3. Безпека мережевого обладнання

   1. Безпека маршрутизаторів.

Оскільки маршрутизатори забезпечують шлюзи в інші мережі, вони можуть бути предметом різних атак. Забезпечення безпеки маршрутизаторів на периметрі мережі є першим важливим кроком забезпечення безпеки мережі. Для маршрутизатора потрібно забезпечити:

• фізичну безпеку

• оновлення IOS маршрутизатора;

• резервне копіювання конфігурації маршрутизатора та IOS;

• відключити порти та сервіси, що не використовуються, для усунення потенційного зловживання.

Because routers provide gateways to other networks, they are obvious targets, and are subject to a variety of attacks. Here are some examples of various security problems:

Compromising the access control can expose network configuration details, thereby facilitating attacks against other network components.

Compromising the route tables can reduce performance, deny network communication services, and expose sensitive data.

Misconfiguring a router traffic filter can expose internal network components to scans and attacks, making it easier for attackers to avoid detection.

Attackers can compromise routers in different ways, so there is no single approach that network administrators can use to combat them. The ways that routers are compromised are similar to the types of attacks you learned about earlier in this chapter, including trust exploitation attacks, IP spoofing, session hijacking, and MITM attacks.

Note: This section focuses on securing routers. Most of the best practices discussed can also be used to secure switches. However, this section does not cover Layer 2 threats, such as MAC address flooding attacks and STP attacks, because these are covered in CCNA Exploration: LAN Switching and Wireless.

Securing Your Network

Securing routers at the network perimeter is an important first step in securing the network.

Think about router security in terms in these categories:

Physical security

Update the router IOS whenever advisable

Backup the router configuration and IOS

Harden the router to eliminate the potential abuse of unused ports and services

To provide physical security, locate the router in a locked room that is accessible only to authorized personnel. It should also be free of any electrostatic or magnetic interference, and have controls for temperature and humidity. To reduce the possibility of DoS due to a power failure, install an uninterruptible power supply (UPS) and keep spare components available.

Physical devices used to connect to the router should be stored in a locked facility, or they should remain in the possession of a trustworthy individual so that they are not compromised. A device that is left in the open could have Trojans or some other sort of executable file stored on it.

Provision the router with the maximum amount of memory possible. Availability of memory can help protect against some DoS attacks, while supporting the widest range of security services.

The security features in an operating system evolve over time. However, the latest version of an operating system may not be the most stable version available. To get the best security performance from your operating system, use the latest stable release that meets the feature requirements of your network.

Always have a backup copy of a configuration and IOS on hand in case a router fails. Keep a secure copy of the router operating system image and router configuration file on a TFTP server for backup purposes.

Harden the router to make it as secure as possible. A router has many services enabled by default. Many of these services are unnecessary and may be used by an attacker for information gathering or exploitation. You should harden your router configuration by disabling unnecessary services.

Базовим заходом безпеки маршрутизатора є налаштування паролів. Надійний пароль є головним елементом забезпечення безпечного доступу до маршрутизатора.

Для забезпечення адміністративного доступу до маршрутизаторів і комутаторів, потрібно встановити паролі на віртуальні термінали та консоль (VTY, AUX), та налаштувати SSH тунель для шифрування трафіку. Не всі Cisco IOS підтримують SSH, а лише образи з криптуванням.

Для забезпечення використання SSH на маршрутизаторі повинні бути налаштовані наступні параметри:

• ім’я (hostname);

• доменне ім’я (domain name);

• асиметричні ключі (asymmetrical keys);

• аутентифікація (local authentication).

Сервіси та інтерфейси маршрутизатора чутливі до мережевих атак.

Маршрутизатори підтримують велику кількість мережевих послуг на 2, 3, 4 та 7 рівнях мережевої моделі. Деякі з цих служб є протоколами прикладного рівня, які дозволяють користувачам та хостам підключатись до маршрутизатора. Інші автоматичні процеси і налаштування призначені для підтримки існуючих або спеціалізованих конфігурацій, які можуть створювати загрозу безпеці. Деякі з цих послуг можуть бути обмежені або відключені для покращення безпеки без шкоди для використання маршрутизатора.

