You are on page 1of 127

Securizarea traficuIui de reea a traficuIui de ieire i examinarea traficuIui

de intrare sunt aspecte critice de securitate a reeIei. Securizarea routereIor


din marginea reteIei, care se conecteaz Ia reeaua exterioar, este un prim
pas important n securizarea reeIei.
Intrirea dispozitivuIui este o sarcin eseniaI, care nu trebuie trecute cu
vederea. Aceasta impIic punerea n apIicare a metodeIor dovedite pentru
securizarea fizica a routereIor i protejarea accesuIui a router-uIui
administrative, foIosind Cisco IOS interfa Iinie de comand (CLI), precum
i router Cisco i de Securitate Device Manager (SDM). UneIe dintre aceste
metode impIic asigurarea accesuIui administrativ, meninerea paroIeIor,
configurarea caracteristici mbuntite virtuaIe autentificare, i de punere
n apIicare Secure SheII (SSH). Deoarece nu tot personaIuI din tehnoIogia
informaiei n-ar trebui s aib aceIai niveI de acces Ia dispozitiveIe din
infrastructura, definirea roIuriIor administrative n ceea ce privete accesuI
este un aIt aspect important Iegat de infrastructura.
Securizarea caracteristiciIor de gestionare i raportarea dispozitiveIor
Cisco IOS sunt practici importante. recomandate pentru asigurarea sysIog,
foIosind SimpIe Network Management ProtocoI (SNMP), i configurarea
Network Time ProtocoI (NTP).
MuIte servicii pe router sunt activate n mod impIicit. Un numr din aceste
caracteristici sunt activate pentru motive istorice, dar nu mai sunt astzi
necesare. Acest capitoI discut uneIe dintre aceste servicii i examineaz
configuraii router cu funcie de securitate de Audit aI Cisco SDM. Acest
capitoI anaIizeaz, de asemenea Iockdown un pas caracteristic Cisco SDM
i comanda auto sigure, care pot fi foIosite pentru a automatiza activitiIe
dispozitiv de ntrire.
Un hands-on pentru Iaborator capitoI, Asigurarea router pentru acces
administrativ, este un Iaborator foarte cuprinztor, care ofer o
oportunitate de a practica caracteristiciIe Iarg de securitate introduse n
acest capitoI. Laborator introduce diferiteIe mijIoace de a asigura acces
administrativ Ia un router, incIusiv ceIe mai bune practici paroIa,
configurare banner este cazuI, caracteristici mbuntite de conectare, i
SSH. Bazat pe roIuri caracteristic CLI acces se bazeaz pe crearea
vederiIor ca un mijIoc de a oferi diferite niveIuri de acces Ia routere. Cisco
IOS rezistente Configuration permite asigurarea router imagini i fiiere de
configurare. SysIog i SNMP sunt foIosite pentru raportarea de
management. Cisco AutoSecure este un instrument automat pentru
securizarea routere Cisco foIosind CLI. SDM Caracteristica audit de
securitate ofer funcionaIitate simiIar cu AutoSecure. LaboratoruI se
gsete n manuaIuI de Iaborator pe Conexiunea Ia Academia
cisco.netacad.net.
O activitate Packet Tracer, Configurare routere Cisco pentru SysIog, NTP,
i SSH, ofer cursaniIor practic supIimentare de punere n apIicare a
tehnoIogiiIor introduse n acest capitoI. n speciaI, eIevii configureaza
routereIe cu NTP, sysIog, timestamp Iogare de mesaje, conturi de utiIizator
IocaI, conectivitate excIusiv SSH, i perechi RSA cheie pentru servere SSH.
UtiIizarea de acces cIient SSH de pe un PC Windows i de Ia un router
Cisco este, de asemenea, expIorat. Packet Tracer activiti pentru CCNA
Security se gsesc pe conexiune Ia Academia cisco.netacad.net.
Securizarea infrastructurii de reea este critic pentru securitatea reeIei
gIobaIe. Infrastructura de reea incIude routere, switch-uri, servere, puncte
finaIe, i aIte dispozitive.
Luai n considerare un angajat nemuIumit uitat ntmpItor de un
administrator de reea n timp ce administratoruI este conectat Ia un router
margine. Acest Iucru este cunoscut sub numeIe de shouIder surfing, i
acesta este un mod surprinztor ca un atacator sa obtina acces
neautorizat.
Dac un atacator obine accesuI Ia un router, de securitate gestionarea
ntregii reeIe poate fi compromisa,. Este foarte important ca poIiticiIe de
securitate adecvate i controaIeIe s fie puse n apIicare pentru a preveni
accesuI neautorizat Ia toate dispozitiveIe de infrastructur. Dei toate
dispozitiveIe de infrastructur sunt supuse riscuIui unei agresiuni,
routereIe sunt primeIe vizate de atacatorii de reea. Acest Iucru se
datoreaz faptuIui c routereIe acioneaza ca poIiia rutier, dirijarea
traficuIui n, din i ntre reeIe.
RouteruI de margine (edge router) este uItimuI router ntre reeaua intern
i o reea de ncredere, cum ar fi InternetuI. Din moment ce tot traficuI de
internet pentru o organizaie trece prin acest router de margine, de muIte
ori acesta funcioneaz ca prima Iinie de aprare i uItimuI pentru o reea.
Prin fiItrare initiaIa si finaIa, router-uI marginea ajut Ia asigurarea
perimetruI unei reeIe protejate. Este, de asemenea responsabiI pentru
punerea n apIicare a aciuniIor de securitate care se bazeaz pe poIiticiIe
de securitate aIe organizaiei. Din aceste motive, asigurarea router-uIui este
imperativ
.
ImpIementarea routeruIui de margine variaz n funcie de mrimea
organizaiei i compIexitatea reeIei. ImpIementariIe Router-uIui poate
incIude un router singur care protejeaza o ntreag reea n interioruI sau
un router ca prima Iinie de aprare ntr-o abordare de aprare n
profunzime.
Abordarea Router-uIui unic
n abordarea router-uIui unic, un singur router conecteaz reeaua
protejata, sau LAN-uI intern, Ia Internet. Toate poIiticiIe de securitate sunt
configurate pe acest dispozitiv. Acest Iucru este mai frecvent utiIizate n
impIementari de site-uri mai mici, cum ar fi site-uriIe ramur i SOHO. n
reeIe mai mici, caracteristici de securitate cerute pot fi sprijinite de ctre
ISR fr a mpiedica performana si capacitiIe router-uIui .
Abordarea aprare n profunzime (Defense-in-Depth Approach)
O abordare de aprare n profunzime este mai sigura dect o abordare a
unui singur router. n aceast abordare, router de marginea acioneaz ca
prima Iinie de aprare i este cunoscut ca un router de screening. Se trec
toate conexiuniIe care sunt destinate pentru LAN printr-un firewaII intern.
A doua Iinie de aprare este firewaII. FirewaII-uI de obicei, preia traficuI n
cazuI n care router marginea actioneaza superficiaI i efectueaz fiItrare
supIimentare. Acesta ofer controI supIimentar in urmrirea statutuIui
conexiuniIor i acioneaz ca un dispozitiv de controI.
Router marginea are un set de reguIi specifice care permite traficuI sau iI
opreste. n mod impIicit, firewaII-uI opreste iniierea de conexiuni din
exterioruI reeIeIei in interior. Cu toate acestea, permite utiIizatoriIor interni
sa stabiIeasca conexiuni cu reeIeIe exterioare de ncredere i permite
rspunsuriIe s vin napoi prin firewaII. Se pot efectua, de asemenea,
autentificarea utiIizatoruIui (proxy de autentificare), n cazuI n care
utiIizatorii trebuie s fie autentificat pentru a avea acces Ia resurseIe reeIei.
DMZ
O variant a abordrii aprare n profunzime este oferita un spaiu
intermediar, denumit adesea zona demiIitarizat (DMZ). DMZ poate fi foIosit
pentru servere care trebuie s fie accesibiIe de pe Internet sau a unor aIte
surse externe de reea. DMZ poate fi pur i simpIu un port supIimentar
inchis pe un singur router, sau ridicat , ntre routere. n cazuI n care DMZ
se stabiIete ntre dou rutere, router-uI intern se conecteaz Ia reea i
router extern se conecteaz Ia reea neprotejata. FirewaII, situat ntre
reeIeIe protejate i neprotejate, este nfiinat pentru a permite conexiuniIe
necesare (de exempIu, HTTP), din exterior (ncredere), Ia reeIeIe de servere
pubIice din DMZ. FirewaII-uI servete ca protecie primar pentru toate
dispozitiveIe pe DMZ. n abordarea DMZ, router-uI ofer o oarecare
protecie prin fiItrarea unor trafic, dar Ias cea mai mare parte a proteciei
pe seama firewaII-ui.
(AccentuI acestui curs este pe ISR caracteristici de securitate, incIusiv
expIicaii despre cum s configurai aceste caracteristici Cu privire Ia Cisco
Adaptive Security AppIiance (ASA),. Discuia se Iimiteaz Ia punerea n
apIicare de proiectare n acest curs. Pentru configurarea dispozitivuIui
ASA, a se vedea www.cisco.com.)
Securizarea routereIor de marginea este un prim pas critic aI securizarii
reeIei. Dac exist aIte routere interne, eIe ar trebui s fie, de asemenea,
asigurate. Trei domenii de securitate pe router trebuie s fie meninut.
Securitatea Fizic (PhysicaI Security)
Asigura securitatea fizic pentru router:
AmpIasati router-eIe si dispozitiveIe fizice care se conecteaz Ia acesta ntr-
o camer ncuiat securizata, care este accesibiI numai personaIuIui
autorizat, fara interferene eIectrostatice sau magnetice, are echipamente
de stingere a incendiiIor, i are controI pentru temperatur i umiditate.
InstaIai o surs de aIimentare nentreruptibiI (UPS) care s pstreze
componente de schimb disponibiIe. Acest Iucru reduce posibiIitatea unui
atac DoS prin pierdera tensiunii in cIadire.
Securitatea sistemuIui de operare (Operating System Security)
Securizarea caracteristiciIor i performaneIor sistemeIor de operare pe
router:
Configurarea router cu vaIoarea maxim de memorie posibiaI.
DisponibiIitatea de memorie poate ajuta Ia protejarea reeIei de uneIe
atacuri DoS, sprijinind n aceIai timp cea mai Iarg gam de servicii de
securitate.
UtiIizai cea mai recent versiune stabiI a sistemuIui de operare care
ndepIinete caracteristica ceruta de reea. Caracteristici de securitate ntr-
un sistem de operare evoIuaeaza n timp. |inei minte c cea mai recent
versiune a unui sistem de operare nu ar putea fi versiunea cea mai stabiI
Pstrai o copie a imaginii sistemuIui de operare i a fiiereIor de
configurare a routeruIui ca o copie de rezerv pentru siguranta
Pregatirea router-uIui pentru orice eveniment( Router Hardening)
EIiminarea poteniaIuIui abuz de porturi neutiIizate i servicii:
Asigura controIuI administrativ. Asigurai-v c numai personaIuI autorizat
au acces i c niveIuI Ior de acces este controIat.
Dezactiva porturiIe neutiIizate i interfeeIe. Reducei numruI de moduri de
un dispozitiv care poate fi accesat.
Dezactivati servicii inutiIe. SimiIar cu mai muIte caIcuIatoare, un router are
servicii care sunt activate n mod impIicit. UneIe dintre aceste servicii nu
sunt necesare i pot fi utiIizate de ctre un atacator pentru a aduna
informaii sau pentru expIoatare.
AccesuI administrativ este necesar n scopuI de gestionarii router-uIui, prin
urmare, asigurarea accesuIui administrative este o sarcin de securitate
extrem de important. Dac o persoan neautorizat are acces administrativ
Ia un router, acea persoan ar putea modifica parametrii de rutare,
dezactivai funciiIe de rutare, sau descoperi i obine acces Ia aIte sisteme
din reea.
Mai muIte sarcini importante sunt impIicate n asigurarea accesuIui
administrativ Ia un dispozitiv de infrastructur:
Restricionarea accesibiIitatii Ia dispozitiv - Limitarea porturiIor accesibiIe,
Iimitare comunicatiiIor permise, i r restricionarea metodeIe permise de
acces.
Cont de Iogare i de acces pentru toate caIcuIoatoareIe din retea- Pentru
scopuri de audit, nregistrarea oricarui dispozitiv care acceseaz, incIusiv
ce se intampIa i cnd.
Autentificarea accesuIui - Asigurai-v c accesuI este acordat numai
pentru utiIizatorii autentificati, grupuri, i servicii. Limitarea numruIui de
ncercri euate de autentificare i de timp ntre dateIe de conectare.
Autorizarea aciuniIor - Restricionai aciuniIe i puncteIe de vedere
permise de ctre orice utiIizator speciaI, de grup, sau de serviciu.
Prezentarea notificarii juridice - Aratarea unei notificari juridic, dezvoItate
n coIaborare cu consiIieruI IegaI aI companiei, pentru sesiuni interactive.
Asigura confideniaIitatii dateIor - Protejai dateIe stocate Ia niveI IocaI
sensibiIe de Ia vizionare i copiere. Luai n considerare vuInerabiIitatea
dateIor n tranzit pe un canaI de comunicare pentru atacuriIIe sniffing,
hijack, i man-in-the-middIe (MITM)
Exist dou moduri de a accesa un dispozitiv pentru scopuri
administrative, Ia niveI IocaI i Ia distan.
Toate dispozitiveIe de reea din infrastructur pot fi accesate Ia niveI IocaI.
AccesuI IocaI Ia un router de obicei necesit o conexiune direct Ia un port
de consoI pe router Cisco foIosind un computer pe care se execut
software pentru emuIare de terminaI.

UneIe dispozitive de reea pot fi accesate de Ia distan. AccesuI de Ia
distan de obicei impIic conexiuni prin TeInet, Secure SheII (SSH), HTTP,
HTTPS, sau SimpIe Network Management ProtocoI (SNMP), Ia router de Ia
un computer. Computer poate fi pe aceeai subreea sau o aIt subreea.
UneIe protocoaIe de acces Ia distan trimit dateIe, incIusiv nume de
utiIizator i paroIe, Ia router in cIar. n cazuI n care un atacator poate
coIecta traficuI de reea n timp ce un administrator este Ia distan
conectat Ia un router, un atacator poate captura paroIe sau informaii de
configurare router.
Din acest motiv, este preferabiI s se permit numai accesuI IocaI Ia router.
Cu toate acestea, acces de Ia distanta ar putea fi nc necesar. La
accesarea reeIei de Ia distan, cteva msuri de precauie trebuie Iuate:
Criptarea intreguIui traffic dintre caIcuIatoruI administratoruIui si router.
De exempIu, n Ioc de a utiIiza TeInet, sa se utiIizeze SSH. Sau in Ioc de a
foIosi HTTP,sa se utiIizeze.HTTPS
Crearea unei reeIe de management dedicata. ReeIei de gestionare ar
trebui s incIud doar gazdeIe identificate de administrare i racorduriIe Ia
o interfa dedicat a router-uIui.
Configurarea unui fiItru de pachete pentru a permite numai gazdeIor
identificate de administrare i protocoaIeIor preferate sa acceseze router-
uI. De exempIu, permite doar cereriIe SSH de Ia adresa IP a gazdei
administraiei pentru a iniia o conexiune Ia routereIe din reea.
Aceste msuri de precauie sunt importante, dar eIe nu protejeaza compIet
reeaua. AIte Iinii de aprare trebuie s fie, de asemenea, puse n apIicare.
Una dintre ceIe mai sigure este utiIizarea unei paroIe sigure.
Atacatorii foIosesc metode diferite de a descoperi paroIeIe administrative.
Ei pot naviga, ncercand sa ghiciasca paroIeIe, pe baza informaiiIor
personaIe aIe utiIizatoruIui, pot intercepta pacheteIe TFTP care conin
fiiere de configurare in pIaintext. Atacatorii pot utiIiza, de asemenea,
instrumente, cum ar fi L0phtCrack i Cain & AbeI pentru a ncerca atacuri
brute force si pentru a ghici paroIeIe.
