Протокол IP : Сервисы IP-адресации

Руководство Cisco по усилению защиты устройств Cisco IOS

28 июля 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (3 апреля 2008) | Английский (7 июня 2011) | Отзыв


Содержание


Введение

Этот документ содержит информацию, чтобы помочь вам защищать свои системные устройства Cisco IOS®, который увеличивает общую безопасность вашей сети. Структурированный вокруг этих трех плоскостей, в которые могут быть категоризированы функции сетевого устройства, этот документ предоставляет обзор каждой включенной функции и ссылок на связанную документацию.

Три функциональных плоскости сети, панели управления, уровня управления, и плоскости данных, каждый предоставляет другую функциональность, которая должна быть защищена.

  • Панель управления — панель управления управляет трафиком, который передается устройству Cisco IOS и составлен из приложений и протоколов, таких как SSH и SNMP.

  • Уровень управления — уровень управления сетевого устройства обрабатывает трафик, который является главным к поддержанию функциональности инфраструктуры сети. Уровень управления состоит из приложений и протоколов между сетевыми устройствами, который включает Border Gateway Protocol (BGP), а также Протоколы внутреннего шлюза (IGP), такие как Enhanced Interior Gateway Routing Protocol (EIGRP) и Open Shortest Path First (OSPF).

  • Плоскость данных — плоскость данных передает данные через сетевое устройство. Плоскость данных не включает трафик, который передается устройству IOS локального Cisco.

Покрытие характеристик защиты в этом документе часто предоставляет достаточно подробности для вас для настройки функции. Однако в случаях, где это не делает, функция объяснена таким способом, которым можно оценить, требуется ли дополнительное внимание к функции. Где только возможно и соответствующий, этот документ содержит рекомендации, что, если внедрено, справка защищает сеть.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе "Условное обозначение технических терминов Cisco". Некоторые примеры командной строки в этом документе обернуты для улучшения удобочитаемости.

Безопасные операции

Безопасные функционирования сети являются существенной темой. Несмотря на то, что большая часть этого документа посвящена безопасной конфигурации устройства Cisco IOS, одни только конфигурации не делают абсолютно безопасный сеть. Рабочие процедуры в использовании в сети способствуют так же безопасности как конфигурация базовых устройств.

Эти темы содержат в рабочем состоянии рекомендации, которые вам советуют внедрить. Эти темы выделяют определенные критические области функционирований сети и не являются всесторонними.

Cisco Security монитора информационные сообщения и ответы

Команда расследования инцидента, связанного с безопасностью продукта Cisco (PSIRT) создает и поддерживает публикации, обычно называемые Информационными сообщениями PSIRT, для связанных с безопасностью проблем в продуктах Cisco. Метод, используемый для связи менее серьезных проблем, является Cisco Security Ответ. Рекомендации по вопросам безопасности и ответы доступны в http://www.cisco.com/go/psirt.

Дополнительные сведения об этих механизмах связи доступны в Политике Уязвимости Cisco Security.

Чтобы поддержать безопасную сеть, необходимо знать о рекомендациях по вопросам безопасности Cisco и ответах, которые были освобождены. У вас должно быть знание уязвимости перед угрозой, которую оно может представить сети, может быть оценен. Отнеситесь для Риска Медицинской сортировкой для Объявлений Уязвимости защиты для помощи этот процесс оценки.

Аутентификация, авторизация и учет левереджа

Аутентификация, авторизация и учет (AAA) платформа жизненно важна для обеспечения сетевых устройств. Платформа AAA предоставляет аутентификацию сеансов управления и может также ограничить пользователей определенными, определенными администраторами командами и регистрировать все команды, введенные всеми пользователями. См. Использование раздела Аутентификации, авторизации и учета этого документа для получения дополнительной информации об усилении AAA.

Централизуйте регистрационный набор и мониторинг

Чтобы получить общие сведения существующих, появления, и исторических событий, отнесенных к случаям нарушения защиты, ваша организация должна иметь унифицированную стратегию регистрации событий и корреляции. Эта стратегия должна усилить регистрацию от всех сетевых устройств и использование предварительно упакованные и настраиваемые возможности корреляции.

После того, как централизовано регистрация внедрена, необходимо разработать структурированный подход для регистрации анализа и инцидентного отслеживания. На основе потребностей вашей организации этот подход может колебаться от простого прилежного анализа данных журнала к усовершенствованному основанному на правилах анализу.

См. раздел Оптимальных методов Регистрации этого документа для получения дополнительной информации о том, как внедрить входящий в систему устройства Cisco IOS network.

Используйте безопасные протоколы когда возможный

Много протоколов используются, чтобы перенести чувствительные данные управления сетью. Необходимо использовать безопасные протоколы когда бы ни было возможно. Безопасный выбор протокола включает использование SSH вместо Telnet так, чтобы были зашифрованы и данные проверки подлинности и данные для управления. Кроме того, необходимо использовать безопасные протоколы передачи файлов при копировании данных о конфигурации. Примером является использование Безопасного протокола копирования (SCP) вместо FTP или TFTP.

См. Защищающий Интерактивный раздел Сеансов управления этого документа для получения дополнительной информации о безопасном управлении устройствами Cisco IOS.

Видимость трафика усиления с NetFlow

NetFlow включает вас контролировать трафики в сети. Первоначально предназначенный для экспорта информации о потоке данных в приложения для управления сетью NetFlow может также использоваться, чтобы показать сведения о потоках на маршрутизаторе. Эта возможность позволяет вам видеть, какой трафик пересекает сеть в режиме реального времени. Независимо от того, экспортируются ли сведения о потоках в удаленный коллектор, вам советуют настроить сетевые устройства для NetFlow так, чтобы это могло использоваться переактивно при необходимости.

Дополнительные сведения об этой функции доступны в разделе Идентификации и Обратной трассировки Трафика этого документа и в http://www.cisco.com/en/US/products/ps6601/products_ios_protocol_group_home.html (только зарегистрированные клиенты).

Управление конфигурацией

Управление конфигурацией является процессом, которым изменения конфигурации предложены, рассмотрены, утверждены, и развернуты. В контексте конфигурации устройства Cisco IOS два дополнительных аспекта управления конфигурацией важны: архивация конфигурации и безопасность.

Можно использовать архивные конфигурации для отката, изменяется, которые сделаны к сетевым устройствам. В контексте безопасности могут также использоваться архивные конфигурации, чтобы определить, какие изменения безопасности были сделаны и когда произошли эти замены. В сочетании с данными журнала AAA эта информация может помочь в аудите безопасности сетевых устройств.

Конфигурация устройства Cisco IOS содержит много чувствительных подробных данных. Имена пользователей, пароли, и содержание списков управления доступом (ACL) являются примерами этого типа информации. Репозитарий, который вы используете, чтобы заархивировать конфигурации устройства Cisco IOS, должен быть защищен. Опасный доступ к этой информации может подорвать безопасность всей сети.

Панель управления

Панель управления состоит из функций, которые достигают целей управления сети. Это включает интерактивные сеансы управления используя SSH, а также сбор статистики с SNMP или NetFlow. Когда вы рассматриваете безопасность сетевого устройства, важно, что защищена панель управления. Если случай нарушения защиты в состоянии подорвать функции панели управления, для вас может быть невозможно восстановить или стабилизировать сеть.

Эти разделы этого документа детализируют характеристики защиты и конфигурации, доступные в программном обеспечении Cisco IOS, что справка укрепляет панель управления.

Укрепление плоскости общего управления

Панель управления используется, чтобы обратиться, настроить, и управлять устройством, а также контролировать его операции и сеть, в которой она развернута. Панель управления является плоскостью, которая получает и передает трафик за операциями этих функций. Необходимо защитить и панель управления и уровень управления устройства, поскольку операции уровня управления непосредственно влияют на операции панели управления. Этот список протоколов используется панелью управления:

  • Simple Network Management Protocol

  • Telnet

  • Протокол "Безопасной оболочки"

  • Протокол передачи файлов

  • Trivial File Transfer Protocol

  • Безопасный протокол копирования

  • TACACS +

  • RADIUS

  • NetFlow

  • Протокол NTP (Network Time Protocol, протокол сетевого времени)

  • Syslog

Шаги должны быть предприняты для гарантирования выживания управления и уровней управления во время случаев нарушения защиты. Если одна из этих плоскостей успешно использована, все плоскости могут поставиться под угрозу.

Управление паролями

Пароли управляют доступом к ресурсам или устройствам. Это выполнено через определение пароль или тайна, которая используется, чтобы подтвердить подлинность, запрашивает. Когда запрос получен для доступа к ресурсу или устройству, запросу бросают вызов для проверки пароля и идентичности, и доступ может быть предоставлен, запрещен, или ограничен на основе результата. Как оптимальный метод безопасности, паролями нужно управлять с TACACS + или Сервер проверки подлинности RADIUS. Однако обратите внимание, что локально настроенный пароль для привилегированного адреса все еще быть необходимым в случае сбоя TACACS + или Службы RADIUS. Устройство может также иметь другие сведения о пароле, существующие в его конфигурации, такой как ключ NTP, Строка имени и пароля SNMP, или ключ Протокола маршрутизации.

Команда enable secret используется, чтобы установить пароль, который предоставляет привилегированный административный доступ системе Cisco IOS. Команда enable secret должна использоваться, а не более старая команда enable password. Команда enable password использует слабый алгоритм шифрования.

Если никакой enable secret не установлен, и пароль настроен для консольной линии tty, пароль консоли может использоваться, чтобы получить привилегированный адрес, даже от удаленного действительного tty (VTY) сеанс. Это действие почти наверняка нежелательно и является другой причиной гарантировать конфигурацию enable secret.

Команда глобальной кофигурации шифрования служебного пароля направляет программное обеспечение Cisco IOS для шифрования паролей, тайн Протокола аутентификации по квитированию вызова (CHAP), и подобных данных, которые сохранены в его файле конфигурации. Такое шифрование полезно, чтобы препятствовать тому, чтобы случайные наблюдатели читали пароли, такой как тогда, когда они посмотрели на экран по осмотру администратора. При этом команда service password-encryption использует для шифрования алгоритм Виженера (Vigenere cipher). Алгоритм не разработан для защиты файлов конфигурации против серьезного анализа даже немного сложными атакующими и не должен использоваться для этой цели. Любой Файл конфигурации Cisco IOS, который содержит зашифрованные пароли, должен быть обработан с той же заботой, которая используется для незашифрованного списка тех тех же паролей.

В то время как этот слабый алгоритм шифрования не используется командой enable secret, он используется командой глобальной кофигурации enable password, а также командой конфигурации с командной строки пароля. Пароли этого типа должны быть устранены и команда enable secret, или Улучшенная функция Защиты паролей должна быть использована.

Команда enable secret и Улучшенная функция Защиты паролей используют Профиль сообщения 5 (MD5) для крошащего пароля. Этот алгоритм имел значительную общественную оценку и, как известно, не обратим. Однако алгоритм подвергается подборам пароля по словарю. В подборе пароля по словарю атакующий пробует каждое слово в словаре или другом списке паролей кандидата, чтобы найти соответствие. Поэтому, файлы конфигурации должны быть надежно сохранены и только разделены с частными лицами, которым доверяют.

Улучшенная защита паролей

Функция Улучшенная Защита паролей, представленная в Cisco IOS Software Release 12.2 (8) T, позволяет администратору настраивать MD5, крошащий из паролей для команды имени пользователя. До этой функции было два типа паролей: Введите 0, который является нешифрованным паролем, и Типом 7, который использует алгоритм от шифра Vigenère. Улучшенная функция Защиты паролей не может быть использована с протоколами, которые требуют, чтобы нешифрованный пароль был восстановим, таков как CHAP.

Чтобы зашифровать пароль пользователя с крошащим MD5, выполните команду глобальной кофигурации username secret.


!

username <name> secret <password>

!

Сошлитесь на Улучшенную Защиту паролей для получения дополнительной информации об этой функции.

Локаут повторной попытки пароля для входа

Опция Локаута Повторной попытки Пароля для входа, добавленная в Cisco IOS Software Release 12.3 (14) T, позволяет вам запирать учетную запись локального пользователя после настроенного номера неуспешных попыток входа. Как только пользователь заперт, их учетная запись блокирована, пока вы не разблокировали ее. Авторизованный пользователь, который настроен с уровнем привилегий 15, не может быть заперт с этой функцией. Количество пользователей с уровнем привилегий 15 должно быть сведено к минимуму.

Если количество неуспешных попыток входа достигнуто, Обратите внимание на то, что авторизованные пользователи могут блокировать их из устройства. Дополнительно, злонамеренный пользователь может создать условие отказа в обслуживании (DoS) с повторными попытками подтвердить подлинность с допустимым именем пользователя.

Данный пример показывает, как активировать опцию Локаута Повторной попытки Пароля для входа:


!

aaa new-model
aaa local authentication attempts max-fail <max-attempts>
aaa authentication login default local

!

username <name> secret <password>

!

Эта функция также применена к методам аутентификации, таким как CHAP и Протокол проверки пароля (PAP).

Обратитесь к Локауту Повторной попытки Пароля для входа для получения дополнительной информации об этой функции.

Password-Recovery No Service

В Cisco IOS Software Release 12.3 (14) T и позже, функция Password-Recovery No Service не позволяет никому с консольным доступом неуверенно обращаться к конфигурации устройства и очищать пароль. Это также не позволяет злонамеренным пользователям изменять NVRAM доступа и значение регистра конфигурации.


!

no service password-recovery

!

Программное обеспечение Cisco IOS предоставляет процедуру восстановления пароля, которая полагается на доступ к РЕЖИМУ ROMMON используя Ключ прерывания во время запуска системы. В РЕЖИМЕ ROMMON программное обеспечение устройства может быть повторно загружено для побуждения новой конфигурации системы, которая включает новый пароль.

Процедура восстановления текущего пароля включает любого с консольным доступом обратиться к устройству и его сети. Функция Password-Recovery No Service предотвращает завершение Последовательности нажатий клавиш для прерывания и ввод РЕЖИМА ROMMON во время запуска системы.

Если password-recovery no service включен на устройстве, рекомендуется, чтобы офлайновая копия конфигурации устройства была сохранена и что внедрено решение для архивирования конфигурации. Если необходимо восстановить пароль устройства Cisco IOS, как только эта опция активирована, полная конфигурация удалена.

Обратитесь к Password-Recovery No Service и Защитите Пример конфигурации ROMMON для получения дополнительной информации об этой функции.

Disable Unused Services

Как оптимальный метод безопасности, должна быть отключена любая ненужная служба. Эти ненужные службы, особенно те, которые используют UDP (Протокол датаграммы пользователя), нечасто используются для обоснованных целей, но могут использоваться, чтобы запустить DoS и другие атаки, которые в противном случае предотвращены фильтрацией пакетов.

TCP и UDP маленькие службы должны быть отключены. Эти службы включают:

  • эхо (номер порта 7)

  • сброс (номер порта 9)

  • дневное время (номер порта 13)

  • chargen (номер порта 19)

Несмотря на то, что злоупотребления маленькими службами можно избежать или сделано менее опасного списками доступа с функцией антиспуфинга, службы должны быть отключены на любом устройстве, доступном в сети. В Cisco IOS начиная с версии 12.0 и выше все малые службы отключены по умолчанию. В более ранних версиях ПО могут быть выполнены маленькие серверы tcp no service и команды глобальной кофигурации маленьких серверов udp no service, чтобы отключить их.

Это - список дополнительных служб, которые должны быть отключены если не в использовании:

  • Не выполните команду глобальной кофигурации ip finger, чтобы отключить Службу Finger. Cisco IOS Software Release позже, чем 12.1 (5) и 12.1 (5) T отключают эту службу по умолчанию.

  • Выполните команду глобальной кофигурации no ip bootp server, чтобы отключить Протокол начального загрузки (BOOTP).

  • В Cisco IOS Software Release 12.2 (8) T и позднее, выполняют команда ip dhcp bootp ignore в режиме глобальной конфигурации, чтобы отключить BOOTP. Это оставляет службы Протокола DHCP (динамического конфигурирования узла) включенными.

  • Если службы ретрансляции DHCP не требуются, службы DHCP могут быть отключены. Дайте команду no service dhcp в режиме глобальной конфигурации.

  • Не выполните команду mop enabled в режиме конфигурации интерфейса, чтобы отключить службу Протокола отладки (MOP).

  • Выполните команду глобальной кофигурации no ip domain lookup, чтобы отключить службы разрешения Системы имен домена (DNS).

  • Дайте команду no service pad в режиме глобальной конфигурации, чтобы отключить службу Компоновщик/декомпоновщика пакетов (PAD), которая используется для сетей X.25.

  • Сервер HTTP может быть отключен с командой no ip http server в режиме глобальной конфигурации, и Безопасным HTTP (HTTPS), сервер может быть отключен с командой глобальной кофигурации no ip http secure-server.

  • Если устройства Cisco IOS не получают конфигурации от сети во время запуска, команда глобальной кофигурации no service config должна использоваться. Это препятствует тому, чтобы устройство Cisco IOS пыталось определить местоположение файла конфигурации в сети использование TFTP.

  • Протокол Cisco Discovery (CDP) является сетевым протоколом, который используется, чтобы обнаружить другие устройства с поддержкой CDP для соседства и топологии сети. CDP может использоваться Системами управления сетью (NMS) или во время устранения неисправностей. CDP должен быть отключен на всех интерфейсах, которые связаны с сетями без доверия. Это не выполнено ни с какой командой интерфейса cdp enable. Альтернативно, CDP не может быть отключен глобально ни с какой командой глобальной кофигурации cdp run. Обратите внимание на то, что CDP может использоваться злонамеренным пользователем для сопоставления сети и разведки.

  • Протокол обнаружения уровня соединения (LLDP) является протоколом IEEE, который определен в 802.1AB. LLDP подобен CDP. Однако этот протокол позволяет взаимодействие между другими устройствами, которые не поддерживают CDP. LLDP должен быть обработан таким же образом как CDP и отключен на всех интерфейсах, которые соединяются с сетями без доверия. Чтобы выполнить это, не выполните передачу lldp, и никакой lldp не получает команды настройки интерфейса. Выйдите никакой lldp не выполняет команду глобальной кофигурации, чтобы отключить LLDP глобально. LLDP может также использоваться злонамеренным пользователем для сопоставления сети и разведки.

Таймаут EXEC

Чтобы установить интервал, что интерпретатор команд EXEC ждет ввода пользователя прежде, чем это завершит сеанс, дайте команду конфигурации с командной строки exec-timeout. Команда exec-timeout должна использоваться, чтобы к сеансам выхода из системы на VTY или линиях tty, которые оставляют простаивающими. По умолчанию сеансы разъединены после 10 минут бездействия.


!

line con 0
 exec-timeout <minutes> [seconds]
line vty 0 4
 exec-timeout <minutes> [seconds]

!

Сообщения поддержки активности для сеансов TCP

Служба tcp-keepalive-in и служба tcp-keepalive-out команды глобальной кофигурации включают устройство передать TCP keepalife за сеансами TCP. Эта конфигурация должна использоваться, чтобы включить TCP keepalife на входящих подключениях к устройству и исходящих соединениях от устройства. Это гарантирует, что устройство на удаленном конце соединения все еще доступно и что полуоткрытые или осиротевшие соединения удалены из устройства IOS локального Cisco.


!

service tcp-keepalive-in
service tcp-keepalive-out

!

Использование интерфейсов управления

К панели управления устройства обращаются внутриполосная или внеполосная на медосмотре или Logical Management Interface. Идеально, и внутриполосный доступ и доступ управления при нестандартном подключении существуют для каждого сетевого устройства так, чтобы к панели управления можно было обратиться во время выходов сети из строя.

Один из наиболее распространенных интерфейсов, который используется для внутриполосного доступа к устройству, является логическим интерфейсом обратной связи. Интерфейсы обратной связи всегда, тогда как физические интерфейсы могут изменить состояние, и интерфейс не может потенциально быть доступным. Рекомендуется добавить интерфейс обратной связи к каждому устройству как интерфейс управления и что это используется исключительно для панели управления. Это позволяет администратору применять политику всюду по сети для панели управления. Как только интерфейс обратной связи настроен на устройстве, он может использоваться протоколами панели управления, такими как SSH, SNMP, и syslog, чтобы передать и получить трафик.

Пороговые уведомления памяти

Пороговое Уведомление Памяти функции, добавленное в Cisco IOS Software Release 12.3 (4) T, позволяет вам смягчать нехватки памяти на устройстве. Эта функция использует два метода для выполнения этого: Пороговое Уведомление Памяти и Резервирование Памяти.

