Professional Documents
Culture Documents
Lesson Planning
This lesson should take 3-6 hours to present The lesson should include lecture, demonstrations, discussion and assessment The lesson can be taught in person or using remote instruction
Major Concepts
Discuss the aspects of router hardening Configure secure administrative access and router resiliency Configure network devices for monitoring administrative access Demonstrate network monitoring techniques Secure IOS-based Routers using automated features
2009 Cisco Learning Institute.
Lesson Objectives
Upon completion of this lesson, the successful participant will be able to:
1.Describe how to configure a secure network perimeter 2.Demonstrate the configuration of secure router administration access 3.Describe how to enhance the security for virtual logins 4.Describe the steps to configure an SSH daemon for secure remote management 5.Describe the purpose and configuration of administrative privilege levels 6.Configure the role-based CLI access feature to provide hierarchical administrative access
Lesson Objectives
7. Use the Cisco IOS resilient configuration feature to secure the Cisco IOS image and configuration files 8. Describe the factors to consider when securing the data that transmits over the network related to the network management and reporting of device activity 9. Configure syslog for network security 10. Configure SNMP for network security 11. Configure NTP to enable accurate time stamping between all devices 12. Describe the router services, interfaces, and management services that are vulnerable to network attacks and perform a security audit 13. Lock down a router using AutoSecure 14. Lock down a router using SDM
El router borde
Cul es el router de borde?
- El ltimo router entre la red interna y una red insegura, como el Internet.
Perimeter Implementations
Enfoque del Router Individual
- Un solo router conecta la LAN interna a la Internet. Todas las polticas de seguridad son configuradas en este dispositivo.
Router 1 (R1) Internet LAN 1
192.168.2.0
Enfoque DMZ
- La zona desmilitarizada (DMZ) se establece entre dos routers. La mayora de filtrado de trfico es dejado al firewall
R1 Firewall R2 Internet DMZ LAN 1
192.168.2.0
- Guarde una copia del O/S y el archivo de configuracin como una copia de seguridad
Mensajes de Banner
Los banners estn desactivados por defecto y debe habilitarse explcitamente
R1(config)# banner {exec | incoming | login | motd | slip-ppp} d message d
Hay cuatro fichas vlidas para el uso dentro de la seccin de mensajes del comando banner:
- $(hostname)Displays the hostname for the router - $(domain)Displays the domain name for the router - $(line)Displays the vty or tty (asynchronous) line number - $(line-desc)Displays the description that is attached to the line
SSH
version 1, 2
Configuring Router SSH Commands Connecting to Router Using SDM to configure the SSH Daemon
What's the difference between versions 1 and 2 of the SSH protocol?
10
3. Asegrese de que cada uno de los routers objetivos estn utilizando el nombre de dominio correcto de la red.
4. Asegrese de que los routers objetivos estn configurados para la autenticacin local, tengan activos los servicios AAA (autenticacin, autorizacin y contabilidad) para la autenticacin de usuario o contrasea, o ambos. Esto es obligatorio para una conexin router-a-router SSH.
2009 Cisco Learning Institute.
11
12
13
R1# sho ssh Connection Version Mode Encryption Hmac 0 2.0 IN aes128-cbc hmac-sha1 0 2.0 OUT aes128-cbc hmac-sha1 %No SSHv1 server connections running. R1#
14
Using SDM
1. Elegir Configure > Additional Tasks > Router Access > SSH
4. Para configurar SSH en las lineas VTY, elegir Configure > Additional Tasks > Router Access > VTY
2009 Cisco Learning Institute.
3. Introduzca un tamao de mdulo y generar una clave, si no hay una clave configurada
15
Role-Based CLI
Controla cuales comandos estn disponibles para roles especficos. Diferentes vistas de la configuraciones del router creados para diferentes usuarios proporcionando:
- Seguridad: - Define el conjunto de comandos CLI que son accesibles por un usuario en particular mediante el control del acceso del usuario a configurar puertos especficos, interfaces lgicas, y slots en el router - Disponibilidad: Impide la ejecucin accidental de comandos CLI por personal no autorizado - Eficacia Operacional de TI: Los usuarios slo ven los comandos CLI aplicables a los puertos y CLI a los cuales ellos tienen acceso
16
Role-Based Views
Root View
Para configurar cualquier view para el sistema, el administrador debe estar en el Root View. Root View tiene todos los privilegios de acceso de un usuario que tiene privilegios de nivel 15.
CLI View
Un conjunto especfico de comandos pueden ser agrupados en un CLI View. A cada view se debe asignar todos los comandos asociados con ese view y no hay herencia de los comandos desde otros views. Adems, los comandos pueden ser reutilizados en varias views.