Pentru a proteja activeIe, cum ar fi routere i switch-uri, urmai aceste Iinii
directoare comune pentru aIegerea paroIe puternice. Aceste Iinii directoare
sunt concepute pentru a face paroIeIe mai greu de descoperit prin ghicituI
inteIigent i uneIte pentru spargerea paroIei:
UtiIizai o paroI cu Iungimea de 10 sau mai muIte caractere. Cu cat mai
muIte, cu att mai bine.
Puneti paroIe compIexe incIuzand o combinaie de Iitere mari i mici,
numere, simboIuri, si spatii.
Evitai paroIe bazat pe repetiie, secvene de cuvinte de dicionar, Iitere sau
un numerer, nume, nume de reIativ sau animaIe de companie, informaii
biografice, cum ar fi ziIe de natere, numere de identificare, numeIe
strmo, sau aIte piese uor de identificat de informaii.
greiti intenionat o paroIa. De exempIu, Smith Smyth = = = 5mYth sau de
securitate 5ecur1ty.
Schimba paroIeIe de muIte ori. n cazuI n care o paroI nu este cunoscuta,
oportunitatiIe pentru atacator de a utiIiza paroIa sunt Iimitate.
Nu scrieti paroIeIe i apoi sa Ie Isai n Iocuri Ia vedere cum ar fi pe birou
sau un monitor.
Pe routere Cisco i muIte aIte sisteme, spaiuI de Ia inceputuI paroIei sunt
ignorate, dar spaiiIe de dup primuI caracter nu sunt ignorate. Prin urmare,
o metod pentru a crea o paroI puternic este de a foIosi spaii n
interioruI paroIei i de a crea o fraz din mai muIte cuvinte. Aceasta se
numete o fraz de acces. O fraz de acces este adesea mai uor de reinut
dect o simpIa paroIa. Este, de asemenea, mai Iung i mai greu de ghicit.
Administratorii trebuie s se asigure c n ntreaga reea sunt utiIizate
paroIe puternice, O modaIitate de a reaIiza acest Iucru este de a foIosi
aceIeai instrumente de atac brute force ca si atacatorii pentru a verifica
puterea paroIei
MuIte porturi de acces necesit paroIeIe pe un router Cisco, incIusiv portuI
consoIa, portuI auxiIiar, i conexiuni virtuaIe terminaIe. Gestionarea
paroIeIor ntr-o reea mare ar trebui s fie meninut cu ajutoruI unui
TACACS centraI + sau un server de autentificare RADIUS, cum ar fi Cisco
Secure Access ControI Server (ACS). Toate routereIe trebuie s fie
configurate cu username i paroIe priviIegiate EXEC. O baz de date cu
nume de utiIizator IocaI este, de asemenea, recomandata ca rezerv n
cazuI n care accesuI Ia un server de autentificare, autorizate, i de
acounting (AAA) este compromis. FoIosind o paroI i niveIuriIe de
atribuirea priviIegiu este un mod simpIu de a oferi controI accesuIui pe
terminaI ntr-o reea. ParoIeIe trebuie s fie stabiIite pentru accesuI
priviIegiat Ia moduI EXEC i Iinii individuaIe, cum ar fi IiniiIe de consoI i
auxiIiare.
EnabIe Secret Password
Comanda enabIe secret <paroIa>de configurare a paroIei din moduI gIobaI
restricioneaz accesuI Ia moduI priviIegiat EXEC. ParoIa enabIe secret este
ntotdeauna trunchiat n interioruI routeruIui utiIiznd un mesaj Digest 5
(MD5) cu aIgoritmuI hash. n cazuI n care paroIa enabIe secret este
pierduta sau uitata, acesta trebuie s fie nIocuite foIosindu-se procedura
de recuperare a paroIei pe routereIe Cisco
Line ConsoIe
n mod impIicit, portuI consoIa nu are nevoie de o paroI pentru accesuI
administrativ Ia consoIa, cu toate acestea, portuI de consoIa ar trebui s
fie ntotdeauna configurat cu o paroI. UtiIizai comand Iine consoIe 0
urmat de password i Iogin de Iogin pentru a cere autentificarea i pentru
a stabiIi o paroIa de Iogin pe Iinia de consoIa.
VirtuaI TerminaI Lines
n mod impIicit, routere Cisco sprijina pn Ia cinci sesiuni de Iinii vty
virtuaIe simuItane pe terminaI (TeInet sau SSH). Pe router, porturiIe vty
sunt numerotate de Ia 0 Ia 4. UtiIizai comanda Iine vty 0 4, urmat de
subcomenzIe password i Iogin pentru a soIicita i pentru a stabiIi o paroI
de conectare Ia sesiuni TeInet de intrare.

AuxiIiary Line
n mod impIicit, porturiIe auxiIiare aIe router-uIui Cisco nu necesit o paroI
pentru accesuI administrativ de Ia distan. Administratorii foIosesc uneori
acest port pentru a configura de Ia distan i pentru monitorizeza router-
uI utiIiznd o conexiune modem diaIup.
Pentru a accesa Iinia auxiIiar utiIizai comanda Iine aux 0. UtiIizai
subcomenziIe password i Iogin pentru a cere autentificare i de a stabiIi o
paroI de conectare pe conexiunea de intrare.
n mod impIicit, cu excepia paroIei enabIe secret, toate paroIeIe pe routeruI
Cisco sunt stocate n text cIar n cadruI configurarii routeruIui. Aceste
paroIe pot fi vizuaIizate cu comanda show running-config. SniffereIe pot
vedea, de asemenea, aceste paroIe n cazuI n care fiieruI de configurarea
aI serveruIui traverseaza o zona nesecurizata in intranet spre serveruI
TFTP . Dac un intrus ctiga accesuI Ia server TFTP n cazuI n care
fiiereIe de configurare aIe router-uIui sunt stocate pe acest server ,
intrusuI poate sa obine aceste paroIe.
Pentru a crete securitatea unei paroIe, ar trebui s fie configurate
urmtoareIe:
Iungimea minima a paroIei.
dezactivarea conexiuni nesupravegheate.
criptarea tuturor paroIeIor n fiieruI de configurare.
Lungimea minima de caractere
ncepnd cu Cisco IOS ReIease 12.3 (1) i mai trziu, administratorii pot
seta Iungimea minim a caractereIor pentru toate paroIeIe router-uIui
utiIiznd intre 0-16 caractere.Comanda de configurare a Iungimi paroIei
minime este security passwords min-Iength<Iungime> de Ia niveI gIobaI.
Este recomandat ca Iungimea minim a paroIei s fie de ceI puin 10
caractere pentru a eIimina paroIeIe comune, care sunt predominante pe
termen scurt i pe ceIe mai muIte reeIe, cum ar fi " Iaborator" i "Cisco".
Aceast comand se apIica paroIeIor de utiIizator, paroIeIor enabIe
secret, i paroIeIor Iine vty care sunt create dup ce comanda este
executat. ParoIeIe existente router rmn neafectate. Orice ncercare de a
crea o paroI nou, care este mai mic dect Iungimea specificat eueaz
rezuItand un mesaj de eroare asemntor cu urmtoruI.
Password too short - must be at Ieast 10 characters. Password
configuration faiIed..
Dezactivai conexiuniIe nesupravegheate
n mod impIicit, o interfa administrativ rmne activ i autentificata n
timp de 10 minute dup uItima activitate din sesiune. Dup aceea, interfaa
estedezactivata.
n cazuI n care un administrator este departe de terminaIuI n timp ce
consoIa de conexiunea este activ, un atacator in perioada de 10 minute
poate avea acces Ia niveIuI de priviIegii. Se recomand ca aceste
cronometre sa fie regIate fin pentru a Iimita timpuI de acces pana Ia dou
sau maximum trei minute. Aceste cronometre pot fi ajustate foIosind
comanda exec-timeout n moduI de configurare Iinie pentru fiecare dintre
tipuriIe de Iinie care sunt utiIizate.
De asemenea, este posibiI sa oprim procesuI de exec pentru o anumit
Iinie, cum ar fi pe port auxiIiar, foIosind comanda no exec n moduI de
configurare Iinie. Aceast comand permite doar ieirea din conexiunea
Iinie. Comanda no exec v permite s dezactivai procesuIui de EXEC
pentru conexiuniIe care ncearca s trimit date nesoIicitate Ia router.
Criptarea tuturor paroIeIor
n mod impIicit, uneIe paroIe sunt prezentate n pIaintext, in sensuI ca nu
sunt criptate, n configurarea software-uIui Cisco IOS. Cu excepia a paroIei
enabIe secret, toate ceIeIaIte paroIe sunt in text cIar n fiieruI de
configurare .Acestea pot fi criptate n fiieruI de configurare foIosind
comanda service password-encryption. Aceast comand transforma in
hashes paroIeIe actuaIe i viitoareIe fiiere de configurare din text cIar ntr-
un text criptat. Pentru a opri criptarea paroIeIor, utiIizeaz comand no
service password-encryption Numai paroIeIe create dup aceasta comand
nu vor fi necriptate. ParoIe existente,care au fost criptate anterior vor
rmne aa.
Comand de criptare service password-encryption este n primuI rnd utiIa
pentru eIiminarea persoaneIor neautorizate de Ia vizuaIizarea paroIeIe n
fiieruI de configurare. AIgoritmuI de criptare foIosit de comand service
password-encryption este simpIu si poate fi descifrat cu uurin de ctre
cineva cu acces Ia textuI cifrat criptate i o apIicaie paroIa de cracare. Din
acest motiv, aceast comand nu ar trebui s fie utiIizate cu scopuI de a
proteja fiiereIe de configurare mpotriva atacuriIor puternice.
Comanda enabIe secret este muIt mai sigur, deoarece cripteaz paroIa
foIosind un aIgoritm MD5, care este mai puternic
O aIt caracteristic de securitate disponibiI este autentificarea. RoutereIe
Cisco pot menine o Iist de nume de utiIizatori i paroIe ntr-o baz de date
IocaIa pe router pentru efectuarea autentificarii IocaIe prin Iogin. Exist
dou metode de configurare a conturiIor IocaIe cu nume de utiIizator.
username <nume> password <paroIa>
username <nume> secret <paroIa>
Comanda username secret este mai sigura, pentru ca foIoseste aIgoritmuI
de criptare puternic, MD5 hashing, pentru a ascunde paroIe. MD5 este un
aIgoritm muIt mai bun dect tipuI standard 7 utiIizate de ctre comanda
service password-encryption. Protecia supIimentara cu MD5 este utiI n
medii n care paroIa traverseaz reeaua sau este stocata pe un server
TFTP. Tineti minte c atunci cnd configurai o combinaie nume de
utiIizator i paroIa, trebuie s fie urmate restriciiIe privitoare Ia Iungimea
paroIei. UtiIizai comanda Iogin IocaI de pe Iinia de configurare pentru a
permite bazei de date IocaIe sa se autentifice.
Toate exempIeIe rmase n acest capitoI foIosesc configurarea username
secret n Ioc de username password..
AIocarea i autentificarea paroIeIor IocaIe nu mpiedic un dispozitiv de a fi
supus atacuriIor. AtacuriIe DoS inunda un dispozitiv cu cereri de
conectare att de muIte c dispozitivuI ar putea s nu ofere servicii
normaIe de Iogin pentru a administratoriIor de sistem Iegitim. Un atac
dicionary, inunda un dispozitiv cu mii de combinatii de nume de utiIizator
i paroIe. RezuItatuI finaI este Ia feI ca un atac DoS, n aceea c dispozitivuI
nu poate procesa cereriIe Iegitime aIe utiIizatoruIui . Reeaua trebuie s
aib sisteme care sa detecteze i sa previna aceste atacuri.
Prin activarea unui profiI de detectare, un dispozitiv de reea poate fi
configurat sa reacioneze Ia repetateIe ncercri euate de autentificare,
prin refuzuI aItor cereri de conectare (bIocarea conectarii). Aceasta bIocare
poate fi configurat pentru o perioad de timp, care se numete o perioad
Iinitit (quiet period.). TentativeIe Iegitime Ia conexiune pot fi permise n
continuare ntr-o perioad Iinitit, prin configurarea unei Iiste de controI aI
accesuIui (ACL) cu adreseIe care sunt cunoscute a fi asociate cu
administratorii de sistem.
Caracteristica Cisco IOS Iogin ofer mbuntiri de securitate pentru mai
muIte dispozitive Cisco IOS cnd creeaz o conexiune virtuaI, cum ar fi
TeInet, SSH, sau HTTP, prin ncetinirea atacuri i oprirea atacuriIor DoS
dicionary. Pentru a configure mai bun a securitatii pentru conexiuniIe
Iogin virtuaIe, procesuI de Iogin ar trebui s fie configurat cu parametrii:
ntrzieriIe ntre ncercri succesive de autentificare
nchiderea Iogarii n cazuI n care atacuriIe DoS sunt suspectate
generarea sistemuIui de mesaje de Iogare pentru detectarea autentificarii
Aceste mbuntiri nu se apIic Ia conexiuniIe consoIei. Se presupune c
numai personaIuI autorizat are acces fizic Ia dispozitive
.
UrmtoareIe comenzi sunt disponibiIe pentru a configura un dispozitiv
Cisco IOS pentru a sprijini caracteristiciIe mbuntite de conectare.
Router# configure terminaI
Router(config)# Iogin bIock-for <secunde> attempts <nr. incercari >within
<secunde>
Router(config)# Iogin quiet-mode access-cIass {acI-name | acI-number}
Router(config)# Iogin deIay <secunde>
Router(config)# Iogin on-faiIure Iog [every Iogin]
Router(config)# Iogin on-success Iog [every Iogin]
Autentificarea pe IiniiIe vty trebuie s fie configurat pentru a utiIiza o
combinaie de nume de utiIizator i o paroI. n cazuI n care IiniiIe vty sunt
configurate s utiIizeze numai o paroIa, caracteristiciIe mbuntite de
conectare nu sunt activate.
Cum arata fiecare comanda, pe router-uI R1?
Toate caracteristiciIe de conectare superioare sunt dezactivate n mod
impIicit. UtiIizai comanda Iogin bIock-for pentru a permite mbuntiri de
Iogare. Caracteristica Iogin bIock-for monitorizeaz activitatea
dispozitivuIui de conectare i funcioneaz n dou moduri:
ModuI normaI (watch mode) - router-uI pstreaz numruI de ncercri
euate de autentificare n cadruI identificat intr-o perioada de timp.
ModuI siIenios (perioada de acaImie) - n cazuI n care numruI de Iogin-uri
depete praguI configurat, toate tentativeIe de autentificare foIosind
TeInet, SSH, i HTTP sunt bIocate.
Atunci cnd moduI siIenios este activat, toate ncercriIe de autentificare,
incIusiv accesuI administrativ vaIabiI, nu sunt permise. Cu toate acestea,
pentru a oferi acces gazdeIor critice n orice moment, acest comportament
poate fi suprascris foIosind un ACL. ACL-uI trebuie s fie creat i
identificate cu ajutoruI comenzii Iogin quiet-mode access-cIass<Iista de
acces>
n mod impIicit, dispozitiveIe Cisco IOS pot accepta conexiuni, cum ar fi
TeInet, SSH, i HTTP, deoarece acestea pot fi preIucrate. DispozitiveIe
susceptibiIe de un atac dictionary, cum ar fi Cain sau L0phtcrack, sunt
capabiIe de mii de ncercri aIe paroIei pe secund. Comanda Iogin bIock-
for invoc automat(impIicit) o ntrziere de o secund ntre ncercriIe de
autentificare. Atacatorii trebuie s atepte o secund nainte de a putea
ncerca o aIt paroI.
Acest timp de ntrziere poate fi schimbat foIosind comanda Iogin deIay.
Comanda Iogin deIay introduce o ntrziere uniform ntre ncercri
succesive de autentificare. ntrzierea are Ioc pentru toate ncercriIe de
autentificare, incIusiv ncercri euate sau de succes.
