In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument beschreibt die Informationen, um Ihnen zu helfen, Ihre Cisco IOS-® Systemgeräte zu sichern, das die Gesamtsicherheit Ihres Netzes erhöht. Strukturiert um die drei Flächen, in die Funktionen eines Netzgerätes kategorisiert werden können, liefert dieses Dokument einen Überblick über jedes enthaltene Merkmal und Referenzen auf in Verbindung stehender Dokumentation.
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Die drei Funktionsflächen eines Netzes, die Managementfläche, Steuerfläche, und Daten planieren, jede liefern unterschiedliche Funktionalität, die geschützt werden muss.
Die Dichte von Sicherheitsmerkmalen in diesem Dokument stellt häufig genügend Detail bereit, damit Sie das Merkmal konfigurieren. Jedoch in den Fällen wo es nicht tut, wird das Merkmal erklärt, sodass Sie auswerten können, ob zusätzliche Aufmerksamkeit zum Merkmal erfordert wird. Wo möglich und verwenden Sie, dieses Dokument enthält Empfehlungen, die, wenn sie eingeführt werden, sicher einem Netz helfen.
Sichere Netzoperationen ist ein erhebliches Thema. Obgleich die meisten dieses Dokuments der sicheren Konfiguration eines Cisco IOS-Gerätes gewidmet wird, sichern Konfigurationen allein nicht vollständig ein Netz. Die Arbeitsabläufe, die im Netz gebräuchlich sind, tragen so viel zur Sicherheit wie die Konfiguration der zugrunde liegenden Geräte bei.
Diese Themen enthalten Betriebsempfehlungen, denen Ihnen geraten werden einzuführen. Diese Themen markieren kritische Bereiche des Besonderen von Netzoperationen und sind nicht umfassend.
Das Cisco-Produkt-Sicherheits-Vorfall-Warteteam (PSIRT) erstellt und behält die Veröffentlichungen bei, geläufig gekennzeichnet als PSIRT-Advisories, für sicherheitsbezogene Fragen in Cisco-Produkten. Die Methode, die für Kommunikation von weniger schweren Fragen angewendet wird, ist die Cisco-Sicherheits-Antwort. Sicherheitsadvisories und -antworten sind bei http://www.cisco.com/go/psirt verfügbar.
Zusätzliche Information über diese Kommunikationsfahrzeuge ist in der Cisco-Sicherheitslücke-Politik verfügbar.
Zwecks ein sicheres Netz beizubehalten, müssen Sie die Cisco-Sicherheitsadvisories und -antworten berücksichtigen die freigegeben worden sind. Sie müssen Wissen einer Verwundbarkeit haben, bevor die Drohung, die sie zu einem Netz aufwerfen kann, ausgewertet werden kann. Siehe Risiko-Triage für Sicherheitslücke-Mitteilungen für Unterstützung dieses Begutachtungsverfahren.
Der Authentisierungs-, Ermächtigungs- und Buchhaltungs(AAA) Rahmen ist wesentlich, Netzgeräte zu sichern. Der aaa-Rahmen liefert Authentisierung von Managementsitzungen und kann Benutzer auf die spezifischen, Verwalter-definierten Befehle auch begrenzen und alle Befehle protokollieren, die von allen Benutzern eingegeben werden. Sehen Sie das Authentisierungs-, Ermächtigungs- und Buchhaltungskapitel dieses Dokuments zu mehr Information über, wie man AAA wirksam einsetzt.
Zwecks Wissen über das Existieren gewinnen, tauchend, und historische Ereignisse standen auf Sicherheitsvorfällen in Verbindung, muss Ihre Organisation eine vereinheitlichte Strategie für das Ereignisprotokollieren und -wechselbeziehung haben auf. Diese Strategie muss das Protokollieren von allen Netzgeräten wirksam einsetzen und die verpackten und kundengerechten Wechselbeziehungsfähigkeiten verwenden.
Nachdem das zentralisierte Protokollieren eingeführt ist, müssen Sie eine strukturierte Annäherung entwickeln, um den Analyse- und Vorfallgleichlauf zu protokollieren. Basiert auf dem Bedarf Ihrer Organisation, kann diese Annäherung von einer einfachen sorgfältigen Zusammenfassung von Journaldaten bis zu hoch entwickelter Regel-basierter Analyse reichen.
