PBS Wykład 3 1. Podstawy zabezpieczeń routerów mgr inż. Roman Krzeszewski roman@kis.p.lodz.pl mgr inż. Artur Sierszeń asiersz@kis.p.lodz.pl mgr inż. Łukasz Sturgulewski luk@kis.p.lodz.pl Procesy Bezpieczeństwa Sieciowego 1
Cele nauczania Opisanie potrzeby zabezpieczania routerów i przełączników. Wyłączenie niepotrzebnych usług. Zabezpieczenie granic. Zarządzanie routerami. Zabezpieczanie przełączników i dostępu do LAN.
Wprowadzenie Ten wykład skupia się na niektórych narzędziach dostępnych administratorom do zabezpieczania ruchu w sieci. Administratorzy mogą kontrolować dostęp do routera, przełącznika i do sieci przez zarządzanie dostępem poprzez porty konsolowe i terminale, jak również za pomocą haseł, kont i poziomów uprzywilejowania.
Terminy kluczowe Granica (Perimeter) DMZ SSL SSH NAT PAT Zwalczanie (Mitigation) NTP 802.1X IBNS
Ogólne zabezpieczenia routerów
Topologia Pojedynczy graniczny router SOHO Minimalne zabezpieczenie Procesy Bezpieczeństwa Sieciowego 6
Topologia graniczny router i zapora ogniowa Średnie oraz duże przedsiębiorstwa Większe zabezpieczenie Większa elastyczność Procesy Bezpieczeństwa Sieciowego 7
Topologia router graniczny z zintegrowaną zaporą ogniową Małe oraz średnie przedsiębiorstwa Większe zabezpieczenie niż pojedynczy router Lepsza zarządzalność Procesy Bezpieczeństwa Sieciowego 8
Topologia router graniczny, router wewnętrzny i zapora ogniowa Średnie oraz duże przedsiębiorstwa Lepsza ochrona oraz wydajność Lepsze parametry routingu Procesy Bezpieczeństwa Sieciowego 9
Ocena ryzyka instalacji Niskie ryzyko Użytkownicy mobilni PC Wysokieryzyko NAS Firewall Router Switch Servers Procesy Bezpieczeństwa Sieciowego 10
Powszechne zagrożenia dla fizycznej instalacji routerów i przełączników Zagrożenia sprzętowe Zagrożenia środowiskowe Zagrożenia elektryczne Zagrożenia związane z eksploatacją Procesy Bezpieczeństwa Sieciowego 11
Zwalczanie zagrożeń sprzętowych SECURE INTERNET ACCESS COMPUTER ROOM AC HELP DESK Card Reader UPS BAY SVRS LAN WAN Jak planujesz ograniczyć fizyczne uszkodzenia sprzętu? Brak nieautoryzowanego dostępu (zamykanie) Brak dostępu przez sufit Brak dostępu przez podwyższoną podłogę Brak dostępu przez szlaki wentylacyjne Brak dostępu przez okna Loguj wszystkie próby wejścia Kamery zabezpieczające Procesy Bezpieczeństwa Sieciowego 12
Zwalczanie zagrożeń środowiskowych Jak planujesz ograniczyć środowiskowe uszkodzenie sprzętu? Kontrola temperatury Kontrola wilgotności Odpowiedni przepływ powietrza Zdalne alarmowanie o zmianach w środowisku, jak również monitoring Procesy Bezpieczeństwa Sieciowego 13
Zwalczanie zagrożeń elektrycznych Jak planujesz ograniczyć problemy związane z zasilaniem elektrycznym? Zainstaluj systemy UPS Zainstaluj generatory Postępuj według zasad planu prewencyjnego Zainstaluj nadmiarowe zasilanie elektryczne Przeprowadzaj zdalne alarmowanie i monitoring Procesy Bezpieczeństwa Sieciowego 14
Zwalczanie zagrożeń związanych z eksploatacją Jak planujesz ograniczyć zagrożenia związane z eksploatacją? Zachowaj porządek okablowania Oznaczaj najważniejsze okablowanie i komponenty Zachowaj procedury ESD Przechowuj części zapasowe do najważniejszego okablowania i komponentów Kontroluj dostęp do portów konsolowych Procesy Bezpieczeństwa Sieciowego 15
Utrzymanie oprogramowania i konfiguracji Zachowuj zapasowe Konfiguracje Obrazy IOS Sprawdzaj PSIRT w poszukiwaniu słabych punktów http://www.cisco.com/en/us/products/hw/vpndevc/ps2284/p roducts_tech_note09186a0080132a8a.shtml Uaktualniaj obraz w razie potrzeby Śledź wykorzystanie wzorców Procesy Bezpieczeństwa Sieciowego 16
