PBS. Wykład Podstawy zabezpieczeń routerów

Transkrypt

1 PBS Wykład 3 1. Podstawy zabezpieczeń routerów mgr inż. Roman Krzeszewski roman@kis.p.lodz.pl mgr inż. Artur Sierszeń asiersz@kis.p.lodz.pl mgr inż. Łukasz Sturgulewski luk@kis.p.lodz.pl Procesy Bezpieczeństwa Sieciowego 1

2 Cele nauczania Opisanie potrzeby zabezpieczania routerów i przełączników. Wyłączenie niepotrzebnych usług. Zabezpieczenie granic. Zarządzanie routerami. Zabezpieczanie przełączników i dostępu do LAN.

3 Wprowadzenie Ten wykład skupia się na niektórych narzędziach dostępnych administratorom do zabezpieczania ruchu w sieci. Administratorzy mogą kontrolować dostęp do routera, przełącznika i do sieci przez zarządzanie dostępem poprzez porty konsolowe i terminale, jak również za pomocą haseł, kont i poziomów uprzywilejowania.

4 Terminy kluczowe Granica (Perimeter) DMZ SSL SSH NAT PAT Zwalczanie (Mitigation) NTP 802.1X IBNS

5 Ogólne zabezpieczenia routerów

6 Topologia Pojedynczy graniczny router SOHO Minimalne zabezpieczenie Procesy Bezpieczeństwa Sieciowego 6

7 Topologia graniczny router i zapora ogniowa Średnie oraz duże przedsiębiorstwa Większe zabezpieczenie Większa elastyczność Procesy Bezpieczeństwa Sieciowego 7

8 Topologia router graniczny z zintegrowaną zaporą ogniową Małe oraz średnie przedsiębiorstwa Większe zabezpieczenie niż pojedynczy router Lepsza zarządzalność Procesy Bezpieczeństwa Sieciowego 8

9 Topologia router graniczny, router wewnętrzny i zapora ogniowa Średnie oraz duże przedsiębiorstwa Lepsza ochrona oraz wydajność Lepsze parametry routingu Procesy Bezpieczeństwa Sieciowego 9

10 Ocena ryzyka instalacji Niskie ryzyko Użytkownicy mobilni PC Wysokieryzyko NAS Firewall Router Switch Servers Procesy Bezpieczeństwa Sieciowego 10

11 Powszechne zagrożenia dla fizycznej instalacji routerów i przełączników Zagrożenia sprzętowe Zagrożenia środowiskowe Zagrożenia elektryczne Zagrożenia związane z eksploatacją Procesy Bezpieczeństwa Sieciowego 11

12 Zwalczanie zagrożeń sprzętowych SECURE INTERNET ACCESS COMPUTER ROOM AC HELP DESK Card Reader UPS BAY SVRS LAN WAN Jak planujesz ograniczyć fizyczne uszkodzenia sprzętu? Brak nieautoryzowanego dostępu (zamykanie) Brak dostępu przez sufit Brak dostępu przez podwyższoną podłogę Brak dostępu przez szlaki wentylacyjne Brak dostępu przez okna Loguj wszystkie próby wejścia Kamery zabezpieczające Procesy Bezpieczeństwa Sieciowego 12

13 Zwalczanie zagrożeń środowiskowych Jak planujesz ograniczyć środowiskowe uszkodzenie sprzętu? Kontrola temperatury Kontrola wilgotności Odpowiedni przepływ powietrza Zdalne alarmowanie o zmianach w środowisku, jak również monitoring Procesy Bezpieczeństwa Sieciowego 13

14 Zwalczanie zagrożeń elektrycznych Jak planujesz ograniczyć problemy związane z zasilaniem elektrycznym? Zainstaluj systemy UPS Zainstaluj generatory Postępuj według zasad planu prewencyjnego Zainstaluj nadmiarowe zasilanie elektryczne Przeprowadzaj zdalne alarmowanie i monitoring Procesy Bezpieczeństwa Sieciowego 14

15 Zwalczanie zagrożeń związanych z eksploatacją Jak planujesz ograniczyć zagrożenia związane z eksploatacją? Zachowaj porządek okablowania Oznaczaj najważniejsze okablowanie i komponenty Zachowaj procedury ESD Przechowuj części zapasowe do najważniejszego okablowania i komponentów Kontroluj dostęp do portów konsolowych Procesy Bezpieczeństwa Sieciowego 15