Viele Protokolle werden verwendet, um empfindliche Netzführungsdaten zu tragen. Sie müssen sichere Protokolle verwenden, wann immer möglich. Eine sichere Protokollwahl umfasst den Gebrauch SSHs anstelle telnet, damit Authentisierungsdaten und Managementinformationen verschlüsselt werden. Darüber hinaus müssen Sie sichere Dateiübertragungsprotokolle verwenden, wenn Sie Konfigurationsdaten kopieren. Ein Beispiel ist der Gebrauch von dem sicheren Kopien-Protokoll (SCP) anstelle ftp oder TFTPS.
NetFlow aktiviert Sie, Verkehrsströme in das Netz zu überwachen. Beabsichtigte ursprünglich, Verkehrsinformation in Netzführungsanwendungen zu exportieren, NetFlow kann auch verwendet werden, um Flussinformationen über einen Router zu zeigen. Diese Fähigkeit erlaubt Ihnen, zu sehen, welcher Verkehr das Netz in der Istzeit überquert. Unabhängig davon, ob Flussinformationen in einen Fernkollektor exportiert werden, werden Sie geraten, Netzgeräte für NetFlow zu konfigurieren, damit es reaktiv verwendet werden kann, wenn es benötigt wird.
Mehr Informationen über dieses Merkmal sind im Verkehr Kennzeichen- und Tracebackkapitel dieses Dokuments und bei http://www.cisco.com/go/netflow verfügbar (nur eingetragene Kunden).
Konfigurationsverwaltung ist ein Prozess, durch den Konfigurationsänderungen vorgeschlagen, wiederholt, genehmigt und eingesetzt werden. Im Kontext einer Cisco IOS-Gerätekonfiguration sind zwei weitere Aspekte des Konfigurationsmanagements wichtig: Archivierung und Sicherheit von Konfigurationen.
Sie können Konfigurationsarchive benutzen, um Änderungen zurück zu rollen, die zu den Netzgeräten vorgenommen werden. In einem Sicherheitskontext können Konfigurationsarchive auch benutzt werden, um zu bestimmen, welche Sicherheitsänderungen vorgenommen wurden und als diese Änderungen eintraten. In Verbindung mit AAA-Journaldaten können diese Informationen in der Sicherheitsrevidierung von Netzgeräten unterstützen.
Die Konfiguration eines Cisco IOS-Gerätes enthält viele empfindlichen Details. Benutzernamen, Passwörter und der Inhalt von Zugriffskontrolllisten ist Beispiele dieses Typen der Informationen. Der Behälter, den Sie benutzen, um Cisco IOS-Geräteausstattungen zu archivieren, muss gesichert werden. Unsicherer Zugriff zu diesen Informationen kann die Sicherheit des gesamten Netzes untergraben.
Die Managementfläche besteht aus Funktionen, die die Managementziele des Netzes erzielen. Dieses schließt interaktive Managementsitzungen, die SSH verwenden, sowie mit SNMP oder NetFlow Statistik-erfassen ein. Wenn Sie die Sicherheit eines Netzgerätes betrachten, ist es kritisch, dass die Managementfläche geschützt wird. Wenn ein Sicherheitsvorfall in der Lage ist, die Funktionen der Managementfläche zu untergraben, kann es für Sie unmöglich sein, das Netz wieder herzustellen oder zu stabilisieren.
Diese Kapitel dieses Dokuments führen die Sicherheitsmerkmale und die Konfigurationen einzeln auf, die in Cisco IOS-Software verfügbar sind, die helfen, die Managementfläche zu verstärken.
Die Managementfläche wird benutzt, um auf ein Gerät zuzugreifen, zu konfigurieren und zu handhaben sowie seine Operationen und das Netz überwacht, auf denen es eingesetzt wird. Die Managementfläche ist die Fläche, die Verkehr für Operationen dieser Funktionen empfängt und sendet. Sie müssen die Managementfläche und Steuerfläche eines Gerätes sichern, weil Betrieb der Steuerfläche direkt Betrieb der Managementfläche beeinflußt. Diese Liste von Protokollen wird durch die Managementfläche benutzt:
Schritte müssen unternommen werden, um das Überleben des Managements sicherzustellen und Flächen während der Sicherheitsvorfälle zu steuern. Wenn eine dieser Flächen erfolgreich ausgenutzt wird, können alle Flächen kompromittiert werden.