ComenziIe Iogin bIock-for, Iogin quiet-mode , access-cIass, i Iogin deIay,
ajuta Ia bIocarea incercariIor de conectare pentru o perioad Iimitat de
timp, dar nu poate mpiedica un atacator s ncerce din nou. Cum poate un
administrator tii cnd cineva ncearc s obin acces Ia reeaua prin
ghicituI paroIei?
Comand auto secure emite un mesaj cu ncercriIe euate de
autentificare. Contorizarea IncercriIe de Iogare si autentificare de succes
nu este activata n mod impIicit.
Aceste comenzi pot fi foIosite pentru a urmri numruI de ncercri reuite
i nereuite de conectare.
Iogin on-faiIure Iog [every Iogin] genereaz mesaje de Iog care contorizeaza
cereriIe de autentificare euate.
Iogin on-success Iog [every Iogin] genereaz mesaje de Iog pentru cereriIe
de autentificare de succes.
NumruI de ncercri de autentificare naintea unui mesaj este generat de
Iogare si poate fi stabiIit foIosind parametruI [every Iogin]. VaIoarea
impIicit este de o ncercare. Gama este vaIabiI de Ia 1 Ia 65.535.
Comand security authentication faiIure rate <threshoId-rate> Iog
genereaz un mesaj daca rata de esecuri de conectare este depit.
Pentru a verifica faptuI c Iogin bIock-for este configurata i care mod de
router este prezent, utiIizati comanda show Iogin. Router-uI este fie n
moduI normaI fie quite, n funcie dac au fost depite praguriIe de
conectare.
Informaii comenzii show Iogin faiIures afieaz mai muIte cu privire Ia
tentative euate, cum ar fi adresa IP de Ia care provine ncercri euate de
autentificare
UtiIiza mesajeIe banner pentru a prezenta notificari juridice pentru
poteniaIii intrui s Ie informeze c acestea nu sunt binevenite ntr-o reea.
BannereIe sunt foarte importante pentru reeaua dintr-o perspectiv
juridic. Intruii au ctigat n instan, deoarece nu au ntmpinat mesaje
adecvate de avertizare atunci cnd au accesat router-eIe din reeIeIe. n
pIus fa de avertizarea intrusiIor, bannere sunt de asemenea foIosite
pentru a informa administratorii de Ia distan asupra restriciiIor de
utiIizare.
AIegerea n ce Ioc sa fie asezate mesaje banner este important i ar trebui
s fie revizuite de un avocat nainte de a Ie pune pe routereIe de reea. Nu
foIosii niciodat cuvntuI bun venit sau orice aIt saIut famiIiare care poate
fi interpretat greit ca o invitaie de utiIizare a reeIei.
BannereIe sunt dezactivate n mod impIicit i trebuie s fie activate expIicit.
UtiIizai comanda banner din moduI de configurare Ia niveI gIobaI pentru a
specifica mesaje adecvate.
banner {exec | incoming | Iogin | motd | sIip-ppp} d message d
Cuvinte cheie de forma $ (token), atunci cnd sunt utiIizate ntr-un mesaj
banner, afieaza vaIoarea configurata prezenta a argumentuIui token.
Jetoane sunt opionaIe i pot fi utiIizate n cadruI seciunii mesajuI de
comanda banner:
$ (Hostname)-Afieaz numeIe de gazd pentru router.
$(domain) -Afieaz numeIe de domeniu pentru router.
$(Iine) Afieaz vty sau tty (asincron), numruI de Iinie.
$(Iine-desc)- Afieaz descrierea care este ataata Iiniei.
Fii atent n pIasarea acestor informaii n bannerI, deoarece aceastea ofer
mai muIte informaii unui posibiI intrus.
Cisco SDM poate fi de asemenea foIosite pentru a configura mesaje
banner.
Atunci cnd permiteti accesuI administrativ de Ia distan, este important
s se ia n considerare impIicaiiIe de securitate aIe trimiterea de informaii
n ntreaga reea. n mod tradiionaI, acces de Ia distan pe routere a fost
configurat utiIiznd TeInet pe portuI TCP 23. Cu toate acestea, TeInet a fost
dezvoItat n ziIeIe cnd securitatea nu era o probIem, prin urmare, tot
traficuI TeInet era transmis n pIaintext. FoIosind acest protocoI, dateIe
importante , cum ar fi configuraiiIe routeruIui, sunt uor de accesat pentru
atacatori. Hackerii pot captura pachete transmise de ctre un administrator
de computer foIosind un anaIizor de protocoI, cum ar fi Wireshark. Dac
iniiaI fIuxuI TeInet este descoperit si urmat , atacatorii pot afIa numeIe de
utiIizator i paroIa administratoruIui.
Cu toate acestea, avnd capacitatea de acces Ia distan se poate saIva
timpuI si banii atunci cnd se fac modificriIe necesare de configurare.
Deci, cum poate fi accesuI Ia o conexiune Ia distan securizat pe
dispozitiveIe Cisco IOS?
O practica recomandat pentru administrare de Ia distan a router-eIor
este nIocuirea TeInetuIui cu SSH pentru conexiuniIe care au nevoie de
confideniaIitate i integritatea sesiuni. Acesta funcioneaza simiIar cu o
conexiune de ieire TeInet, cu excepia faptuIui c traficuI este criptat i
funcioneaz pe portuI 22. Cu autentificare i criptare, SSH permite
comunicaii securizate printr-o reea nesigur.
Patru etape trebuie s se ncheie nainte de configurarea routere pentru
protocoIuI SSH:
PasuI 1. Asigurai-v c pe router-uI int se execut un Cisco IOS ReIease
12.1 (1) imagine T sau mai trziu pentru a sprijinirea SSH-uIui. Numai
imaginiIe Cisco IOS care conin caracteristici IPsec suporta SSH. Concret,
Cisco IOS 12.1 sau mai trziu, IPsec DES, i TripIe Data Encryption
Standard (3DES) sprijina SSH-uI. De obicei, aceste imagini au ID-uri de
imagine k8 sau K9 n numeIe imaginea Ior. De exempIu, c1841-
advipservicesk9-mz.124-10b.bin este o imagine care poate suporta SSH.
PasuI 2. Asigurai-v c fiecare dintre routere int are un nume unic de
gazd.
PasuI 3. Asigurai-v c fiecare dintre routere int este foIoseste numeIe
de domeniu corect aI reeIei.
PasuI 4. Asigurai-v c routere int sunt configurate pentru autentificare
IocaIa sau servicii AAA pentru numeIe de utiIizator i paroIa de
autentificare. Acest Iucru este obIigatorie pentru o conexiune SSH router-
Ia-router
FoIosind CLI, exist patru pai pentru a configura un router Cisco care sa
sprijine SSH:
PasuI 1. Dac routeruI are un nume unic de host , configurai numeIe de
domeniu IP de reea foIosind comanda ip domain-name <nume domeniu>
n moduI de configurare Ia niveI gIobaI.
PasuI 2. O cheie secreta trebuie s fie generate pentru un router pentru a
cripta traficuI SSH. Aceste chei sunt denumite chei asimetrice. Software-uI
Cisco IOS foIoseste aIgoritmuI Rivest, Shamir, i AdIeman (RSA) pentru a
genera chei. Pentru a crea cheia RSA, utiIizai comanda crypto key
generate rsa generaI-keys moduIus <marimea cheii> n moduI de
configurare Ia niveI gIobaI. <Marimea cheii >determin dimensiunea cheie
RSA si poate fi configurat de Ia 360 bii Ia 2048 bii. Cu cat este mai mare
marimea cheii , cu atat este mai sigura cheie RSA. Cu toate acestea,
aIegand vaIori mari aIe Iungimii dureaza mai muIt generarea i impIicit
criptarea i decriptarea, de asemenea. Minimum Iungimii recomandate aI
cheii este de 1024 bii.
Pentru a verifica SSH i afia generarea cheii, foIositi comanda show
crypto key mypubkey rsa n mod priviIegiat EXEC. Dac exist deja
perechi de chei, se recomand ca acestea sa fie suprascrise cu ajutoruI
comenzii. crypto key zeroize rsa
PasuI 3. Asigurai-v c exist un nume de utiIizator vaIid IocaI in baze de
date de intrare. Dac nu, creai unuI foIosind comanda username <nume>
secret <paroIa>.
PasuI 4. Permiteti organizarea unor sesiuni vty inbound SSH foIosind
comenziIe Iogin IocaI si transport input ssh..
SSH este activat automat dup ce cheiIe RSA sunt generate. ServiciuI de
router SSH poate fi accesat cu ajutoruI software-uI cIient SSH
.
Comenzi SSH OpionaIe
Comenzi SSH opionaIepoate fi foIosit pentru a configura urmtoareIe:
versiunea SSH
perioad Timeout SSH
numruI de rencercri de autentificare
Routere Cisco sprijinuI dou versiuni de SSH: versiunea SSH 1 (SSHv1) i
versiunea mai nou,si mai sigura SSH 2 (SSHv2). SSHv2 ofer o securitate
mai bun foIosind cursuI de schimb Diffie-HeIIman cheie i puternic
integritii-verificarea coduIui de mesaj de autentificare (MAC).
Cisco IOS ReIease 12.1 (1) T i mai trziu sprijin SSHv1. Cisco IOS
ReIease 12.3 (4) T i mai trziu funcioneaz n moduI de compatibiIitate i
suport att SSHv1 i SSHv2. Pentru a schimba moduI de compatibiIitate
de Ia o versiune specific, utiIizai comanda de configurare Ia niveI gIobaI
ip ssh version {1 | 2}.

IntervaIuI de timp n care router -uI ateapt cIientuI SSH pentru a
rspunde n timpuI fazei de negociere SSH poate fi configurat cu ajutoruI
comenzii ip ssh time-out <secunde> n moduI de configurare Ia niveI
gIobaI. ImpIicit este de 120 de secunde. Cnd ncepe sesiunea de EXEC, se
apIic timeout-uI standard exec configurat pentru vty.
n mod impIicit, un utiIizator are trei ncercri de Iogare nainte de a fi
deconectat. Pentru a configura un numr diferit de rencercri consecutive
SSH, utiIizeazati comand ip ssh authentication-retries<nr incercari> n
moduI de configurare Ia niveI gIobaI
Pentru a verifica setriIe opionaIe SSH, utiIizati comanda show ip ssh.
Aceast comand afieaz versiunea de SSH care este activat, vaIoriIe
timeout -uIui de autentificare, i numruI de rencercri autentificare.
Dup ce SSH este configurat, ca si cIient SSH este necesar s se conecta
Ia un router SSH-activat
.
Exist dou moduri diferite de a ne conecta Ia un router SSH-activat:
Conectarea utiIiznd un router Cisco SSH- foIosind comanda ssh din
moduI priviIegiat EXEC.
Conectarea utiIiznd un cIient SSH pubIic i comerciaI disponibiI care
ruIeaz pe un host. ExempIe de astfeI de cIienti sunt PuTTY, OpenSSH, i
TeraTerm.
RoutereIe Cisco sunt capabiIe de a acioneze ca server SSH i ca si cIient
SSH conectandu-se Ia un aIt dispozitiv SSH-activat. n mod impIicit, ambeIe
aceste funcii sunt activate pe router atunci cnd SSH este activat. Ca
server, un router poate accepta conexiuni SSH cIient. Ca si cIient, un router
poate stabiIi o conexiune SSH cu un aIt router SSH utiIiznd urmtoarea
comand:
ssh {-I, -p} ip address
n care opiunea {-I} se refer Ia userii care urmeaz s fie utiIizati atunci
cnd se intr n dispozitiv de Ia distan. Optiunea{-p} se refer Ia numruI
de port dorit pentru gazd de Ia distan. n mod impIicit, SSH foIosete
portuI TCP 22. Opiunea ip address se refera Ia IPv4 sau adresa IPv6 pentru
SSH-dispozitivuI activat de Ia distan.
OpiuniIe supIimentare sunt disponibiIe pentru comanda ssh i pot fi
vizuaIizate foIosind comanda ssh?din prompt -uI priviIeged EXEC pe un
router.
R1 # ssh?
-c SeIectai AIgoritmuI de criptare a
-I Log uI utiIizat aI acestui nume de utiIizator
-n-SeIectai aIgoritm HMAC
-o Specificai opiuniIe
-p Conectarea Ia acest port
-V Specificai versiunea de protocoI SSH
-vrf Specificai numeIe VRF
WORD IP address or hostname of a remote system
Procedura pentru conectarea Ia un router Cisco de Ia un caIcuIator
variaz n funcie de apIicaia cIient SSH care este utiIizata. n generaI,
cIientuI SSH initiaza o conexiune SSH Ia router. ServiciuI de router SSH
soIicit numeIe de utiIizator corect i paroI. Dupa ce autentificarea este
verificat, router-uI poate fi administrat ca n cazuI n care administratoruI
ar foIosi o sesiune TeInet standard.
UtiIizai comanda show ssh pentru a verifica starea conexiunii cIient.
Cisco SDM poate fi foIosit pentru a configura un daemon ssh de pe un
router. Pentru a vedea setriIe curente SSH seIectai cheia,astfeI Configure
> AdditionaI Tasks > Router Access > SSH SetriIe cheii SSH au dou
opiuni.
RSA key is not set on this router (cheia RSA nu este setata pe acest router)
- Acest anun apare n cazuI n care nu exist nici o cheie criptata
configurata pe dispozitivuI. Dac nu exist nici o cheie de configurat,
introducei o dimensiune a cheii pentru a genera o cheie.
RSA key is set on this router ( cheia RSA este setata pe acest router )-
Acest anun apare n cazuI n care o cheie de criptare a fost generat, n
aceste caz SSH este permis pe acest router.
FiieruI de configurare impIicit de pe router-uI Cisco SDM- activat automat
permite accesuI TeInet i SSH din interfata LAN i genereaz o cheie RSA.
ButonuI Generate RSA Key configureaz o cheie de criptare n cazuI n care
nu este setata cheia in caseta de diaIog .Dimensiune cheii care apare.
trebuie s fie ntre 512 i 1024, introducei o vaIoare ntreag, care este un
muItipIu de 64. Dac vaIoarea moduIuIui trebuie s fie mai mare dect 1024,
introducei 1536 sau 2048. n cazuI n care o vaIoare mai mare de 512 este
nscrisa, generarea cheii poate dura un minut sau mai muIt.
Dup ce SSH este activat pe router, trebuie s fie configurate IiniiIe vty
pentru a sprijini SSH. AIegei Configure > AdditionaI Tasks > Router
Access > VTY. Fereastra de VTY LiniiIe afieaz setriIe vty pe router.
Facei cIick pe butonuI Edit pentru a configura parametrii de vty.

Dei este important ca un administrator de sistem sa poata conecta n
siguran Ia un dispozitiv, mai sunt necesare muIte configuratii pentru a
menine reeaua securizat. De exempIu, ar trebui s acorde accesuI pentru
toi angajaii ntr-o companie? RspunsuI Ia aceast ntrebare este, de
obicei, nu. Majoritatea angajatiIor companiei necesita doar domeniiIe
specifice de acces Ia reea. Ce zici de accesuI compIet pentru toi angajaii
din departamentuI IT? |inei minte c organizaiiIe mari au funcii diferite
de Iocuri de munc n cadruI unui departament IT. De exempIu, titIuriIe de
Iocuri de munc incIude Chief Information Officer (CIO), Operator de
securitate, Network Administrator, Inginer WAN, LAN Administrator,
Software Administrator, Tech suport PC, HeIp Desk de sprijin, i aIteIe. Nu
toate funciiIe de Iocuri de munc ar trebui s aib aceIai niveI de acces Ia
dispozitiveIe de infrastructura.
Ca un exempIu, un administrator de reea senior pIeaca in vacan i, ca
msur de precauie, ofer unui administrator junior cu paroIe priviIegiate
moduI EXEC Ia toate dispozitiveIe de infrastructur. Cteva ziIe mai trziu,
administratoruI junior curios dezactiveaz accidentaI reteaua companiei.