Перелік сервісів, які, як правило, повинні бути відключені:

• сервіси echo, discard, chargen – за допомогою команд no service tcp-small-servers або no service udp-small-servers;

• BOOTP – за допомогою команди no ip bootp server;

• Finger – за допомогою команди no service finger;

• HTTP – за допомогою команди no ip http server;

• SNMP – за допомогою команди no snmp-server.

Важливо також, відключити сервіси, які дозволяють певним пакетам проходити через маршрутизатор, розсилають спеціальні пакети, або використовуються для дистанційного керування маршрутизатором. Для відключення цих послуг використовуються команди:

• Cisco Discovery Protocol (CDP) – команда no cdp run;

• віддаленого керування – команда no cdp config;.

• джерела маршрутизації – команда no ip source-route;.

• безкласової маршрутизації – команда no ip classless.

Загрозу можуть становити також, такі служби, як SNMP, NTP та DNS.

SNMP, NTP, and DNS Vulnerabilities

The figure describes three management services which should also be secured. The methods for disabling or tuning the configurations for these services are beyond the scope of this course. These services are covered in the CCNP: Implementing Secure Converged Wide-area Network course.

The descriptions and guidelines to secure these services are listed below.

SNMP

SNMP is the standard Internet protocol for automated remote monitoring and administration. There are several different versions of SNMP with different security properties. Versions of SNMP prior to version 3 shuttle information in clear text. Normally, SNMP version 3 should be used.

NTP

Cisco routers and other hosts use NTP to keep their time-of-day clocks accurate. If possible, network administrators should configure all routers as part of an NTP hierarchy, which makes one router the master timer and provides its time to other routers on the network. If an NTP hierarchy is not available on the network, you should disable NTP.

Disabling NTP on an interface does not prevent NTP messages from traversing the router. To reject all NTP messages at a particular interface, use an access list.

DNS

Cisco IOS software supports looking up hostnames with the Domain Name System (DNS). DNS provides the mapping between names, such as central.mydomain.com to IP addresses, such as 14.2.9.250.

Unfortunately, the basic DNS protocol offers no authentication or integrity assurance. By default, name queries are sent to the broadcast address 255.255.255.255.

If one or more name servers are available on the network, and it is desirable to use names in Cisco IOS commands, explicitly set the name server addresses using the global configuration command ip name-server addresses. Otherwise, turn off DNS name resolution with the command no ip domain-lookup. It is also a good idea to give the router a name, using the command hostname. The name given to the router appears in the prompt.

Більш витончені атаки здійснюються в рамках протоколів маршрутизації. Фальсифікована інформація маршрутизації може бути використана для помилкового інформування інших маршрутизаторів, зміни маршрутів, організації DoS атак. Наслідками фальсифікації інформації про маршрутизацію є:

• перенаправлення трафіку для створення петель маршрутизації;

• перенаправлення трафіку для його моніторингу на незахищених лініях зв’язку;

• перенаправлення трафіку для подальшого його відхилення.

Найкращим способом захисту інформації про маршрутизацію є використання алгоритму MD5(message digest algorithm 5) для перевірки автентичності пакетів протоколу маршрутизації. Протоколи RIPv2, EIGRP, OSPF, IS-IS, BGP підтримують різні форми MD5 аутентифікації.

Cisco AutoSecure uses a single command to disable non-essential system processes and services, eliminating potential security threats. You can configure AutoSecure in privileged EXEC mode using the auto secure command in one of these two modes:

Interactive mode - This mode prompts you with options to enable and disable services and other security features. This is the default mode.

Non-interactive mode - This mode automatically executes the auto secure command with the recommended Cisco default settings. This mode is enabled with the no-interact command option.

Click the Router Output button in the figure.

Perform AutoSecure on a Cisco Router

The screen output shows a partial output from a Cisco AutoSecure configuration. To start the process of securing a router issue the auto secure command. Cisco AutoSecure will ask you for a number of items including :

Interface specifics

Banners

Passwords

SSH

IOS firewall features

Note: The Cisco Router and Security Device Manager (SDM) provides a similar feature as the Cisco AutoSecure command. This feature is described in the "Using Cisco SDM" section.