Пороговое Уведомление памяти генерирует сообщение журнала, чтобы указать, что доступная память на устройстве упала ниже, чем настроенный порог. Этот пример конфигурации показывает, как активировать эту опцию с командой глобальной кофигурации memory free low-watermark. Это включает устройство генерировать уведомление, когда доступная доступная память падает ниже, чем заданная пороговая величина, и снова когда доступная доступная память повышается к на пять процентов более высокому, чем заданная пороговая величина.


!

memory free low-watermark processor <threshold>
memory free low-watermark io <threshold>

!

Резервирование памяти используется так, чтобы достаточно памяти были доступны для важных уведомлений. Этот пример конфигурации демонстрирует, как активировать эту опцию. Это гарантирует, что процессы управления продолжают функционировать, когда исчерпана память об устройстве.


!

memory reserve critical <value>

!

Сошлитесь на Пороговые Уведомления Памяти для получения дополнительной информации об этой функции.

Уведомление пороговой обработки ЦПУ

Когда Загрузка ЦПУ на устройстве пересекает настроенный порог, представленный в Cisco IOS Software Release 12.3 (4) T, функция Уведомления Пороговой обработки ЦПУ позволяет вам обнаруживать и уведомляться. Когда порог скрещен, устройство генерирует и передает сообщение прерывания SNMP. Два метода пороговой обработки загрузки ЦПУ поддерживаются на программном обеспечении Cisco IOS: Верхний порог и Нижний порог.

Конфигурация данного примера показывает, как включить Повышение и Нижние пороги, которые вызывают сообщение с уведомлением порогового значения ЦПУ:


!

snmp-server enable traps cpu threshold

!

snmp-server host <host-address> <community-string> cpu 

!

process cpu threshold type <type> rising <percentage> interval <seconds> 
     [falling <percentage> interval <seconds>]
process cpu statistics limit entry-percentage <number> [size <seconds>]

!

Сошлитесь на Уведомление Пороговой обработки ЦПУ для получения дополнительной информации об этой функции.

Резервная память для консольного доступа

В Cisco IOS Software Release 12.4 (15) T и позже, может использоваться Резервная Память для функции Консольного доступа, чтобы резервировать достаточно памяти для гарантирования консольного доступа устройству Cisco IOS для административного и целей устранения неполадок. Когда устройство испытывает нехватку памяти, эта функция особенно выгодна. Можно выполнить резерв памяти консольная команда глобальной кофигурации, чтобы активировать эту опцию. Данный пример настраивает устройство Cisco IOS для сохранения 4096 килобайтов для этой цели.


!

memory reserve console 4096

!

Отнеситесь для Сохранения Памяти для Консольного доступа для получения дополнительной информации об этой функции.

Детектор утечек памяти

Представленный в Cisco IOS Software Release 12.3 (8) T1, функция Детектора Утечки памяти позволяет вам обнаруживать утечки памяти на устройстве. Детектор Утечки памяти в состоянии найти утечки во всех пулах памяти, буферах пакетов, и блоках. Утечки памяти являются статическими или динамическими распределениями памяти, которые не служат любой полезной цели. Эта функция фокусируется на распределениях памяти, которые являются динамичными. Можно использовать команду EXEC show memory debug leaks, чтобы обнаружить, если существует утечка памяти.

Обратитесь к Детектору Утечки памяти для получения дополнительной информации об этой функции.

Переполнение буфера Обнаружение и исправление повреждения Redzone

В Cisco IOS Software Release 12.3 (7) T и позже, Переполнение буфера: Обнаружением и исправлением функции Повреждения Redzone можно включить на устройстве, чтобы обнаружить и исправить переполнение блока памяти и продолжать операции.

Эти команды глобальной кофигурации могут использоваться, чтобы активировать эту опцию. После того, как настроенный, команда переполнения show memory может использоваться, чтобы отобразить статистику обнаружения и исправления переполнения буфера.


!

exception memory ignore overflow io
exception memory ignore overflow processor

!

Обратитесь к Переполнению буфера: Обнаружение и исправление Повреждения Redzone для получения дополнительной информации об этой функции.

Улучшенный набор файла crashinfo

Улучшенная функция Набора Файла crashinfo автоматически удаляет старые файлы crashinfo. Когда устройство завершается катастрофическим отказом, эта опция, добавленная в Cisco IOS Software Release 12.3 (11) T, позволяет устройству предъявлять претензии в отношении пространства для создания новых файлов crashinfo. Эта функция также позволяет конфигурации количества файлов crashinfo быть сохраненной.


!

exception crashinfo maximum files <number-of-files>

!

Обратитесь к Улучшенному Набору Файла crashinfo для получения дополнительной информации об этой функции.

Протокол NTP (Network Time Protocol, протокол сетевого времени)

Протокол сетевого времени (NTP) не является особенно опасной службой, но любая ненужная служба может представлять вектор атаки. Если NTP используется, важно явно настроить источник времени, которому доверяют, и использовать правильную проверку подлинности. Точное и надежное время требуется в целях системного журнала, такой как во время судебных исследований потенциальных атак, а также для успешной возможности VPN - подключения когда в зависимости от сертификатов для аутентификации Фазы 1.

  • Часовой пояс NTP — При настройке NTP, часовой пояс должен быть настроен так, чтобы могли быть точно коррелированы метки времени. Обычно существует два подхода к настройке часового пояса для устройств в сети с глобальным присутствием. Один метод должен настроить все сетевые устройства с Согласованным текущим временем (UTC) (ранее Время по Гринвичу (GMT)). Другой подход должен настроить сетевые устройства с местным часовым поясом. Дополнительные сведения об этой функции могут быть найдены в "часовом поясе" в Документации продукта Cisco.

  • Аутентификация NTP — Аутентификация NTP Настройки предоставляет обеспечение, что сообщениями NTP обмениваются между Ntp peer, которому доверяют. Обратитесь к ntp authenticate и ntp authentication-key для получения дополнительной информации о том, как настроить Аутентификацию NTP.

Ограничение доступа к сети с ACL инфраструктуры

Разработанный для предотвращения неавторизованного прямого соединения к сетевым устройствам списки управления доступом (ACL) инфраструктуры (iACLs) являются одним из самых важных управлений безопасностью, которые могут быть внедрены в сетях. ACL инфраструктуры усиливают идею, что почти весь сетевой трафик пересекает сеть и не предназначен к сети непосредственно.

iACL создан и применен для задавания соединений от хостов или сетей, которые должны быть позволены сетевым устройствам. Общие примеры этих типов соединений являются eBGP, SSH, и SNMP. После того, как требуемые соединения были разрешены, весь другой трафик к инфраструктуре явно запрещен. Весь транзитный трафик, который пересекает сеть и не предназначен к устройствам, относящимся к инфраструктуре, тогда явно разрешен.

Защиты, обеспеченные iACLs, относятся к управлению и для уровням управления. Реализация iACLs может быть сделана проще с помощью отдельной адресации для устройств инфраструктуры сети. Обратитесь к Безопасности Ориентируемый Подход к IP - адресации для получения дополнительной информации о последствиях для системы безопасности IP - адресации.

Данный пример iACL конфигурация иллюстрирует структуру, которая должна использоваться как отправная точка, когда вы начинаете iACL процесс внедрения:


!

ip access-list extended ACL-INFRASTRUCTURE-IN

!
!--- Permit required connections for routing protocols and
!--- network management
!

 permit tcp host <trusted-ebgp-peer> host <local-ebgp-address> eq 179
 permit tcp host <trusted-ebgp-peer> eq 179 host <local-ebgp-address>
 permit tcp host <trusted-management-stations> any eq 22
 permit udp host <trusted-netmgmt-servers> any eq 161

!
!--- Deny all other IP traffic to any network device
!

 deny ip any <infrastructure-address-space> <mask>

!
!--- Permit transit traffic
!

 permit ip any any

!

После того, как созданный, iACL должен быть применен ко всем интерфейсам та поверхность неустройства, относящиеся к инфраструктуре. Это включает интерфейсы, которые соединяются с другими организациями, сегментами удаленного доступа, сегментами user, и сегментами в центрах обработки данных.

Для получения дополнительной информации см. раздел "Защита ядра: Списки управления доступом (ACL) Защиты инфраструктуры для получения дополнительной информации о ACL Инфраструктуры.

Фильтрация пакета ICMP

Протокол ICMP разработан как протокол управления IP. Также, сообщения, которые это передает, могут иметь далеко идущие ограничения к TCP и Протоколам "IP" в целом. В то время как эхо-запрос средств устранения неполадок сети и ICMP использования traceroute, внешнее подключение ICMP редко необходимо для правильной работы сети.

Программное обеспечение Cisco IOS предоставляет функциональность, чтобы в частности фильтровать сообщения ICMP по имени или тип и код. ACL данного примера, который должен использоваться с записями управления доступом (ACE) от предыдущих примеров, позволяет эхо-запросы от станций управления, которым доверяют, и серверов NMS и блокирует все другие пакеты ICMP:


!

ip access-list extended ACL-INFRASTRUCTURE-IN

!
!--- Permit ICMP Echo (ping) from trusted management stations and servers
!

 permit icmp host <trusted-management-stations> any echo
 permit icmp host <trusted-netmgmt-servers> any echo

!
!--- Deny all other IP traffic to any network device
!

 deny ip any <infrastructure-address-space> <mask>

!
!--- Permit transit traffic
!

 permit ip any any

!

IP - фрагменты фильтрации

Фильтрование фрагментированных пакетов IP может поставить проблему к средствам защиты. Это вызвано тем, что информация Уровня 4, которая используется, чтобы фильтровать TCP и пакеты UDP, только присутствует в начальном фрагменте. Программное обеспечение Cisco IOS использует определенный метод, чтобы проверить, что неначальный фрагменты против настроенного адреса перечисляют. Программное обеспечение Cisco IOS оценивает эти неначальный фрагменты против ACL и игнорирует любую отфильтрованную информацию Уровня 4. Это заставляет неначальный фрагменты быть оцененными исключительно на части Уровня 3 любого настроенного ACE.

В конфигурации данного примера, если пакет TCP, предназначенный к 192.168.1.1 на порту 22, фрагментирован в пути, начальный фрагмент отброшен как ожидалось вторым ACE на основе информации Уровня 4 в пакете. Однако весь остающийся (неначальные) фрагменты позволены первым ACE, основанным полностью на информации сетевого уровня 3 в пакете и ACE. Этот сценарий показывают в этой конфигурации:


!

ip access-list extended ACL-FRAGMENT-EXAMPLE
 permit tcp any host 192.168.1.1 eq 80
 deny tcp any host 192.168.1.1 eq 22

!

Вследствие неинтуитивной природы обработки фрагмента IP - фрагменты часто непреднамеренно разрешаются ACL. Фрагментация также часто используется в попытках уклониться от обнаружения Intrusion Detection Systems. Именно по этим причинам IP - фрагменты часто используются в атаках, и почему они должны быть явно фильтрованы наверху любого настроенного iACLs. ACL данного примера включает всестороннее фильтрование IP - фрагментов. Функциональность от данного примера должна использоваться в сочетании с функциональностью предыдущих примеров.


!

ip access-list extended ACL-INFRASTRUCTURE-IN

!
!--- Deny IP fragments using protocol-specific ACEs to aid in
!--- classification of attack traffic
!

 deny tcp any any fragments
 deny udp any any fragments
 deny icmp any any fragments
 deny ip any any fragments

!
!--- Deny all other IP traffic to any network device
!

 deny ip any <infrastructure-address-space> <mask>

!
!--- Permit transit traffic
!

 permit ip any any

!

Сошлитесь на Списки управления доступом (ACL) и IP - фрагменты для получения дополнительной информации относительно обработки ACL фрагментированных пакетов IP.

Поддержка ACL IP - режимов фильтрации

Cisco IOS Software Release 12.3 (4) T добавил поддержку использования ACL для фильтрования пакетов IP на основе IP - режимов, которые содержатся в пакете. IP - режимы представляют собой проблему безопасности для сетевых устройств, потому что эти опции должны быть обработаны как пакеты исключения. Это требует уровня усилия по ЦПУ, которое не требуется для типичных пакетов, которые пересекают сеть. Присутствие IP - режимов в пакете может также указать, что попытка ниспровергать управления безопасностью в сети или иным образом изменяет транзитные характеристики пакета. Именно по этим причинам пакеты с IP - режимами должны быть фильтрованы в краю сети.

Данный пример должен использоваться с ACE от предыдущих примеров, чтобы включать завершенное фильтрование пакетов IP, которые содержат IP - режимы:


!

ip access-list extended ACL-INFRASTRUCTURE-IN

!
!--- Deny IP packets containing IP options
!

 deny ip any any option any-options

!
!--- Deny all other IP traffic to any network device
!

 deny ip any <infrastructure-address-space> <mask>

!
!--- Permit transit traffic
!

 permit ip any any

!

Обратитесь к Поддержке ACL IP - режимов фильтрации для получения дополнительной информации об этой функциональности.

Поддержка ACL фильтрации на значении TTL

Cisco IOS Software Release 12.4 (2) T добавил поддержку ACL фильтрования пакетов IP на основе значения Времени жизни (TTL). Значение TTL дейтаграммы IP постепенно уменьшено каждым сетевым устройством как потоки пакетов из источника назначению. Несмотря на то, что начальные значения варьируются операционной системой, когда TTL пакета достигает ноля, пакет должен быть отброшен. Устройство, которое постепенно уменьшает TTL к нолю, и поэтому отбрасывает пакет, требуется, чтобы генерировать и передавать Time Exceeded Message ICMP источнику пакета.

Генерация и передача этих сообщений являются процессом исключения. Маршрутизаторы могут выполнить эту функцию, когда количество истекающих пакетов IP низко, но если количество истекающих пакетов высоко, генерация и передача этих сообщений могут использовать все доступные ресурсы ЦПУ. Это представляет вектор атаки DoS. Именно по этой причине устройства должны быть укреплены против атак DoS, которые используют высокую скорость истекающих пакетов IP.

Рекомендуется, чтобы организации фильтровали пакеты IP с низкими значениями TTL в краю сети. Полностью фильтрование пакетов со значениями TTL, недостаточными для пересечения сети, смягчает угрозу основанных на TTL атак.

ACL данного примера фильтрует пакеты со значениями TTL меньше чем шесть. Это обеспечивает защиту против атак истечения TTL для сетей до пяти переходов по ширине.


!

ip access-list extended ACL-INFRASTRUCTURE-IN

!
!--- Deny IP packets with TTL values insufficient to traverse the network
!

 deny ip any any ttl lt 6

!
!--- Deny all other IP traffic to any network device
!

 deny ip any <infrastructure-address-space> <mask>

!
!--- Permit transit traffic
!

 permit ip any any

!

Обратите внимание на то, что некоторые протоколы делают легитимное использование пакетов с низкими значениями TTL. eBGP является одним таким протоколом. Обратитесь к Идентификации Атаки Истечения TTL и Смягчению для получения дополнительной информации о смягчении TTL основанные на истечении атаки.

Обратитесь к Поддержке ACL фильтрации на Значении TTL для получения дополнительной информации об этой функциональности.

Обеспечение интерактивных сеансов управления

Сеансы управления к устройствам позволяют вам возможность просмотреть и собрать информацию об устройстве и его операциях. Если эта информация раскрыта злонамеренному пользователю, устройство может стать целью атаки, поставившей под угрозу, и используемой, чтобы выполнить дополнительные атаки. У любого с привилегированным адресом к устройству есть возможность полного административного контроля того устройства. Обеспечение сеансов управления обязательно для предотвращения информационного раскрытия и неавторизованный доступа.

Защита панели управления

Начинаясь с Cisco IOS Software Release 12.4 (6) T, Защита панели управления (MPP) функции позволяет администратору ограничивать, на котором управляющий трафик интерфейсов может быть получен устройством. Это позволяет администратору дополнительный контроль над устройством и как обращаются к устройству.

Данный пример показывает, как включить MPP только позволить SSH и HTTPS на интерфейсе GigabitEthernet0/1:


!

control-plane host
  management-interface GigabitEthernet 0/1 allow ssh https

!

Обратитесь к Защите Панели управления для получения дополнительной информации о MPP.

Защита уровня управления

Защита Уровня управления (CPPr) основывается на функциональности Применения политик Уровня управления, чтобы ограничить и определить политику трафик уровня управления, который предназначен к процессору маршрутов устройства IOS. CPPr, добавленный в Cisco IOS Software Release 12.4 (4) T, делит уровень управления на отдельные категории уровня управления, которые известны как подинтерфейсы. Существуют три подинтерфейса уровня управления: Хост, Транзит и Исключение CEF. Кроме того, CPPr включает эти дополнительные защитные функции уровня управления:

  • Функция фильтрации порта — Эта функция обеспечивает применение политик или отбрасывание пакетов переходящий закрытый или неслушающий TCP и порты UDP.

  • Функция применения политик порога очереди — Эта функция ограничивает количество пакетов для указанного протокола, которые позволены во входной очереди IP уровня управления.

CPPr позволяет администратору классифицировать, определять политику, и ограничивать трафик, который передается устройству для целей управления используя подинтерфейс хоста. Примеры пакетов, которые классифицированы для категории подинтерфейса хоста, включают управляющего трафик, такого как SSH или Telnet и протоколы маршрутизации.

Обратите внимание на то, что CPPr не поддерживает IPv6 и ограничен путем ввода IPv4.

Обратитесь к Руководству Защитной функции Уровня управления - 12.4T и Общие сведения Защиты Уровня управления для получения дополнительной информации о Cisco функция CPPr.

Шифрование сеансов управления

Поскольку информация может быть раскрыта во время интерактивного сеанса управления, этот трафик должен быть зашифрован так, чтобы злонамеренный пользователь не мог получить доступ к передаваемым данным. Шифрование трафика позволяет безопасное соединение удаленного доступа с устройством. Если трафик для сеанса управления передается по сети в открытом тексте, атакующий может получить уязвимые данные об устройстве и сети.

Администратор в состоянии установить зашифрованное и безопасное управляющее подключение удаленного доступа к устройству при помощи SSH или HTTPS (Безопасный Протокол передачи гипертекстовых файлов) функции. Программное обеспечение Cisco IOS поддерживает версию SSH 1.0 (SSHv1), версию SSH 2.0 (SSHv2), и HTTPS, который использует Уровень защищенных сокетов (SSL) и Transport Layer Security (TLS) для аутентификации и шифрования данных. Обратите внимание на то, что SSHv1 и SSHv2 не совместимы.

Программное обеспечение Cisco IOS также поддерживает Безопасный протокол копирования (SCP), который позволяет зашифрованное и безопасное соединение для того, чтобы скопировать конфигурации устройства или образы программного обеспечения. SCP полагается на SSH. Конфигурация данного примера включает SSH на устройстве Cisco IOS:


!

ip domain-name example.com

!

crypto key generate rsa modulus 2048

!

ip ssh time-out 60
ip ssh authentication-retries 3
ip ssh source-interface GigabitEthernet 0/1

!

line vty 0 4
 transport input ssh

!

Этот пример конфигурации включает службы SCP:


!

ip scp server enable

!

Это - пример конфигурации для служб HTTPS:


!

crypto key generate rsa modulus 2048

!

ip http secure-server

!

Обратитесь к Configuring Secure Shell на Маршрутизаторах и Коммутаторах, Выполняющих Cisco IOS и "Безопасную оболочку" (SSH) часто задаваемые вопросы для получения дополнительной информации о функции SSH программного обеспечения Cisco IOS.

Обратитесь к HTTPS - Серверу HTTP и Клиенту с SSL 3.0 Руководства по функциям и свойствам - 12.2T и Технические примечания Cisco Безопасный HTTP (HTTPS) Руководство по функциям и свойствам - 12.1E для получения дополнительной информации о функции HTTPS программного обеспечения Cisco IOS.

Обратитесь к Копии Cisco Secure (SCP) Руководство по функциям и свойствам - 12.2T для получения дополнительной информации о функции SCP программного обеспечения Cisco IOS.

SSHv2

SSHv2 поддерживают функцию, представленную в Cisco IOS Software Release 12.3 (4) T, позволяет пользователю настраивать SSHv2. (Поддержка SSHv1 была внедрена в более раннем релизе программного обеспечения Cisco IOS.) SSH выполняется поверх уровня надежности передачи и предоставляет возможности шифрования и строгая проверка подлинности. Единственная надежность передачи, которая определена для SSH, является TCP. SSH предоставляет средство надежно обратиться и надежно выполнить команды на другом компьютере или устройстве по сети. Функция Безопасного протокола копирования (SCP), которая туннелирована по SSH, обеспечивает безопасную передачу файлов.