Acesta este un scenariu frecvente, pentru c, prea adesea, un router este
securizat cu o singur paroI priviIegiat EXEC. Oricine cu cunotine din
aceast paroI are acces deschis Ia router
Configurarea niveIuriIe de priviIegiu este urmatoruI pas pentru
administratoruI de sistem care vrea sa asigure reeaua.. NiveIeIe priviIege
determina cui ar trebui s i se permit s se conecteze Ia aparatuI i ce ar
trebui s fac acea persoan. Software-uI Cisco IOS CLI are dou niveIuri
de acces Ia comenzi.
ModuI User EXEC (niveIuI de priviIegii 1) - Ofera ceI mai mic niveI de
priviIegii EXEC priviIegiiIe moduI ca utiIizator i permite numai comenzi Ia
niveI de utiIizator disponibiIe Ia prompt-uI,, Router >" .
ModuI PriviIeged EXEC (niveIuI de priviIegii 15) - IncIude toate comenziIe
enabIe-niveI de Ia prompt-uI ,,Router # "
Dei aceste dou niveIuri reaIizeaz un controI, uneori, este necesar un
niveI mai precis de controI.
Software-uI Cisco IOS are dou metode care ofera acces-uI Ia
infrastructur: niveIuI de priviIegii i roIuI bazat pe CLI( roIe-based CLI)
AIocarea NiveIuri-Ior de PriviIege
Cisco IOS ReIease 10.3, routere Cisco permite unui administrator sa
configureze mai muIte niveIuri de priviIegiu. Configurarea niveIuri de
priviIegiu este utiI n speciaI ntr-un mediu de birou n cazuI n care
anumiti administratori trebuie s poata s configureze i s monitorizeze
fiecare parte a router-uIui (niveIuI 15), i aIi administratori sa poata doar
sa monitorizeze, nu si sa configureze, niveIuriIe pe router (personaIizate 2-
14 ). Exist 16 niveIe priviIegiu n totaI. NiveIeIe 0, 1, i 15 au setri
predefinite.
Un administrator poate defini mai muIte niveIe personaIizate de priviIegii i
atribui comenzi diferite pentru fiecare niveI.Cu cat este mai mare niveIuI de
priviIegii, cu atat accesuI pe router aI utiIizatoruIui este mai mare.
ComenziIe care sunt disponibiIe Ia niveIuri mai mici priviIegii sunt,
executabiIe Ia niveIemai ridicate, deoarece un niveI de priviIegii incIude
toate priviIegiiIe niveIuriIor inferioare. De exempIu, un utiIizator autorizat
pentru niveIuI de priviIegii 10 are acordat accesuI Ia comenziIe permise Ia
niveIuri de priviIegiu de Ia 0 Ia 10 (n cazuI n care, acestea sunt definite).
Un priviIegiu-niveI-10 de utiIizator nu poate accesa comenzi acordate Ia
niveIuI de priviIegii 11 sau mai mare. Un utiIizator autorizat pentru niveIuI
de priviIegii de 15 poate executa toate comenziIe Cisco IOS.
Pentru a aIoca comenzi Ia un niveIuI de priviIegii personaIizat, utiIizai
comanda priviIege din moduI de configurare Ia niveI gIobaI.
Router(config)# priviIege mode {IeveI IeveI command | reset}
Este important s reinei c atribuirea unei comenzi cu mai muIte cuvinte
cheie, cum ar fi show ip route, Ia un anumit niveI de priviIegii atribuie n
mod automat toate comenziIe asociate cu primeIe cteva cuvinte cheie Ia
niveIuI de priviIegii specificat. De exempIu, att comanda show cat i
comanda show ip sunt setate automat Ia niveIuI de priviIegii n cazuI n
care show ip route este setata Acest Iucru este necesar deoarece comanda
show ip route nu poate fi executat fr acces Ia comanda show i show ip
Subcomenzi care intr sub incidena comenzii show ip route , , sunt
atribuite n mod automat cu aceIai niveI de priviIegiu. Atribuirea comenzii
show ip route permite utiIizatoruIui sa emita toate comenziIe show, cum ar
fi show version.
NiveIuriIe PriviIege ar trebui s fie configurate pentru autentificare. Exist
dou metode pentru atribuirea paroIeIor Ia diferite niveIuri:
De Ia niveIuI priviIege foIosind comanda de configurare de Ia niveI gIobaI
enabIe secret IeveI <niveIuI paroIei>.
De Ia niveIuI utiIizator care are un anumit niveI de priviIegii, foIosind
comanda de Ia niveI gIobaI username <nume> priviIege <niveI> secret
<paroIa>.
De exempIu, un administrator ar putea aIoca patru niveIuri de acces pe un
dispozitiv n cadruI unei organizaii:
Un cont de utiIizator (care necesit niveIuI 1, nu incIude posibiIitatea de
ping)
Un cont SUPORT (necesit toate drepturiIe de acces de niveIuI 1, pIus
comanda ping)
Un cont JR-admin (care necesit toate drepturiIe de acces de niveIuI 1 i 5,
pIus comanda reIoad)
Un cont de administrator (care necesit accesuI compIet)
Punere n apIicare a niveIuriIor priviIegiu variaz n funcie de structura
organizaiei i diferite funcii de Iocuri de munc care necesit accesuI Ia
dispozitiveIe de infrastructura.
n cazuI USER, care necesit niveIuI de acces impIicit 1 (Router>), nici un
niveI de priviIegii nu este definit. Acest Iucru se datoreaz faptuIui c
moduI de utiIizator impIicit este echivaIent cu niveIuI 1.
ContuI SUPPORT account ar putea fi atribuit de un niveI superior de acces,
cum ar fi niveIuI 5. NiveIuI 5 motenete automat comenziIe de Ia niveIuriIe
cuprise intre 1 si 4, pIus comenziIe supIimentare care pot fi atribuite.
Tineti minte c atunci cnd o comand este atribuit Ia un anumit niveI,
accesuI Ia aceast comand este Iuat de Ia orice niveI inferior. De exempIu,
pentru a asocia niveIuIui 5 comanda ping, utiIizai secventa de comanda de
mai jos.
priviIege exec IeveI 5 ping
ContuIui de utiIizator (niveIuI 1) nu mai are acces Ia comanda ping, pentru
c un utiIizator trebuie s aib acces Ia niveIuI 5 sau mai mare pentru a
ndepIini funcia de ping.
Pentru a atribui o paroI Ia niveIuI 5, introducei urmtoarea comand.
enabIe secret IeveI 5 cisco5
Pentru a accesa niveIuI 5, trebuie s fie utiIizata paroIa cisco5.
Pentru a atribui un abumit nume de utiIizator avand niveIuI de priviIegii 5,
introducei urmtoarea comand.
username <suport >priviIege <5> secret <cisco5 >
Un utiIizator care se conecteaz n username-uI <suport >are doar
posibiIitatea de a accesa niveIuI de priviIegii 5, care motenete de
asemenea, niveIuI de priviIegii 1.
ContuI de JR-ADMIN are nevoie de acces Ia toate niveIeIe intre 1 i niveIuI
5, precum si Ia comanda reIoad. Acest cont trebuie s i se atribuie un niveI
superior de acces, cum ar fi niveIuI 10. NiveI 10 motenete automat toate
comenziIe de Ia niveIuriIe inferioare.
Pentru a atribui niveIuI de priviIegii 10 din moduI priviIegiat EXEC
comanda, reIoad se utiIizeaza ca in secventa de comanda de mai jos.
priviIege exec IeveI 10 reIoad
username jr-admin priviIege 10 secret cisco10
enabIe secret IeveI 10 cisco10
Prin efectuarea acestor comenzi, comanda reIoad este disponibiI numai
pentru utiIizatorii cu niveIuI 10 de acces sau mai mare. NumeIe de utiIizator
jr-admin este dat niveIuIuIui de priviIegii 10 i tuturor comenziIor
asociate, incIusiv a ceIor aIocate pentru comenzi priviIege aIe niveIuriIor
inferioare. Pentru a accesa moduI de niveIuI 10, este necesar paroIa
cisco10.
Un cont de administrator ar putea fi atribuite impIicit de niveIuI 15 pentru
moduI de acces priviIegiat EXEC. n acest caz, comenziIe nu trebuie s fie
definite. O paroI personaIizata ar putea fi atribuita foIosind comanda
enabIe secret IeveI 15 cisco123, totui, c nu ncaIc permite paroIa
secrete, care ar putea fi, de asemenea, utiIizata pentru a accesa niveIuI 15.
UtiIizai comanda username <admin> priviIege <15> secret <cisco15>
pentru a asocia niveIuI 15 de acces utiIizatoruIui admin cu paroIa cisco15.
Tineti minte c, atunci cnd atribuiti username-uI Ia niveIuri priviIegii,
priviIege i cuvinteIe cheie secret nu sunt interschimbabiIe. De exempIu, o
comanda username USER secret cisco priviIege 1 nu atribuie contuIui
USER niveIuI de aces 1aI contuIui de acces.Chiar daca acesta creeaz un
cont care necesit paroIa " cisco priviIege 1". .
Pentru a accesa niveIuI stabiIit de priviIegiu, introducei comanda enabIe
<niveI>din moduI de utiIizator, i introducei paroIa care a fost repartizata Ia
niveIuI de priviIegii personaIizat. UtiIizai aceeai comand pentru a trece
de Ia un niveI mai mic Ia un niveI superior.
Pentru a trece de Ia niveIuI 1 Ia niveIuI 5, utiIizai comanda enabIe 5 din
promptuI EXEC.
Pentru a trece Ia niveIuI 10, utiIizati enabIe 10 cu paroIa corect.
Pentru a trece de Ia niveIuI 10 Ia niveIuI 15, utiIizai comanda enabIe. Dac
nu este specificat niveIuI de priviIegii, atunci despre niveIuI 15 este vorba
Uneori este uor s uitm ce niveI de acces are n prezent un utiIizator.
UtiIizai comanda show priviIege pentru a afia i a confirma niveIuI de
priviIegii actuaI. Amintii-v c un niveI mai ridicat de priviIegii moteneste
automat accesuI Ia niveIuriIe inferioare
Dei atribuirea niveIuriIe priviIegiu nu oferi mai muIt fIexibiIitate, uneIe
organizaii nu ar putea s Ie gsesc potrivite, din cauza urmtoareIor
Iimitri:
Nu exista nici un controI aI accesuIui Ia anumite interfee, porturi, interfee
Iogice, i sIoturi pe un router.
Comenzi disponibiIe Ia niveIe de priviIegii mai mici sunt ntotdeauna
executabiIe Ia niveIuri mai ridicate.
Comenzi specifice setate pe un niveI de priviIegii mai mari nu sunt
disponibiIe pentru utiIizatorii cu niveIe de priviIegii mai mici.
Atribuirea unei comenzi cu mai muIte cuvinte cheie Ia un anumit niveI de
priviIegii atribuie, de asemenea, toate comenziIe asociate cu cuvinteIe
cheie n primuI rnd Ia niveI de aceIai priviIegiu. Un exempIu este
comanda.
show ip route
+
Cum pot fi IimitriIe de atribuire de niveIuri de priviIegiuI sa fie depite?
RoIe-Based CLI
Pentru a oferi mai muIt fIexibiIitate dect niveIuriIe de priviIegiu, Cisco a
introdus caracteristic RoIe-Based CLI Access incepand cu IOS ReIease
12.3 (11) T. Aceast caracteristic ofer finete, un acces mai granuIar prin
controIuI specific aI comenziIor care sunt disponibiIe Ia anumite roIuri.
Bazat pe roIuri de acces CLI permite administratoruIui de reea sa creeze
puncte de vedere diferite configuraii de router pentru utiIizatori diferii.
Fiecare vedere definete comenziIe CLI pe care fiecare utiIizator Ie poate
accesa.
Securitate
Bazata pe roIuri de acces CLI securitatea dispozitivuIui sporete prin
definirea unui set de comenzi CLI care sunt accesibiIe de ctre un anumit
utiIizator. n pIus, administratorii pot controIa accesuI utiIizatoriIor Ia
anumite porturi, interfee Iogice, i sIoturi pe un router. Acest Iucru
impiedica un utiIizator sa schimbe configuraia accidentaI sau intenionat
sau sa coIectze informaii Ia care nu ar trebui s aib acces.
DisponibiIitate
Bazat pe roIuri de acces CLI mpiedic executarea neintenionat de
comenzi CLI de ctre personaI neautorizat, care ar putea duce Ia rezuItate
nedorite. Acest Iucru minimizeaz timpii mori.
Eficienei operaionaIe
Numai utiIizatorii pot vedea comenziIe CLI apIicabiIe porturi i CLI Ia care
au acces, prin urmare, router-uI pare s fie mai puin compIex, i comenziIe
sunt mai uor de a identifica atunci cnd foIosii funcia heIp de pe
dispozitivuI.
RoIe-based CLI ofer trei tipuri de puncte de vedere:
viziune de Root
viziune CLI
Superview
Fiecare vedere dicteaz ce comenzi sunt disponibiIe.
viziune de Root
Pentru a configura orice vedere pentru sistem, administratoruI trebuie s
fie n viziune root. Vedere de root are aceIeai priviIegii de acces ca un
utiIizator care are priviIegii de niveI 15. Cu toate acestea, veziunea de root
nu este aceIai Iucru cu un utiIizator de niveI 15. Numai un utiIizator cu
vederea root poate configura o nou viziune i aduga sau eIimina comenzi
aI puncteIor de vedere existente.
viziune CLI
Un set specific de comenzi poate fi incIus ntr-o vizuaIizare CLI. Spre
deosebire de niveIuriIe de priviIegiu, n vederea CLI nu exista nici o ierarhie
de comand i, prin urmare, nu exista puncteIe de vedere mai mare sau
mai mic. Fiecare vizuaIizare trebuie s i se atribuie toate comenziIe
asociate cu acest punct de vedere, i o vedere nu moteneste comenziIe de
Ia aIte puncte de vedere. n pIus, aceIeai comenzi pot fi foIosite n mai
muIte vizuaIizri.
Superview
Un superview const dintr-unuI sau mai muIte vizuaIizri CLI.
Administratorii pot defini care comenziIe sunt acceptate i care informaii
de configurare sunt vizibiIe. Superviews permite unui administrator de
reea sa atribuie utiIizatoriIor i grupuriIor de utiIizatori mai muIte
vizuaIizri CLI, n Ioc de a atribui o singura vedere CLI per utiIizator cu
toate comenziIe asociate pentru vizuaIizare CLI.
Superviews au urmtoareIe caracteristici:
O singura vizuaIizare CLI poate fi partajata n cadruI superviews muItipIe.
ComenziIe nu pot fi configurate pentru o superview. Un administrator
trebuie s adauge comenzi Ia vizuaIizarea CLI i sa adauge vizuaIizarea
CLI Ia superview.
UtiIizatorii care sunt conectai ntr-un superview pot accesa toate
comenziIe care sunt configurate pentru oricare dintre vizuaIizariIe CLI care
fac parte din superview.
Fiecare superview are o paroIa care este foIosita pentru a comuta ntre
superviews sau de Ia vederea CLI Ia superview.
tergerea unei superview nu terge puncteIe de vedere asociate CLI.
PuncteIe de vedere CLI rmn disponibiIe pentru a fi atribuite Ia un aIt
superview.
nainte ca un administrator sa poata crea o vizuaIizare, trebuie s fie
activat AAA prin foIosirea comenzii aaa new-modeI sau Cisco SDM..
Pentru a configura i modifica puncteIe de vedere, un administrator trebuie
s se autentifice cu vedere de root, foIosind comanda enabIe view din
priviIegiate EXEC. Command enabIe view root poate fi, de asemenea,
utiIizata. Cnd vi se soIicit, introducei enabIe secret <paroIa>..
Exist cinci pai pentru a crea i de a gestiona o anumita vedere.
PasuI 1. Permiteti AAA cu comanda aaa new-modeI din configurare gIobaIa.
Iei i intra n vedere root cu comanda enabIe view.
PasuI 2. Creai o vizuaIizare utiIiznd comanda parser view < nameIe
viziunii>. Acest Iucru permite moduI de configurare vizuaIizare. ExcIuznd
opinia rdcin, exist o Iimit maxim de 15 vizuaIizri n totaI.