16 Utrzymanie oprogramowania i konfiguracji Zachowuj zapasowe Konfiguracje Obrazy IOS Sprawdzaj PSIRT w poszukiwaniu słabych punktów roducts_tech_note09186a a8a.shtml Uaktualniaj obraz w razie potrzeby Śledź wykorzystanie wzorców Procesy Bezpieczeństwa Sieciowego 16

17 SSH SSH Serwer i Klient TCP Port 22 SSH Klient Procesy Bezpieczeństwa Sieciowego 17

18 Konfiguracja serwera SSH Router(config)# hostname host-name Router(config)# ip domain-name domain-name.com Router(config)# crypto key generate rsa Router(config)# line vty 0 4 Router(config-line)# transport input ssh Procesy Bezpieczeństwa Sieciowego 18

19 Kontrola dostępu Port konsolowy TTY VTY Konsola jest terminalem połączonym z portem konsolowym routera. Terminal może być prostym terminalem lub PC z emulatorem softwarowym termianala. Procesy Bezpieczeństwa Sieciowego 19

20 Hasła Hasła są najważniejszym narzędziem kontrolowania dostępu do routera. Istnieją dwa typy haseł w IOS firmy Cisco: Typ 7 wykorzystuje algorytm szyfrowania firmy CISCO. Typ 5 wykorzystuje haszowanie MD5, które jest silniejsze. Cisco zaleca, aby szyfrowanie typu 5 było wykorzystywane zamiast typu 7, jeżeli to tylko możliwe. Szyfrowanie typu 7 jest stosowane do haseł trybu enable, nazwy użytkownika i hasła linii komend. Powinno używać się polecenia service passwordencryption. Używaj silnych haseł. Konfiguruj kombinację nazwy użytkownika i hasła. Procesy Bezpieczeństwa Sieciowego 20

21 Zasady tworzenia silnych haseł Unikaj słów słownikowych, imion, numerów telefonów i dat. Włącz do hasła przynajmniej jedną małą i dużą literę, cyfrę i znak alfanumeryczny. Twórz hasła dłuższe niż osiem znaków. Unikaj więcej niż czterech cyfr lub liter tego samego typu pod rząd. Często zmieniaj hasła. Procesy Bezpieczeństwa Sieciowego 21

22 Zainicjowanie Configuration Dialog --- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no] y Configuring global parameters: Enter host name [Router]: Boston The enable secret is a password used to protect access to privileged EXEC and configuration modes. This password, after entered, becomes encrypted in the configuration. Enter enable secret: CantGessMe The enable password is used when you do not specify an enable secret password, with some older software versions, and some boot images. Enter enable password: WontGessMe The virtual terminal password is used to protect access to the router over a network interface. Enter virtual terminal password: CantGessMeVTY Procesy Bezpieczeństwa Sieciowego 22

23 Konfiguracja Enable Password przy użyciu enable secret router(config)# enable secret password Szyfruje hasło w pliku konfiguracyjnym routera Używa silnego algorytmu szyfrowania opartego na MD5 Boston(config)# enable secret Curium96 Boston# show running-config! hostname Boston! no logging console enable secret 5 $1$ptCj$vRErS/tehv53JjaqFMzBT/! Procesy Bezpieczeństwa Sieciowego 23

24 Konfiguracja hasła poziomu użytkownika dla portu konsolowego router(config)# line console line-number Zapoczątkowuje tryb konfiguracji konsoli router(config-line)# login Włącza sprawdzanie hasła przy logowaniu router(config-line)# Password password Ustawia hasło poziomu użytkownika na password Boston(config)# line console 0 Boston(config-line)# login Boston(config-line)# password ConUser1 Procesy Bezpieczeństwa Sieciowego 24

25 Konfiguracja hasła poziomu użytkownika VTY router(config)# line vty start-line-number end-line-number Zapoczątkowuje tryb konfiguracji VTY Określa zakres linii VTY do skonfigurowania router(config-line)# login Włącza sprawdzanie hasła przy logowaniu do sesji VTY (Telnet) router(config-line)# password password Ustawia hasło poziomu użytkownika na password Boston(config)# line vty 0 4 Boston(config-line)# login Boston(config-line)# password CantGessMeVTY Procesy Bezpieczeństwa Sieciowego 25