Конфигурация следующего примера включает SSHv2 (с отключенным SSHv1) на устройстве Cisco IOS:


!
    
hostname router

!

ip domain-name example.com    

!
    
crypto key generate rsa modulus 2048

!

ip ssh time-out 60  
ip ssh authentication-retries 3  
ip ssh source-interface GigabitEthernet 0/1    

!
    
ip ssh version 2

!

line vty 0 4   
transport input ssh    

!
 

Обратитесь к Поддержке Версии 2 "Безопасной оболочки" для получения дополнительной информации об использовании SSHv2.

Усовершенствования SSHv2 для ключей RSA

Cisco IOS SSHv2 поддерживает интерактивные клавиатурой и основанные на пароле методы аутентификации. Усовершенствования SSHv2 для функции Ключей RSA также поддерживают основанную на RSA аутентификацию открытого ключа для клиента и сервера.

Для проверки подлинности пользователя основанная на RSA проверка подлинности пользователя использует частное / пару открытых ключей, привязанную к каждому пользователю для аутентификации. Пользователь должен генерировать частное / пару открытых ключей у клиента и настроить открытый ключ на сервере SSH Cisco IOS для завершения аутентификации.

Пользователь SSH, пытающийся установить учетные данные, предоставляет зашифрованную подпись используя секретный ключ. Подпись и открытый ключ пользователя передаются серверу SSH для аутентификации. Сервер SSH вычисляет хэш по открытому ключу, предоставленному пользователем. Хэш используется для определения, имеет ли сервер соответствующую запись. Если соответствие найдено, основанная на RSA проверка сообщения выполнена, используют открытый ключ. Следовательно, пользователь заверен или лишенный доступ на основе зашифрованной подписи.

Для проверки подлинности сервера Клиент SSH Cisco IOS должен назначить ключ хоста для каждого сервера. Когда клиент пытается установить сеанс SSH с сервером, это получает подпись сервера как часть сообщения обмена ключами. Если строгий флаг проверки ключа хоста включен у клиента, клиентские проверки, имеет ли он запись ключа хоста, соответствующую предварительно сконфигурированному серверу. Если соответствие найдено, попытки клиента проверить подписи используют ключ сервера. Если сервер успешно заверен, установка сеанса продолжается; в противном случае это завершено и отображает "Проверку подлинности сервера Отказавшее" сообщение.

Конфигурация следующего примера включает использование ключей RSA с SSHv2 на устройстве Cisco IOS:


!
! Configure a hostname for the device
!

hostname router

!
! Configure a domain name
!

ip domain-name cisco.com

!
! Specify the name of the RSA key pair (in this case, "sshkeys") to use for SSH
!

 ip ssh rsa keypair-name sshkeys

!
! Enable the SSH server for local and remote authentication on the router using 
! the "crypto key generate" command
! For SSH version 2, the modulus size must be at least 768 bits 
!

 crypto key generate rsa usage-keys label sshkeys modulus 2048

!
! Configure an ssh timeout (in seconds) 
!
! The following enables a timeout of 120 seconds for SSH connections
!

ip ssh time-out 120

!
! Configure a limit of five (5) authentication retries
!

ip ssh authentication-retries 5

!
! Configure SSH version 2
!

ip ssh version 2 

!

Обратитесь к Усовершенствованиям Версии 2 "Безопасной оболочки" для Ключей RSA для получения дополнительной информации об использовании ключей RSA с SSHv2.

Конфигурация следующего примера включает сервер SSH Cisco IOS выполнить основанную на RSA проверку подлинности пользователя. Если открытый ключ RSA, сохраненный на сервере, проверен с общественностью или парой секретного ключа, сохраненной у клиента, проверка подлинности пользователя успешна.


!
! Configure a hostname for the device
!

hostname router

!
! Configure a domain name
!

ip domain-name cisco.com

!
! Generate RSA key pairs using a modulus of 2048 bits
!

crypto key generate rsa modulus 2048

!
! Configure SSH-RSA keys for user and server authentication on the SSH server
!

ip ssh pubkey-chain

!
! Configure the SSH username
!

        username ssh-user

!
! Specify the RSA public key of the remote peer
!
! You must then configure either the key-string command
! (followed by the RSA public key of the remote peer) or the 
! key-hash command (followed by the SSH key type and version.)
!

Обратитесь к Настройке Сервер SSH Cisco IOS Выполнить Основанную на RSA Проверку подлинности пользователя для получения дополнительной информации об использовании ключей RSA с SSHv2.

Конфигурация следующего примера включает Клиента SSH Cisco IOS выполнить основанную на RSA проверку подлинности сервера.

	 

!
!

hostname router

!
ip domain-name cisco.c
!
! Generate RSA key pairs
!

crypto key generate rsa

!
! Configure SSH-RSA keys for user and server authentication on the SSH server
!

ip ssh pubkey-chain

!
! Enable the SSH server for public-key authentication on the router 
!

        server SSH-server-name

!
! Specify the RSA public-key of the remote peer 
!
! You must then configure either the key-string command
! (followed by the RSA public key of the remote peer) or the 
! key-hash <key-type> <key-name> command (followed by the SSH key 
! type and version.)
!
! Ensure that server authentication takes place - The connection will be 
! terminated on a failure
!

ip ssh stricthostkeycheck 

!

Обратитесь к Настройке Клиента SSH Cisco IOS Выполнить Основанную на RSA Проверку подлинности сервера для получения дополнительной информации об использовании ключей RSA с SSHv2.

Консоль и порты AUX

В устройствах Cisco IOS консоль и вспомогательные порты (AUX) являются асинхронными линиями, которые могут использоваться для локального и удаленного доступа к устройству. Необходимо знать, что консольные порты на устройствах Cisco IOS имеют особые привилегии. В частности эти привилегии позволяют администратору выполнять процедуру восстановления пароля. Чтобы выполнить восстановление пароля, у не прошедшего поверку подлинности атакующего должен был бы быть доступ к консольному порту и возможности прервать питание к устройству или заставить устройство завершаться катастрофическим отказом.

Любой метод, используемый, чтобы обратиться к консольному порту устройства, должен быть защищен способом, который равен безопасности, которая принуждена для привилегированного адреса к устройству. Методы использовали, чтобы к безопасному доступу должен включать использование AAA, exec-timeout, и паролей модема, если модем присоединен к консоли.

Если восстановление пароля не требуется, то администратор может удалить возможность выполнить, процедура восстановления пароля используют команду глобальной кофигурации password-recovery no service; однако, как только команда password-recovery no service была выполнена, администратор больше не может выполнить восстановление пароля на устройстве.

В большинстве ситуаций Порт AUX устройства должен быть отключен для предотвращения неавторизованный доступа. Порт AUX может быть отключен используя эти команды:


!

line aux 0
 transport input none
 transport output none
 no exec
 exec-timeout 0 1
 no password

!

VTY контроля и Линии tty

Интерактивные сеансы управления в программном обеспечении Cisco IOS используют tty или действительный tty (VTY). Tty является локальной асинхронной линией, к которой терминал может быть подключен для локального доступа к устройству или к модему для удаленного доступа к устройству. Обратите внимание на то, что ttys может использоваться для соединений с консольными портами других устройств. Эта функция позволяет устройству с линиями tty действовать как сервер консоли, где соединения могут быть установлены по сети к консольным портам устройств, связанных с линиями tty. Линии tty для этих обратных подключений по сети должны также управляться.

Линия VTY используется для всех других удаленных сетевых подключений, поддерживаемых устройством, независимо от протокола (SSH, SCP, или Telnet является примерами). Чтобы гарантировать, что к устройству можно обратиться через локальный или удаленный сеанс управления, надлежащие средства управления должны быть принуждены и на VTY и на линиях tty. Устройства Cisco IOS имеют ограниченное число линий VTY; количество доступных линий может быть определено при помощи команды EXEC выставочного подвида. Когда все линии VTY используются, новые сеансы управления не могут быть установлены, создавая условие DoS для доступа к устройству.

Самая простая форма управления доступом к VTY или tty устройства с помощью аутентификации на всех линиях независимо от размещения устройства в сети. Это важно для линий VTY, потому что они доступны через сеть. Линия tty, которая связана с модемом, используемым для удаленного доступа к устройству, или линия tty, которая связана с консольным портом других устройств, также доступна через сеть. Другие формы VTY и управлений доступом tty могут быть принуждены при помощи transport input или команд настройки access-class, использовать CoPP и функции CPPr, или путем применения списков доступа к интерфейсам на устройстве.

Аутентификация может быть принуждена с помощью AAA, который является рекомендуемым методом для заверенного доступа к устройству, при помощи базы локальных пользователей, или простой проверкой подлинности пароля, настроенной непосредственно на линии tty или VTY.

Команда exec-timeout должна использоваться, чтобы к сеансам выхода из системы на VTY или линиях tty, которые оставляют простаивающими. Служба tcp-keepalive-in команда должна также использоваться, чтобы включить TCP keepalife на входящих соединениях к устройству. Это гарантирует, что устройство на удаленном конце соединения все еще доступно и что полуоткрытые или осиротевшие соединения удалены из локального устройства IOS.

Транспорт контроля для VTY и Линий tty

VTY и tty должны быть настроены, чтобы принять только зашифрованный и защитить управляющие подключения удаленного доступа к устройству, или через устройство, если это используется как сервер консоли. Этот раздел обращается к ttys, потому что такие линии могут быть связаны с консольными портами на других устройствах, которые позволяют tty быть доступным по сети. Чтобы предотвратить информационное раскрытие или неавторизованный доступ к данным, которые переданы между администратором и устройством, transport input ssh должен использоваться вместо протоколов открытого текста, таких как Telnet и rlogin. Конфигурация transport input none может быть включена на tty, который в действительности отключает линию tty от того, чтобы быть используемым для обратных консольных соединений.

И VTY и линии tty позволяют администратору соединяться с другими устройствами. Чтобы ограничить тип транспорта, который администратор может использовать для исходящих соединений, использовать команду конфигурации с командной строки transport output. Если исходящие соединения не необходимы, то transport output ни один не должен использоваться. Однако, если исходящие соединения позволены, то зашифрованный и безопасный метод удаленного доступа для соединения должен быть принужден с помощью ssh transport output.

Обратите внимание на то, что IPSec может использоваться для зашифрованных и безопасных соединений удаленного доступа с устройством, если поддерживающийся. При использовании IPSec он также добавляет дополнительные служебные данные ЦПУ к устройству. Однако SSH должен все еще быть принужден как транспорт, даже когда используется IPSec.

Предупреждающие сообщения

В некоторых юридических юрисдикциях может быть невозможно преследовать по суду и недопустимый для мониторинга злонамеренных пользователей, если они не были уведомлены, что им не разрешают использовать систему. Один метод для обеспечения этого уведомления должен разместить эту информацию в сообщение баннера, которое настроено с командой banner login программного обеспечения Cisco IOS.

Юридические требования сложны, варьируются юрисдикцией и ситуацией, и должны быть обсуждены с юрисконсультом. Даже в юрисдикциях, юридические заключения могут отличаться. В сотрудничестве с адвокатом баннер может предоставить некоторых или всю эту информацию:

  • Заметьте, что система должна быть зарегистрирована в или использоваться только в частности авторизованным персоналом и возможно информацией о том, кто может авторизовать использование.

  • Заметьте, что любое неавторизованное использование системы незаконно и может подвергнуться гражданско-правовым санкциям и уголовным наказаниям.

  • Заметьте, что любое использование системы может быть зарегистрировано или проверено без дополнительного замечания и что результирующие журналы могут использоваться как доказательство в суде.

  • Определенные предупреждения требуются местными законодательствами.

От точки зрения безопасности, а не законный, баннер входа в систему не должен содержать любую определенную информацию об имени маршрутизатора, модели, программном обеспечении, или владении. Этой информацией могут злоупотребить злонамеренные пользователи.

Использование аутентификации, авторизации и учета

Аутентификация, авторизация и учет (AAA) платформа важна по отношению к обеспечению интерактивного доступа к сетевым устройствам. Платформа AAA предоставляет высоконастраиваемую среду, которая может быть адаптирована в зависимости от потребностей сети.

Аутентификация TACACS+

TACACS + (Terminal Access Controller Access Control System (TACACS) Плюс) является протоколом проверки подлинности, который устройства Cisco IOS могут использовать для аутентификации пользовательских интерфейсов управления против удаленного сервера AAA (проверка подлинности, авторизация и учет). Эти пользовательские интерфейсы управления могут обратиться к устройству IOS через SSH, HTTPS, telnet, или HTTP.

TACACS + аутентификация, или более широко аутентификация AAA (проверка подлинности, авторизация и учет), предоставляет возможность для использования отдельного пользователя, учитывает каждого администратора сети. В удалении зависимости от одиночного разделенного пароля улучшена безопасность сети, и ваша отслеживаемость усилена.

RADIUS (Обслуживание пользователей наборного (телефонного) доступа Удаленного доступа) является протоколом, подобным в цели к TACACS +, однако это только шифрует пароль, передаваемый по сети. Напротив, TACACS + шифрует все Содержимое tcp включая обоих имя пользователя и пароль. Когда TACACS + поддерживается сервером AAA (проверка подлинности, авторизация и учет), поэтому TACACS + должен использоваться в предпочтении к RADIUS. Обратитесь к TACACS + и Сравнение RADIUS для более подробного сравнения этих двух протоколов.

TACACS + аутентификация может быть включен на устройстве Cisco IOS используя конфигурация, подобная данному примеру:


!

aaa new-model
aaa authentication login default group tacacs+

!

tacacs-server host <ip-address-of-tacacs-server>
tacacs-server key <key>

!

Предыдущая конфигурация может использоваться как отправная точка для специфичного для организации шаблона аутентификации AAA (проверка подлинности, авторизация и учет). Обратитесь к Аутентификации, авторизации и учету для получения дополнительной информации о конфигурации AAA.

Список методов является последовательным списком, описывающим методы аутентификации, которые будут делать запрос, чтобы подтвердить подлинность пользователя. Списки методов включают вас определять один или более протоколов безопасности использоваться для аутентификации, таким образом гарантируя резервную систему для аутентификации в случае, если отказывает начальный метод. Программное обеспечение Cisco IOS будет использовать первый перечисленный метод, который успешно принимает или отклоняет пользователя. Последующие методы только предприняты в случаях, где более ранние методы отказывают вследствие недоступности сервера или некорректной конфигурации. Обратитесь к Названным Спискам методов для Аутентификации для получения дополнительной информации о конфигурации Названных Списков методов.

Authentication Fallback

Если весь настроенный TACACS + серверы становятся недоступными, то устройство Cisco IOS может положиться на протоколы вспомогательной проверки подлинности. Если все настроенные TACACS + серверы недоступны, типичные конфигурации включают использование локальных или включают аутентификацию.

Полный список опций для на Устройстве аутентификации включает, включают, локальный, и линия. Каждая из этих опций имеет преимущества. Использование enable secret предпочтено, потому что тайна крошится, используют односторонний алгоритм, который по сути более безопасен, чем алгоритм шифрования, который используется с Типом 7 паролей для линии или локальной проверки подлинности.

Однако на Cisco IOS Software Release, которые поддерживают использование секретных паролей для локально определенных пользователей, нейтрализация к локальной проверке подлинности может быть выбираемой. Это обеспечивает локально определенного пользователя, чтобы быть созданным для одного или более администраторов сети. Если TACACS + должны были стать абсолютно недоступными, каждый администратор может использовать их локальное имя пользователя и пароль. Несмотря на то, что это действие действительно улучшает отслеживаемость администраторов сети во время TACACS + простои, это значительно увеличивает административные накладные расходы, потому что должны быть поддержаны учетные записи локального пользователя на всех сетевых устройствах.

Этот пример конфигурации полагается на предыдущий TACACS + пример аутентификации для включения аутентификации нейтрализации в пароль, который настроен локально с командой enable secret:


!

enable secret <password>

!

aaa new-model
aaa authentication login default group tacacs+ enable

!

tacacs-server host <ip-address-of-tacacs-server>
tacacs-server key <key>

!

Сошлитесь на Аутентификацию Настройки для получения дополнительной информации об использовании аутентификации нейтрализации с AAA.

Использование Типа 7 Паролей

Первоначально разработанный для разрешения быстрой расшифровки сохраненных паролей Тип 7 паролей не являются безопасной формой хранения пароля. Существует много программных средств, доступных, который может легко дешифровать эти пароли. Использование Типа, 7 паролей нужно избежать если не требующийся функцией, которая используется на устройстве Cisco IOS.

Удаление паролей этого типа может быть упрощено посредством аутентификации AAA (проверка подлинности, авторизация и учет) и использования Улучшенной функции Защиты паролей, которая позволяет секретным паролям использоваться с пользователями, которые локально определены через команду глобальной кофигурации имени пользователя. Если вы не можете полностью предотвратить использование Типа 7 паролей, считайте эти пароли запутываемыми, не зашифрованный.

См., что Плоскость Общего управления Укрепляет раздел этого документа для получения дополнительной информации относительно удаления Типа 7 паролей.

Авторизация TACACS+ Command

Авторизация для выполнения команд с TACACS + и AAA предоставляет механизм, который разрешает или запрещает каждую команду, которая введена административным пользователем. Когда пользователь вводит команды EXEC, Cisco IOS передает каждую команду настроенному серверу AAA (проверка подлинности, авторизация и учет). Сервер AAA (проверка подлинности, авторизация и учет) тогда использует свою настроенную политику, чтобы permit or deny команду для того индивидуального пользователя.

Эта конфигурация может быть добавлена к предыдущему примеру аутентификации AAA (проверка подлинности, авторизация и учет), чтобы внедрить авторизацию для выполнения команд:


!

aaa authorization exec default group tacacs none
aaa authorization commands 0 default group tacacs none
aaa authorization commands 1 default group tacacs none 
aaa authorization commands 15 default group tacacs none

!

Сошлитесь на Авторизацию Настройки для получения дополнительной информации об авторизации для выполнения команд.

TACACS + учет команды

Когда настроено, команда AAA, считающая информацию передач о каждой команде EXEC, которая введена в настроенный TACACS + серверы. Информация передала TACACS +, сервер включает выполняемую команду, дата, это выполнялось, и имя пользователя пользователя, вводящего команду. Учет команды не поддерживается используя RADIUS.

Конфигурация данного примера выполняет команду AAA, учитывающую команды EXEC, введенные в ноль уровней привилегий, один, и 15. Эта конфигурация полагается на предыдущие примеры, которые включают конфигурацию Серверов tacacs.


!

aaa accounting exec default start-stop group tacacs 
aaa accounting commands 0 default start-stop group tacacs
aaa accounting commands 1 default start-stop group tacacs
aaa accounting commands 15 default start-stop group tacacs

!

Обратитесь к Настройке, Учитывающей дополнительные сведения относительно конфигурации учета AAA.

Избыточные серверы AAA (проверка подлинности, авторизация и учет)

Серверы AAA (проверка подлинности, авторизация и учет), которые усилены в среде, должны быть избыточными и развернуты отказоустойчивым способом. Это помогает гарантировать, что интерактивный управляющий доступ, такой как SSH, возможен, если сервер AAA (проверка подлинности, авторизация и учет) недоступен.

Когда вы дизайн или внедрение избыточное решение для сервера AAA (проверка подлинности, авторизация и учет), помните эти факторы:

  • Доступность серверов AAA (проверка подлинности, авторизация и учет) во время сбоев потенциальной сети

  • Географически рассеянное размещение серверов AAA (проверка подлинности, авторизация и учет)

  • Загрузка на отдельных серверах AAA (проверка подлинности, авторизация и учет) во время установившегося и неисправных состояний

  • Задержка сети между Серверами доступа к сети и серверами AAA (проверка подлинности, авторизация и учет)

  • Синхронизация баз данных сервера AAA (проверка подлинности, авторизация и учет)

Отнеситесь для Развертывания Access Control Server для получения дополнительной информации.

Укрепление простоя протокол управления сетью

Этот раздел выделяет несколько методов, которые могут использоваться, чтобы защитить развертывания SNMP в устройствах IOS. Важно, что SNMP должным образом защищен для защиты конфиденциальности, целостности, и доступности и сетевых данных и сетевых устройств, через которые передают транзитом эти данные. SNMP предоставляет вас полной информацией на состоянии сетевых устройств. Эта информация должна быть защищена от злонамеренных пользователей, которые хотят усилить эти данные для выполнения атак на сеть.

Строки имени и пароля SNMP

Строки имени и пароля являются паролями, которые применены к устройству IOS для ограничения доступа, и только для чтения и доступ для чтения-записи, к данным SNMP на устройстве. Эти строки имени и пароля, как со всеми паролями, должны быть тщательно выбраны, чтобы гарантировать, что они не тривиальны. Строки имени и пароля должны быть изменены через определенные промежутки времени и в соответствии с политикой сетевой безопасности. Например, когда администратор сети изменяет роли или покидает компанию, строки должны быть изменены.