PasuI 3. Atribuiti o paroI pentru a vizuaIiza utiIiznd comanda secret
<paroIa criptata>
PasuI 4. Atribuiti comenzi de vizuaIizare seIectate utiIiznd comenziIe
commands parser-mode {incIude | incIude-excIusive | excIude} [aII]
[interface interface-name | command] n moduI de configurare view.
PasuI 5. Iesiti din moduI de configurare vizuaIizare tastnd comanda exit.
Pai pentru a configura un superview sunt n esen aceIeai ca
configurarea unui vedere CLI, cu excepia faptuIui c n Ioc s utiIizai
comanda commands pentru a atribui comenzi, utiIizai comanda view <
name vizionat>pentru a atribui puncteIe de vedere. AdministratoruI trebuie
s fie in roI de root pentru a configura un superview. Pentru a confirma
acest punct de vedere utiIizati fie enabIe view fie enabIe view root. Cnd vi
se soIicit, introducei enabIe secret password.
Exist patru pai pentru a crea si a gestiona o superview.
PasuI 1. Creai o vizuaIizare foIosind comanda parser view< view-name>
superview i introducei moduI de configurare superview.
PasuI 2. Atribuiti o paroI secret pentru a vizuaIiza utiIiznd comanda
secret encrypted-password
PasuI 3. Atribui o vizuaIizare existent utiIiznd comanda view <view-
name> n moduI de configurare vedere.
PasuI 4.iesiti din moduI de configurare superview tastnd comanda exit.
Mai muIt de o vizionare poate fi atribuita Ia un superview, i acestea pot fi
partajate ntre superviews.
Pentru a accesa vizionriIe existente, introducei comanda enabIe view
< nameIe vizionarii> n moduI de utiIizator i introducei paroIa care a fost
repartizata Ia vizuaIizarea particuIarizat. UtiIizai aceeai comand pentru
a comuta de Ia o vizuaIizare Ia aItuI.
Pentru a verifica vizuaIizarea , utiIizai comanda enabIe view. Introducei
numeIe vizuaIizarii cu scopuI de a verifica, i introduceti paroIa pentru a
accesa vizuaIizarea. UtiIizai comand semnuI de ntrebare (?)pentru a
verifica faptuI c comenziIe disponibiIe sunt corecte.
Din pozitia de root, parseruI foIositi comanda show parser view aII pentru
a vedea un rezumat aI tuturor vizionariIor.
Dac atacatorii au acces Ia un router, exist muIte Iucruri pe care Ie-ar
putea face. De exempIu, ar putea modifica fIuxuriIe de trafic, modifica
configuraii, i chiar terge fiieruI de configurare pornire i Cisco IOS
imagine. Dac imaginea de configurare sau IOS este tearsa, operatoruI ar
avea nevoie pentru a preIua o copie arhivat pentru a restabiIi router-uI.
ProcesuI de recuperare trebuie s fie apoi efectuatpe fiecare router afectat,
adugnd timpi morti Ia reea.
Cisco IOS ResiIient Configuration permite recuperarea mai rapid, dac
cineva reformateaz memoria fIash sau sterge fisieruI de configurare de
pornire n NVRAM. Aceast caracteristic permite unui router sa reziste Ia
tentativeIe maIitioase de tergere a fiiereIor prin asigurarea i meninerea
unei imaginii sigure a copiei de Iucru a configuraiei de ruIare.
Atunci cnd imaginea Cisco IOS este asigurat, caracteristica de
configurare eIastica opreste toate tentativeIe de a o copia, modifica, sau
sterge. Copia securizata a configuraiei de pornire este stocat n fIash
mpreun cu imaginea sigura a IOS-uIui. Acest set de imagini Cisco IOS i
fiiere de configurare de ruIare pe router este menionat ca bootset.
Caracteristica de configurare Cisco IOS ResiIient este disponibiI numai
pentru sistemeIe care susine o PCMCIA Advanced TechnoIogy Attachment
(ATA) interfa fIash. Cisco IOS imagine de backup i de configurare care
ruIeaz pe unitatea fIash sunt ascunse, astfeI nct fiieruI nu sunt incIuse
n nici o Iistare director pe hard.
Dou comenzi Ia niveI gIobaI aI configuratiiIor sunt disponibiIe pentru a
configura caracteristici eIastice Cisco IOS de configurare: secure boot-
image i secure boot-config.
Comanda de Securizare a boot-image
Comanda secure boot-image permite securizarea imaginii Cisco IOS. Cnd
este activata pentru prima dat, o imagine Cisco IOS este asigurat, i este
generat un nregistrare n jurnaI. Aceast faciIitate poate fi dezactivat doar
printr-o sesiune de consoI foIosind comand:no secure boot-image
Aceast comand funcioneaz n mod corespunztor numai atunci cnd
sistemuI este configurat sa execute o imagine dintr-o unitate fIash cu o
interfata ATA. n pIus, imaginea de ruIare trebuie s fie ncrcate dintr-o
sursa persistenta(sigura,stabiIa) pentru a fi asigurat primar. ImaginiIe care
sunt Iuate din reea, cum ar fi un server TFTP, nu pot fi asigurate.
Caracteristica Cisco IOS de configurare a imaginii detecteaz nepotriviri de
versiune. Dac router-uI este configurat s boot cu Cisco IOS reziIien i o
imagine cu o aIt versiune a software-uIui Cisco IOS este detectata, un
mesaj, simiIar cu ceI de mai jos, se afieaz Ia boot-are:
ios resiIience: Archived image and configuration version 12.2 differs from
running version 12.3
Pentru a face upgrade Ia imagine arhivata, reintroducei comanda secure
boot-image de Ia consoIa. Un mesaj despre imaginea upgrad-ata este
afiat. Imaginea veche este inIocuita cu o noua imagine care este vizibiIa
n comanda dir.
Comanda secure boot-config
Pentru a Iua un instantaneu de configurare aI routeruIui utiIizati comand
secure boot-config n moduI de configurare Ia niveI gIobaI. Un mesaj de Iog
este afiat Ia consoIa informand utiIizatoruI c rezistena de configurare
este activata. Arhiva de configurare este ascunsa i nu poate fi vizuaIizata
sau scoasa direct din prompt -uI CLI.
ScenariuI upgrade de configurare este simiIar cu un upgrade imagine.
Aceast funcie detecteaz o versiune diferit a Cisco IOS configuraii i
informeaza utiIizatoruI de o nepotrivire de versiuni. Comand secure boot-
config poate fi ruIata pentru a face upgrade Ia arhiva de configurare pentru
o versiune mai nou dup ce noiIe comenzi de configurare au fost emise.

FiiereIe securizate nu apar in comanda dir care este data din CLI. Acest
Iucru se datoreaz faptuIui c sistemuI Cisco IOS mpiedic fiiere
securizate sa fie Iistate. Deoarece imaginea de funcionare i arhive de
funcionare de configurare nu sunt vizibiIe n comanda dir, utiIizai
comanda show secure bootset pentru a verifica existena arhivei. Acest
pas este important pentru a verifica dac imaginea Cisco IOS i fiiereIor
de configurare Ie-au fost facute corect backup securizat.
n timp ce sistemuI Cisco IOS mpiedic aceste fiiere sa fie vizuaIizate,
moduI monitor ROM (ROMmon) nu are nici o restricie i poate Iista i boot-
a de pe fiiereIe securizate.
Exist cinci pai pentru a restabiIi un bootset primar dintr-o arhiv
securizat, dup ce router-uI a fost modificat cu (printr-un NVRAM terge
sau un format de disc):
PasuI 1. Rencarc routeruIui foIosind comanda reIoad.
PasuI 2. Din moduI ROMmon, introducei comanda dir pentru a Iista
coninutuI dispozitivuIui care conine fiieruI secure bootset. Din CLI,
numeIe dispozitivuIui poate fi gsit cu comanda show secure bootset.
PasuI 3. Boot-ati router-uI cu imaginea bootset securizat foIosind comanda
boot cu nume de fiier gsit n PasuI 2. La boot-area router-uIui, schimbati
moduI priviIegiat EXEC pentru a restabiIi configuraia.
PasuI 4. Intra n moduI de configurare Ia niveI gIobaI foIosind conf t.
PasuI 5. Restaureaza configuraia securizata prin furnizate numeIui
fiieruIui fiIename utiIiznd comanda. secure boot-config restore
<fiIename>
Daca un router este compromis sau trebuie s fie recuperat paroIa, un
administrator trebuie s neIeag proceduriIe de recuperare a paroIei. Din
motive de securitate, de recuperare a paroIei de administrator cere s aib
acces fizic Ia router prin intermediuI unui cabIu de consoIa.
Recuperarea paroIei router-uIui presupune mai muIte etape.
PasuI 1. Conectai-v Ia portuI de consoIa.
PasuI 2. UtiIizai comanda show version pentru a vizuaIiza i a nregistra
registruI de configurare.
RegistruI de configurare este simiIar cu setarea BIOS Ia un caIcuIator,
care controIeaz procesuI de pornire. Un registru de configurare,
reprezentat de o vaIoare hexazecimaI, spune unui router ce msuri
necesare sa ia atunci cnd este pornit. RegistreIe de configurare au muIte
utiIizri, dar recuperarea paroIei este probabiI ceI mai foIosit. Pentru a
vizuaIiza i nregistra registruI de configurare, utiIizai comanda show
version.
R1> show version
<Output omitted>
Configuration register is 0x2102
RegistruI de configurare este de obicei, setat pe 0x2102 sau 0x102. Dac
nu exist acces Ia router (din cauza unei Iogin pierdut sau paroIa TACACS),
un administrator poate afirma cu siguran c registruI de configurare este
setat Ia 0x2102.
PasuI 3. Restartati router-uI.
PasuI 4. Apasati tasta BREAK n termen de 60 de secunde de Ia pornire
pentru a pune router-uI n ROMmon.
Secvena standard foIosita de HyperterminaI este CtrI-Break.
PasuI 5. Tipariti in prompt-uI rommon 1>. confreg 0x2142
Acest Iucru va schimba configuraia impIicit a registruIui i face ca router-
uI sa ocoIeasca configuraia de pornire n cazuI n care am uitat enabIe
password
PasuI 6. Tipariti reset in prompt-uI rommon 2>.. Router-uI se va reboot-a,
dar va ignor configurarea saIvata.
PasuI 7. Tipariti no dup fiecare ntrebare de configurare, sau apsai CtrI-C
pentru a anuIa procedura de configurarea iniiaI.
PasuI 8. Tipariti enabIe in prompt.-uI Router>Acest Iucru pune router-uI n
moduI activ i v permite s vedei prompt Router #.
PasuI 9. Tipariti copy startup-config running-config pentru a copia n
memoria NVRAM. Fii ateni nu tipariti copy running-config startup-config
pentru ca configuraia de pornire va fi tearsa.
PasuI 10. Tipariti show running-config. n aceast configuraie, comanda
shutdown apare sub toate interfeeIe, deoarece toate interfeeIe sunt n
prezent nchise. Un administrator poate vedea acum paroIeIe (enabIe
password, enabIe secret, vty, and consoIe passwords), fie n format criptat
sau necriptat. ParoIa necriptata poate fi refoIosita, dar paroIa criptate
trebuie inIocuite cu o nou paroI ..
PasuI 11. Intrati in configurare gIobaIa i tastai comanda enabIe secret
pentru a schimba paroIa enabIe secret. De exempIu:
R1 (config) # enabIe secret cisco
PasuI 12. Dati comanda no shutdown pe fiecare interfa pentru a putea fi
utiIizate. Apoi, dati comanda show ip interface brief n mod priviIegiat EXEC
pentru a confirma faptuI c interfaa de configurare este corect. Fiecare
interfa pentru a fi utiIizata ar trebui s afieze " up up."
PasuI 13. Din moduI de configurare gIobaI tipariti config-register <registru
de configurare>. RegistruI de configurare este fie vaIoarea nregistrat n
pasuI 2 fie 0x2102. De exempIu:
R1(config)# config-register 0x2102
PasuI 14. SaIvati modificriIe de configuraie foIosind comanda copy
running-config startup-config.
Recuperarea paroIei este acum compIeta. Introducei comanda show
version pentru a confirma c router-uI este configurat cu registruI de
configurare pentru setarea de repornire.
Dac cineva obinut accesuI fizic Ia un router, ar putea obine controIuI
asupra dispozitivuIui prin care procedura de recuperare a paroIei. Aceast
procedur, dac a fost efectuata corect, Iasa configurarea router-uIui
intacta. n cazuI n care atacatoruI nu face nici o schimbre majora, acest
tip de atac este dificiI de detectat. Un atacator poate foIosi aceasta metoda
pentru a descoperi atac de configurare router-uI i aIte informaii pertinente
referitoare Ia reea, cum ar fi fIuxuriIe de trafic i de restricii de controI aI
accesuIui.
Un administrator poate atenua aceast ncIcare poteniaIe de securitate
prin utiIizarea comenzii de configurare no service password-recovery de Ia
niveI gIobaI. Comand no service password-recovery este o comand care
ascunde Cisco IOS i nu are argumente sau cuvinte cheie. Dac un router
este configurat cu comanda no service password-recovery -, toate ciIe de
acces Ia moduI ROMmon sunt dezactivate.
n cazuI n care comanda no service password-recovery este tiparita , un
mesaj de avertizare este afiat i trebuie s fie recunoscut nainte ca
funcia sa fie activat.
Comanda de configurare show running configuration afieaz no service
password-recovery. n pIus, n cazuI n care router-uI boot-eaza , secvena
iniiaIa de boot -are afieaz un mesaj care s ateste "RECUPERAREA
PAROLEI FUNC|IONALITATEA este dezactivat."
Pentru a recupera un dispozitiv dup ce comanda no service password-
recovery este tiparita , iniiati secvena BREAK (apasati tasta BREAK) n
termen de cinci secunde dup boot-area . Vi se va soIicit s confirmai
foIosirea tastei BREAK. Dup ce aciunea este confirmat, fisiereIe de
configurare sunt compIet tearse, procedura de recuperare a paroIei este
activat, i router-uI se ridica cu configuraia impIicit din fabric. Dac nu
confirmti aciunea BREAK, router-uI se ridica n mod normaI, cu comanda
no service password-recovery activat.
Atentie , n cazuI n care memoria fIash a router-uIui nu conine o imagine
vaIid Cisco IOS din cauza ca a fost corupta sau tearsa, comanda
xmodem ROMmon nu poate fi foIosita pentru a ncrca o nou imagine in
fIash. Pentru a repara un router, un administrator trebuie s obin o nou
imagine Cisco IOS SIMM pe un fIash sau pe un card PCMCIA. Se refer Ia
Cisco.com pentru mai muIte informaii cu privire Ia imagini de backup
fIash.
Administratorii de reea trebuie s gestioneze n siguran toate
dispozitiveIe i hosturiIe dn reea. ntr-o reea mic, gestionarea i
monitorizarea dispozitive de reea este o operaiune simpI. Cu toate
acestea, ntr-o ntreprindere mare, cu sute de dispozitive, monitorizarea,
gestionarea i preIucrarea mesajeIor jurnaI se poate dovedi a fi o
provocare.
Mai muIi factori ar trebui s fie Iuate n considerare Ia punerea n apIicare a
managementuIui securizat. Aceasta incIude schimbarea configurari de
management. Cnd o reea este atacata, este important s se cunoasc
starea dispozitiveIor din reea critice i cand au avut Ioc uItimiIe modificri
Gestionarea configuraiei modificare incIude, de asemenea, aspecte cum ar
fi asigurarea accesuIui, cnd metodoIogii de management noi sunt
adoptate, i cum s se ocupe de dispozitiveIe care nu mai sunt utiIizate.
Crearea unui pIan de gestionare a schimbriIor ar trebui s fie parte dintr-o
poIitic de securitate cuprinztoare, ns, ceI puin, modificriIe foIosind
autentificarea pe dispozitive i configuraii arhiva foIosind FTP sau TFTP.
Exist o poIitic de gestionare a schimbrii sau pIanuI se face pe Ioc?