SSH SSH Serwer i Klient TCP Port 22 SSH Klient Procesy Bezpieczeństwa Sieciowego 17
Konfiguracja serwera SSH Router(config)# hostname host-name Router(config)# ip domain-name domain-name.com Router(config)# crypto key generate rsa Router(config)# line vty 0 4 Router(config-line)# transport input ssh Procesy Bezpieczeństwa Sieciowego 18
Kontrola dostępu Port konsolowy TTY VTY Konsola jest terminalem połączonym z portem konsolowym routera. Terminal może być prostym terminalem lub PC z emulatorem softwarowym termianala. Procesy Bezpieczeństwa Sieciowego 19
Hasła Hasła są najważniejszym narzędziem kontrolowania dostępu do routera. Istnieją dwa typy haseł w IOS firmy Cisco: Typ 7 wykorzystuje algorytm szyfrowania firmy CISCO. Typ 5 wykorzystuje haszowanie MD5, które jest silniejsze. Cisco zaleca, aby szyfrowanie typu 5 było wykorzystywane zamiast typu 7, jeżeli to tylko możliwe. Szyfrowanie typu 7 jest stosowane do haseł trybu enable, nazwy użytkownika i hasła linii komend. Powinno używać się polecenia service passwordencryption. Używaj silnych haseł. Konfiguruj kombinację nazwy użytkownika i hasła. Procesy Bezpieczeństwa Sieciowego 20
Zasady tworzenia silnych haseł Unikaj słów słownikowych, imion, numerów telefonów i dat. Włącz do hasła przynajmniej jedną małą i dużą literę, cyfrę i znak alfanumeryczny. Twórz hasła dłuższe niż osiem znaków. Unikaj więcej niż czterech cyfr lub liter tego samego typu pod rząd. Często zmieniaj hasła. Procesy Bezpieczeństwa Sieciowego 21
Zainicjowanie Configuration Dialog --- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no] y Configuring global parameters: Enter host name [Router]: Boston The enable secret is a password used to protect access to privileged EXEC and configuration modes. This password, after entered, becomes encrypted in the configuration. Enter enable secret: CantGessMe The enable password is used when you do not specify an enable secret password, with some older software versions, and some boot images. Enter enable password: WontGessMe The virtual terminal password is used to protect access to the router over a network interface. Enter virtual terminal password: CantGessMeVTY Procesy Bezpieczeństwa Sieciowego 22
Konfiguracja Enable Password przy użyciu enable secret router(config)# enable secret password Szyfruje hasło w pliku konfiguracyjnym routera Używa silnego algorytmu szyfrowania opartego na MD5 Boston(config)# enable secret Curium96 Boston# show running-config! hostname Boston! no logging console enable secret 5 $1$ptCj$vRErS/tehv53JjaqFMzBT/! Procesy Bezpieczeństwa Sieciowego 23
Konfiguracja hasła poziomu użytkownika dla portu konsolowego router(config)# line console line-number Zapoczątkowuje tryb konfiguracji konsoli router(config-line)# login Włącza sprawdzanie hasła przy logowaniu router(config-line)# Password password Ustawia hasło poziomu użytkownika na password Boston(config)# line console 0 Boston(config-line)# login Boston(config-line)# password ConUser1 Procesy Bezpieczeństwa Sieciowego 24
Konfiguracja hasła poziomu użytkownika VTY router(config)# line vty start-line-number end-line-number Zapoczątkowuje tryb konfiguracji VTY Określa zakres linii VTY do skonfigurowania router(config-line)# login Włącza sprawdzanie hasła przy logowaniu do sesji VTY (Telnet) router(config-line)# password password Ustawia hasło poziomu użytkownika na password Boston(config)# line vty 0 4 Boston(config-line)# login Boston(config-line)# password CantGessMeVTY Procesy Bezpieczeństwa Sieciowego 25