Эти строки настройки настраивают строку имени и пароля только для чтения ТОЛЬКО ДЛЯ ЧТЕНИЯ и строку имени и пароля для чтения и записи READWRITE:


!

snmp-server community READONLY RO
snmp-server community READWRITE RW  

!

Обратите внимание на то, что предыдущие примеры строки имени и пароля были выбраны для ясного объяснения использования этих строк. Для производственных сред строки имени и пароля должны быть выбраны с осторожностью и должны состоять из серии алфавитных, числовых, и неалфавитно-цифровых символов. Сошлитесь на Рекомендации для Создания Стойких паролей для получения дополнительной информации о выборе нетривиальных паролей.

Обратитесь к Справочнику по командам SNMP IOS для получения дополнительной информации об этой функции.

Строки имени и пароля SNMP с ACL

В дополнение к строке имени и пароля ACL должен быть применен, который далее ограничивает доступ SNMP к группе выбора IP - адресов источника. Эта конфигурация ограничивает доступ только на чтение SNMP устройствами конечного хоста, которые находятся в 192.168.100.0/24 адресном пространстве, и ограничивает доступ для чтения-записи SNMP только устройством конечного хоста в 192.168.100.1.

Обратите внимание на то, что устройства, которые разрешены этими ACL, требуют, чтобы надлежащая строка имени и пароля обратилась к запрошенным сведениям SNMP.


!

access-list 98 permit 192.168.100.0 0.0.0.255
access-list 99 permit 192.168.100.1

!

snmp-server community READONLY RO 98
snmp-server community READWRITE RW 99

!

Обратитесь к snmp-server community в Ссылочных Дополнительных сведениях Команды управления Cisco IOS network об этой функции.

Инфраструктурные списки ACL

ACL инфраструктуры (iACLs) могут быть развернуты, чтобы гарантировать, что только конечные хосты с IP-адресами, которым доверяют, могут передать трафик SNMP устройству IOS. iACL должен содержать политику, которая запрещает неавторизованные Пакеты snmp на порту UDP 161.

См. Ограничивающий Доступ к Сети с разделом ACL Инфраструктуры этого документа для получения дополнительной информации об использовании iACLs.

Представления SNMP

Представления SNMP являются характеристикой защиты, которая может permit or deny доступ к определенным, некоторый SNMP MIB. Как только представление создано и применено строка имени и пароля с snmp-server community команды глобальной кофигурации представления строкового пароля при доступе к данным базы управляющей информации (MIB) вы ограничены разрешениями, которые определены представлением. Когда соответствующий, вам советуют использовать представления для ограничения пользователей SNMP к данным, которых они требуют.

Этот пример конфигурации ограничивает доступ SNMP со строкой имени и пароля, ОГРАНИЧЕННОЙ данными базы управляющей информации (MIB), которые располагаются в группе систем:


!

snmp-server view VIEW-SYSTEM-ONLY system include

!

snmp-server community LIMITED view VIEW-SYSTEM-ONLY RO

!

Обратитесь к Поддержке SNMP Настройки для получения дополнительной информации.

Протокол SNMP версии 3

Версия SNMP 3 (SNMPv3) определена RFC3410 leavingcisco.com, RFC3411 leavingcisco.com, RFC3412 leavingcisco.com, RFC3413 leavingcisco.com, RFC3414 leavingcisco.com, и RFC3415 leavingcisco.comи является протоколом на основе стандартов взаимодействия для управления сетями. SNMPv3 предоставляет безопасный доступ устройствам путем аутентификации и дополнительно шифрованию пароля по сети. Где поддерживающийся, SNMPv3 может использоваться, чтобы добавить другой уровень безопасности при развертывании SNMP. SNMPv3 состоит из трех основных параметров конфигурации:

  • никакая аутентификация — Этот режим не требует любого опознавательного ни любого шифрования Пакетов snmp

  • аутентификация — Этот режим требует аутентификации Пакета snmp без шифрования

  • priv — Этот режим требует и аутентификации и шифрования (конфиденциальность) каждого Пакета snmp

Авторитетный идентификатор ядра должен существовать для использования механизмов обеспечения безопасности SNMPv3 — аутентификации или аутентификации и шифрования — для того, чтобы обработать Пакеты snmp; по умолчанию идентификатор ядра генерируется локально. Идентификатор ядра может быть отображен с командой show snmp engineID как показано в данном примере:

router#show snmp engineID 
   Local SNMP engineID: 80000009030000152BD35496
   Remote Engine ID          IP-addr    Port

Обратите внимание на то, что, если engineID изменен, все учетные записи пользователя SNMP должны быть реконфигурированы.

Следующий шаг должен настроить группу SNMPv3. Эта команда настраивает устройство Cisco IOS для SNMPv3 с группой сервера SNMP AUTHGROUP и включает только аутентификацию для этой группы при помощи ключевого слова аутентификации:


!

snmp-server group AUTHGROUP v3 auth

!

Эта команда настраивает устройство Cisco IOS для SNMPv3 с группой сервера SNMP PRIVGROUP и включает и аутентификацию и шифрование для этой группы при помощи ключевого слова priv:


!

snmp-server group PRIVGROUP v3 priv

!

Эта команда настраивает пользователя SNMPv3 snmpv3user с паролем для проверки подлинности MD5 authpassword и 3DES пароль шифрования privpassword:


!

snmp-server user snmpv3user PRIVGROUP v3 auth md5 authpassword priv 3des 
     privpassword

!

Обратите внимание на то, что команды настройки snmp-server user не отображены в выходных данных конфигурации устройства как требуется RFC 3414; поэтому, пароль пользователя не доступен для просмотра от конфигурации. Чтобы просмотреть настроенных пользователей, введите команду show snmp user как показано в данный пример:

router#show snmp user 
User name: snmpv3user
Engine ID: 80000009030000152BD35496
storage-type: nonvolatile        active
Authentication Protocol: MD5
Privacy Protocol: 3DES
Group-name: PRIVGROUP

Обратитесь к Поддержке SNMP Настройки для получения дополнительной информации об этой функции.

Защита панели управления

Функция Защиты панели управления (MPP) в программном обеспечении Cisco IOS может быть использована, чтобы помочь защищать SNMP путем ограничения интерфейсов, через которые трафик SNMP может завершиться на устройстве. Функция MPP позволяет администратору определять один или более интерфейсов как интерфейсы управления. Управляющему трафик разрешают ввести устройство только через эти интерфейсы управления. После того, как MPP включен, никакие интерфейсы кроме определяемых интерфейсов управления не принимают трафик при управлении сетью, который предназначен к устройству.

Обратите внимание на то, что MPP является подмножеством Защиты Уровня управления (CPPr) функция и требует версии IOS, которая поддерживает CPPr. Обратитесь к Общим сведениям Защиты Уровня управления для получения дополнительной информации о CPPr.

В данном примере используется MPP, чтобы ограничить SNMP и доступ SSH к только FastEthernet 0/0 интерфейс:


!

control-plane host
 management-interface FastEthernet0/0 allow ssh snmp 

!

Обратитесь к Руководству Защитной функции Панели управления для получения дополнительной информации.

Оптимальные методы Регистрации

Регистрация событий предоставляет вас видимость в операцию устройства Cisco IOS и сети, в которую это развернуто. Программное обеспечение Cisco IOS предоставляет несколько гибких параметров регистрации, которые могут помочь достигать управления сетями и целей видимости организации.

Эти разделы предоставляют некоторые основные оптимальные методы регистрации, которые могут помочь левереджу администратора, регистрирующему успешно при уменьшении влияния входа устройства Cisco IOS.

Передайте журналы центральному месту расположения

Вам советуют передать регистрационную информацию удаленному серверу syslog. Путем выполнения так, становится возможно коррелировать и аудит сети и события связанное с безопасностью через сетевые устройства эффективнее. Обратите внимание на то, что сообщения системного журнала переданы ненадежно UDP и в открытом тексте. Поэтому любые защиты, которые сеть предоставляет управляющему трафик (например, шифрование или внеполосный доступ) должны быть расширены для включения трафика системного журнала.

Этот пример конфигурации настраивает устройство Cisco IOS для передачи регистрационной информации удаленному серверу syslog:


!

logging host <ip-address>

!

Обратитесь к Определению Инцидентов Использование Межсетевого экрана и Событий системного журнала (syslog) Маршрутизатора IOS для получения дополнительной информации о регистрационной корреляции.

Интегрированный в 12.4 (15) T и первоначально представленный в 12.0 (26) S, Регистрация к Локальной Энергонезависимой памяти (Диск ATA) опция позволяет сообщениям регистрации системы быть сохраненными на флэш диске присоединения передовой технологии (ATA). Сообщения экономили на дисководе ATA, сохраняются после того, как маршрутизатор перезагружен.

Придерживающиеся строки настройки настраивают 134,217,728 байтов (128 МБ) сообщений регистрации к каталогу системного журнала флэш-памяти ATA (disk0), задавая размер файла 16,384 байтов:

logging buffered	
logging persistent url disk0:/syslog size 134217728 filesize 16384

Прежде, чем сообщения регистрации записаны в файл на диске ATA, проверки программного обеспечения Cisco IOS для наблюдения, существует ли достаточный объем свободной памяти на диске. В противном случае самый старый файл сообщений регистрации (меткой времени) удален, и текущий файл сохранен. Формат имени файла является log_month:day:year:: время. Обратите внимание на то, что флэш-накопитель ATA ограничил дисковое пространство и таким образом должен быть поддержан, чтобы избежать перезаписывать Сохраненные данные. Следующий пример показывает, как скопировать сообщения регистрации от флэш диска ATA маршрутизатора до внешнего диска на сервере FTP 192.168.1.129 как часть процедур технического обслуживания:

copy disk0:/syslog ftp://myuser/mypass@192.168.1.129/syslog

Обратитесь к Регистрации к Локальной Энергонезависимой памяти (Диск ATA) для получения дополнительной информации об этой функции.

Уровень регистрации

Каждому сообщению журнала, которое генерируется устройством Cisco IOS, назначают одна из восьми степеней серьезности ошибки, которые колеблются от уровня 0, Аварийных ситуаций, через уровень 7, Отладку. Если в частности не требующийся, вам советуют избежать регистрировать на уровне 7. Регистрация на уровне 7 производит поднятую Загрузку ЦПУ на устройстве, которое может привести к устройству и нестабильной работе сети.

Прерывание регистрации команды глобальной кофигурации уровень используется, чтобы задать, какие сообщения регистрации передается удаленным серверам syslog. Заданный уровень указывает на самое низкое сообщение степеней серьезности ошибки, которое передается. Для буферизованной регистрации используется команда уровня logging buffered.

Этот пример конфигурации ограничивает сообщения журнала, которые передаются удаленным серверам syslog и локальному буферу журнала к степеням серьезности ошибки 6 (информационные) до 0 (аварийные ситуации):


!

logging trap 6
logging buffered 6

!

Обратитесь к Устранению неисправностей, Защите от ошибок и неисправностей, и Регистрации для получения дополнительной информации.

Не регистрируйте к консоли или сеансам монитора

С программным обеспечением Cisco IOS возможно передать сообщения журнала сеансам монитора — сеансы монитора являются интерактивными сеансами управления, на которых команда terminal monitor EXEC была выполнена — и к консоли. Однако выполнение так может поднять Загрузку ЦПУ устройства IOS и поэтому не рекомендуется. Вместо этого вам советуют передать регистрационную информацию локальному буферу журнала, который может быть просмотрен, используют команду show logging.

Используйте команды глобальной кофигурации никакая консоль регистрации и no logging monitor для отключения регистрации к консоли и сеансам монитора. Этот пример конфигурации показывает использование этих команд:


!

no logging console
no logging monitor

!

Обратитесь к Ссылке Команды управления Cisco IOS network для получения дополнительной информации о командах глобальной кофигурации.

Используйте буферизованную Регистрацию

Программное обеспечение Cisco IOS поддерживает использование локального буфера журнала так, чтобы администратор мог просмотреть локально сообщения созданного журнала. Использование буферизованной регистрации настоятельно рекомендовано в сравнении с регистрацией или к консоли или к сеансам монитора.

Существует два параметра конфигурации, которые релевантны, когда настройка буферизовала регистрацию: размер буфера журнала и важность сообщения, который сохранен в буфере. Размер буфера журнала настроен с размером logging buffered команды глобальной кофигурации. Самые низкие степени серьезности ошибки, включенные в буфер, настроены, используют команду severity logging buffered. Администратор в состоянии просмотреть содержание буфера журнала посредством команды EXEC show logging.

Этот пример конфигурации включает конфигурацию буфера журнала 16384 байтов, а также степеней серьезности ошибки 6, информационный, указывая, что хранятся сообщения на уровнях 0 (аварийные ситуации) до 6 (информационный):


!

logging buffered 16384 6

!

Обратитесь к Ссылке Команды управления Cisco IOS network для получения дополнительной информации о буферизованной регистрации.

Настройте исходный интерфейс Регистрации

Чтобы предоставить увеличенный уровень непротиворечивости при сборе и рассмотрении сообщений журнала, вам советуют статически настроить исходный интерфейс регистрации. Выполненный через команду интерфейса logging source-interface, статически настраивая исходный интерфейс регистрации гарантирует, что тот же IP-адрес появляется во всех сообщениях регистрации, которые передаются от отдельного устройства Cisco IOS. Для добавленной устойчивости вам советуют использовать интерфейс обратной связи как источнику регистрации.

Этот пример конфигурации иллюстрирует использование logging source-interface команда глобальной кофигурации интерфейса, чтобы задать, что IP-адрес loopback 0 интерфейсов использоваться для всех сообщений журнала:


!

logging source-interface Loopback 0

!

Обратитесь к Ссылке Команды Cisco IOS для получения дополнительной информации.

Настройте метки времени регистрации

Конфигурация меток времени регистрации помогает вам коррелировать события через сетевые устройства. Важно внедрить корректную и непротиворечивую конфигурацию метки времени регистрации, чтобы гарантировать, что вы в состоянии сопоставить данные регистрации. Метки времени регистрации должны быть настроены, чтобы включать дату и времю с точностью миллисекунды и включать часовой пояс в использование на устройстве.

Данный пример включает конфигурацию меток времени регистрации с точностью миллисекунды в Согласованном текущем времени (UTC) зона:


!

service timestamps log datetime msec show-timezone

!

Если вы предпочитаете не регистрировать времена относительно UTC, можно настроить определенный местный часовой пояс и настроить ту информацию для присутствования в сообщениях созданного журнала. Данный пример показывает конфигурацию устройства для зоны Тихоокеанского времени (PST):


!

clock timezone PST -8
service timestamps log datetime msec localtime show-timezone

!

Обратитесь к service timestamps и часовому поясу для получения дополнительной информации об этих командах.

Менеджмент конфигурации программного обеспечения Cisco IOS

Программное обеспечение Cisco IOS включает несколько функций, которые могут включить форму управления конфигурацией на устройстве Cisco IOS. Такие функции включают функциональность, чтобы заархивировать конфигурации и откатывать конфигурацию к предыдущей версии, а также создать журнал изменений подробной конфигурации.

Замена конфигурации и откат конфигурации

Начинание в Cisco IOS Software Release 12.3 (7) T, Конфигурация Заменяет, и функции Отката Конфигурации обеспечивают архивирование конфигурации устройства Cisco IOS на устройстве. Сохраненный вручную или автоматически, конфигурации в этом архиве могут использоваться, чтобы заменить текущую рабочую конфигурацию используя configure replace команда имени файла. Это в отличие от имени файла копии команда running-config. Команда имени файла configure replace заменяет рабочую конфигурацию в противоположность слиянию, выполненному командой копии.

Вам советуют активировать эту опцию на всех устройствах Cisco IOS в сети. После того, как включенный, администратор может заставить текущую рабочую конфигурацию быть добавленной к архиву при помощи команды EXEC archive config, которой дают привилегию. Заархивированные конфигурации могут быть просмотрены, используют команду EXEC show archive.

Данный пример иллюстрирует конфигурацию архивирования автоматической конфигурации. Данный пример дает устройству Cisco IOS команду хранить заархивированные конфигурации как файлы, названные archived-config-N на disk0: файловая система, чтобы поддержать максимум 14 резервных копий, и заархивировать один раз в день (1440 минут) и когда администратор дает команду EXEC write memory.


!

archive
 path disk0:archived-config
 maximum 14
 time-period 1440
 write-memory

!

Несмотря на то, что функциональность архивной конфигурации может сохранить до 14 резервных копирований конфигурации, вам советуют рассмотреть требования к пространству перед использованием максимальной команды.

Обратитесь к Конфигурации, Заменяют и Откат Конфигурации для получения дополнительной информации.

Монопольный доступ изменения конфигурации

Добавленный к Cisco IOS Software Release 12.3 (14) T, Монопольное Свойство доступа Изменения конфигурации гарантирует, что только один администратор изменяет конфигурацию устройства Cisco IOS в установленный срок. Эта функция помогает устранять нежелательное воздействие одновременных изменений, внесенных в компоненты связанной конфигурации. Эта функция настроена, используют configuration mode exclusive команды глобальной кофигурации режим и работает в одном из двух режимов: автоматический и ручной. Когда администратор дает команду EXEC configure terminal, в автоматическом режиме конфигурация автоматически блокирует. В ручном режиме администратор использует команду блокировки configure terminal для захвата конфигурации при вводе режима конфигурации.

Данный пример иллюстрирует конфигурацию этой функции захвата автоматической конфигурации:


!

configuration mode exclusive auto

!

Сошлитесь на Монопольный Доступ Изменения конфигурации (Блокировка Config) для получения дополнительной информации.

Программное обеспечение Cisco IOS эластичная конфигурация

Добавленный в Cisco IOS Software Release 12.3 (8) T, Эластичная функция Конфигурации позволяет надежно сохранить копию Образа ПОCisco IOS и конфигурации устройства, которая в настоящее время используется устройством Cisco IOS. Когда эта опция активирована, не возможно изменить или удалить эти резервные файлы. Вам советуют активировать эту опцию для предотвращения и непреднамеренных и злонамеренных попыток удалить эти файлы.


!

secure boot-image
secure boot-config

!

Как только эта опция активирована, возможно восстановить удаленную конфигурацию или Образ ПОCisco IOS. Текущее активное состояние этой функции может быть отображено, используют показ безопасная загрузочная команда EXEC.

Обратитесь к Cisco IOS Эластичную Конфигурацию для получения дополнительной информации об этой функции.

В цифровой форме подписанное программное обеспечение Cisco

Добавленный в Cisco IOS Software Release 15.0 (1) М. для Cisco 1900, 2900, и 3900 Series маршрутизаторов, В цифровой форме функция Программного обеспечения Cisco Со знаком упрощают использование программного обеспечения Cisco IOS, которое в цифровой форме подписывается и таким образом доверяется, использование, безопасное асимметричный (общий ключ) криптография.

В цифровой форме образ со знаком переносит зашифрованный (с секретным ключом) хэш его. На проверку устройство дешифрует хэш используя соответствующий открытый ключ от ключей, которые это имеет в его базе ключей и также вычисляет свой собственный хэш образа. Если дешифрованный хэш совпадает с расчетным хэшем образа, в образ не вмешались и может доверяться.

В цифровой форме подписанные ключи Программного обеспечения Cisco определены типом и версией ключа. Ключ может быть специальным предложением, производством, или типом ключа одновременного нажатия клавиш. Производство и специальные ключевые типы имеют связанную ключевую версию, которая инкрементно увеличивается в алфавитном порядке каждый раз, когда ключ отозван и заменен. ROMmon и обычные Образы Cisco IOS оба подписаны со специальным ключом или производственным ключом при использовании В цифровой форме функции Программного обеспечения Cisco Со знаком. Образ ROMMON обновляем и должен быть подписан с тем же ключом как специальное предложение или производственный образ, который будет загружен.

Следующая команда проверит целостность образа c3900-universalk9-mz. SSA во флэш-памяти использует ключи в базе ключей устройства:

show software authenticity file flash0:c3900-universalk9-mz.SSA

В цифровой форме функция Программного обеспечения Cisco Со знаком была также интегрирована в Выпуске 3.1.0 Cisco IOS XE. SG для Cisco Catalyst 4500 Коммутаторов Электронной серии.

Обратитесь к В цифровой форме Программному обеспечению Cisco Со знаком для получения дополнительной информации об этой функции.

Запускаясь в Cisco IOS Software Release 15.1 (1) T, Ключевая Замена для В цифровой форме Программного обеспечения Cisco Со знаком была представлена. Ключевая замена и аннулирование заменяют и удаляют ключ, который используется для В цифровой форме проверки Программного обеспечения Cisco Со знаком от ключевого хранилища платформы. Только особенный и производственные ключи может быть отозван в случае ключевого компромисса.