Aceste aspecte ar trebui s fie stabiIite i tratate ntr-o schimbare de
poIitic de management.
LogariIe automate i raportarea de informaii de Ia dispozitive identificate Ia
gazdeIe de management sunt, de asemenea, aspecte importante. Aceste
jurnaIe i rapoarte pot incIude fIuxuI de coninut, modificri de configurare,
i instari de software noi, pentru a numi cteva. Pentru a identifica
prioritiIe de raportare i monitorizare, este important sa obinem
informaii de Ia conducere i de Ia echipeIe de reea i de securitate.
PoIitica de securitate ar trebui s joace, de asemenea, un roI important
pentru a rspunde Ia ntrebriIe cu ce informaii s v conectai i ce
informatii sa se raporteze.
Din punct de vedere de raportare, ceIe mai muIte dispozitive de reea pot
trimite date sysIog care pot fi nepreuit atunci cnd rezoIvam probIeme de
reea sau de ameninri Ia adresa securitii. DateIe de Ia orice dispozitiv
pot fi trimise Ia un host de anaIiz sysIog pentru vizuaIizare. Aceste date
pot fi vizuaIizate n timp reaI, Ia cerere, i n rapoarteIe programate. Exist
diferite niveIuri de Iogare pentru a se asigura c suma corect de date este
trimisa, bazat pe dispozitivuI care trimite dateIe. De asemenea, este posibiI
s dateIe de jurnaI sa fie afisate de un dispozitiv n software de anaIiz
pentru a permite vizuaIizarea granuIare a rapoarteIor . De exempIu, n
timpuI unui atac, jurnaI de date care este furnizat de switch-uri Layer 2 nu
ar putea fi Ia feI de interesant ca dateIe care sunt furnizate de sistemuI de
prevenire a intruziuniIor (IPS).
MuIte apIicaii i protocoaIe sunt de asemenea disponibiIe, cum ar fi SNMP,
care este utiIizat n sistemeIe de management de retea sa monitorizeze i
s fac modificri de configurare pentru dispozitiveIe Ia distan.
Cnd v conectai pentru gestionarea informaiiIor, fIuxuI de informaii
ntre gazde i dispozitiveIe de gestionare a dateIor pot Iua dou ci:
Out-of-band (OOB) - fIuxuri de informaii ntr-o reea de gestionare dedicata
pe care nu exista trafic de producie (de retea ).
In-band - fIuxuriIe de informaii traverseaza reeaua, InternetuI, sau ambeIe
periodic.
De exempIu, o reea are dou segmente de reea, care sunt separate de un
router Cisco IOS care actioneaza ca un firewaII i o reea privat virtuaI
(VPN), dispozitiv de rezerva. O parte a firewaII-uIui se conecteaz Ia toate
gazdeIe de management i Ia routereIe Cisco IOS care acioneaz ca
servere de terminaI. Servere terminaIe ofera conexiuni directe OOB Ia orice
dispozitiv care necesit management pe reteaua de productie. CeIe mai
muIte dispozitive ar trebui s fie conectate Ia acest segment de gestionare
i s fie configurate foIosind OOB management.
De ceaIaIta parte a firewaII-uIui se conecteaz Ia reeaua de producie n
sine. Conectarea Ia reeaua de producie este justificata numai pentru
accesuI Ia Internet seIectiv aI hosturiIor de management, Iimitand traficuI
n-band, i criptand traficuI hosturiIor n banda de management are Ioc
numai atunci cnd o apIicaie de management nu utiIizeaz OOB, sau cnd
aparatuI Cisco fiind gestionate nu are fizic suficiente interfee pentru a
sprijini conexiune normaI a reeIei de management. Dac un dispozitiv
trebuie s se contacteze un host de management prin trimiterea de date n
ntreaga reea de producie, traficuI ar trebui s fie trimise n siguran
foIosind un tuneI privat criptat sau tuneI VPN. TuneIuI ar trebui s fie
preconfigurate pentru a permite numai traficuI care este necesar sa fie
gestionat i raportarea acestor dispozitive. TuneIuI ar trebui s fie, de
asemenea, bIocat, astfeI nct numai gazdeIe adecvate sa poata iniia i
reziIia tuneIuri. Cisco IOS FirewaII-uI este configurat pentru a permite
informaii sysIog n segmentuI de management. n pIus, TeInet, SSH, i
SNMP sunt permise cu condiia ca aceste servicii sa fie mai intai iniiate de
managementuI de reea.
Deoarece gestionarea reeIei are acces administrativ Ia aproape fiecare
zon a reeIei, aceasta poate fi o int foarte atractiv pentru hackeri.
ModuIuI de management pe firewaII-uI a fost construit cu mai muIte
tehnoIogii menite s atenueze astfeI de riscuri. PrincipaIa ameninare este
un hacker care ncearc s obin acces Ia reeaua de management de Ia
sine. Acest Iucru poate fi, eventuaI, reaIizat printr-o gazd compromisa care
are acces Ia un dispozitiv de gestionare. Pentru a reduce ameninarea de
un dispozitiv compromis, controIati puternic accesuI, ar trebui s fie puse
n apIicare firewaII-uri Ia orice aIt dispozitiv. n pIus, dispozitiveIe de
management ar trebui s fie stabiIite ntr-un mod care mpiedic
comunicarea direct cu aIte gazde pe aceeai subreea de management,
foIosind segmente separate LAN sau VLAN-uri.
Ca o reguI generaI, n scopuri de securitate, management OOB este
adecvat pentru reeIeIe ntreprinderi mari. Cu toate acestea, nu este
ntotdeauna de dorit. Deseori decizia depinde de tipuI de apIicaii de
management care se execut i de protocoaIeIe care sunt monitorizate, de
exempIu, un instrument de management cu scopuI de a determina dac
toate dispozitiveIe dintr-o reea poate fi atins. Luai n considerare o situaie
n care dou switch-uri de baz sunt gestionate i monitorizate cu ajutoruI
unei reeIe de OOB. Dac o Iegtur ntre aceste switch-uri critice cade,
apIicaia de monitorizare a acestor dispozitive nu poate stabiIi c Iegtura a
cazut i aIerteaza administrator-uI. Acest Iucru se datoreaz faptuIui c
reeaua OOB face ca toate dispozitiveIe par a fi ataat Ia o reea unic de
management OOB. Reeaua de gestionare a OOB nu este afectat de
caderea Iink-uIui. Cu apIicaii de management, cum ar fi acestea, este de
preferat sa ruIam apIicatii de gestiune n band ntr-un mod securizat.
In-band management este, de asemenea, recomandat n reeIeIe mici, ca un
mijIoc de a reaIiza o impIementare de securitate mai rentabiIa. n astfeI de
arhitecturi, gestionarea traficuIui n-band, n toate cazuriIe se va face ct
mai sigur posibiI foIosind variante sigure adaugate Ia protocoaIe nesigure
de management, cum ar fi utiIizarea SSH n Ioc de TeInet. O aIt opiune
este de a crea tuneIuri sigure, foIosind protocoaIe cum ar fi IPsec, pentru
gestionarea traficuIui. Dac accesuI de management nu este necesar n
orice moment, pot fi pIasate gauri, probabiI, temporar ntr-un firewaII n
timp ce sunt reaIizate funciiIe de management. Aceasta tehnica ar trebui
s fie utiIizate cu precauie, i toate guriIe ar trebui s fie nchise imediat
dup ce funciiIe de management sunt finaIizate.
n ceIe din urm, n cazuI n care utiIizam instrumente de management Ia
distan cu managementuI in-band, trebuie sa avem grija Ia vuInerabiIiti
de securitate care stau Ia baza instrumenteIor de management. De
exempIu, SNMP managers sunt adesea utiIizate pentru a uura sarciniIe de
depanare i configurare o reea. Cu toate acestea, SNMP ar trebui s fie
tratate cu cea mai mare grija, deoarece protocoIuI care stau Ia baza are
propriuI set de vuInerabiIiti de securitate.
Punere n apIicare a unui mecanism de Iogare pe router este o parte
important a oricrei poIitici de securitate de reea.Pe routereIe Cisco se
poate Ioga cu informaii cu privire Ia modificriIe de configuraie, ncIcri
ACL, statutuI de interfa, i muIte aIte tipuri de evenimente. RoutereIe
Cisco pot trimite mesaje jurnaI de mai muIte faciIiti diferite. Trebuie s
configurai router-uI pentru a trimite mesaje de jurnaI Ia unuI sau mai muIte
dintre urmtoareIe eIemente.
ConsoIa - Iogare prin consoIa este n mod impIicit. Mesaje jurnaI Ia
consoIa pot fi vizuaIizate atunci cnd modificam sau testam routeruIui
foIosind software-uI de emuIare de terminaI in timp ce suntem conectati Ia
portuI de consoIa aI router-uIui.
Iinii TerminaIe - sesiuni EnabIed EXEC poate fi configurata pentru a primi
mesaje de jurnaI cu privire Ia orice Iinii terminaIe. SimiIar cu Iogare prin
consoIa, acest tip de Iogare nu este stocat de router i, prin urmare, este
importanta pentru utiIizatoruI de pe acea Iinie.
Logarea Buffered (Buffered Iogging) acest tip de Iogare este un pic mai
utiIa ca un instrument de securitate, deoarece mesajeIe jurnaI sunt stocate
n memorie router pentru un timp. Cu toate acestea, evenimenteIe sunt
sterse ori de cte ori router-uI este repornit.
SNMP traps -- anumite praguri pot fi preconfigurate pe routere si pe aIte
dispozitive. EvenimenteIe de pe router, cum ar fi ceIe de peste un anumit
prag, pot fi preIucrate de ctre router i transmise prin SNMP trap Ia un
server extern SNMP. SNMP trap sunt o faciIitate de securitate viabiIa de
Iogare, dar necesita configurarea i ntreinerea unui sistem de SNMP.
SysIog - routere Cisco poate fi configurat pentru a transmite mesaje de Iog
Ia un serviciu extern sysIog. Acest serviciu se poate ampIasa pe orice
numr de servere sau statii de Iucru, incIusiv Microsoft Windows i sisteme
bazate pe UNIX, sau aparatuI de securitate Cisco MARS. SysIog este
faciIitate de Iogare cea mai popuIara, pentru c acesta ofer capaciti pe
termen Iung jurnaI de stocare i o Iocaie centraI pentru toate mesajeIe de
pe router.
Mesaje jurnaI pe routereIe Cisco se ncadreaz ntr-una din opt niveIe. Cu
cat este mai mic numr de niveI, cu atat este mai ridicat niveI de severitate.
MesajeIe jurnaI pe routereIe Cisco conine trei pri principaIe:
Timestamp
mesaj NumeIe Log i niveI de severitate
Mesaj text
SysIog este standard pentru Iogare evenimente de sistem. ImpIementariIe
SysIog conin dou tipuri de sisteme.
servere SysIog -, cunoscut sub numeIe de gazde jurnaI, aceste sisteme
accepta i procesuI de mesaje de jurnaI din sysIog cIienti.
cIientii SysIog - router sau aIte tipuri de echipamente care genereaz i
transmite mesaje de Ia servere Iog sysIog.
ProtocoIuI sysIog permite mesajeIor Iogin sa fie trimise de Ia un cIient
sysIog Ia server sysIog. n timp ce posibiIitatea de a trimite jurnaIeIe de Ia
un server centraI sysIog este parte dintr-o soIutie de securitate buna,
acesta poate fi, de asemenea poteniaIa parte din probIemeIe de securitate.
Cea mai mare probIem este enormitatea de sarcini rezuItate prin cernerea
de informaii, prin coreIarea evenimenteIor de Ia mai muIte dispozitive de
reea i servere de apIicaii diferite, i Iund ncaIcuI diferiteIe tipuri de
aciuni bazate pe o evaIuare a vuInerabiIitii unui incident.
Monitorizarea SecuritatII, anaIiza, i RspunsuI SistemuIui (MARS) este un
dispozitiv de securitate Cisco, care poate primi i anaIiza mesajeIor sysIog
din diverse dispozitive de reea i gazde Cisco si aIti furnizori. Securitate
Cisco MARS extinde portofoIiuI de produse de management aI securitii
pentru iniiativ Cisco SeIf-Defending Network. Cisco de securitate MARS
este primuI aparat construit cu scopuI de atenuare n timp reaI a
ameninariIor Ia adresa securitii.
Securitate Cisco MARS monitorizeaz muIte tipuri de Iog-ari i raportare de
trafic, de Ia produseIe de securitate pana Ia reeIe de companii. Securitate
Cisco MARS combin toate aceste date jurnaI ntr-o serie de sesiuni de
care apoi Ie compar cu o baz de date de reguIi. n cazuI n care normeIe
indic faptuI c ar putea fi o probIem, este decIanat un incident. Prin
utiIizarea acestei metode, un administrator de reea poate avea proceseIe
de securitate Cisco MARS de ceIe mai muIte de arhivate de aparat de Ia
dispozitiveIe din reea i s isi concentreze eforturiIe umane asupra
eventuaIeIor probIeme.
UtiIizai urmtorii pai pentru a configura sistemuI de Iogare.
PasuI 1. Setai destinaia de Iogare a gazdei foIosind comanda Iogging
host.
PasuI 2. (OpionaI) Setai niveIuI de gravitatea aI Iog (capcana) foIosind
comanda Iogging trap<niveI>.
PasuI 3. Setai interfa surs foIosind comanda Iogging source-interface.
Aceasta arat c pacheteIe conin adresa unei anumite interfae sysIog
IPv4 sau IPv6, indiferent de interfata pe care pacheteIe o foIosesc pentru a
iei din router.
PasuI 4. Activeaz jurnaIizarea comanda Iogging on. Putei activa Iogare on
i off pentru aceste destinaii foIosind comenziIe Iogging buffered, Iogging
monitor, si Iogging individuaI de configurare gIobaaI. Cu toate acestea, n
cazuI n care comanda Iogging on este dezactivata, mesajeIe nu sunt
trimise ctre aceste destinaii. Doar consoIa primeste mesaje
.
Pentru a activa sysIog de Iogare de pe router, foIosind Cisco router i
securitate Device Manager (SDM), urmai aceti pai.
PasuI 1. AIegei Configure > AdditionaI Tasks > Router Properties >
Logging..
PasuI 2. Din panouI de Logging, facei cIic pe Edit.
PasuI 3. n fereastra Logging, seIectai EnabIe Logging LeveI i puteti aIege
niveIuI de Iogare din Logging LeveI din Iist MesajeIe vor fi Iogate pentru
niveIuI seIectat sau un niveI mai mic.
PasuI 4. Facei cIic pe Add,, i introducei adres IP a hostuIui de Iogat n
cmpuI IP Address/Hostname.
PasuI 5. Facei cIic pe OK pentru a reveni Ia caseta de diaIog Logging.
PasuI 6. Facei cIic pe OK pentru a accepta modificriIe i a reveni Ia
panouI de Iogare.
Cisco SDM poate fi foIosite pentru a monitoriza IogariIe prin aIegerea
Monitor > Logging.
Din fiIa SysIog, avei posibiIitatea s efectuai urmtoareIe funcii:
sa vedeti gazdeIe Iogate Ia care router-uI are mesaje de Iogare
AIegei niveIuI minim de severitate pentru vizuaIizare.
Monitorizati mesajeIe sysIog router, actuaIizare ecranuI pentru a afia
intrriIe ceIe mai actuaIe jurnaI, i terge toate mesajeIe din jurnaIuI
tampon sysIog aI router-uIui
.
Un aIt instrument de monitorizare comun este SNMP. SNMP a fost dezvoItat
pentru a gestiona noduri, cum ar fi servere, staii de Iucru, routere, switch-
uri, hub-uri, i dispozitive de securitate, pe o reea IP. SNMP este un
protocoI de niveI apIicaie care faciIiteaz schimbuI de informaii ntre
dispozitive de management de reea. SNMP este parte din suita
protocoaIeIor TCP / IP. SNMP permite administratoriIor de reea s
gestioneze performaneIe reeIei,sa gseasca i sa rezoIve probIemeIe de
reea, i un pIan pentru creterea reeIei. Exist versiuni diferite aIe SNMP.