Super View
Permite que un administrador de red asigne usuarios y grupos de usuarios a mltiples CLI Views a la vez, en lugar de tener que asignar un nico CLI View por usuario con todos los comandos asociados a ese nico CLI View.
2009 Cisco Learning Institute.
17
Role-Based Views
18
19
View Commands
router# enable [view [view-name]]
view
view-name
Enters view, which enables users to configure CLI views. This keyword is required if you want to configure a CLI view.
(Optional) Enters or exits a specified CLI view. This keyword can be used to switch from one CLI view to another CLI view.
Establece un password para proteger acceso al View El password debe ser creado inmediatamente despus de crear una vista
2009 Cisco Learning Institute.
20
21
22
23
Verifying a View
R1# show parser view No view is active ! Currently in Privilege Level Context R1# R1# enable view Password: *Mar R1# R1# show parser view Current view is 'root' R1# R1# show parser view all Views/SuperViews Present in System: 1 10:38:56.233: %PARSER-6-VIEW_SWITCH: successfully set to view 'root'.
SHOWVIEW
VERIFYVIEW
24
La caracterstica asegura el ms pequeo conjunto de archivos de trabajo para conservar espacio de almacenamiento persistente. No espacio adicional es requerido para asegurar la imagen de archivo IOS primaria.
La funcin detecta automticamente la imagen o el conflicto de versiones de configuracin. Slo el almacenamiento local se utiliza para asegurar los archivos. La funcin puede ser desactivada slo a travs de una sesin de consola.
2009 Cisco Learning Institute.
R1# erase startup-config Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
25
CLI Commands
26
27
3.
4. 5. 6. 7. 8.
28
11. Enter global configuration and type the enable secret command to change the enable secret password.
12. Issue the no shutdown command on every interface to be used. Once enabled, issue a show ip interface brief command. Every interface to be used should display up up. 13. Type config-register configuration_register_setting. The configuration_register_setting is either the value recorded in Step 2 or 0x2102 . 14. Save configuration changes using the copy running-config startup-config command.
29
30
Registro automatizado y notificacin de informacin de dispositivos identificados a hosts de gestin Disponibilidad de aplicaciones y protocolos como SNMP
31
32
Factors to Consider
La gestin en OOB es adecuado para grandes redes empresariales
La gestin In-Band se recomienda en pequeas redes que ofrecen una mejor relacin de costo en el despliegue de seguridad. Sea consciente de las vulnerabilidades de seguridad de la utilizacin de herramientas de administracin remota con las funciones de gestin In-Band.
33
Using Syslog
Implementing Router Logging Syslog Configuring System Logging Enabling Syslog using SDM/CCP
34
35
36
Syslog
Syslog servers: Conocido como hosts de registros, estos sistemas aceptan y procesan los mensajes de registro de los clientes syslog. Syslog Clients: Routers u otros tipos de equipo que generan y transmiten mensajes de registro a servidores syslog. (Syslog servers)
Public Web Server 10.2.2.3 Mail Server 10.2.2.4 Administrator Server 10.2.2.5
Syslog Client
e0/0 10.2.1.1
R3
e0/2 10.2.3.1
e0/1 10.2.2.1
User 10.2.3.3
37
Turn logging on and off using the logging buffered, logging monitor, and logging commands
10.2.2.6 trap informational 2. Establecer el nivel de gravedad (trap) 0 source-interface loopback del registro on 3. Establece el origen de la
4. Activa logging
interfaz
38
2. Clic Edit 3. Check Enable Logging Level y elegir nivel deseado de registro 4. Clic Add, e ingresar la direccin IP del host de registro
5. Clic OK
39
2. See the logging hosts to which the router logs messages 3. Choose the minimum severity level
4. Monitor the messages, update the screen to show the most current log entries, and clear all syslog messages from the router log buffer
2009 Cisco Learning Institute.
40
41
SNMP
Desarrollado para manejar los nodos, tales como servidores, estaciones de trabajo, routers, switches, hubs, y dispositivos de seguridad en una red IP Todas las versiones son protocolos de la Capa de Aplicacin que facilitan el intercambio de informacin de gestin entre los dispositivos de red
42
Community Strings
Una cadena de texto que puede autenticar los mensajes entre una estacin de administracin y un agente SNMP y permitir el acceso a la informacin en el MIB
Proporciona acceso de slo lectura a todos los objetos en la MIB, excepto las cadenas de comunidad. Proporciona acceso de lectura y escritura a todos los objetos en la MIB, excepto las cadenas de comunidad.
43
SNMPv3
NMS
Transmisiones del administrador a un agente puede ser autenticados para garantizar la identidad del remitente y la integridad y puntualidad de un mensaje.
Managed Node
Encrypted Tunnel
Managed Node
Managed Node
NMS
El agente puede hacer cumplir el control de acceso para restringir cada director para determinadas acciones en ciertas partes de sus datos.