Passwortsteuerzugriff zu den Betriebsmitteln oder zu den Geräten. Dieses ist durch die Definition ein Passwort oder ein Geheimnis erreicht, die verwendet wird, um Anfragen zu beglaubigen. Wenn eine Anfrage für Zugriff zu einer Ressource oder zu einem Gerät empfangen wird, wird die Anfrage für Überprüfung des Passwortes und der Identität angefochten, und Zugriff kann bewilligt sein, verweigert sein, oder begrenzt sein basiert worden auf dem Ergebnis. Als Sicherheitsoptimales verfahren müssen Passwörter mit Server einer TACACS+- oder RADIUS-gehandhabt werden Authentisierung. Jedoch beachten Sie, dass ein lokal konfiguriertes Passwort für privilegierten Zugriff noch im Falle der Störung der TACACS+- oder RADIUS-Dienstleistungen benötigt wird. Ein Gerät kann andere Passwortinformationen auch haben, die innerhalb seiner Konfiguration, wie eine NTP-Tasten-, SNMP-Gemeinschaftszeichenkette oder Wegewahl-Protokolltaste vorhanden sind.
Der geheime Befehl des Aktivierunges wird verwendet, um das Passwort einzustellen, das privilegierten Verwaltungszugriff zum Cisco IOS-System bewilligt. Der geheime Befehl des Aktivierunges muss verwendet werden, eher, als die älteren Passwortbefehl aktivieren. Der Aktivierungspasswortbefehl verwendet einen Algorithmus der schwachen Verschlüsselung.
Wenn kein Geheimnis ist gesetzt aktivieren Sie und ein Passwort wird für die Konsole tty-Zeile, das Konsolenpasswort kann verwendet werden, um privilegierten Zugriff, sogar von einer virtuellen (vty) entferntsitzung tty zu empfangen konfiguriert. Diese Aktion ist fast zweifellos unerwünscht und ist ein anderer Grund, Konfiguration eines Aktivierungsgeheimnisses sicherzustellen.
Der globale Konfigurationsbefehl der Service-Passwortverschlüsselung verweisen die Cisco IOS-Software, die Passwörter zu verschlüsseln, die Geheimnisse des Herausforderungs-Händedruck-Authentisierungs-Protokolls (TYP) und die ähnlichen Daten, die in seiner Konfigurationsdatei gespeichert werden. Solche Verschlüsselung ist nützlich, um zufällige Beobachter an den Lesepasswörtern, wie zu verhindern, wenn sie den Bildschirm über der Musterung eines Verwalters betrachten. Jedoch ist der Algorithmus, der durch den Service-Passwortverschlüsselungsbefehl verwendet wird, ein einfaches Vigen bezüglich der Ziffer. Der Algorithmus wird, um konzipiert Konfigurationsdateien gegen ernste Analyse zu schützen nicht von sogar etwas hoch entwickelten Angreifern und darf nicht zu diesem Zweck verwendet werden. Jede mögliche Cisco IOS-Konfigurationsdatei, die verschlüsselte Passwörter enthält, muss mit der gleichen Sorgfalt behandelt werden, die für eine Klartextliste jener gleichen Passwörter verwendet wird.
Während dieser Algorithmus der schwachen Verschlüsselung nicht durch den geheimen Befehl des Aktivierunges verwendet wird, wird er durch den globalen Konfigurationsbefehl des Aktivierungspasswortes sowie die Passwortzeile Konfigurationsbefehl verwendet. Passwörter dieses Typen müssen beseitigt werden und der geheime Befehl des Aktivierunges oder das erhöhte Passwort-Sicherheitsmerkmal muss benutzt werden.
Der geheime Befehl des Aktivierunges und das erhöhte Passwort-Sicherheitsmerkmal benutzen Meldungs-Auswahl 5 (MD5) für Passwort Hashing. Dieser Algorithmus hat beträchtliche allgemeine Zusammenfassung gehabt und nicht bekannt, um umschaltbar zu sein. Jedoch ist der Algorithmus abhängig von Wörterbuchangriffen. In einem Wörterbuchangriff versucht ein Angreifer jedes Wort in einem Wörterbuch oder andere Liste von Bewerberpasswörtern, um eine Abgleichung zu finden. Deshalb müssen Konfigurationsdateien mit verlässlichen Einzelpersonen sicher gespeichert werden und nur geteilt werden.