SNMP versiunea 1 (SNMPv1) i SNMP versiunea 2 (SNMPv2) se bazeaz pe
manageri (sisteme de management aI reeIei [NMSs]), ageni (noduri
administrative), i Baze de Management aIe Informaiei (MIB-uri). n orice
configuraie, ceI puin un nod manager care ruIeaza software-uI de
management SNMP. Dispozitive de reea ce trebuie s fie gestionate, cum
ar fi switch-uri, routere, servere, i staii de Iucru, sunt echipate cu un
moduI de agent software SMNP. AgentuI este responsabiI pentru
asigurarea accesuIui Ia un MIB IocaIe de obiecte care refIect resurseIe i
activitatea Ia noduI su. MIB-uri stocheaz dateIe despre funcionarea
dispozitivuIui i sunt menite s fie disponibiI pentru utiIizatorii
autentificai Ia distan.
ManageruI SNMP poate obine informaii de Ia agent, i schimbare, sau seta
informaii n agent. SetariIe pot schimba configuraia variabIeIor in device-
uI agent. SetariIe pot initia aciuni n dispozitive. Un rspuns Ia o setare
indic o noua setare n aparat. De exempIu, o setare poate provoca o
rebootare a unui router, trimiterea unui fiier de configurare, sau primirea
unui fiier de configurare. Trap SNMP permite unui agent de a notifica
evenimente semnificative prin trimiterea unui mesaj catrestaia de
management. Aciunea de a obtine i de a seta deschid vuInerabiIiti care
deschid SNMP Ia atacuri.
Ageni SNMP accepta comenzi i a cereriIor de Ia sistemeIe de
management SNMP numai n cazuI n care aceste sisteme au un ir de
comunitate corect. Un ir de comunitate SNMP este un text care poate
autentifica mesaje ntre o staie de gestionare i un agent SNMP i permite
accesuI Ia informaii n MIB-uri. Siruri de caractere comunitare sunt, n
esen utiIizate pentru autentificare prin paroI numai de mesaje ntre noiIe
state membre i agent.
Exist dou tipuri de iruri de comunitte.
siruri de caractere comunitate read-onIy - Ofer acces read-onIy (doar
citire) Ia toate obiecteIe din MIB, cu excepia siruri de caractere comunitate.
siruri de caractere comunitate citire-scriere - Ofer acces Ia citire-scriere
pentru toate obiecteIe din MIB, cu excepia siruri de caractere comunitate.
n cazuI n care manageruI trimite siruri de caractere corecte comunitate
read-onIy, se poate obine informaii, dar nu se pot seta de informaii ntr-
un agent. n cazuI n care manageruI foIosete una dintre siruriIe de
comunitate corecte citire-scriere ceIe, se pot obine sau seta de informaii
n agent. ntr-adevr, a stabiIi acces Ia un router este echivaIent cu a avea
enabIe password de router.
n mod impIicit, ceIe mai muIte sisteme SNMP foIosesc un ir de
comunitate. "pubIic", Dac v configurai router-uI agentSNMP sa
foIoseasva acest ir comunitate cunoscut, oricine cu un sistem de SNMP
poate citi MIB-uI router-uIui. Deoarece variabiIeIe router MIB poate indica
Iucruri, cum ar fi tabeIeIe de rutare i aIte pri de securitate critice aIe
configurare router, este extrem de important cum v creai propriiIe dvs.
siruri de caractere comunitate personaIizate SNMP. Cu toate acestea, chiar
dac iruI comunitatea este schimbat, siruri de caractere sunt trimise n
pIaintext. Aceasta este o vuInerabiIitate foarte mare de arhitectura SNMPv1
i SNMPv2.
Dac utiIizai in-band management,, pentru a reduce riscuriIe de securitate,
SNMP management ar trebui s fie configurate pentru a obtine numai
informaii de Ia dispozitive, mai degrab dect a Ii se permite s mping
"set"-uI de modificri aIe dispozitiveIor. Pentru a asigura gestionarea
informaiiIor, fiecare dispozitiv ar trebui s fie configurat cu un ir doar n
citire comunitate SNMP.
Pstrarea traficuIui SNMP pe un segment permite traficuIui sa traverseze
un segment izoIat, atunci cnd este tras de gestionare a informaiiIor de Ia
aparate i atunci cnd schimbriIe de configurare sunt mpinse Ia un
dispozitiv. Prin urmare, n cazuI utiIizrii unei reeIe de OOB, este
acceptabiI sa configuram SNMP citire-scriere string comunitate, cu toate
acestea, trebuie s fim contieni de riscuI crescut Ia securitate de un ir de
text cIar care permite modificarea configuraiiIor dispozitivuIui.
Versiunea curent a SNMPv3 eIimina vuInerabiIitiIe din versiuniIe
anterioare, incIusiv aIe ceIor trei servicii importante: autentificare,
intimitate, i de controIuI accesuIui.
SNMPv3 este un protocoI interoperabiI bazate pe standarde pentru
gestionarea reeIei. SNMPv3 foIosete o combinaie de autentificare i
criptare a pacheteIor n reea pentru a oferi acces securizat Ia dispozitive.
SNMPv3 Ofer trei caracteristici de securitate.
integritatea mesajuIui - asigur de faptuI c un pachet nu a fost modificat
printr-un tranzit.
autentificare - determin c mesajuI este de Ia o surs vaIid.
Criptare - amestec coninutuI unui pachet pentru a preveni de Ia a fi vzut
de ctre o surs neautorizate.
Se recomand ca SNMP sa fie utiIizat atunci cnd este posibiI, din cauza
caracteristiciIor de securitate sporita , configurarea SNMPv3 este dincoIo
de sfera de apIicare a acestui curs.
Cnd activai SNMP, este important s se ia n considerare modeIuI de
securitate i niveIuI de securitate. ModeIuI de securitate este o strategie de
autentificare care este configurata pentru un utiIizator i pentu grup n care
utiIizatoruI are reedina. n prezent, software-uI Cisco IOS accept trei
modeIe de securitate: SNMPv1, SNMPv2c, i SNMPv3. Un niveI de
securitate este niveIuI permis de securitate n cadruI unui modeI de
securitate. NiveIuI de securitate este un tip de aIgoritm de securitate care
se efectueaz pe fiecare pachet SNMP.
Exist trei niveIuri de securitate.
noAuth - Autentific un pachet de un string care face mach numeIe de
utiIizator sau cu de ir comunitate.
auth - autentific un pachet utiIiznd fie Hashed Message Authentication
Code (HMAC) cu metoda MD5 sau metoda Secure Hash AIgorithms (SHA).
Metoda HMAC este descris n RFC 2104, HMAC: Keyed-Hashing for
Message Authentication.
priv - autentific un pachet fie prin foIosirea MD5 HMAC sau aIgoritmi
HMAC SHA i cripteaz foIosind pachete Data Encryption Standard (DES),
TripIe DES (3DES), sau Advanced Encryption Standard (AES) aIgoritmi.
Combinaia dintre modeI i niveIuI care determin mecanismuI de
securitate este angajat Ia manipuIarea unui pachet SNMP. Numai SNMPv3
sprijin auth i niveIuriIe de securitate priv. Cu toate acestea, Cisco SDM
nu are suport pentru configurarea de SNMPv3.
Pentru a permite SNMPv1 i SNMPv2 foIosind Cisco SDM urmai aceti
pai.
PasuI 1. Configure > AdditionaI Tasks > Router Properties > SNMP. Facei
cIick pe butonuI Edit.
PasuI 2. Din fereastra SNMP Properties, seIectai EnabIe SNMP pentru a
activa suportuI pentru SNMP.
Setati siruri de caractere comunitate i introducei informaiiIe trap
manager din aceeai fereastra SNMP Properties foIosite pentru a activa
suportuI.
PasuI 3. n fereastra SNMP Properties, facei cIic pe Add pentru a crea noi
siruri de caractere comunitate, facei cIic pe Edit pentru a edita un ir de
comunitate existent, sau facei cIic pe DeIete pentru a terge un ir de
comunitate.

Un exempIu de comand CLI in care SDM ar genera un ir read onIy de
comunitate bazat numai pe stringuI cisco123 este
snmp-server community cisco123 ro.
ro - Atribuie un ir de comunitate read-onIy.
rw - Atribuie un ir de comunitate read-write.
AdministratoruI poate configura, de asemenea, dispozitiveIe pentru care un
router sa trimite capcane. Aceste dispozitive sunt denumite n continuare
receptoare capcana. Cisco SDM poate fi utiIizat pentru a aduga, edita sau
terge un receptor capcan.
PasuI 1. Din panouI SNMP n Cisco SDM, facei cIicL pe Edit.
SNMP.Fereastr afieaz SNMP Properties.
PasuI 2. Pentru a aduga un receptor capcan nou, facei cIick pe Add n
seciunea Trap Receiver din fereastra SNMP Properties. Se afieaz
fereastra. Add a Trap Receiver
PasuI 3. Introducei adresa IP sau numeIe de gazd aI receptoruIui capcan
i paroIa, care este utiIizata pentru a va conecta Ia receptor capcana. De
obicei, aceasta este adresa IP a staiei de management SNMP care
monitorizeaz n domeniuI dvs.. ConsuItai-v cu administratoruI site-uIui
pentru a determina adresa dac nu sunteti sigur.
PasuI 4. Facei cIic pe OK pentru a termina adugarea receptoruIui
capcan.
PasuI 5. Pentru a edita un receptor capcan existent, aIegei un receptor
capcan din Iista de receptor capcan i facei cIic pe Edit. Pentru a terge
un receptor capcan existent, aIegei un receptor capcan din Iista de
receptor capcan i facei cIic pe DeIete..
PasuI 6. Atunci cnd Iista receptoruI capcana este compIet, facei cIic pe
OK pentru a reveni Ia panouI SNMP.
Fereastra SNMP Properties conine, de asemenea, campuI SNMP Server
Device Location i campuI Server Administrator Contact. AmbeIe cmpuri
sunt cmpuri de text care pot fi foIosite pentru a introduce informaii
descriptive despre Iocaia serveruIui SNMP i informaiiIe de contact aIe
unei personae care gestioneaza server-uI SNMP. Aceste cmpuri nu sunt
obIigatorii i nu afecteaz funcionarea router-uIui
.
MuIte Iucruri impIicate n securitatea unei reeIe, cum ar fi securitatea
IoguriIor , depinde de Ia o dat precis i timestamp. Cnd are Ioc un atac,
chestiune de secunde, este important deoarece trebuie s se identifice
ordinea n care a avut Ioc un anumit atac. Pentru a ne asigura c mesajeIe
Iog sunt sincronizate uneIe cu aIteIe, ceasuriIe pe hosturi i dispozitive de
reea trebuie s fie meninute i sincronizate.
De obicei, setriIe de data i ora de router poate fi setat foIosind una
dintre ceIe dou metode:
Editarea manuaI a datei i orei
Configurarea protocoIuIui Time Network (NTP)
Dei metoda manuaI Iucreaz ntr-un mediu de reea mic, cand o reea
crete, devine dificiI s se asigure c toate dispozitiveIe de infrastructur
opereazaa cu timp sincronizat. Chiar i ntr-un mediu de reea mai mic,
metoda manuaI nu este ideaI. Dac un router reboot-eaza, cand primeste
date precise i timestamp?
O soIuie mai bun este de a configura NTP pe reea. NTP permite
routereIor din reea sa sincronizeze setriIe timpuIui Ior cu un server NTP.
Un grup de cIienti NTP care obin informaii despre ora i data dintr-o
singur surs au setri de timp mai muIt precise. Cnd NTP este pus n
apIicare n reea, acesta poate fi configurat pentru a se sincroniza cu un
ceas master privat, sau se poate sincroniza cu un server NTP Ia dispoziia
pubIicuIui pe Internet.
NTP utiIizeaz portuI UDP 123 i este documentat n RFC 1305.
Atunci cnd decid s utiIizeze o sincronizarea ceasuIui privat fa de un
ceas pubIic, este necesar sa se evaIueze riscuriIe i beneficiiIe.
n cazuI n care un ceas master private este pus n apIicare, ar putea fi
sincronizate Ia Coordinated UniversaI Time (UTC) sau radio prin sateIit.
AdministratoruI are nevoie pentru a se asigura c surs de timp este
vaIabiIa i dintr-un site securizat, n caz contrar, se pot introduce
vuInerabiIitati. De exempIu, un atacator poate Iansa un atac DoS prin
trimiterea de date faIse NTP pe Internet Ia reea ntr-o ncercare de a
schimba ceasuriIe de pe dispozitive de reea, care pot determina ca
certificateIe digitaIe sa devina invaIid. Un atacator ar putea ncerca s se
confunde cu un administrator de reea n timpuI unui atac de perturbare a
ceasuriIor de pe dispozitive de reea. Acest scenariu ar face dificiI pentru
administratoruI de reea sa determina ordinea evenimenteIor sysIog pe mai
muIte dispozitive.
Sincronizand ceasuI de pe Internet nseamn c pacheteIe negarantate
sunt permise prin firewaII. MuIte servere NTP de pe Internet nu necesit
nici o autentificare a coIegiIor, prin urmare, administratoruI de reea trebuie
s aib ncredere c ceasuI este de ncredere, vaIabiI, i sigur.
Comunicaii (cunoscut sub numeIe de asociaii), ntre maini care ruIeaz
NTP sunt de obicei configurate static. Fiecare dispozitiv este dat adresa IP
a NTP master. Pontaj exact este posibiI prin schimbuI de mesaje NTP
ntre fiecare pereche de maini asociate. ntr-o reea NTP configurata, unuI
sau mai muIte routere sunt desemnate ca deintor ceas master (cunoscut
ca un maestru NTP) foIosind comanda ntp master din configurare gIobaIa.
CIientii NTP fie au contact cu master fie ascuIta mesajeIe de Ia master
pentru a sincroniza ceasuriIe Ior. Pentru a contacta master-uI , utiIizati
comanda ntp server < addresa server-uIui >
ntr-un mediu LAN, NTP poate fi configurat s utiIizeze mesajeIe difuzate n
Ioc de IP-uri foIosind comanda ntp broadcast cIient. Aceast aIternativ
reduce compIexitatea de configurare, deoarece fiecare masina poate fi
configurat pentru a trimite sau primi mesaje difuzate. Precizia este redus,
deoarece fIuxuI de informaii este dintr-o singura sursa.
n momentuI n care o main pstreaz o resurs critic, prin urmare,
eIementeIe de siguran aIe NTP ar trebui s fie foIosite pentru a evita
setarea accidentaIe sau deIiberata de ore incorecte. Exist dou
mecanisme de securitate:
sistem pe baz de restricie ACL
mecanism de autentificare criptate oferite de versiunea NTP 3 sau mai
trziu
Versiunea NTP 3 (NTPv3) i de mai trziu, sprijina un mecanism de
autentificare criptografic ntre coIegii NTP. Acest mecanism de
autentificare, n pIus fa de ACL-uri care specific ce dispozitive de reea
sunt permise pentru a sincroniza cu aIte dispozitive de reea, poate fi
foIosite pentru a ajuta Ia atenuarea unui astfeI de atac.
Pentru a asigura trafic NTP, este recomandat sa se foIoseasca NTP
versiunea 3 sau mai trziu,. FoIosii urmtoareIe comenzi de pe ambeIe
master i NTP cIient NTP.
ntp authenticate
ntp authentication-key< numaruI cheii > md5< vaIuarea cheii>
ntp trusted-key <numaruI cheii>
Autentificare este n beneficiuI unui cIient pentru a se asigura c obtine
timpuI de Ia un server autentificat. CIientii configurati fr autentificare pot
obine nc timp de Ia server. Diferena este c aceti cIieni care nu se
autentifica pe server nu au o surs sigur.
UtiIizai comanda show ntp associations detaiI pentru a confirma faptuI c
serveruI este o surs autentificat.
Not: VaIoarea cheie poate fi setat ca un argument n comanda ntp server
<ntp-server-address>
Cisco SDM permite unui administrator de reea sa vizuaIizeze informaii
configurate NTP server, sa adugeinformaii noi, i sa editeze sau sa
tearga informaiiIe existente.