Managed Node
44
Security Levels
noauth: Autentica un paquete por la coincidencia de una cadena de caracteres de la cuenta de usuario o comunidad auth: Autentica un paquete utilizando el hash Message Authentication Code (HMAC) con el mtodo Message Digest 5 (MD5) o el mtodo Secure Hash Algorithms (SHA). Priv: Autentica un paquete utilizando los algoritmos HMAC MD5 o SHA HMAC y cifra el paquete utilizando los algoritmos Data Encryption Standard (DES), Triple DES (3DES) o Advanced Encryption Standard (AES).
45
Trap Receivers
1. Clic Edit
2. Clic Add
5. Para editar o eliminar un receptor de trap existente, elegir un receptor de trap de la lista trap receiver y haga clic en Edit o Delete
4. Clic OK
46
Using NTP
Los relojes de los ordenadores y dispositivos de red debe ser mantenidos y sincronizados para que los mensajes de registro estn sincronizados entre s La fecha y hora de la configuracin del router se puede configurar utilizando uno de dos mtodos:
- Editar manualmente la fecha y hora
47
Timekeeping
Obtener la hora del reloj de la Internet significa que los paquetes no seguros son permitidos a travs del cortafuegos Muchos servidores NTP en Internet no requieren de autenticacin de sus pares. A los dispositivos se les da la direccin IP de los NTP masters. En una red configurada con NTP, uno o ms routers son designados como el guardin del reloj maestro (conocido como NTP masters) usando el comando configuracin global ntp master Los clientes NTP se ponen en contacto con master o escuchar los mensajes del maestro para sincronizar sus relojes. Para contactar con el servidor, utilice el comando ntp server ntp-serveraddress . En un entorno LAN, NTP puede ser configurado para usar mensajes de informacin IP broadcast en su lugar, utilizando los comandos ntp broadcast client .
2009 Cisco Learning Institute.
48
Features/Functions
Existen dos mecanismos de seguridad disponibles:
- Un esquema de restriccin basado en ACL. - Un mecanismo de autenticacin encriptado como la ofrecida por la NTP versin 3 o superior.
Aplicar NTP versin 3 o superior. Utilice los siguientes comandos en maestro de los PNT y el cliente NTP.
- ntp authenticate
- ntp authentication key md5 value - ntp trusted-key key-value
49
Enabling NTP
1. Elegir Configure > Additional Tasks > Router Properties > NTP/SNTP 2. Clic Add 3. Aadir un servidor NTP por nombre o por direccin IP 4. Seleccione la interfaz que el router utilizar para comunicarse con el servidor NTP
5. Marque Prefer si este servidor NTP es un servidor preferido (se permite ms de uno) 6. Si se utiliza la autenticacin, marque Authentication Key e introduzca el nmero de la clave, el valor de la clave, y confirmar el valor de la clave. 50
7. Clic OK
Security Practices
Determinar qu dispositivos debe utilizar CDP Para garantizar que un producto es seguro:
- Deshabilitar los servicios e interfaces innecesarias
- Deshabilitar y restringir los servicios comunes de gestin de configuracin, tales como SNMP - Deshabilitar pruebas y exploraciones, como ICMP - Garantizar un acceso a la terminal seguro - Deshabilitar gratuitousy proxy Address Resolution Protocol (ARP) - Desactivar IP-directed broadcast.
51
Realizar Perform Security Audit permitiendo al administrador elegir los cambios de configuracin a implementar.
One-Step Lockdown automticamente hace todas las recomendaciones de cambios de configuracin relacionadas con la seguridad
52
53
Cisco AutoSecure
Iniciado desde el CLI y ejecuta un script. La caracterstica AutoSecure primero hace recomendaciones para arreglar vulnerabilidades de seguridad, a continuacin, modifica la configuracin de seguridad del router. Puede bloquear las funciones de gestin del plane y los servicios de transmisin del plane y las funciones de un router Se utiliza para proporcionar una lnea base de poltica de seguridad en un nuevo router
2009 Cisco Learning Institute.
54
AutoSecure Firewall Secure Forwarding Plane Interactive full session of AutoSecure AutoSecure Login Secure Management Plane Non-interactive session of AutoSecure AutoSecure NTP AutoSecure SSH AutoSecure TCP Intercept
56
Prueba la configuracin del router para cualquier problema potencial de seguridad y realiza automticamente los cambios de configuracin necesarias para corregir los problemas encontrados
57
SNMP est deshabilitado pero no configurar SNMPv3 SSH est activado y configurado con imgenes que soportan esta caracterstica. Secure Copy Protocol (SCP) no est habilitado El inseguro FTP si.
58
59