26 Konfiguracja hasła poziomu użytkownika dla portu Auxiliary router(config)# line aux line-number Zapoczątkowuje tryb konfiguracji auxiliary router(config-line)# login Włącza sprawdzanie hasła przy logowaniu do połączeń Aux router(config-line)# password password Ustawia hasło poziomu użytkownika na password Boston(config)# line aux 0 Boston(config-line)# login Boston(config-line)# password NeverGessMeAux Procesy Bezpieczeństwa Sieciowego 26

27 Szyfrowanie haseł przy użyciu service password-encryption router(config)# service password-encryption Szyfruje wszystkie hasła w pliku konfiguracyjnym routera Boston(config)# service password-encryption Boston# show running-config! line con 0 password F57A109A! line vty 0 4 password 7 034A18F366A0! line aux 0 password 7 7A4F A Używa słabego algorytmu szyfrowania, który łatwo można złamać Procesy Bezpieczeństwa Sieciowego 27

28 Ustawianie limitu czasu dla linii komend routera router(config-line)# exec-timeout minutes [seconds] Domyślnie: 10 minut Przerywa połączenie konsolowe Zapewnia dodatkowe bezpieczeństwo, gdy administrator odejdzie od aktywnej sesji konsolowej Boston(config)# line console 0 Boston(config-line)#exec-timeout 3 30 Boston(config)# line aux 0 Boston(config-line)#exec-timeout 3 30 Przerywa połączenie konsolowe/auxiliary po 3 minutach i 30 sekundach Procesy Bezpieczeństwa Sieciowego 28

29 Ustawianie różnych poziomów uprzywilejowania router(config)# privilege mode {level level command reset command} Level 1 jest predefiniowany jako poziom dostępu użytkownika Level 2 14 mogą być dostosowywane do trybów uprzywilejowania użytkowników Level 15 jest predefiniowany dla trybu enable Boston(config)# privilege exec level 2 ping Boston(config)# enable secret level 2 Patriot Procesy Bezpieczeństwa Sieciowego 29

30 Banner powitalny Bannery powinny być używane na wszystkich urządzeniach sieciowych Banner powinien zawierać Informację, że do systemu może zalogować się jedynie autoryzowany personel i informację, kto może dać taką autoryzację. Informację, że każde nieautoryzowane wejście do systemu jest łamaniem prawa i może podlegać pod kodeksy prawa cywilnego lub karnego, lub obu. Informację, że każde wejście do systemu może być monitorowane bez dalszych ostrzeżeń, a uzyskane w ten sposób logi mogą być wykorzystane jako dowody w postępowaniu prawnym. Dodatkowe informacje wymagane przez szczegółowe prawa lokalne. Banner powitalny nie powinien zawierać żadnych szczegółowych informacji na temat specyfikacji routera, oprogramowania i ich przynależności. Procesy Bezpieczeństwa Sieciowego 30

31 Konfiguracja komunikatu wiadomości router(config)# banner {exec incoming login motd slip-ppp} d message d Poinformuj, jakie jest właściwe zastosowanie systemu Poinformuj, że system jest monitorowany Poinformuj, że użytkowanie systemu nie podlega zasadzie prywatności Nie używaj słowa welcome Skonsultuj treść komunikatu z prawnikiem Boston(config)# banner motd # WARNING: You are connected to $(hostname) on the Cisco Systems, Incorporated network. Unauthorized access and use of this network will be vigorously prosecuted. # Procesy Bezpieczeństwa Sieciowego 31

32 NAT - Network Address Translation Translacja statyczna Translacja dynamiczna Przeładowanie lub Port Address Translation (PAT) Procesy Bezpieczeństwa Sieciowego 32

33 Usługi bezpieczeństwa routera

34 Usługi sieciowe IOS Bootp server Cisco Discovery Protocol (CDP) Classless Routing Behavior Configuration auto-loading DNS Finger HTTP server IP directed broadcast IP mask reply IP redirects IP source routing IP unreachable notifications NTP service Proxy ARP SNMP TCP small servers UDP small servers Procesy Bezpieczeństwa Sieciowego 34