Die Merkmal erhöhte Passwort-Sicherheit, eingeführt im Cisco IOS-Software-Release 12.2(8)T, erlaubt einem Verwalter, Hashing MD5 von Passwörtern für den username-Befehl zu konfigurieren. Vor dieser Funktion gab es zwei Arten von Passwörtern: Typ 0, der ein Klartext-Passwort ist, und Typ 7, der den Algorithmus der Vigen re-Verschlüsselung verwendet. Das erhöhte Passwort-Sicherheitsmerkmal kann nicht mit Protokollen, die das Klartextpasswort, benötigen wieder gutzumachend zu sein, wie TYPEN benutzt werden.
Zwecks ein Benutzerpasswort mit Hashing MD5 zu verschlüsseln, geben Sie den geheimen globalen Konfigurationsbefehl username heraus.
!
username <name> secret <password>
!
Sprechen Sie erhöhte Passwort-Sicherheit zu mehr Information über dieses Merkmal an.
Das LOGON-Passwort-Wiederholungs-Ausrück-Merkmal, hinzugefügt im Cisco IOS-Software-Release 12.3(14)T, erlaubt Ihnen, ein lokales Benutzerkonto heraus zu sperren, nachdem eine konfigurierte Zahl des erfolglosen LOGON versucht. Sobald ein Benutzer heraus gesperrt wird, ist ihr Konto verschlossen, bis Sie es freisetzen. Ein berechtigter Benutzer, der mit Privilegstufe 15 konfiguriert wird, kann nicht mit diesem Merkmal heraus gesperrt werden. Die Anzahl von Benutzern mit Privilegstufe 15 muss zu einem Minimum gehalten werden.
Beachten Sie, dass berechtigte Benutzer aus einem Gerät heraus sich sperren können, wenn die Anzahl von erfolglosen LOGON-Versuchen erreicht wird. Zusätzlich kann ein böswilliger Benutzer eine Leistungsverweigerung (DOS) Zustand mit wiederholten Versuchen erstellen, mit einem gültigen username zu beglaubigen.
Dieses Beispiel zeigt, wie man das LOGON-Passwort-Wiederholungs-Ausrück-Merkmal aktiviert:
!
aaa new-model
aaa local authentication attempts max-fail <max-attempts>
aaa authentication login default local
!
username <name> secret <password>
!
Dieses Merkmal trifft auch auf Authentisierungsmethoden wie TYPEN und Passwort-Authentisierungs-Protokoll zu (BREI).
Im Cisco IOS-Software-Release 12.3(14)T und später, lässt das kein Service-Passwort-Wiederanlaufmerkmal niemand mit Konsolenzugriff auf die Geräteausstattung unsicher zugreifen und das Passwort löschen. Es auch erlaubt nicht böswilligen Benutzern, den Konfigurationsregisterwert zu ändern und auf NVRAM zuzugreifen.
!
no service password-recovery
!
Cisco IOS-Software sieht eine PasswortWiederherstellungsprozedur vor, die auf Zugriff zu ROM Monitor Mode (ROMMON) unter Verwendung der Unterbrechungstaste während des Einschaltens der Anlage baut. In ROMMON kann die Gerätsoftware neu geladen werden, um eine neue Anlagenkonfiguration aufzufordern, die ein neues Passwort umfasst.
Die aktuelle PasswortWiederherstellungsprozedur aktiviert jedermann mit Konsolenzugriff, das Gerät und auf sein Netz zuzugreifen. Das kein Service-Passwort-Wiederanlaufmerkmal verhindert die Fertigstellung der Unterbrechungstastereihenfolge und das Hereinkommen von ROMMON während des Einschaltens der Anlage.
Wenn kein Service-Passwortwiederanlauf auf einem Gerät aktiviert wird, wird es empfohlen, dass eine Offline-Kopie der Geräteausstattung gesichert wird und dass eine Konfiguration, die Lösung archiviert, eingeführt wird. Wenn es notwendig ist, das Passwort eines Cisco IOS-Gerätes einmal wieder herzustellen, wird dieses Merkmal, die gesamte Konfiguration wird gelöscht aktiviert.