Новое (особенный или производство) ключ для (особенный или производство) образ входит (производство или аннулирование) образ, который используется для отмены предыдущего специального предложения или производственного ключа. Целостность образа аннулирования проверена, используют ключ одновременного нажатия клавиш, который прибывает предварительно сохраненный в платформу. Ключ одновременного нажатия клавиш не изменяется. При отмене производственного ключа, после того, как загружен образ аннулирования, новый ключ, который он переносит, добавлен к базе ключей, и соответствующий старый ключ может быть отозван, пока Образ ROMMON обновлен, и новый производственный образ загружен. При отмене специального ключа загружен производственный образ. Этот образ добавляет новый специальный ключ и может отозвать старый специальный ключ. После обновления ROMmon может быть загружен новый специальный образ.

Следующий пример описывает аннулирование специального ключа. Эти команды добавят новый специальный ключ к базе ключей от работающего производственного образа, скопируют новый Образ ROMMON (C3900_rom-monitor.srec. SSB) к области хранения (usbflash0:), обновите файл ROMmon, и отзовите старый специальный ключ:

software authenticity key add special
copy tftp://192.168.1.129/C3900_rom-monitor.srec.SSB usbflash0:
upgrade rom-monitor file usbflash0:C3900_PRIV_RM2.srec.SSB
software authenticity key revoke special

Новый специальный образ (c3900-universalk9-mz. SSB), может тогда быть скопирован для мигания, чтобы быть загруженным, и подпись образа заверена, используют недавно добавленный специальный ключ (.SSB):

copy /verify tftp://192.168.1.129/c3900-universalk9-mz.SSB flash:

Ключевое аннулирование и замена не поддерживаются на Коммутаторах Электронной серии Catalyst 4500, выполняющих программное обеспечение Cisco IOS XE, невзирая на то, что эти коммутаторы действительно поддерживают В цифровой форме функцию Программного обеспечения Cisco Со знаком.

Обратитесь к В цифровой форме разделу Аннулирования и Замены Ключа Программного обеспечения Cisco Со знаком В цифровой форме руководства Программного обеспечения Cisco Со знаком для получения дополнительной информации об этой функции.

Уведомление изменения конфигурации и Регистрация

Уведомление Изменения конфигурации и Характеристика входа в систему, добавленная в Cisco IOS Software Release 12.3 (4) T, позволяют регистрировать изменения конфигурации, сделанные к устройству Cisco IOS. Журнал поддержан на устройстве Cisco IOS и содержит сведения о пользователе частного лица, которое внесло изменение, команда настройки введенный, и время, когда было внесено изменение. Эта функциональность добавлена, используют команду режима конфигурации регистратора изменения конфигурации logging enable. Hidekeys дополнительных команд и logging size записи используются, чтобы улучшить конфигурацию по умолчанию путем предотвращения регистрации данных пароля и увеличения длины журнала изменений.

Вам советуют добавить эту функциональность так, чтобы история изменения конфигурации устройства Cisco IOS могла быть более понятной. Дополнительно, когда изменение конфигурации сделано, вам советуют использовать команду настройки notify syslog для включения генерации сообщений системного журнала.


!

archive
 log config
  logging enable
  logging size 200
  hidekeys
  notify syslog

!

После Уведомления Изменения конфигурации и Характеристики входа в систему был включен, config архивации журналов privileged EXEC command show, все могут использоваться, чтобы просмотреть журнал конфигурации.

Сошлитесь на Уведомление Изменения конфигурации и Регистрацию для получения дополнительной информации об этой функции.

Плоскость управления;

Функции уровня управления состоят из протоколов и процессов, которые связываются между сетевыми устройствами для перемещения данных из источника назначению. Это включает протоколы маршрутизации, такие как Border Gateway Protocol, а также протоколы как ICMP и Протокол резервирования ресурса (RSVP).

Важно, чтобы события в управлении и плоскостях данных не оказывали негативное влияние на уровень управления. Если событие плоскости данных, такое как влияние атаки DoS уровень управления, вся сеть может стать нестабильной. Эта информация о характеристиках программного обеспечения Cisco IOS и конфигурациях может помочь гарантировать упругость уровня управления.

Общее укрепление уровня управления

Защита уровня управления сетевого устройства важна, потому что уровень управления гарантирует, что управление и плоскости данных поддержаны и в рабочем состоянии. Если уровень управления должен был стать нестабильным во время случая нарушения защиты, для вас может быть невозможно восстановить устойчивость сети.

Во многих случаях отключение приема и передачи определенных типов сообщений на интерфейсе может минимизировать сумму Загрузки ЦПУ, которая требуется, чтобы обрабатывать ненужные пакеты.

Перенаправления ICMP IP

Когда пакет получен и передан на том же интерфейсе, сообщение перенаправления ICMP может генерироваться маршрутизатором. В этой ситуации маршрутизатор передает пакет и отсылает сообщение перенаправления ICMP назад к отправителю оригинального пакета. Это поведение позволяет отправителю обходить маршрутизатор и отправлять последующие пакеты непосредственно назначению (или маршрутизатору ближе назначению). В должным образом функционирующем IP - сети маршрутизатор передает перенаправления только хостам на его собственных локальных подсетях. Другими словами, перенаправления ICMP никогда не должны идти вне границы Уровня 3.

Существует два типа сообщений перенаправления ICMP: перенаправление для адреса узла и перенаправление для подсети в целом. Злонамеренный пользователь может использовать возможность маршрутизатора передать перенаправления ICMP, непрерывно передавая пакеты маршрутизатору, вынуждая маршрутизатор ответить сообщениями перенаправления ICMP, приводя к неблагоприятному воздействию на ЦПУ и производительности маршрутизатора. Чтобы препятствовать тому, чтобы маршрутизатор передал перенаправления ICMP, не используйте команду настройки интерфейса ip redirects.

Обратитесь к ip icmp redirect для получения дополнительной информации о перенаправлениях ICMP.

Недостижимый ICMP

Фильтрация со списком доступа к интерфейсам выявляет передачу сообщений о недоступности ICMP назад источнику отфильтрованного трафика. Генерирование этих сообщений может увеличить загрузку ЦПУ на устройстве. В программном обеспечении Cisco IOS генерация сообщения о недоступности ICMP ограничена одним пакетом каждые 500 миллисекунд по умолчанию. Генерация сообщения о недоступности ICMP может быть отключена, используют команду настройки интерфейса никакой ip unreachables. Ограничение скорости сообщения о недоступности ICMP может быть изменено от по умолчанию используя rate-limit icmp команды глобальной конфигурации IP недостижимый интервал в мс.

Протокол прокси-ARP

Прокси - протокол преобразования адресов является способом, в котором одно устройство, обычно маршрутизатор, отвечает на запросы ARP, которые предназначены для другого устройства. Путем "фальсифицирования" его идентичности маршрутизатор берет на себя ответственность за пакеты маршрутизации настоящему назначению. Агент ARP позволяет компьютерам подсети получить доступ к удаленным подсетям без настройки маршрутизации или шлюза по умолчанию. Протокол прокси-ARP описан в разделе RFC 1027 . leavingcisco.com

Существует несколько недостатков к использованию прокси - протокола преобразования адресов. Использование прокси - протокола преобразования адресов может привести к увеличению суммы трафика ARP на сегменте сети и истощения ресурсов и атак по перехвату и возможному изменению передаваемых данных. Прокси - протокол преобразования адресов представляет вектор атаки истощения ресурсов, потому что каждый проксированный запрос ARP использует малую величину памяти. Атакующий может быть в состоянии исчерпать всю доступную память путем передачи большого числа запросов ARP.

Атаки по перехвату и возможному изменению передаваемых данных включают хост в сети имитировать MAC-адрес маршрутизатора, приводящего к не подозревающим хостам, передающим трафик атакующему. Прокси - протокол преобразования адресов может быть отключен, используют no ip proxy-arp команды настройки интерфейса.

Обратитесь к Включению Прокси - протокола преобразования адресов для получения дополнительной информации об этой функции.

Ограничение влияния ЦПУ трафика уровня управления

Защита уровня управления важна. Поскольку производительность приложения и производительность конечного пользователя могут пострадать без присутствия данных и управляющего трафик, жизнеспособность уровня управления гарантирует, что другие две плоскости поддержаны и в рабочем состоянии.

Общие сведения трафика уровня управления

В заказе должным образом защищают уровень управления устройства Cisco IOS, важно понять типы трафика, который является процессом, коммутированным ЦПУ. Обработайте коммутируемый трафик, обычно состоит из двух различных типов трафика. Первый тип трафика направлен к устройству Cisco IOS и должен быть обработан непосредственно ЦПУ устройства Cisco IOS. Этот трафик состоит из этой категории:

  • Получите трафик смежности — Этот трафик содержит запись в Таблице Cisco Expressorwarding (CEF), посредством чего следующий переход маршрутизатора является устройством непосредственно, которое обозначено условием, получают в выходных данных Command Line Interface (CLI) show ip cef. Эта индикация имеет место для любого IP-адреса, который требует прямой обработки ЦПУ устройства Cisco IOS, который включает IP-адреса интерфейса, пространство адреса многоадресной рассылки, и пространство широковещательного адреса.

Второй тип трафика, который обрабатывается ЦПУ, является трафиком плоскости данных — трафиком с назначением вне устройства Cisco IOS непосредственно — который требует специальной обработки ЦПУ. Несмотря на то, что не полный список ЦПУ, влияющего на трафик плоскости данных, эти типы трафика, является коммутированным процессом и может поэтому влиять на операцию уровня управления:

  • Регистрация Списка управления доступом (ACL) — трафик Регистрации ACL состоит из любых пакетов, которые генерируются вследствие соответствия (permit or deny) ACE, на котором используется регистрационное ключевое слово.

  • Unicast Reverse Path Forwarding (RPF Индивидуальной рассылки) — RPF Индивидуальной рассылки, используемый в сочетании с ACL, может привести к коммутации в контексте процесса определенных, некоторый пакетов.

  • IP - режимы — Любые пакеты IP с включенными опциями должны быть обработаны ЦПУ.

  • Фрагментация — Любой пакет IP, который требует фрагментации, нужно передать к ЦПУ для того, чтобы обработать.

  • Истечение времени существования (TTL) — Пакеты, которые имеют значение TTL, меньше чем или равное 1, требуют, чтобы Превышенное время Internet Control Message Protocol (ТИП ICMP 11, Код 0) сообщения было передано, который приводит к Обработке ЦПУ.

  • Недостижимый ICMP — Пакеты, которые приводят к сообщениям о недоступности ICMP вследствие маршрутизации, MTU, или фильтрования, обработан ЦПУ.

  • Трафик, Требующий Запроса ARP — Назначения, для которых не существует Запись ARP, требует обработки ЦПУ.

  • не-IP трафик — Весь не-IP трафик обработан ЦПУ.

Этот список детализирует несколько методов для определения, какие типы трафика обрабатываются ЦПУ устройства Cisco IOS:

  • Команда show ip cef предоставляет информацию следующего перехода для каждого префикса IP, который содержится в таблице CEF. Как обозначено ранее, записи, которые содержат, получают, поскольку "Следующий переход" рассматривают, получают смежности и указывают, что трафик должен быть передан непосредственно ЦПУ.

  • Команда show interface switching предоставляет сведения о количестве пакетов быть процессом, коммутированным устройством.

  • Команда show ip traffic предоставляет сведения о количестве пакетов IP:

    • с локальным назначением (т.е. получите трафик смежности),

    • с опциями

    • это требует фрагментации

    • это передается пространству широковещательного адреса

    • это передается пространству адреса многоадресной рассылки

  • Получите трафик смежности, может быть определен с помощью команды show ip cache flow. Любые потоки, которые предназначены к устройству Cisco IOS, имеют Интерфейс назначения (DstIf) локальных.

  • Применение политик Уровня управления может использоваться, чтобы определить тип и скорость трафика, который достигает уровня управления устройства Cisco IOS. Применение политик уровня управления может быть выполнено с помощью ACL разграниченной классификации, регистрации, и использования команды show policy-map control-plane.

Инфраструктурные списки ACL

ACL инфраструктуры (iACLs) ограничивают внешнюю связь устройствами сети. ACL инфраструктуры экстенсивно покрыты Ограничивающим Доступом к Сети с разделом ACL Инфраструктуры этого документа.

Вам советуют внедрить iACLs для защиты уровня управления всех сетевых устройств.

Списки ACL для входящего трафика

Для распределенных платформ Получите ACL (rACL), может быть опция для Cisco IOS Software Release 12.0 (21) S2 для 12000 (GSR), 12.0 (24) S для этих 7500, и 12.0 (31) S для 10720. RACL защищает устройство от вредного трафика прежде, чем трафик повлияет на процессор маршрутов. Получите ACL, разработаны, чтобы только защитить устройство, на котором это настроено, и на транзитный трафик не влияет rACL. В результате IP - адрес назначения, любой, который используется в записях ACL в качестве примера ниже только, обращается к медосмотру или виртуальным IP - адресам маршрутизатора. Получите ACL, также считаются оптимальным методом сетевой безопасности и должен быть рассмотрен как долгосрочное добавление к хорошей сетевой безопасности.

Это - получить ACL пути, который записан для разрешения SSH (порт TCP 22) трафик от надежных хостов в 192.168.100.0/24 сети:


!
!--- Permit SSH from trusted hosts allowed to the device.
!

access-list 151 permit tcp 192.168.100.0 0.0.0.255 any eq 22

!
!--- Deny SSH from all other sources to the RP.
!

access-list 151 deny tcp any any eq 22

!
!--- Permit all other traffic to the device.
!--- according to security policy and configurations.
!

access-list 151 permit ip any any

!
!--- Apply this access list to the receive path.
!

ip receive access-list 151

!

Обратитесь к GSR: Получите Списки управления доступом (ACL), чтобы помочь определять и позволять легальный трафик устройству и запрещать все нежелательные пакеты.

Control Plane Policing

Уровень управления, Определяющий политику (CoPP), функция может также быть использована, чтобы ограничить пакеты IP, которые предназначены к устройству, относящемуся к инфраструктуре. В данном примере только трафику SSH от надежных хостов разрешают достигнуть ЦПУ устройства Cisco IOS.

Обратите внимание на то, что отбрасывание трафика от неизвестных или недоверяемых IP-адресов может предотвратить хосты с динамически-назначенными-IP-адресами с соединения на устройство Cisco IOS.


!

access-list 152 deny tcp <trusted-addresses> <mask> any eq 22
access-list 152 permit tcp any any eq 22
access-list 152 deny ip any any

!

class-map match-all COPP-KNOWN-UNDESIRABLE
 match access-group 152

!

policy-map COPP-INPUT-POLICY
 class COPP-KNOWN-UNDESIRABLE
  drop

!

control-plane
 service-policy input COPP-INPUT-POLICY

!

В предыдущем примере CoPP, записи ACL, которые совпадают с несанкционированными пакетами с результатом действия разрешения в сбросе этих пакетов функцией отбрасывания policy-map, в то время как на пакеты, которые совпадают с запрещать действием, не влияет функция отбрасывания policy-map.

CoPP доступен в Cisco IOS Software Release Train 12.0S, 12.2SX, 12.2S, 12.3T, 12.4, и 12.4T.

Обратитесь к Развертывающемуся Применению политик Уровня управления для получения дополнительной информации о конфигурации и использованию функции CoPP.

Защита уровня управления

Защита Уровня управления (CPPr), представленный в Cisco IOS Software Release 12.4 (4) T, может использоваться, чтобы ограничить или определить политику трафик уровня управления, который предназначен к ЦПУ устройства Cisco IOS. В то время как подобный CoPP, CPPr имеет возможность ограничить трафик с большой степенью детализации. CPPr делит составной уровень управления на три отдельных категории уровня управления, известные как подинтерфейсы. Подинтерфейсы существуют для Хоста, Транзита, и категорий трафика Исключения CEF. Кроме того, CPPr включает эти защитные функции уровня управления:

  • Функция фильтрации порта — Эта функция обеспечивает применение политик и отбрасывание пакетов, которые передаются закрытому или неслушающему TCP или портам UDP.

  • Функция пороговой обработки очереди — Эта функция ограничивает количество пакетов для указанного протокола, которые позволены во входной очереди IP уровня управления.

Обратитесь к Защите Уровня управления и Общим сведениям Защиты Уровня управления (CPPr) для получения дополнительной информации о конфигурации и использовании функции CPPr.

Аппаратные ограничители скорости

Cisco Catalyst 6500 Supervisor Engine Серии 32 и поддержка модуля управления Supervisor Engine 720 определяемые платформой, аппаратные ограничители скорости (HWRLs) для специальных сетевых сценариев. Эти аппаратные ограничители скорости упоминаются как ограничители скорости особого случая, потому что они покрывают определенный предопределенный набор IPv4, IPv6, индивидуальной рассылки, и передают сценарии DoS в многоадресном режиме. HWRLs может защитить устройство Cisco IOS от множества атак, которые требуют, чтобы пакеты были обработаны ЦПУ.

Существует несколько HWRLs, которые включены по умолчанию. Обратитесь к PFC3 Аппаратные Настройки по умолчанию Ограничителя Скорости для получения дополнительной информации.

Обратитесь к Аппаратным Ограничителям Скорости на PFC3 для получения дополнительной информации о HWRLs.

Обеспечение BGP

Border Gateway Protocol (BGP) является основой маршрутизации Интернета. Также, любая организация с больше, чем умеренными требованиями подключения часто использует BGP. BGP часто предназначается атакующими из-за его вездесущности и “набора, и забудьте” природу BGP - конфигураций в меньших организациях. Однако существует много специфичных для BGP характеристик защиты, которые могут быть усилены для увеличения безопасности BGP - конфигурации.

Это предоставляет обзор самых важных характеристик защиты BGP. Где необходимо рекомендации по конфигурации сделаны.

Основанные на TTL средства обеспечения безопасности

Каждый пакет IP содержит 1-байтовое поле, известное как Время жизни (TTL). Каждое устройство, что пакет IP пересекает декременты это значение одним. Начальное значение варьируется операционной системой и, как правило, колеблется от 64 до 255. Когда его значение TTL достигает ноля, пакет отброшен.

Известный и как Обобщенный основанный на TTL механизм обеспечения безопасности (GTSM) и как Взлом безопасности TTL BGP (BTSH), основанное на TTL средство обеспечения безопасности усиливает значение TTL пакетов IP, чтобы гарантировать, что пакеты BGP, которые получены, от непосредственно связанного узла. Эта функция часто требует координации от маршрутизаторов равноправного информационного обмена; однако когда-то включенный, это может полностью победить, многие на основе TCP нападают против BGP.

GTSM для BGP включен, используют опцию ttl-security для соседней команды настройки маршрутизатора под управлением BGP. Данный пример иллюстрирует конфигурацию этой функции:


!

router bgp <asn>
 neighbor <ip-address> remote-as <remote-asn>
 neighbor <ip-address> ttl-security hops <hop-count>

!

Поскольку пакеты BGP получены, значение TTL проверено и должно быть больше, чем или равным 255 минус заданное число переходов.

Обратитесь к Поддержке BGP для Проверки безопасности TTL для получения дополнительной информации.

Аутентификация однорангового соединения по протоколу BGP с MD5

Аутентификация однорангового узла использование MD5 создает дайджест MD5 каждого пакета, передаваемого как часть сеанса BGP. В частности части IP и заголовков TCP, Содержимого tcp, и секретного ключа используются, чтобы генерировать дайджест.

Созданный дайджест тогда сохранен в Виде параметра TCP 19, который был создан в частности для этой цели RFC 2385. Динамик BGP получения использует тот же алгоритм и секретный ключ для регенерации профиля сообщения. Если полученные и вычисленные дайджесты не идентичны, от пакета сбрасывают.

Аутентификация однорангового узла с MD5 настроена при помощи параметра пароля к соседней команде настройки маршрутизатора под управлением BGP. Использование этой команды иллюстрировано следующим образом:


!

router bgp <asn>
 neighbor <ip-address> remote-as <remote-asn>
 neighbor <ip-address> password <secret>

!

Сошлитесь на Аутентификацию Соседнего маршрутизатора для получения дополнительной информации об аутентификации Однорангового соединения по протоколу BGP с MD5.

Максимальное число префиксов Настройки

Префиксы BGP сохранены маршрутизатором в памяти. Больше префиксов, что маршрутизатор должен держать результаты в BGP, использующем большую память. В некоторых конфигурациях подмножество всех интернет-префиксов может быть сохранено, такой как в конфигурациях, которые усиливают только маршрут по умолчанию или маршруты для сетей заказчика поставщика.