35 Wyłączanie Bootp Server Router(config)# no ip bootp server Globalne wyłączanie Bootp service na tym routerze. Austin1(config)# no ip bootp server Procesy Bezpieczeństwa Sieciowego 35

36 Wyłączanie usługi Finger Router(config)# no ip finger Austin4(config)# no ip finger Austin4(config)# no service finger Austin4(config)# exit Austin4# connect finger Trying , % Connection refused by remote host Procesy Bezpieczeństwa Sieciowego 36

37 Wyłączanie CDP Server Router(config)# no cdp run Globalne wyłączenie usług CDP na tym routerze. Austin4(config)# no cdp run Procesy Bezpieczeństwa Sieciowego 37

38 Wyłączenie usługi IP Classless Routing Router(config)# no ip classless Globalne wyłączenie usługi IP classless routing service na tym routerze. Austin4(config)# no ip classless Procesy Bezpieczeństwa Sieciowego 38

39 Wyłączenie Small Servers Router(config)# no service tcp-small-servers Router(config)# no service udp-small-servers Austin2(config)# no service tcp-small-servers Austin2(config)# no service udp-small-servers Procesy Bezpieczeństwa Sieciowego 39

40 Wyłączenie usługi konfiguracji Auto-Loading Router(config)# no boot network remote-url Austin4(config)# no boot network tftp://austintftp/tftp/austin4.confg Router(config)# no service config Austin4(config)# no service config Procesy Bezpieczeństwa Sieciowego 40

41 Wyłączenie nieużywanych interfejsów routera Attack host Internet Austin1 e0/0 e0/1 e0/2 Router(config-if)# shutdown Austin1(config)# interface e0/2 Austin1(config-if)# shutdown Procesy Bezpieczeństwa Sieciowego 41

42 Wyłączenie usługi HTTP Router(config)# no ip http server Austin4(config)# no ip http server Procesy Bezpieczeństwa Sieciowego 42

43 Wyłączenie Proxy ARP Router(config-if)# no ip proxy-arp Austin1(config)# interface e0/0 Austin1(config-if)# no ip proxy-arp Procesy Bezpieczeństwa Sieciowego 43

44 Wyłączenie IP Directed Broadcast Router(config-if)# no ip directed-broadcast Austin2(config)# interface e0/1 Austin2(config-if)# no ip directed-broadcast Procesy Bezpieczeństwa Sieciowego 44

45 Wyłączenie IP Mask Replies Router(config-if)# no ip mask-reply Austin2(config)# interface e0/0 Austin2(config-if)# no ip mask-reply Procesy Bezpieczeństwa Sieciowego 45

46 Wyłączenie przekierowania IP (IP Redirects) Router(config-if)# no ip redirect Austin2(config)# interface e0/0 Austin2(config-if)# no ip redirect Procesy Bezpieczeństwa Sieciowego 46

47 Wyłączenie IP Source Routing Router(config)# no ip source-route Austin2(config)# no ip source-route Procesy Bezpieczeństwa Sieciowego 47

48 Wyłączenie nieosiągalnych wiadomości IP Router(config-if)# no ip unreachable Austin2(config)# interface e0/0 Austin2(config-if)# no ip unreachable Procesy Bezpieczeństwa Sieciowego 48

49 Wyłączenie usługi NTP Router(config-if)# ntp disable Austin4(config)# interface e0/0 Austin4(config-if)# ntp disable Procesy Bezpieczeństwa Sieciowego 49

50 Wyłączenie SNMP Austin1(config)# no snmp-server community public ro Austin1(config)# no snmp-server community config rw Austin1(config)# no access-list 60 Austin1(config)# access-list 60 deny any Austin1(config)# snmp-server community dj1973 ro 60 Austin1(config)# no snmp-server enable traps Austin1(config)# no snmp-server system-shutdown Austin1(config)# no snmp-server Procesy Bezpieczeństwa Sieciowego 50

51 Ograniczenie usługi DNS Router(config)# ip name-server server-address1 [server-address2 server-address6] Austin4(config)# ip name-server Router(config)# no ip domain-lookup Austin3(config)# no ip domain-lookup Procesy Bezpieczeństwa Sieciowego 51

52 Procesy Bezpieczeństwa Sieciowego Wykład 3 KONIEC Procesy Bezpieczeństwa Sieciowego 52