Konfiguracja hasła poziomu użytkownika dla portu Auxiliary router(config)# line aux line-number Zapoczątkowuje tryb konfiguracji auxiliary router(config-line)# login Włącza sprawdzanie hasła przy logowaniu do połączeń Aux router(config-line)# password password Ustawia hasło poziomu użytkownika na password Boston(config)# line aux 0 Boston(config-line)# login Boston(config-line)# password NeverGessMeAux Procesy Bezpieczeństwa Sieciowego 26
Szyfrowanie haseł przy użyciu service password-encryption router(config)# service password-encryption Szyfruje wszystkie hasła w pliku konfiguracyjnym routera Boston(config)# service password-encryption Boston# show running-config! line con 0 password 7 0956F57A109A! line vty 0 4 password 7 034A18F366A0! line aux 0 password 7 7A4F5192306A Używa słabego algorytmu szyfrowania, który łatwo można złamać Procesy Bezpieczeństwa Sieciowego 27
Ustawianie limitu czasu dla linii komend routera router(config-line)# exec-timeout minutes [seconds] Domyślnie: 10 minut Przerywa połączenie konsolowe Zapewnia dodatkowe bezpieczeństwo, gdy administrator odejdzie od aktywnej sesji konsolowej Boston(config)# line console 0 Boston(config-line)#exec-timeout 3 30 Boston(config)# line aux 0 Boston(config-line)#exec-timeout 3 30 Przerywa połączenie konsolowe/auxiliary po 3 minutach i 30 sekundach Procesy Bezpieczeństwa Sieciowego 28
Ustawianie różnych poziomów uprzywilejowania router(config)# privilege mode {level level command reset command} Level 1 jest predefiniowany jako poziom dostępu użytkownika Level 2 14 mogą być dostosowywane do trybów uprzywilejowania użytkowników Level 15 jest predefiniowany dla trybu enable Boston(config)# privilege exec level 2 ping Boston(config)# enable secret level 2 Patriot Procesy Bezpieczeństwa Sieciowego 29
Banner powitalny Bannery powinny być używane na wszystkich urządzeniach sieciowych Banner powinien zawierać Informację, że do systemu może zalogować się jedynie autoryzowany personel i informację, kto może dać taką autoryzację. Informację, że każde nieautoryzowane wejście do systemu jest łamaniem prawa i może podlegać pod kodeksy prawa cywilnego lub karnego, lub obu. Informację, że każde wejście do systemu może być monitorowane bez dalszych ostrzeżeń, a uzyskane w ten sposób logi mogą być wykorzystane jako dowody w postępowaniu prawnym. Dodatkowe informacje wymagane przez szczegółowe prawa lokalne. Banner powitalny nie powinien zawierać żadnych szczegółowych informacji na temat specyfikacji routera, oprogramowania i ich przynależności. Procesy Bezpieczeństwa Sieciowego 30
Konfiguracja komunikatu wiadomości router(config)# banner {exec incoming login motd slip-ppp} d message d Poinformuj, jakie jest właściwe zastosowanie systemu Poinformuj, że system jest monitorowany Poinformuj, że użytkowanie systemu nie podlega zasadzie prywatności Nie używaj słowa welcome Skonsultuj treść komunikatu z prawnikiem Boston(config)# banner motd # WARNING: You are connected to $(hostname) on the Cisco Systems, Incorporated network. Unauthorized access and use of this network will be vigorously prosecuted. # Procesy Bezpieczeństwa Sieciowego 31
NAT - Network Address Translation Translacja statyczna Translacja dynamiczna Przeładowanie lub Port Address Translation (PAT) Procesy Bezpieczeństwa Sieciowego 32
Usługi bezpieczeństwa routera
Usługi sieciowe IOS Bootp server Cisco Discovery Protocol (CDP) Classless Routing Behavior Configuration auto-loading DNS Finger HTTP server IP directed broadcast IP mask reply IP redirects IP source routing IP unreachable notifications NTP service Proxy ARP SNMP TCP small servers UDP small servers Procesy Bezpieczeństwa Sieciowego 34