Чтобы предотвратить исчерпание памяти, важно настроить максимальное число префиксов, которое принято на основе за узел. Рекомендуется, чтобы предел был настроен для каждого Однорангового соединения по протоколу BGP.

Когда настройка этой функции использует команду настройки маршрутизатора под управлением BGP neighbor maximum-prefix, один аргумент требуется: максимальное число префиксов, которые приняты перед узлом, является завершением. Дополнительно, количество от 1 до 100 может также быть введено. Это количество представляет процент от значения максимального числа префиксов в этот момент, сообщение журнала передается.


!

router bgp <asn>
 neighbor <ip-address> remote-as <remote-asn>
 neighbor <ip-address> maximum-prefix <shutdown-threshold> <log-percent>

!

Обратитесь к Настройке Характеристику получения максимального префикса BGP для получения дополнительной информации о максимальном числе префиксов за узел.

Префиксы BGP фильтрации со списками префиксов

Списки префиксов позволяют администратору сети permit or deny определенные префиксы, которые переданы или получены через BGP. Списки префиксов должны использоваться где только возможно, чтобы гарантировать, что сетевой трафик передается по намеченным путям. Списки префиксов должны быть применены к каждому узлу eBGP и во входящем и в исходящих направлениях.

Настроенные списки префиксов ограничивают префиксы, которые переданы или получены к в частности разрешенным политикой маршрутизации сети. Если это не происходит из-за большого числа полученных префиксов, список префиксов должен быть настроен, чтобы в частности заблокировать известные плохие префиксы. Эти известные плохие префиксы включают невыделенное пространство IP-адресов и сети, которые зарезервированы для внутреннего или целей тестирования RFC 3330. Исходящие списки префиксов должны быть настроены, чтобы в частности разрешить только префиксы, которые организация намеревается рекламировать.

Этот пример конфигурации использует списки префиксов для ограничения маршрутов, которые изучаются и рекламируются. В частности только маршрут по умолчанию позволен входящий списком префиксов BGP-PL-INBOUND, и префикс 192.168.2.0/24 является единственным маршрутом, позволенным рекламироваться BGP-PL-OUTBOUND.


!

ip prefix-list BGP-PL-INBOUND seq 5 permit 0.0.0.0/0
ip prefix-list BGP-PL-OUTBOUND seq 5 permit 192.168.2.0/24

!

router bgp <asn>
 neighbor <ip-address> prefix-list BGP-PL-INBOUND in
 neighbor <ip-address> prefix-list BGP-PL-OUTBOUND out

!

Обратитесь к Соединению с Поставщиком услуг Использование Внешнего BGP для полного обзора фильтрования префикса BGP.

Префиксы BGP фильтрации со Списками доступа пути автономной системы

Списки доступа пути автономной системы (AS) BGP позволяют пользователю фильтровать полученные и рекламируемые префиксы на основе атрибута AS-path префикса. Это может использоваться в сочетании со списками префиксов для установления устойчивого набора фильтров.

Этот пример конфигурации использует списки доступа пути AS для ограничения входящих префиксов инициируемыми удаленным AS и исходящими префиксами к инициируемым локальной автономной системой. Префиксы, которые являются исходящими от всех других автономных систем, фильтрованы и не установлены в таблице маршрутизации.


!

ip as-path access-list 1 permit ^65501$
ip as-path access-list 2 permit ^$

!

router bgp <asn>
 neighbor <ip-address> remote-as 65501
 neighbor <ip-address> filter-list 1 in
 neighbor <ip-address> filter-list 2 out

!

Обеспечение протоколов внутреннего шлюза

Возможность сети должным образом передать трафик и восстановиться с изменений топологии или отказов зависит от точного отображения топологии. Выполнение Протокола внутреннего шлюза (IGP) может часто предоставлять это представление. По умолчанию IGP являются динамичными и обнаруживают дополнительные маршрутизаторы, которые связываются с определенным IGP в использовании. IGP также обнаруживают маршруты, которые могут использоваться во время сбоя соединения сети.

Эти подразделы предоставляют обзор самых важных характеристик защиты IGP. Рекомендации и примеры, которые покрывают Версию 2 Протокола RIP (Routing Information Protocol) (RIPv2), Enhanced Interior Gateway Routing Protocol (EIGRP), и Open Shortest Path First (OSPF), предоставлены когда соответствующий.

Аутентификация Протокола маршрутизации и Проверка с Профилем сообщения 5

Сбой для обеспечения обмена сведениями о маршрутизации позволяет атакующему вводить ложные сведения о маршрутизации в сеть. При помощи проверки подлинности с помощью пароля с протоколами маршрутизации между маршрутизаторами можно помочь безопасности сети. Однако, потому что эта аутентификация передается как открытый текст, может быть просто для атакующего ниспровергать это управление безопасностью.

Путем добавления возможностей хэша MD5 к процессу проверки подлинности обновления маршрута больше не содержат нешифрованные пароли, и все содержание обновления маршрута является более стойким к вмешательству. Если слабые пароли выбраны, Однако аутентификация MD5 все еще восприимчива к грубой силе и подборам пароля по словарю. Вам советуют использовать пароли с достаточной рандомизацией. Когда по сравнению с проверкой подлинности с помощью пароля, эти примеры являются определенными для аутентификации MD5, так как аутентификация MD5 намного более безопасна. IPSec может также использоваться, чтобы проверить и защитить протоколы маршрутизации, но эти примеры не детализируют его использование.

EIGRP и RIPv2 используют Цепочки ключей как часть конфигурации. Обратитесь к ключу для получения дополнительной информации о конфигурации и использовании Цепочек ключей.

Это - пример конфигурации для аутентификации маршрутизатора EIGRP использование MD5:


!

key chain <key-name>
 key <key-identifier>
 key-string <password> 

!

interface <interface>
 ip authentication mode eigrp <as-number> md5
 ip authentication key-chain eigrp <as-number> <key-name>

!

Отнеситесь для Настройки Аутентификации МАРШРУТА EIGRP для получения дополнительной информации.

Это - конфигурация проверки подлинности маршрутизатора MD5 в качестве примера для RIPv2. RIPv1 не поддерживает аутентификацию.


!

key chain <key-name>
 key <key-identifier>
 key-string <password> 

!

interface <interface>
 ip rip authentication mode md5
 ip rip authentication key-chain <key-name>

!

Обратитесь к Включению Аутентификации RIP для получения дополнительной информации.

Это - пример конфигурации для аутентификации маршрутизатора OSPF использование MD5. OSPF не использует Цепочки ключей.


!

interface <interface>
 ip ospf message-digest-key <key-id> md5 <password>

!

router ospf <process-id>
 network 10.0.0.0 0.255.255.255 area 0
 area 0 authentication message-digest

!

Обратитесь к OSPF Настройки для получения дополнительной информации.

Команды Passive-Interface

Информационные утечки, или введение ложной информации в IGP, могут быть смягчены посредством использования команды passive-interface, которая помогает в управлении рекламой сведений о маршрутизации. Вам советуют не рекламировать любую информацию к сетям, которые являются вне вашего административного контроля.

Данный пример демонстрирует использование этой функции:


!

router eigrp <as-number> 
 passive-interface default
 no passive-interface <interface>

!

Обратитесь к Пассивным характеристикам интерфейса По умолчанию для получения дополнительной информации о функции passive-interface.

Фильтрование маршрутов

Чтобы сократить возможность представления ложных сведений о маршрутизации в сети, необходимо использовать Фильтрацию маршрута. В отличие от команды конфигурации маршрутизатора passive-interface, маршрутизация происходит на интерфейсах, как только фильтрация маршрута включена, но информация, которая рекламируется или обрабатывается, ограничена.

Для EIGRP и RIP, используют команду distribute-list с пределы ключевого слова, какая информация рекламируется, в то время как использование в ключевом слове ограничивает, какие обновления обработаны. Команда distribute-list доступна для OSPF, но это не препятствует тому, чтобы маршрутизатор распространился фильтрованные маршруты. Вместо этого команда area filter-list может использоваться.

Этот пример EIGRP фильтрует исходящие рекламные объявления с командой distribute-list и списком префиксов:


!

ip prefix-list <list-name> seq 10 permit <prefix> 

!

router eigrp <as-number>
 passive-interface default
 no passive-interface <interface>
 distribute-list prefix <list-name> out <interface>

!

Этот пример EIGRP фильтрует входящие обновления со списком префиксов:


!

ip prefix-list <list-name> seq 10 permit <prefix> 

!

router eigrp <as-number>
 passive-interface default
 no passive-interface <interface>
 distribute-list prefix <list-name> in <interface>

!

Обратитесь к Настройке Независимые от протокола IP - маршрутизация Функции для получения дополнительной информации об управлении рекламой и обработке обновлений маршрута.

Этот пример OSPF использует список префиксов со специфичной для OSPF командой area filter-list:


!

ip prefix-list <list-name> seq 10 permit <prefix> 

!

router ospf <process-id>
 area <area-id> filter-list prefix <list-name> in 

!

Обратитесь к Типу ABR OSPF 3 LSA фильтрации для получения дополнительной информации о Граничном маршрутизаторе ОБЛАСТИ OSPF (ABR) Тип 3 фильтрования описаний локального состояния соединениий.

Потребление ресурсов процесса маршрутизации

Префиксы Протокола маршрутизации сохранены маршрутизатором в памяти, и увеличениями потребления ресурсов с дополнительными префиксами, которые должен держать маршрутизатор. Чтобы предотвратить истощение ресурсов, важно настроить протокол маршрутизации для ограничения потребления ресурсов. Это возможно с OSPF путем использования функции Защиты от перегрузок Базы данных Состояния канала.

Данный пример демонстрирует конфигурацию функции Защиты от перегрузок Базы данных состояний каналов OSPF:


!

router ospf <process-id>
 max-lsa <maximum-number> 

!

Обратитесь к Ограничению Количества Самогенерирования LSA для Процесса OSPF для получения дополнительной информации о Защите от перегрузок Базы данных состояний каналов OSPF.

Обеспечение первых протоколов избыточности переходов

Первые Протоколы Избыточности переходов (FHRPs) предоставляют упругость и избыточность для устройств, которые действуют как шлюзы по умолчанию. Эта ситуация и эти протоколы являются банальными в средах, где пара приборов слоя 3 предоставляет функциональность шлюза по умолчанию для сегмента сети или набора VLAN, которые содержат серверы или рабочие станции.

Шлюз, распределяющий нагрузку протокол (GLBP), Протокол маршрутизатора горячего резервирования (HSRP), и Протокол резервного виртуального маршрутизатора (VRRP) являются всем FHRPs. По умолчанию эти протоколы передают используя не прошедшую поверку подлинности связь. Этот вид связи может позволить атакующему изображать из себя FHRP-говорящее устройство для принятия роли шлюза по умолчанию в сети. Это поглощение позволило бы атакующему выполнять атаку по перехвату и возможному изменению передаваемых данных и перехватывать весь трафик пользователя, который выходит из сети.

Чтобы предотвратить этот тип атаки, все FHRPs, которые поддерживаются программным обеспечением Cisco IOS, включают опознавательную возможность используя или MD5 или текстовые строки. Из-за угрозы, представленной не прошедшим поверку подлинности FHRPs, рекомендуется, чтобы экземпляры этих протоколов использовали аутентификацию MD5. Этот пример конфигурации демонстрирует использование GLBP, HSRP, и аутентификации MD5 VRRP:


!

interface FastEthernet 1
 description *** GLBP Authentication ***
 glbp 1 authentication md5 key-string <glbp-secret>
 glbp 1 ip 10.1.1.1

!

interface FastEthernet 2
 description *** HSRP Authentication ***
 standby 1 authentication md5 key-string <hsrp-secret>
 standby 1 ip 10.2.2.1

!

interface FastEthernet 3
 description *** VRRP Authentication ***
 vrrp 1 authentication md5 key-string <vrrp-secret> 
 vrrp 1 ip 10.3.3.1

!

Обратитесь к GLBP Настройки, HSRP Настройки, и VRRP Настройки для получения дополнительной информации относительно конфигурации аутентификации с FHRPs.

Плоскость данных

Несмотря на то, что плоскость данных отвечает за движущиеся данные из источника назначению в контексте безопасности, плоскость данных наименее важна из этих трех плоскостей. Именно по этой причине при обеспечении сетевого устройства важно защитить управление и уровни управления в предпочтении по плоскости данных.

Однако в плоскости данных непосредственно, существует много функций и параметров конфигурации, которые могут помочь защищать трафик. Эти разделы детализируют эти функции и опции так, что, можно более легко защитить сеть.

Укрепление плоскости общих данных

Большая часть трафика плоскости данных течет по сети как определено настройкой маршрутизации сети. Однако функциональность IP - сети существует для изменения пути пакетов по сети. Функции, такие как IP - режимы, в частности параметр исходной маршрутизации, формируют проблему безопасности в сегодняшних сетях.

Использование Транзитных ACL также относится к укреплению плоскости данных. См. Транзитный трафик фильтрации с Транзитным разделом ACL этого документа для получения дополнительной информации.

IP - режимы выборочное отбрасывание

Существует две проблемы безопасности, представленные IP - режимами. Трафик, который содержит IP - режимы, должен быть процессной коммутацией устройствами Cisco IOS, которые могут привести к поднятой Загрузке ЦПУ. IP - режимы также включают функциональность для изменения пути, который трафик берет через сеть, потенциально позволяя ему ниспровергать управления безопасностью.

Вследствие этих проблем опции команды глобальной конфигурации IP {отбрасывание | игнорирует}, был добавлен к Cisco IOS Software Release 12.3 (4) T, 12.0 (22) S, и 12.2 (25) S. В первой форме этой команды, отбрасывания опций ip, отброшены все пакеты IP, содержащие IP - режимы, которые получены устройством Cisco IOS. Это предотвращает и поднятую Загрузку ЦПУ и возможную подрывную деятельность управлений безопасностью, которые могут включить IP - режимы.

Вторая форма этой команды, опции ip игнорируют, настраивает устройство Cisco IOS для игнорирования IP - режимов, которые содержатся в полученных пакетах. В то время как это действительно смягчает угрозы, отнесенные к IP - режимам для локального устройства, возможно, что на нисходящие устройства могло влиять присутствие IP - режимов. Именно по этой причине форма отбрасывания этой команды настоятельно рекомендована. Это демонстрируется в примере конфигурации:


!

ip options drop

!

Обратите внимание на то, что некоторые протоколы, например RSVP, делают легитимное использование IP - режимов. На функциональность этих протоколов влияет эта команда.

Один раз IP - режимы Выборочное Отбрасывание было включено, команда EXEC show ip traffic может использоваться, чтобы определить количество пакетов, которые отброшены вследствие присутствия IP - режимов. Эта информация присутствует в принудительном счетчике сбросов.

Обратитесь к IP - режимам ACL Выборочное Отбрасывание для получения дополнительной информации об этой функции.

Отключите маршрутизацию источника IP

Источник IP, направляющий, усиливает Свободный Исходный маршрут и Параметры записи маршрута в тандеме или Строгий Исходный маршрут вместе с Параметром записи маршрута, чтобы включить источник дейтаграммы IP задать сетевой путь, который берет пакет. Эта функциональность может использоваться в попытках направить трафик вокруг управлений безопасностью в сети.

Если IP - режимы не были полностью отключены через IP - режимы Выборочная функция Отбрасывания, важно, чтобы была отключена маршрутизация Источника IP. Маршрутизация источника IP, которая включена по умолчанию во всех Cisco IOS Software Release, отключена через команду глобальной кофигурации no ip source-route. Этот пример конфигурации иллюстрирует использование этой команды:


!

no ip source-route

!

Обратитесь к Ссылке Команды Cisco IOS для получения дополнительной информации о команде ip source-route.

Отключите перенаправления ICMP

Перенаправления ICMP используются, чтобы сообщить сетевому устройству лучшего пути к IP - адресу назначения. По умолчанию программное обеспечение Cisco IOS передает перенаправление, если оно получает пакет, который должен маршрутизироваться через интерфейс, оно было получено.

В некоторых ситуациях для атакующего может быть возможно заставить устройство Cisco IOS передавать много сообщений перенаправления ICMP, приводящих к поднятой Загрузке ЦПУ. Поэтому рекомендуется, чтобы была отключена передача перенаправлений ICMP. Перенаправления ICMP отключены, используют команду настройки интерфейса никакой ip redirects, как показано в примере конфигурации:


!

interface FastEthernet 0
 no ip redirects

!

Обратитесь к Команде Cisco IOS для получения дополнительной информации о команде настройки интерфейса ip redirects.

Отключите или ограничьте направленные широковещательные IP - рассылки

Направленные широковещательные IP - рассылки позволяют передать пакет IP - трансляции удаленной IP-подсети. Как только это достигает удаленной сети, передающий IP - устройство передает пакет как широковещание Уровня 2 ко всем станциям на подсети. Эта функциональность адресной трансляции была усилена, поскольку усиление и отражение способствуют нескольким атакам, включая smurf-атаку.

Текущим версиям программного обеспечения Cisco IOS отключили эту функциональность по умолчанию; однако это может быть включено через команду настройки интерфейса ip directed-broadcast. Версиям программного обеспечения Cisco IOS до 12.0 включили эту функциональность по умолчанию.

Если сеть абсолютно требует функциональности адресной трансляции, ее использование должно управляться. Это - возможное использование список управления доступом (ACL) как опция к команде ip directed-broadcast. Этот пример конфигурации ограничивает адресные трансляции теми пакетами UDP, происходящими в надежной сети, 192.168.1.0/24:


!

access-list 100 permit udp 192.168.1.0 0.0.0.255 any

!

interface FastEthernet 0
 ip directed-broadcast 100

!

Обратитесь к Команде Сервисов адресации IP для получения дополнительной информации о команде ip directed-broadcast.

Транзитный трафик фильтрации с транзитными ACL

Возможно управлять тем, какой трафик передает транзитом сеть при помощи транзитных ACL (tACLs). Это в отличие от ACL инфраструктуры, которые ищут на трафик фильтрации, который предназначен к сети непосредственно. Фильтрование, предоставленное tACLs, выгодно, когда это выбираемо к трафику фильтрации к конкретной группе устройств или трафика, который является проходящим сеть.

Этот тип фильтрования традиционно выполнен межсетевыми экранами. Однако существуют экземпляры, где это может быть выгодно для выполнения этого фильтрования на устройстве Cisco IOS в сети, например, где фильтрование должно быть выполнено, но никакой межсетевой экран не присутствует.

Транзитные ACL являются также соответствующим местом, на котором можно внедрить статические защиты антиспуфинга. См., что Анти-Имитирует раздел Защит этого документа для получения дополнительной информации.

Для получения дополнительной информации см. "Транзитные списки контроля доступа: Фильтрация в Вашем Краю для получения дополнительной информации о tACLs.

Фильтрация пакета ICMP

Протокол ICMP был разработан как протокол управления для IP. Также, сообщения, которые это передает, могут иметь далеко достигающие ограничения на TCP и Протоколах "IP" в целом. ICMP используется эхо-запросом средств устранения неполадок сети и traceroute, а также Обнаружением MTU-маршрута; однако внешнее подключение ICMP редко необходимо для правильной работы сети.

Программное обеспечение Cisco IOS предоставляет функциональность, чтобы в частности фильтровать сообщения ICMP по имени или тип и код. ACL данного примера позволяет ICMP от надежных сетей при блокировании всех пакетов ICMP из других источников:


!

ip access-list extended ACL-TRANSIT-IN

!
!--- Permit ICMP packets from trusted networks only
!

 permit icmp host <trusted-networks> any 

!
!--- Deny all other IP traffic to any network device
!

 deny icmp any any

!

IP - фрагменты фильтрации

Как детализировано ранее на Ограничивающем Доступе к Сети с разделом ACL Инфраструктуры этого документа, фильтрование фрагментированных пакетов IP может поставить проблему к средствам защиты.

Из-за неинтуитивной природы обработки фрагмента IP - фрагменты часто непреднамеренно разрешаются ACL. Фрагментация также часто используется в попытках уклониться от обнаружения Intrusion Detection Systems. Именно по этим причинам IP - фрагменты часто используются в атаках и должны быть явно фильтрованы наверху любого настроенного tACLs. ACL ниже приводит всестороннее фильтрование IP - фрагментов. Функциональность, иллюстрированная в данном примере, должна использоваться в сочетании с функциональностью предыдущих примеров:


!

ip access-list extended ACL-TRANSIT-IN

!
!--- Deny IP fragments using protocol-specific ACEs to aid in 
!--- classification of attack traffic
!

 deny tcp any any fragments
 deny udp any any fragments
 deny icmp any any fragments
 deny ip any any fragments

!