Sprechen Sie sicheres ROMMON-Konfigurations-Beispiel zu mehr Information über dieses Merkmal an.
Als Sicherheitsoptimales verfahren muss jeder unnötige Service behindert sein. Diese nicht benötigten Dienstleistungen, besonders die, die User Datagram Protocol (UDP) verwenden, werden selten verwendet, für legitime Zwecke aber können verwendet werden, um DOS und andere Angriffe zu starten, die andernfalls verhindert werden, indem man Paketfiltert.
Die kleinen Dienstleistungen TCPs und UDP müssen behindert sein. Diese Dienstleistungen umfassen:
Obgleich Missbrauch der kleinen Dienstleistungen durch anti-spoofing Zugriffslisten vermieden werden oder weniger gefährlich gemacht werden kann, müssen die Dienstleistungen auf jedem möglichem Gerät deaktiviert werden, das innerhalb des Netzes zugänglich ist. Die kleinen Dienstleistungen werden standardmäßig in Cisco IOS-Software-Releases 12,0 und späteres deaktiviert. In der früheren Software können die keine Service-TCP-kleinservers und keine globalen Konfigurationsbefehle der Service-UDP-kleinservers herausgegeben werden, um sie zu deaktivieren.
Dieses ist eine Liste von zusätzlichen Dienstleistungen, die behindert sein müssen, wenn nicht verwendet:
Zwecks den Abstand einzustellen auf dem der Bedienungsaufruf- an den Ablaufteilinterpreter Benutzerinput wartet bevor er eine Sitzung abbricht, geben Sie die Leitprogrammunterbrechungszeile Konfigurationsbefehl heraus. Der Leitprogrammunterbrechungsbefehl muss verwendet werden, um sich Sitzungen auf den vty oder tty-Zeilen auszuloggen, die untätig gelassen werden. Standardmäßig sind Sitzungen nach zehn Minuten Untätigkeit getrennt.
!
line con 0
exec-timeout <minutes> [seconds]
line vty 0 4
exec-timeout <minutes> [seconds]
!
Der Service TCP-keepalives-in und globalen die Konfigurationsbefehle Service TCPKeepalives-heraus aktivieren ein Gerät, TCP-Keepalives für TCP-Sitzungen zu senden. Diese Konfiguration muss verwendet werden, um TCP-Keepalives auf Inlandsverbindungen zum Gerät und Auslandsverbindungen vom Gerät zu aktivieren. Dieses garantiert, dass das Gerät am Fernende der Verbindung noch zugänglich ist und dass halb offene oder verwaiste Verbindungen vom lokalen Cisco IOS-Gerät gelöscht werden.
!
service tcp-keepalives-in
service tcp-keepalives-out
!
Die Managementfläche eines Gerätes ist auf einer körperlichen oder logischen Managementschnittstelle erreichtes Inband- oder nicht auf Band aufgenommen. Ideal existiert Inband- und nicht auf Band aufgenommener Managementzugriff für jedes Netzgerät, damit die Managementfläche während der Netzausfälle erreicht werden kann.
Eine der geläufigsten Schnittstellen, die für Inbandzugriff zu einem Gerät benutzt wird, ist die logische Schleifenbetriebschnittstelle. Schleifenbetriebschnittstellen sind immer oben, während körperliche Schnittstellen Zustand ändern können und die Schnittstelle nicht zugänglich möglicherweise sein kann. Es wird empfohlen, um eine Schleifenbetriebschnittstelle jedem Gerät als Managementschnittstelle hinzuzufügen und das wird es ausschließlich für die Managementfläche verwendet. Dieses erlaubt dem Verwalter, Politik während des Netzes für die Managementfläche anzuwenden. Sobald die Schleifenbetriebschnittstelle auf einem Gerät konfiguriert wird, kann sie durch Managementflächenprotokolle, wie SSH, SNMP und syslog benutzt werden, um Verkehr zu senden und zu empfangen.
!