Wyłączanie Bootp Server Router(config)# no ip bootp server Globalne wyłączanie Bootp service na tym routerze. Austin1(config)# no ip bootp server Procesy Bezpieczeństwa Sieciowego 35
Wyłączanie usługi Finger Router(config)# no ip finger Austin4(config)# no ip finger Austin4(config)# no service finger Austin4(config)# exit Austin4# connect 16.1.1.15 finger Trying 16.1.1.15, 79... % Connection refused by remote host Procesy Bezpieczeństwa Sieciowego 36
Wyłączanie CDP Server Router(config)# no cdp run Globalne wyłączenie usług CDP na tym routerze. Austin4(config)# no cdp run Procesy Bezpieczeństwa Sieciowego 37
Wyłączenie usługi IP Classless Routing Router(config)# no ip classless Globalne wyłączenie usługi IP classless routing service na tym routerze. Austin4(config)# no ip classless Procesy Bezpieczeństwa Sieciowego 38
Wyłączenie Small Servers Router(config)# no service tcp-small-servers Router(config)# no service udp-small-servers Austin2(config)# no service tcp-small-servers Austin2(config)# no service udp-small-servers Procesy Bezpieczeństwa Sieciowego 39
Wyłączenie usługi konfiguracji Auto-Loading Router(config)# no boot network remote-url Austin4(config)# no boot network tftp://austintftp/tftp/austin4.confg Router(config)# no service config Austin4(config)# no service config Procesy Bezpieczeństwa Sieciowego 40
Wyłączenie nieużywanych interfejsów routera Attack host Internet Austin1 e0/0 e0/1 e0/2 Router(config-if)# shutdown Austin1(config)# interface e0/2 Austin1(config-if)# shutdown Procesy Bezpieczeństwa Sieciowego 41
Wyłączenie usługi HTTP Router(config)# no ip http server Austin4(config)# no ip http server Procesy Bezpieczeństwa Sieciowego 42
Wyłączenie Proxy ARP Router(config-if)# no ip proxy-arp Austin1(config)# interface e0/0 Austin1(config-if)# no ip proxy-arp Procesy Bezpieczeństwa Sieciowego 43
Wyłączenie IP Directed Broadcast Router(config-if)# no ip directed-broadcast Austin2(config)# interface e0/1 Austin2(config-if)# no ip directed-broadcast Procesy Bezpieczeństwa Sieciowego 44
Wyłączenie IP Mask Replies Router(config-if)# no ip mask-reply Austin2(config)# interface e0/0 Austin2(config-if)# no ip mask-reply Procesy Bezpieczeństwa Sieciowego 45
Wyłączenie przekierowania IP (IP Redirects) Router(config-if)# no ip redirect Austin2(config)# interface e0/0 Austin2(config-if)# no ip redirect Procesy Bezpieczeństwa Sieciowego 46
Wyłączenie IP Source Routing Router(config)# no ip source-route Austin2(config)# no ip source-route Procesy Bezpieczeństwa Sieciowego 47
Wyłączenie nieosiągalnych wiadomości IP Router(config-if)# no ip unreachable Austin2(config)# interface e0/0 Austin2(config-if)# no ip unreachable Procesy Bezpieczeństwa Sieciowego 48
Wyłączenie usługi NTP Router(config-if)# ntp disable Austin4(config)# interface e0/0 Austin4(config-if)# ntp disable Procesy Bezpieczeństwa Sieciowego 49
Wyłączenie SNMP Austin1(config)# no snmp-server community public ro Austin1(config)# no snmp-server community config rw Austin1(config)# no access-list 60 Austin1(config)# access-list 60 deny any Austin1(config)# snmp-server community dj1973 ro 60 Austin1(config)# no snmp-server enable traps Austin1(config)# no snmp-server system-shutdown Austin1(config)# no snmp-server Procesy Bezpieczeństwa Sieciowego 50
Ograniczenie usługi DNS Router(config)# ip name-server server-address1 [server-address2 server-address6] Austin4(config)# ip name-server 16.1.1.20 Router(config)# no ip domain-lookup Austin3(config)# no ip domain-lookup Procesy Bezpieczeństwa Sieciowego 51
Procesy Bezpieczeństwa Sieciowego Wykład 3 KONIEC Procesy Bezpieczeństwa Sieciowego 52