Сошлитесь на Списки управления доступом (ACL) и IP - фрагменты для получения дополнительной информации относительно обработки ACL фрагментированных пакетов IP.

Поддержка ACL IP - режимов фильтрации

Запускаясь в Cisco IOS Software Release 12.3 (4) T, программное обеспечение Cisco IOS поддерживает использование ACL для фильтрования пакетов IP на основе IP - режимов, которые содержатся в пакете. Присутствие IP - режимов в пакете может указать, что попытка ниспровергать управления безопасностью в сети или иным образом изменяет транзитные характеристики пакета. Именно по этим причинам пакеты с IP - режимами должны быть фильтрованы в краю сети.

Данный пример должен использоваться с содержанием от предыдущих примеров для включения завершенного фильтрования пакетов IP, которые содержат IP - режимы:


!

ip access-list extended ACL-TRANSIT-IN

!
!--- Deny IP packets containing IP options
!

 deny ip any any option any-options

!

Обратитесь к Поддержке ACL IP - режимов фильтрации для получения дополнительной информации.

Защиты антиспуфинга

Много атак используют спуфинг IP - адреса источника, чтобы быть эффективными или скрыть истинный источник атаки и препятствовать точной обратной трассировке. Программное обеспечение Cisco IOS предоставляет RPF Индивидуальной рассылки и Защиту IP-источника (IPSG) для удерживания атак, которые полагаются на спуфинг IP - адреса источника. Кроме того, ACL и пустая маршрутизация часто развертываются как ручное средство спуфинга предотвращения.

Защита IP-источника эффективна при уменьшении спуфинга для сетей, которые находятся под прямым административным контролем путем выполнения порта коммутатора, MAC-адреса, и проверки адреса источника. RPF индивидуальной рассылки предоставляет проверку исходной сети и может сократить имитировавшие атаки от сетей, которые не находятся под прямым административным контролем. Защита порта может использоваться, чтобы проверить MAC-адресов в уровне доступа. Протокол Разрешения динамических адресов (ARP), Контроль (1zwt3d) смягчает векторы атаки, которые используют отравление ARP на локальных сегментах.

RPF индивидуальной рассылки

RPF индивидуальной рассылки включает устройство проверить, что адрес источника переданного пакета может быть достигнут через интерфейс, который получил пакет. Вы не должны полагаться на RPF Индивидуальной рассылки как на единственную защиту от спуфинга. Если соответствующий маршрут return к IP - адресу источника существует, поддельные пакеты могли ввести сеть через Индивидуальную рассылку поддерживающий RPF интерфейс. RPF индивидуальной рассылки полагается на вас для включения скоростной маршрутизации Cisco на каждом устройстве, и настроен на поинтерфейсной основе.

RPF индивидуальной рассылки может быть настроен в одном из двух режимов: свободный или строгий. В случаях, где существует асимметричная маршрутизация, предпочтен свободный режим, потому что строгий режим, как известно, отбрасывает пакеты в этих ситуациях. Во время конфигурации ip проверяют команду настройки интерфейса, любое ключевое слово настраивает свободный режим, в то время как rx ключевого слова настраивает строгий режим.

Данный пример иллюстрирует конфигурацию этой функции:


!

ip cef

!

interface <interface>
  ip verify unicast source reachable-via <mode>

!

Обратитесь к Общим сведениям Unicast Reverse Path Forwarding для получения дополнительной информации о конфигурации и использовании RPF Индивидуальной рассылки.

Обратитесь к Unicast Reverse Path Forwarding Свободный Режим для получения дополнительной информации об этой функции.

Защита от подделки IP-адреса (IP Source Guard)

Защита IP-источника является эффективными средствами спуфинга предотвращения, которое может использоваться, если вы управляете Интерфейсами 2 уровня. Защита IP-источника использует информацию от DHCP, snooping для динамичной настройки списка управления доступом (ACL) порта (PACL) на Интерфейсе 2 уровня, запрещая любой трафик от IP-адресов, которые не привязаны в таблице IP source binding.

Защита IP-источника может быть применена к Интерфейсам 2 уровня, принадлежащим DHCP, snooping поддерживающие VLAN. Эти команды включают snooping DHCP:


!

ip dhcp snooping
ip dhcp snooping vlan <vlan-range>

!

После того, как snooping DHCP включен, эти команды включают IPSG:


!

interface <interface-id>
   ip verify source 

!

Защита порта может быть включена с командой настройки интерфейса защиты порта ip verify source. Это требует dhcp команды глобальной конфигурации IP, snooping параметр данных; дополнительно, сервер DHCP должен поддержать параметр DHCP 82.

Обратитесь к функциям DHCP Настройки и Защите IP-источника для получения дополнительной информации об этой функции.

Защита порта

Защита порта используется, чтобы смягчить спуфинг MAC-адреса в интерфейсе доступа. Защита порта может использовать динамически изученные (sticky) MAC-адреса для упрощения в начальной конфигурации. Как только защита порта определила нарушение MAC, она может использовать один из четырех режимов нарушения. Эти режимы, защищают, ограничивают, завершение, и shutdown VLAN. В экземплярах, когда порт только предоставляет доступ для одной рабочей станции, использующей стандартные протоколы, максимальное число, можно быть достаточным. Протоколы, которые усиливают виртуальные MAC - адреса, такие как HSRP, не функционируют, когда максимальное число установлено в одно.


!

interface <interface> 
  switchport
  switchport mode access 
  switchport port-security
  switchport port-security mac-address sticky
  switchport port-security maximum <number>
  switchport port-security violation <violation-mode>

!

Сошлитесь на Защиту порта Настройки для получения дополнительной информации о настройке Защиты порта.

Динамическая проверка ARP

Динамическая проверка ARP (DAI) может быть использована для смягчения атак отравления ARP на локальные сегменты. Атака отравления ARP является методом, в котором атакующий передает сфальсифицированную информацию ARP локальному сегменту. Эта информация разработана для повреждения кэша ARP других устройств. Часто атакующий использует отравление ARP, чтобы выполнить атаку по перехвату и возможному изменению передаваемых данных.

1zwt3d перехватывают и проверяют отношения IP К MAC-АДРЕСУ всех пакетов ARP на ненадежных портах. В средах DHCP 1zwt3d используют данные, которые генерируются DHCP, snooping функция. Пакеты ARP, которые получены на интерфейсах, которым доверяют, не проверены, и от недопустимых пакетов на ненадежных интерфейсах сбрасывают. В средах не-DHCP требуется использование ACL ARP.

Эти команды включают snooping DHCP:


!

ip dhcp snooping
ip dhcp snooping vlan <vlan-range>

!

Как только snooping DHCP был включен, эти команды включают 1zwt3d:


!

ip arp inspection vlan <vlan-range> 

!

В средах DHCP non ACL ARP требуются, чтобы включать 1zwt3d. Данный пример демонстрирует базовую конфигурацию 1zwt3d с ACL ARP:


!

arp access-list <acl-name>
 permit ip host <sender-ip> mac host <sender-mac>

!

ip arp inspection filter <arp-acl-name> vlan <vlan-range>

!

Обратитесь к Настройке Динамическую Проверку ARP для получения дополнительной информации о том, как настроить 1zwt3d.

Антиспуфинговые списки доступа

Вручную настроенные ACL могут обеспечить статическую защиту антиспуфинга против атак, которые используют известное неиспользованное и недоверяемое адресное пространство. Обычно, эти антиспуфинговые списки доступа применены к входному трафику в границах сети как компонент большего ACL. Антиспуфинговые списки доступа требуют обычного мониторинга, поскольку они могут часто изменяться. Спуфинг может быть минимизирован в трафике, происходящем из локальной сети путем применения исходящих ACL, которые ограничивают трафик допустимыми локальный адресами.

Данный пример демонстрирует, как ACL могут использоваться, чтобы ограничить IP-спуфинг. Этот ACL применен входящий на необходимом интерфейсе. ACE, которые составляют этот ACL, не являются всесторонними. Если вы настраиваете эти типы ACL, ищете актуальную ссылку, которая является заключительной.


!

ip access-list extended ACL-ANTISPOOF-IN
 deny	ip 10.0.0.0 0.255.255.255 any
 deny	ip 192.168.0.0 0.0.255.255 any

!

interface <interface>
 ip access-group ACL-ANTISPOOF-IN in

!

Обратитесь к Настройке Обычно Используемые ACL IP для получения дополнительной информации о том, как настроить Списки управления доступом (ACL).

Официальный список невыделенных Интернет-адресов поддержан Командой Cymru. Дополнительные сведения о фильтровании неиспользуемых адресов доступны в Ссылочной Странице Bogon leavingcisco.com.

Ограничение влияния ЦПУ трафика плоскости данных

Первичная цель маршрутизаторов и коммутаторов должна передать пакеты и кадры через устройство вперед к конечным назначениям. Эти пакеты, которые передают транзитом устройства, развернутые всюду по сети, могут повлиять на операции ЦПУ устройства. Плоскость данных, которая состоит из трафика, проходящего сетевое устройство, должна быть защищена для гарантирования операции управления и уровней управления. Если транзитный трафик может заставить устройство обрабатывать трафик коммутатора, на уровень управления устройства можно влиять, который может привести к в рабочем состоянии сбою.

Функции и Типы трафика, который Влияние ЦПУ

Несмотря на то, что не исчерпывающий, этот список включает типы трафика плоскости данных, которые требуют специальной Обработки ЦПУ и являются процессом, коммутированным ЦПУ:

  • Регистрация ACL — трафик Регистрации ACL состоит из любых пакетов, которые генерируются вследствие соответствия (permit or deny) ACE, на котором используется регистрационное ключевое слово.

  • RPF индивидуальной рассылки — RPF Индивидуальной рассылки, используемый в сочетании с ACL, может привести к коммутации в контексте процесса определенных, некоторый пакетов.

  • IP - режимы — Любые пакеты IP с включенными опциями должны быть обработаны ЦПУ.

  • Фрагментация — Любой пакет IP, который требует фрагментации, нужно передать к ЦПУ для того, чтобы обработать.

  • Истечение времени существования (TTL) — Пакеты, которые имеют значение TTL, меньше чем или равное 1, требуют, чтобы Превышенное время Internet Control Message Protocol (ТИП ICMP 11, Код 0) сообщения было передано, который приводит к Обработке ЦПУ.

  • Недостижимый ICMP — Пакеты, которые приводят к сообщениям о недоступности ICMP вследствие маршрутизации, MTU, или фильтрования, обработан ЦПУ.

  • Трафик, Требующий Запроса ARP — Назначения, для которых не существует Запись ARP, требует обработки ЦПУ.

  • не-IP трафик — Весь не-IP трафик обработан ЦПУ.

См., что Плоскость Общих данных Укрепляет раздел этого документа для получения дополнительной информации об Укреплении Плоскости Данных.

Фильтрация на значении TTL

Можно использовать Поддержку ACL фильтрации на функции Значения TTL, представленной в Cisco IOS Software Release 12.4 (2), T, в расширенном IP - доступе перечисляют для фильтрования пакетов на основе значения TTL. Эта функция может быть использована, чтобы защитить транзитный трафик получения устройства, где значение TTL является нолем или один. Фильтрование пакетов на основе значений TTL может также использоваться, чтобы гарантировать, что значение TTL не ниже, чем диаметр сети, таким образом защищая уровень управления нисходящих устройств, относящихся к инфраструктуре от атак истечения TTL.

Обратите внимание на то, что некоторые приложения и программные средства, такие как пакеты истечения TTL использования traceroute для тестирования и диагностических назначений. Некоторые протоколы, такие как IGMP, законно используют значение TTL одного.

Этот пример ACL создает политику, которая фильтрует пакеты IP, где значение TTL - меньше чем 6.


!
!--- Create ACL policy that filters IP packets with a TTL value
!--- less than 6
!

ip access-list extended ACL-TRANSIT-IN
 deny ip any any ttl lt 6
 permit ip any any

!
!--- Apply access-list to interface in the ingress direction
!

interface GigabitEthernet 0/0
 ip access-group ACL-TRANSIT-IN in 

!

Обратитесь к Идентификации Атаки Истечения TTL и Смягчению для получения дополнительной информации о фильтровании пакетов на основе значения TTL.

Обратитесь к Поддержке ACL фильтрации на Значении TTL для получения дополнительной информации об этой функции.

Начинаясь с Cisco IOS Software Release 12.4 (4) T, Гибкое пакетное соответствие (FPM) позволяет администратору совпадать на произвольных битах пакета. Эта политика FPM пакеты отбрасываний с TTL оценивает меньше чем шесть.


!

load protocol flash:ip.phdf

!

class-map type access-control match-all FPM-TTL-LT-6-CLASS
 match field IP ttl lt 6

!

policy-map type access-control FPM-TTL-LT-6-DROP-POLICY
 class  FPM-TTL-LT-6-CLASS
  drop

!

interface FastEthernet0
 service-policy type access-control input FPM-TTL-LT-6-DROP-POLICY

!

Обратитесь к Гибкому Пакетному Соответствию, расположенному на Cisco IOS Гибкий Пакет, Совпадающий с домашней страницей, для получения дополнительной информации о функции.

Фильтрация на присутствии IP - режимов

В Cisco IOS Software Release 12.3 (4) T и позже, можно использовать Поддержку ACL функции IP - режимов фильтрации в названном, расширенный IP - доступ перечисляют для фильтрования пакетов IP с существующими IP - режимами. Пакеты IP фильтрации, которые основываются на присутствии IP - режимов, могут также использоваться, чтобы препятствовать тому, чтобы уровень управления устройств, относящихся к инфраструктуре имел для обработки этих пакетов на уровне ЦПУ.

Обратите внимание на то, что Поддержка ACL функции IP - режимов фильтрации может использоваться только с названным, расширенными списками ACL. Нужно также обратить внимание, что RSVP, Технические средства регулирования трафика Многопротокольной коммутации на основе признаков, Версии IGMP 2 и 3, и другие протоколы, которые используют пакеты IP - режимов, могут не быть в состоянии функционировать должным образом, если отброшены пакеты для этих протоколов. Если эти протоколы используются в сети, то Поддержка ACL IP - режимов фильтрации может использоваться; однако IP - режимы ACL, Выборочная функция Отбрасывания могла отбросить этот трафик и эти протоколы, могут не функционировать должным образом. Если нет никаких протоколов в использовании, которые требуют IP - режимов, IP - режимы ACL, Выборочное Отбрасывание является предпочтительным способом для того, чтобы отбросить эти пакеты.

Этот пример ACL создает политику, которая фильтрует пакеты IP, которые содержат любые IP - режимы:


!

ip access-list extended ACL-TRANSIT-IN
 deny ip any any option any-options
 permit ip any any

!

interface GigabitEthernet 0/0
 ip access-group ACL-TRANSIT-IN in 

!

ACL данного примера демонстрирует политику, которая фильтрует пакеты IP с пятью определенными IP - режимами. Запрещены пакеты, которые содержат эти опции:

  • 0 Концов Опций Перечисляют (eool)

  • 7 Рекордных Маршрутов (record-route)

  • 68 Штампов времени (метка времени)

  • 131 - Свободный Исходный маршрут (lsr)

  • 137 - Строгий Исходный маршрут (ssr)


!

ip access-list extended ACL-TRANSIT-IN
 deny ip any any option eool
 deny ip any any option record-route
 deny ip any any option timestamp
 deny ip any any option lsr
 deny ip any any option ssr
 permit ip any any

!

interface GigabitEthernet 0/0
 ip access-group ACL-TRANSIT-IN in 

!

Обратитесь к Поддержке ACL IP - режимов фильтрации для получения дополнительной информации об этой функции. См., что Плоскость Общих данных Укрепляет раздел этого документа для получения дополнительной информации о IP - режимах ACL Выборочное Отбрасывание.

Для получения дополнительной информации см. "Транзитные списки контроля доступа: Фильтрация в Вашем Краю для получения дополнительной информации о фильтровании транзита и граничного трафика.

Другой функцией в программном обеспечении Cisco IOS, которое может использоваться, чтобы фильтровать пакеты с IP - режимами, является CoPP. Начиная с Cisco IOS Software Release 12.3 (4) T, CoPP позволяет администратору фильтровать трафик пакетов уровня управления. Устройство, которое поддерживает CoPP и Поддержку ACL IP - режимов фильтрации, представленных в Cisco IOS Software Release 12.3 (4) T, может использовать политику списка доступа для фильтрования пакетов, которые содержат IP - режимы.

Эта политика CoPP отбрасывает транзитные пакеты, которые получены устройством, когда присутствуют любые IP - режимы:


!

ip access-list extended ACL-IP-OPTIONS-ANY
 permit ip any any option any-options

!

class-map ACL-IP-OPTIONS-CLASS
 match access-group name ACL-IP-OPTIONS-ANY

!

policy-map COPP-POLICY
 class ACL-IP-OPTIONS-CLASS
  drop

!

control-plane
 service-policy input COPP-POLICY

!

Когда эти IP - режимы присутствуют, эта политика CoPP отбрасывает транзитные пакеты, полученные устройством:

  • 0 Концов Опций Перечисляют (eool)

  • 7 Рекордных Маршрутов (record-route)

  • 68 Штампов времени (метка времени)

  • 131 Свободный Исходный маршрут (lsr)

  • 137 Строгих Исходных маршрутов (ssr)


!

ip access-list extended ACL-IP-OPTIONS
 permit ip any any option eool
 permit ip any any option record-route
 permit ip any any option timestamp
 permit ip any any option lsr
 permit ip any any option ssr

!

class-map ACL-IP-OPTIONS-CLASS
 match access-group name ACL-IP-OPTIONS

!

policy-map COPP-POLICY
 class ACL-IP-OPTIONS-CLASS
  drop

!

control-plane
 service-policy input COPP-POLICY

!

В предыдущей политике CoPP, записи списка управления доступом (ACL) (ACE), которые совпадают с пакетами с результатом действия разрешения в этих пакетах, сбрасываемых функцией отбрасывания policy-map, в то время как на пакеты, которые совпадают с запрещать действием (не показанный) не влияет функция отбрасывания policy-map.

Обратитесь к Поддержке ACL IP - режимов фильтрации для получения дополнительной информации.

Обратитесь к Развертывающемуся Применению политик Уровня управления и Уровню управления, Определяющему политику для получения дополнительной информации о функции CoPP.

Защита уровня управления

Начинаясь с Cisco IOS Software Release 12.4 (4) T, Защита Уровня управления (CPPr) может использоваться, чтобы ограничить или определить политику трафик уровня управления ЦПУ устройства Cisco IOS. В то время как подобный CoPP, CPPr имеет возможность ограничить или определить политику трафик использование большая степень детализации, чем CoPP. CPPr делит составной уровень управления на три отдельных категории уровня управления, известные как подинтерфейсы: Хост, Транзит, и подинтерфейсы Исключения CEF существуют.

Эта политика CPPr отбрасывает транзитные пакеты, полученные устройством, где значение TTL - меньше чем 6 и транзит или нетранзитные пакеты, полученные устройством, где значение TTL является нолем или один. Политика CPPr также отбрасывает пакеты с выбранными IP - режимами, полученными устройством.


!

ip access-list extended ACL-IP-TTL-0/1
 permit ip any any ttl eq 0 1

!

class-map ACL-IP-TTL-0/1-CLASS
 match access-group name ACL-IP-TTL-0/1

!

ip access-list extended ACL-IP-TTL-LOW
 permit ip any any ttl lt 6

!

class-map ACL-IP-TTL-LOW-CLASS
 match access-group name ACL-IP-TTL-LOW

!

ip access-list extended ACL-IP-OPTIONS
 permit ip any any option eool
 permit ip any any option record-route
 permit ip any any option timestamp
 permit ip any any option lsr
 permit ip any any option ssr

!

class-map ACL-IP-OPTIONS-CLASS
 match access-group name ACL-IP-OPTIONS

!

policy-map CPPR-CEF-EXCEPTION-POLICY
 class ACL-IP-TTL-0/1-CLASS
  drop
 class ACL-IP-OPTIONS-CLASS
  drop

!


!-- Apply CPPr CEF-Exception policy CPPR-CEF-EXCEPTION-POLICY to
!-- the CEF-Exception CPPr sub-interface of the device


!

control-plane cef-exception
 service-policy input CPPR-CEF-EXCEPTION-POLICY

!

policy-map CPPR-TRANSIT-POLICY
 class ACL-IP-TTL-LOW-CLASS
  drop

!

control-plane transit
 service-policy input CPPR-TRANSIT-POLICY

!

В предыдущей политике CPPr, записи списка управления доступом (ACL), которые совпадают с пакетами с результатом действия разрешения в этих пакетах, сбрасываемых функцией отбрасывания policy-map, в то время как на пакеты, которые совпадают с запрещать действием (не показанный) не влияет функция отбрасывания policy-map.