Exist apte pai pentru a aduga un server NTP foIosind Cisco SDM.
PasuI 1. AIegei Configure > AdditionaI Tasks > Router Properties >
NTP/SNTP.. PanouI de NTP apare, afiand informaii pentru toate servereIe
configurate NTP.
PasuI 2. Pentru a aduga un nou server NTP, facei cIic pe Add. Apare
fereastra Add NTP Server DetaiIs.
PasuI 3. Adauga nume unui server NTP n cazuI n care router-uI este
configurat s utiIizeze un server Domain Name System (DNS), sau adresa
IP. Pentru a aduga un server NTP prin adresa IP, introducei adresa IP n
cmpuI de Ing NTP Server IP Address . n cazuI n care organizaia nu are
un server NTP, administratoruI ar putea dori s utiIizai un server pubIic,
cum ar fi unuI din Iista de servere care pot fi gsite Ia
http://support.ntp.org/bin/view/Servers/WebHome .
PasuI 4. (OpionaI) Din Iista NTP Source Interface, aIege interfata router-uIui
utiIizata pentru a comunica cu serveruI NTP. NTP Sursa Interface este un
cmp opionaI. Dac acest cmp este Isat necompIetat, mesaje NTP sunt
trimise Ia cea mai apropiat interfa conform tabeIuIui de rutare.
PasuI 5. SeIectai Prefer dac acest server NTP a fost desemnat ca un
server preferat NTP. ServereIe NTP Preferate sunt contactate nainte de
servere nepreferate NTP. Nu poate fi mai muIt de un server preferat NTP.
PasuI 6. Dac serveruI NTP foIoseste autentificare, seIectai autentificarea
cu cheie i introducei numruI cheii i vaIoarea cheii.
PasuI 7. Facei cIic pe OK pentru a termina adugarea server-uIui
.
RoutereIe Cisco sunt iniiaI desfurat cu muIte servicii, care sunt activate
n mod impIicit. Acest Iucru se face pentru comoditate i pentru a simpIifica
procesuI de configurare necesare pentru a obine dispozitivuI operaionaI.
Cu toate acestea, uneIe dintre aceste servicii pot face dispozitivuI
vuInerabiIe Ia atac, dac securitatea nu este activata. Administratorii pot
permite, de asemenea, serviciiIe de pe routere Cisco, care pot expune
dispozitivuI de risc semnificativ. AmbeIe scenarii trebuie s fie Iuate n
considerare atunci cnd securizarea reeIei.
De exempIu, Cisco Discovery ProtocoI (CDP) este un exempIu de un
serviciu care este activat impIicit n routere Cisco. Acesta este utiIizat n
principaI pentru a obine adreseIe de protocoI aI dispozitiveIor Cisco vecine
i de a descoperi pIatforme acestor dispozitive. Din pcate, un atacator pe
reea poate utiIiza CDP pentru a descoperi dispozitiveIe din reeaua IocaI.
n pIus, atacatorii nu au nevoie de CDP-activat pe dispozitive. Un software
disponibiI, cum ar fi Cisco CDP Monitor, pot fi descrcate pentru a obine
informaii. Intenia de CDP este de a face mai uor pentru administratori sa
descoperi i sa depaneze aIte dispozitive Cisco pe reea. Cu toate acestea,
din cauza impIicaiiIor de securitate, foIosirea de CDP ar trebui s fie
determinista. Dei este un instrument extrem de utiI, aceasta nu ar trebui
s fie peste tot n reea. Un exempIu sunt dispozitive Edge (de margine)
care ar trebui s aib aceast caracteristic dezactivata
Atacatorii aIeg servicii i protocoaIe care face reeaua mai vuInerabiIIa
n funcie de nevoiIe de securitate aIe unei organizaii, muIte dintre aceste
servicii ar trebui s fie dezactivate sau, ceI puin, Iimitate. Aceste
caracteristici variaz de Ia protocoaIe proprietare Cisco, cum ar fi Cisco
Discovery ProtocoI (CDP), Ia protocoaIe de niveI gIobaI disponibiIe, cum ar
fi ICMP i aIte instrumente de scanare.
UneIe dintre setriIe impIicite n software-uI Cisco IOS sunt acoIo pentru
motive istorice, au avut sens atunci cnd au fost aIee, dar, probabiI, ar fi
diferit dac noi vaIori impIicite ar fi fost aIese astzi. AIte defauIt-uri au
sens pentru majoritatea sistemeIor, dar poate crea expuneri de securitate,
dac acestea sunt utiIizate n dispozitiveIe care fac parte din perimetruI
reteIei. AIte impIicite sunt de fapt cerute de standarde, dar nu sunt
ntotdeauna de dorit din punct de vedere aI securitii.
MuIte dintre practici contribuie Ia asigurarea securizarii unui dispozitiv
Dezactivai servicii i interfeeIe inutiIe.
Dezactivai i restrngeti configuratia uzuaIa de servicii de management,
cum ar fi SNMP.
Dezactivati sondajeIe i scanariIe, cum ar fi ICMP.
Asigurai-v securitatea terminaIeIor de acces.
Dezactiveaz programeIe inutiIe i proxy Address ResoIution ProtocoI
(ARP).
Dezactivai IP-directed broadcasts
Pentru a asigura dispozitive de reea, administratorii trebuie s stabiIeasc
mai nti c exist vuInerabiIiti cu configuraia curent. CeI mai bun mod
de a reaIiza acest Iucru este prin utiIizarea unui instrument de audit de
securitate. Un instrument de audit de securitate efectueaz verificri cu
privire Ia niveIuI de securitate aI unei configuraii prin compararea c
configuraia Ia setriIe recomandate de urmrire i discrepane. Dup ce
vuInerabiIitatiIe sunt identificate, administratorii de reea trebuie s
modifice configurarea pentru a reduce sau eIimina aceste vuInerabiIitati i
pentru a asigura dispozitivuI de reea.
Trei instrumente de audit de securitate disponibiIe incIud:
Security Audit Wizard - caracteristic unui audit de securitate furnizata prin
intermediuI Cisco SDM. Security Audit Wizard ofer o Iist de vuInerabiIiti
i apoi permite administratoruIui s aIeag care sunt poteniaIeIe
modificri de securitate Iegate de configurare apIicate pe un router.
Cisco AutoSecure - un eIement de securitate de audit disponibiI prin
intermediuI Cisco IOS CLI. Comanda autosecure iniiaz un audit de
securitate i apoi permite modificriIe de configuraie. Bazat pe moduI
seIectat, modificriIe de configuraie pot fi automate sau necesita
interventia manuaIa a administratoruIui de reea.
One-Step Lockdown - caracteristic unui audit de securitate furnizate prin
intermediuI Cisco SDM. Caracteristic One-Step Lockdown ofer o Iist a
vuInerabiIitiIor i apoi face automat toate modificriIe recomandate de
securitate Iegate de configurare.
AmbeIe Security Audit Wizard i Wizard One-Step Lockdown sunt bazate
pe caracteristica Autosecure Cisco IOS.
Security Audit Wizard
Security Audit Wizard testeaza configurarea router-uIui pentru a determina
dac exist poteniaIe probIeme de securitate n configuraie, i prezint
apoi un ecran care permite administratoruIui sa determine care dintre
aceste probIeme de securitate pot fi remediate. n acest moment,
Securitate Expert Audit face modificriIe necesare pentru configurarea
router pentru a remedia aceste probIeme.
Securitate Expert Audit compar o configuraie router cu setriIe
recomandate i efectueaz urmtoareIe:
nchide servereIe care nu sunt necesare
Dezactiveaz servicii care nu sunt necesare.
ApIic firewaII-uri pentru interfeeIe exterioare.
Dezactiveaz sau ntrete SNMP.
nchide interfee nefoIosite.
ControaIeaza puterea paroIei
Impune utiIizarea de ACL-uri.
Atunci cnd un audit de securitate este iniiat, Security Audit Wizard
trebuie s tie care interfee aIe router-uIui conecteaza reeaua din
interioruI i care conecta reeaua n afara. Security Audit Wizard apoi
configuratia router-uIui pentru a determina eventuaIeIe probIeme de
securitate care pot exista. O fereastr arat toate opiuniIe de configurare
testate i dac configuraia curent trece aceste teste.
Cnd este compIet, audit de securitate identific eventuaIeIe vuInerabiIiti
n configuraia i ofer o modaIitate de a corecta aceste probIeme. De
asemenea, ofer administratoruIui posibiIitatea de a rezoIva probIemeIe n
mod automat, caz n care se determin comenziIe necesare de configurare.
O descriere a probIemeIor specifice i o Iist a comenziIor Cisco IOS
foIosesc pentru a corecta aceste probIeme.
nainte ca orice modificri decconfigurare sa fie fcute, se afieaz o
pagin REZUMAT o Iist cu toate modificriIe de configuraie pe care audit
de securitate se va face. AdministratoruI trebuie s faca cIick pe Finish
pentru a trimite aceIe configuraii Ia router.
Cisco AutoSecure
Lansat n versiunea 12.3 IOS, Cisco AutoSecure este o caracteristic care
este iniiat de CLI si executa un script. AutoSecure face primuI
recomandri pentru fixarea vuInerabiIiti de securitate i apoi modific
configuraia de securitate a router-uIui.
AutoSecure poate bIoca funciiIe pIanuIui de management i servicii de
expediere aIe pIanuI i funciiIe unui router.
PIanuI de management este caIea Iogic a traficuIui referitoare Ia
gestionarea unei pIatforme de rutare. Este foIosit pentru a controIa toate
ceIeIaIte funcii de rutare i de a gestiona un dispozitiv prin intermediuI
unei conexiuni Ia reea. Exist mai muIte servicii i funcii in pIanuI de
management:
Secure BOOTP, CDP, FTP, TFTP, PAD, UDP, TCP i servere mici, MOP,
ICMP (redirectri, masca-raspunsuri), sursa de rutare IP, Finger, criptare
paroIa, keepaIives TCP, gratuit ARP, proxy ARP, si directed broadcast
notificare juridic foIosind un banner
funcii de Iogin i paroIa sigur
Secure NTP
Secure SSH acces
interceptarea serviciiIor TCP
PIanuI de expediere este responsabiI pentru transmiterea de pachete (sau
comutare de pachete), care este actuI de a primi pachete cu privire Ia
interfeeIe router-uIui i de a Ie trimite pe aIte interfee.
Exist trei servicii de transport i funciiIe Ior :
EnabIes CEF
Permite trafic de fiItrare cu ACL-uri
ImpIementeaz Cisco IOS inspecie firewaII pentru protocoaIe comune
AutoSecure este adesea foIosit n domeniu pentru a oferi o poIitic de
securitate de baz pe un router nou. Caracteristici pot fi apoi modificat
pentru a sprijini poIitica de securitate a organizaiei
.
UtiIizai comanda auto secure pentru a permite configurarea caracteristicii
Cisco AutoSecure. Aceast configurare poate fi interactiva sau non-
interactiva.
auto secure [no-interact]
n moduI interactiv, router-uI soIicit opiuni pentru a activa i dezactiva
servicii i aIte caracteristici de securitate. Acesta este moduI impIicit, dar
poate fi, de asemenea, configurat foIosind comanda auto secure fuII.
ModuI non-interactiv este simiIar SDM Security Audit one-step Iockdown ,
deoarece executa automat comanda Cisco AutoSecure cu setriIe impIicite
recomandate Cisco. Acest mod este activat cu ajutoruI comenzii auto
secure no-interact din priviIegiate EXEC.
Comanda auto secure poate fi introduse, de asemenea, cu cuvinte cheie
pentru a configura componenteIe specifice, cum ar fi pIanuI de
management i pIanuI de expediere
n cazuI n care comanda auto secure este iniiata, un wizard va configura
dispozitivuI. Introducerea user-uIui este necesar. n cazuI n care expertuI
este compIet, se afieaz o configuraie care ruIeaz toate setriIe de
configurare i schimbri.
Cisco One-Step Lockdown
Cisco One-Step Lockdown testeaza o configuraie de router pentru orice
poteniaIe probIeme de securitate i face n mod automat modificriIe de
configurare necesare pentru a corecta orice probIeme.
Cisco One-Step Lockdown dezactiveaz:
serviciu Finger
serviciu PAD
servicii de servere mici TCP
servicii de servere mici UDP
servere de serviciu IP BOOTP
serviciuI de identificare IP
Cisco Discovery ProtocoI
traseu IP surs
IP GARPs
SNMP
IP redirecturiIe
IP proxy ARP
IP directed broadcast
serviciu MOP
IP unreachabIes
masca rspuns IP
unreachabIes IP pe interfete nuIe
Cisco One-Step Lockdown Permite:
serviciu de criptare ParoIa
keepaIives TCP pentru sesiuni TeInet inbound i outbound
Numere de secven i marcajeIe de timp pe debugs
IP Cisco Express Activeaz NetFIow de expediere de comutare
Transmiterea Unicast Reverse Path (RPF), pe interfee n afara
FirewaII pe toate interfeeIe n afara
SSH pentru conexiuni de acces Ia router
AAA
Setari Cisco One-Step Lockdown:
Lungimea minim a paroIei ase caractere
Autentificarea ratei de esecuri Ia mai puin de trei rencercri
timpuI TCP synwait
Notificarea banner
Parametri de jurnaIizare
Activarea paroIei secret
ScheduIer intervaIuI
ScheduIer aIocarea
UtiIizatori
setriIe TeInet
CIasa de acces Ia serviciuI server HTTP
CIasa de acces Ia Iinii de vty
Decide care caracteristica Iockdown automatizata sa fie utiIizata,
AutoSecure sau SDM Audit de securitate cu un singur pas Lockdown, este
de fapt o chestiune de preferin. Exist diferene n moduI n care acestea
pun n apIicare bune practici de securitate.
Cisco SDM nu pun n apIicare toate caracteristiciIe Cisco AutoSecure.
Deoarece Cisco SDM versiunea 2.4, urmtoareIe caracteristici AutoSecure
nu fac parte din Cisco SDM Iockdown cu un singur pas:
Dezactivarea NTP - pe baza de intrare, Cisco dezactiveaz AutoSecure NTP
n cazuI n care nu este necesar. n caz contrar, NTP este configurat cu
autentificare MD5. Cisco SDM nu are suport pentru dezactivarea NTP.
Configurarea AAA - n cazuI n care serviciuI AAA nu este configurat, Cisco
AutoSecure configureaz IocaIe AAA i soIicit pentru configurarea unei
baze de date i nume de utiIizator IocaI paroIa pe router. Cisco SDM nu are
suport pentru AAA configurare.
Setarea seIectiv a vaIoriIor Packet Discard (SPD) - Cisco SDM nu
stabiIete vaIori SPD.
Activarea interceptariIe TCP - Cisco SDM nu permite interceptarea TCP
Configurarea ACL-uri antispoofing pe interfeeIe de iesire - Cisco
AutoSecure creeaz trei Iiste nominaIe de acces pentru a preveni
antispoofing adreseIor surs. Cisco SDM nu configureaz aceste ACL-uri.
.
UrmtoareIe caracteristici Cisco AutoSecure sunt puse n apIicare n mod
diferit n Cisco SDM:
Activeaz SSH pentru accesuI pe router - Cisco SDM permite i
configureaz SSH pe Cisco IOS imagini care au caracteristica de IPsec set,
ns, spre deosebire de AutoSecure Cisco, Cisco SDM nu permite Secure
Copy ProtocoI (SCP) sau dezactiva accesuI i aIte servicii de transfer de
fiiere , cum ar fi FTP.
Dezactiveaz SNMP - Cisco SDM dezactiveaz SNMP; cu toate acestea,
spre deosebire de AutoSecure Cisco, Cisco SDM nu ofer o opiune pentru
configurarea SNMPv3. Opiunea SNMPv3 nu este disponibiI pe toate
routereIe.
Indiferent care faciIitate automatizata este preferata, ar trebui s fie foIosit
ca o baz i apoi modificat pentru a satisface nevoiIe organizaiei.