dess lösenord: password och secret. Kommandot password krypterar inte lösenord, men med kommandot service password-encryption kan lösenord krypteras till typ 7. I dagens nätverk används kommandot secret som krypterar lösenord till typ 5 därmed betydligt säkrare kryptering.

För att ställa krypterat MD5 lösenord för användare chalo exekvera:

R1(config)# username chalo secret EntraSecreta#1

Banner meddelande

Det är alltid bra att visa varningsmeddelande till alla som försöker få ogiltig åtkomst. I meddelandet ska framgå att juridiska åtgärder ska vidtas. Organisationers advokater bör komma med ett varningsmeddelande som kan används i en domstol.

Exempel:

UNAUTHORIZED ACCESS TO THIS DEVICE IS STRICTLY PROHIBITED AND PROSECUTED TO FULL EXTENT OF THE LAW. ALL ACTIVIES PERFORMED ON THIS DEVICE ARE LOGGED AND MONITORED

YOU MUST HAVE EXPLICIT, AUTHORIZED PERMISSION TO ACCESS THIS DEVICE. UNAUTHORIZED ATTEMPTS AND ACTIONS TO ACCESS OR USE THIS DEVICE MAY RESULT IN CIVIL AND/OR CRIMINAL PENALTIES.

Konfigurationen görs med kommandot banner login

R1(config)# banner login # Varningsmeddelande #

Cisco CCP eller Cisco Configuration Professional

Ett program som följer nya Cisco routrar. CCP Express brukar installeras i flash-minnet tillsammans med standard konfigurationer som inkluderar en HTTPS server och autentiseringsmekanismer för lokala konto, SSH och VTY anslutningar. Dessa standar konfigurationer genererar en RSA nyckel. För att generera fler RSA nycklar följ följande principer:

  • Om modulus värde är mellan 512 och 1024, ange ett värde som är multipel av 64
  • Om modulus värde är högre en 1024, ange 1536 eller 2048
  • Efter konfigurationer behöver VTY anslutningar konfigureras för att stödja SSH protokollet. I CCP navigera Configure –> Router –> Router Access –> VTY och sedan Edit.