Обратитесь к Общим сведениям Защиты Уровня управления и Защиты Уровня управления для получения дополнительной информации о функции CPPr.

Идентификация трафика и обратная трассировка

Время от времени можно должны быть быстро определить и сетевой трафик обратной трассировки, особенно во время инцидентного ответа или плохой производительности сети. NetFlow и ACL Классификации являются этими двумя основными методами для выполнения, это использует программное обеспечение Cisco IOS. NetFlow может предоставить видимость в весь трафик в сети. Дополнительно, NetFlow может быть внедрен с коллекторами, которые могут предоставить долгосрочный анализ трендов и автоматизированный анализ. ACL классификации являются компонентом ACL и требуют предварительное планирование определить определенный трафик и ручное вмешательство во время анализа. Эти разделы предоставляют краткий обзор каждой функции.

NetFlow

NetFlow определяет аномальную и связанную с безопасностью активность сети путем отслеживания сетевых потоков. Данные NetFlow могут быть просмотрены и проанализированы через интерфейс командной строки (CLI), или данные могут быть экспортированы в коммерческий Сборщик данных в режиме NetFlow или бесплатный Сборщик данных в режиме NetFlow для агрегации и анализа. Сборщики данных в режиме NetFlow, посредством долгосрочного анализа трендов, могут предоставить анализ использования и поведение сети. Функции NetFlow путем выполнения анализа определенных атрибутов в пакетах IP и создания потоков. Версия 5 является обычно используемой версией NetFlow, однако версия 9 более расширяема. Потоки NetFlow могут быть созданы используя выбранные данные трафика в средах большого объема.

Скоростная маршрутизация Cisco (CEF), или распределенный CEF, является предпосылкой к включению NetFlow. NetFlow может быть настроен на маршрутизаторах и коммутаторах.

Данный пример иллюстрирует базовую конфигурацию этой функции. В предыдущих версиях программного обеспечения Cisco IOS команда для включения NetFlow на интерфейсе является ip route-cache flow вместо ip flow {вход | выход}.


!

ip flow-export destination <ip-address> <udp-port>
ip flow-export version <version>

!

interface <interface> 
 ip flow <ingess|egress> 

!

Это - пример выходных данных NetFlow от CLI. Атрибут SrcIf может способствовать обратной трассировке.

router#show ip cache flow
IP packet size distribution (26662860 total packets):
   1-32   64   96  128	160  192  224  256  288  320  352  384	416  448  480
   .741 .124 .047 .006 .005 .005 .002 .008 .000 .000 .003 .000 .001 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .001 .007 .039 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 4456704 bytes
  55 active, 65481 inactive, 1014683 added
  41000680 ager polls, 0 flow alloc failures
  Active flows timeout in 2 minutes
  Inactive flows timeout in 60 seconds
IP Sub Flow Cache, 336520 bytes
  110 active, 16274 inactive, 2029366 added, 1014683 added to flow
  0 alloc failures, 0 force free
  1 chunk, 15 chunks added
  last clearing of statistics never
Protocol	 Total	  Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------	 Flows	   /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet	 11512	    0.0        15    42      0.2      33.8      44.8
TCP-FTP 	  5606	    0.0 	3    45      0.0      59.5      47.1
TCP-FTPD	  1075	    0.0        13    52      0.0       1.2      61.1
TCP-WWW 	 77155	    0.0        11   530      1.0      13.9      31.5
TCP-SMTP	  8913	    0.0 	2    43      0.0      74.2      44.4
TCP-X		   351	    0.0 	2    40      0.0       0.0      60.8
TCP-BGP 	   114	    0.0 	1    40      0.0       0.0      62.4
TCP-NNTP	   120	    0.0 	1    42      0.0       0.7      61.4
TCP-other	556070	    0.6 	8   318      6.0       8.2      38.3
UDP-DNS 	130909	    0.1 	2    55      0.3      24.0      53.1
UDP-NTP 	116213	    0.1 	1    75      0.1       5.0      58.6
UDP-TFTP	   169	    0.0 	3    51      0.0      15.3      64.2
UDP-Frag	     1	    0.0 	1  1405      0.0       0.0      86.8
UDP-other	 86247	    0.1       226    29     24.0      31.4      54.3
ICMP		 19989	    0.0        37    33      0.9      26.0      53.9
IP-other	   193	    0.0 	1    22      0.0       3.0      78.2
Total:	       1014637	    1.2        26    99     32.8      13.8      43.9

SrcIf	      SrcIPaddress    DstIf	    DstIPaddress    Pr SrcP DstP Pkts
Gi0/1	      192.168.128.21  Local	    192.168.128.20  11 CB2B 07AF   3
Gi0/1	      192.168.150.60  Gi0/0	    10.89.17.146    06 0016 101F  55
Gi0/0	      10.89.17.146    Gi0/1	    192.168.150.60  06 101F 0016   9
Gi0/1	      192.168.150.60  Local	    192.168.206.20  01 0000 0303  11
Gi0/0	      10.89.17.146    Gi0/1	    192.168.150.60  06 07F1 0016   1

Обратитесь к NetFlow Cisco IOS для получения дополнительной информации о возможностях NetFlow.

Обратитесь к Введению к NetFlow Cisco IOS - Технический обзор для технического обзора NetFlow.

ACL классификации

ACL классификации предоставляют видимость в трафик, который пересекает интерфейс. ACL классификации не изменяют политику безопасности сети и, как правило, создаются для классификации отдельных протоколов, адресов источника, или назначений. Например, ACE, который разрешает весь трафик, мог быть разделен на определенные протоколы или порты. Это больше разграниченной классификации трафика в определенные ACE может помочь предоставлять общие сведения сетевого трафика, потому что каждая категория трафика имеет свой собственный счетчик попаданий. Администратор может также отделиться, неявные запрещают в конце ACL в гранулированные ACE помогать определять типы отказа в трафике.

Администратор может ускорить инцидентный ответ при помощи ACL классификации с show access-list и командами EXEC clear ip access-list counters.

Данный пример иллюстрирует, что конфигурация ACL классификации для определения трафика SMB до по умолчанию запрещает:


!

ip access-list extended ACL-SMB-CLASSIFY
 remark Existing contents of ACL
 remark Classification of SMB specific TCP traffic 
 deny	tcp any any eq 139
 deny	tcp any any eq 445
 deny	ip any any 

!

Чтобы определить трафик, который использует ACL классификации, используйте название acl show access-list команда EXEC. Счетчики ACL могут быть очищены при помощи названия acl clear ip access-list counters команда EXEC.

router#show access-list ACL-SMB-CLASSIFY 
Extended IP access list ACL-SMB-CLASSIFY
    10 deny tcp any any eq 139 (10 matches)
    20 deny tcp any any eq 445 (9 matches)
    30 deny ip any any (184 matches) 

Обратитесь к Общим сведениям Регистрации Списка управления доступом (ACL) для получения дополнительной информации о как к возможностям enable logging в ACL.

Управление доступом с картами VLAN и портом списки управления доступом (ACL)

Списки управления доступом VLAN (VACL), или карты VLAN и ACL порта (PACL), предоставляют возможность принудить управление доступом на немаршрутизированном трафике, который ближе к оконечным устройствам, чем списки управления доступом (ACL), которые применены к маршрутизируемым интерфейсам.

Эти разделы предоставляют обзор функций, преимуществ, и сценариев возможного использования VACL и PACL.

Управление доступом с картами VLAN

VACL, или карты VLAN, которые применены ко всем пакетам, которые вводят VLAN, предоставляют возможность принудить управление доступом на внутритрафике виртуальной локальной сети (VLAN). Это не возможные ACL использования на маршрутизируемых интерфейсах. Например, карта VLAN может использоваться, чтобы предотвратить хосты, которые содержатся в том же VLAN от передачи друг с другом, таким образом минимизируя возможности для локальных атакующих или червей для использования хоста на том же сегменте сети. Чтобы запретить пакеты от использования карта VLAN, можно создать список управления доступом (ACL), который совпадает с трафиком и, в карте VLAN, заставляет действие понижаться. Как только карта VLAN настроена, все пакеты, которые вводят LAN, последовательно оценены против карты настроенной виртуальной локальной сети. Доступ к VLAN сопоставляет IPv4 поддержки и списки доступа MAC; однако они не поддерживают ACL IPv6 или регистрация.

Данный пример использует расширенный Именованный список доступа, который иллюстрирует конфигурацию этой функции:


!

ip access-list extended <acl-name>
 permit <protocol> <source-address> <source-port> <destination-address>
     <destination-port>

!

vlan access-map <name> <number>
 match ip address <acl-name>
 action <drop|forward>

!

Данный пример демонстрирует использование карты VLAN для запрета портов TCP 139 и 445, а также протокол "IP" VINES:


!

ip access-list extended VACL-MATCH-ANY
 permit ip any any

!

ip access-list extended VACL-MATCH-PORTS
 permit tcp 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 445
 permit tcp 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 139

!

mac access-list extended VACL-MATCH-VINES
 permit any any vines-ip

!

vlan access-map VACL 10
 match ip address VACL-MATCH-VINES 
 action drop

!

vlan access-map VACL 20 
 match ip address VACL-MATCH-PORTS
 action drop

!

vlan access-map VACL 30
 match ip address VACL-MATCH-ANY
 action forward

!

vlan filter VACL vlan 100 

!

Сошлитесь на Сетевую безопасность Настройки с ACL для получения дополнительной информации о конфигурации карт VLAN.

Управление доступом с PACL

PACL могут только быть применены к входящему направлению на физических интерфейсах Уровня 2 коммутатора. Подобный картам VLAN, PACL предоставляют управление доступом на трафике Уровня 2 или ненаправленном. Синтаксис для того, чтобы создать PACL, которые имеют приоритет по картам VLAN и ACL маршрутизатора, совпадает с ACL маршрутизатора. Если ACL применен к Интерфейсу 2 уровня, то он упоминается как PACL. Конфигурация включает создание IPv4, IPv6, или ACL MAC и применения его к Интерфейсу 2 уровня.

Данный пример использует расширенный Именованный список доступа, чтобы иллюстрировать конфигурацию этой функции:


!

ip access-list extended <acl-name>
 permit <protocol> <source-address> <source-port> <destination-address> 
     <destination-port>

!

interface <type> <slot/port>
 switchport mode access
 switchport access vlan <vlan_number>
 ip access-group <acl-name> in 

!

Обратитесь к разделу ACL порта Сетевой безопасности Настройки с ACL для получения дополнительной информации о конфигурации PACL.

Управление доступом с MAC

Списки управления доступом (ACL) MAC или расширенный перечисляют, может быть применен на IP - сеть с использованием этой команды в режиме конфигурации интерфейса:

Cat6K-IOS(config-if)#mac packet-classify

Примечание. Это должно классифицировать пакеты Уровня 3 как пакеты Уровня 2. Команда поддерживается в Cisco IOS Software Release 12.2 (18) SXD (для Sup 720) и Cisco IOS Software Release 12.2 (33) SRA или позже.

Эта команда интерфейса должна быть применена на входной интерфейс, и это дает механизму пересылки команду не осматривать IP - заголовок. Результат состоит в том, что вы в состоянии использовать список доступа MAC на среде IP.

Использование частных VLAN

Частные VLAN (PVLAN) являются характеристикой защиты Уровня 2, которая ограничивает подключение между рабочими станциями или серверами в VLAN. Без PVLAN все устройства на VLAN Уровня 2 могут связаться свободно. Сетевые среды существуют, где безопасности можно помочь путем ограничения связи между устройствами на одиночном VLAN. Например, PVLAN часто используются, чтобы запретить связь между серверами в публично доступной подсети. Если одиночный сервер становится поставившим под угрозу, отсутствие подключения к другим серверам к приложению PVLAN может помочь ограничивать компромисс одним сервером.

Существует три типа Частных VLAN: выделенные VLAN, виртуальные локальные сети сообщества, и основные VLAN (виртуальная локальная сеть). Конфигурация PVLAN использует основные и вторичные VLAN. Основной VLAN (виртуальная локальная сеть) содержит все случайные порты, которые описаны позже, и включает один или более вторичных VLAN, которые могут быть или отдельными или виртуальные локальные сети сообщества.

Выделенные VLAN

Конфигурация вторичного VLAN как выделенный VLAN полностью предотвращает связь между устройствами во вторичном VLAN. Может только быть один выделенный VLAN за основной VLAN (виртуальная локальная сеть), и только случайные порты могут связаться с портами в выделенном VLAN. Выделенные VLAN должны использоваться на сетях без доверия как сети та поддержка гости.

Этот пример конфигурации настраивает VLAN 11 как выделенный VLAN и привязывает его к основному VLAN (виртуальная локальная сеть), VLAN 20. Пример ниже также настраивает interface FastEthernet 1/1 как изолированный порт в VLAN 11:


!

vlan 11
 private-vlan isolated

!

vlan 20
 private-vlan primary
 private-vlan association 11

!

interface FastEthernet 1/1
 description *** Port in Isolated VLAN ***
 switchport mode private-vlan host 
 switchport private-vlan host-association 20 11

!

Виртуальные локальные сети сообщества

Вторичное VLAN, которое настроено как виртуальная локальная сеть сообщества, позволяет связь среди участников VLAN, а также с любыми случайными портами в основном VLAN (виртуальная локальная сеть). Однако никакая связь не возможна между любыми двумя виртуальными локальными сетями сообщества или от виртуальной локальной сети сообщества до выделенного VLAN. Виртуальные локальные сети сообщества должны использоваться, чтобы сгруппировать серверы, которые требуют подключения друг с другом, но где не требуется подключение ко всем другим устройствам в VLAN. Этот сценарий распространен в публично доступной сети или где угодно что серверы предоставляют содержание недоверяемым клиентам.

Данный пример настраивает одиночную виртуальную локальную сеть сообщества и настраивает FastEthernet порта коммутатора 1/2 в качестве участника того VLAN. Виртуальная локальная сеть сообщества, VLAN 12, является вторичным VLAN к основному VLAN (виртуальная локальная сеть) 20.


!

vlan 12
 private-vlan community

!

vlan 20
 private-vlan primary
 private-vlan association 12

!

interface FastEthernet 1/2
 description *** Port in Community VLAN ***
 switchport mode private-vlan host 
 switchport private-vlan host-association 20 12

!

Случайные порты

Порты коммутатора, которые размещены в основной VLAN (виртуальная локальная сеть), известны как случайные порты. Случайные порты могут связаться со всеми другими портами в основных и вторичных VLAN. Маршрутизатор или интерфейсы сетевого экрана являются наиболее распространенными устройствами, найденными на этих VLAN.

Этот пример конфигурации комбинирует предыдущее отдельное и примеры виртуальной локальной сети сообщества и добавляет конфигурацию interface FastEthernet 1/12 как случайный порт:


!

vlan 11
 private-vlan isolated

!

vlan 12
 private-vlan community

!

vlan 20
 private-vlan primary
 private-vlan association 11-12

!

interface FastEthernet 1/1
 description *** Port in Isolated VLAN ***
 switchport mode private-vlan host 
 switchport private-vlan host-association 20 11

!

interface FastEthernet 1/2
 description *** Port in Community VLAN ***
 switchport mode private-vlan host 
 switchport private-vlan host-association 20 12

!

interface FastEthernet 1/12
 description *** Promiscuous Port ***
 switchport mode private-vlan promiscuous
 switchport private-vlan mapping 20 add 11-12

!

При осуществлении PVLAN важно гарантировать, что конфигурация Уровня 3 на месте поддерживает ограничения, которые наложены PVLAN, и не обеспечивает Конфигурацию PVLAN, которая будет ниспровергаться. Фильтрование Уровня 3 использует ACL Маршрутизатора, или межсетевой экран может предотвратить подрывную деятельность Конфигурации PVLAN.

Обратитесь к Частным VLAN (PVLAN) - Разнородный, Отдельный, Сообщество, расположенное на домашней странице обеспечения безопасности локальной сети, для получения дополнительной информации об использовании и конфигурации Частных VLAN.

Заключение

Этот документ дает вам широкий обзор методов, которые могут использоваться, чтобы защитить системное устройство Cisco IOS. При обеспечении устройств это увеличивает общую безопасность сетей, которыми вы управляете. В этом обзоре, защите управления, обсуждены контроль, и плоскости данных, и рекомендации по конфигурации предоставлены. Где только возможно достаточная подробность предоставлена для конфигурации каждой связанной функции. Однако во всех случаях, полные справочники предоставлены для предоставления вас информацию, необходимую для дальнейшей оценки.

Подтверждения

Некоторые описания характеристики в этом документе были записаны информационными командами разработки Cisco.

Приложение: стабилизирующий чек-лист устройства Cisco IOS

Этот чек-лист является набором всех укрепляющихся шагов, которые представлены в этом руководстве. Администраторы могут использовать его как напоминание всех укрепляющихся функций, использованных и продуманных для устройства Cisco IOS, даже если опция не была реализована, потому что это не применялось. Администраторам советуют оценить каждую опцию для ее потенциального риска прежде, чем внедрить опцию.

Панель управления

  • Пароли

    • Включите крошащий MD5 (секретная опция) для включают и пароли локального пользователя

    • Настройте локаут повторной попытки пароля

    • Отключите восстановление пароля (рассмотрите риск),

  • Отключите неиспользованные службы

  • Настройте TCP keepalife для сеансов управления

  • Память набора и уведомления порогового значения ЦПУ

  • Настройка

    • Память и уведомления порогового значения ЦПУ

    • Резервная память для консольного доступа

    • Детектор утечек памяти

    • Обнаружение переполнения буфера

    • Улучшенный набор crashinfo (сведения об аварийном отказе)

  • Используйте iACLs для ограничения управляющего доступ

  • Фильтр (рассматривают риск),

    • Пакеты ICMP

    • IP - фрагменты

    • IP - режимы

    • Значение TTL в пакетах

  • Защита уровня управления

    • Настройте фильтрование порта

    • Настройте пороги очереди

  • Управляющий доступ

    • Используйте Защиту Панели управления для ограничения интерфейсов управления

    • Таймаут exec набора

    • Используйте зашифрованный транспортный протокол (такой как SSH) для доступа CLI

    • Транспорт контроля для VTY и линий tty (обращаются к опции класса),

    • Предупредите баннеры использования

  • AAA

    • Используйте AAA для аутентификации и нейтрализации

    • Используйте AAA (TACACS +) для авторизации для выполнения команд

    • Используйте AAA для учета

    • Используйте избыточные серверы AAA (проверка подлинности, авторизация и учет)

  • SNMP

    • Настройте сообщества SNMPv2 и примените ACL

    • Настройте SNMPv3

  • Регистрация

    • Настройте централизованную регистрацию

    • Set logging level для всех соответствующих компонентов

    • Logging source-interface набора

    • Настройте глубину детализации метки времени регистрации

  • Управление конфигурацией

    • Замените и откатывайте

    • Монопольный доступ изменения конфигурации

    • Конфигурация упругости программного обеспечения

    • Уведомления изменения конфигурации

Плоскость управления;

  • Отключите (рассмотрите риск),

    • Переадресация ICMP

    • Недостижимый ICMP

    • Протокол прокси-ARP

  • Настройте Аутентификацию NTP, если используется NTP

  • Настройте Применение политик/Защиту Уровня управления (фильтрование порта, пороги очереди)

  • Безопасные протоколы маршрутизации

    • BGP (TTL, MD5, максимальное число префиксов, списки префиксов, ACL системного пути)

    • IGP (MD5, пассивный интерфейс, фильтрация маршрута, потребление ресурсов)

  • Настройте аппаратные ограничители скорости

  • Защитите первые протоколы избыточности переходов (GLBP, HSRP, VRRP)

Плоскость данных

  • Настройте IP - режимы выборочное отбрасывание

  • Отключите (рассмотрите риск),

    • IP-маршрутизация от источника

    • Направленные широковещательные IP - рассылки

    • Переадресация ICMP

  • Предельные направленные широковещательные IP - рассылки

  • Настройте tACLs (рассмотрите риск),

    • ICMP фильтра

    • IP - фрагменты фильтра

    • IP - режимы фильтра

    • Значения TTL фильтра

  • Настройте требуемые защиты антиспуфинга

    • ACL

    • Защита от подделки IP-адреса (IP Source Guard)

    • Динамическая проверка ARP

    • RPF индивидуальной рассылки

    • Безопасность портов

  • Защита Уровня управления (исключение cef уровня управления)

  • Настройте NetFlow и ACL классификации для идентификации трафика

  • Настройте требуемые ACL управления доступом (карты VLAN, PACL, MAC)

  • Настройте частные VLAN

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 13608