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
Die Merkmal Speicher-Schwellwert-Mitteilung, hinzugefügt im Cisco IOS-Software-Release 12.3(4)T, erlaubt Ihnen, Niedrigspeicherbedingungen auf einem Gerät abzuschwächen. Diese Funktion verwendet zwei Methoden, um dies zu erreichen: Speicherschwellenbenachrichtigung und Speicherreservierung.
Speicher-Schwellwert-Mitteilung legt eine Logmeldung fest, um anzuzeigen, dass freier Speicher auf einem Gerät niedriger als der konfigurierte Schwellwert gefallen ist. Dieses Konfigurationsbeispiel zeigt, wie man dieses Merkmal mit dem Konfigurationsbefehl NiedrigWaterMarks des Speichers freien globalen aktiviert. Dieses aktiviert ein Gerät, eine Mitteilung festzulegen, wenn verfügbarer freier Speicher niedriger als der spezifizierte Schwellwert fällt, und wieder, wenn verfügbarer freier Speicher auf fünf Prozent höher als der spezifizierte Schwellwert steigt.
!
memory free low-watermark processor <threshold>
memory free low-watermark io <threshold>
!
Speicher-Reservierung wird verwendet, damit genügender Speicher für kritische Mitteilungen verfügbar ist. Dieses Konfigurationsbeispiel zeigt, wie man dieses Merkmal aktiviert. Dieses garantiert, dass Managementprozesse fortfahren zu arbeiten, wenn der Speicher des Gerätes erschöpft wird.
!
memory reserve critical <value> !
Siehe Speicher-Schwellwert-Mitteilungen zu mehr Information über dieses Merkmal.
Eingeführt im Cisco IOS-Software-Release 12.3(4)T, erlaubt das CPU-Thresholding-Mitteilungsmerkmal Ihnen zu entdecken und benachrichtigt zu werden, wenn die CPU-Eingabe auf einem Gerät einen konfigurierten Schwellwert überschreitet. Wenn der Schwellwert überschritten wird, legt das Gerät fest und sendet eine SNMP-Blockiermeldung. Die Cisco IOS-Software unterstützt zwei Grenzwertverfahren für die CPU-Auslastung: Rising Threshold and Falling Threshold.
Shows dieser Beispielkonfiguration, wie man die steigenden und fallenden Schwellwerte aktiviert, die eine CPU-Schwellwertmitteilungsmeldung starten:
!
snmp-server enable traps cpu threshold
!
snmp-server host <host-address> <community-string> cpu
!
process cpu threshold type <type> rising <percentage> interval <seconds>
[falling <percentage> interval <seconds>]
process cpu statistics limit entry-percentage <number> [size <seconds>]
!
Siehe CPU-Thresholding-Mitteilung zu mehr Information über dieses Merkmal.
Im Cisco IOS-Software-Release 12.4(15)T und später, kann der Reserve-Speicher für Konsolen-Zugriffsmerkmal verwendet werden, um genügend Speicher aufzuheben, um Konsolenzugriff zu einem Cisco IOS-Gerät zu den Verwaltungs- und Störungssuchezwecken sicherzustellen. Dieses Merkmal ist besonders nützlich, wenn das Gerät niedrig auf Speicher ausgeführt wird. Sie können den globalen Konfigurationsbefehl der Speicherreservekonsole herausgeben, um dieses Merkmal zu aktivieren. Dieses Beispiel konfiguriert ein Cisco IOS-Gerät, um 4096 Kilobytes zu diesem Zweck aufzuheben.
!
memory reserve console 4096
!
Siehe Reserve-Speicher für Konsolen-Zugriff zu mehr Information über dieses Merkmal.
Eingeführt im Cisco IOS-Software-Release 12.3(8)T1, erlaubt das Speicher-Leck-Detektormerkmal Ihnen, Speicherlecks auf einem Gerät zu entdecken. Speicher-Leck-Detektor ist in der Lage, Lecks in allen Speicherpools, in Paketbuffer und in Klumpen zu finden. Speicherlecks sind statische oder dynamische Belegungen des Speichers, die keinen nützlichen Zweck dienen. Dieses Merkmal konzentriert sich auf Speicherzuweisungen, die dynamisch sind. Sie können den Showspeicher verwenden ausprüfen Lecks Bedienungsaufruf an den Ablaufteil, um zu entdecken, wenn ein Speicherleck existiert.
In Cisco IOS Software, Version 12.3(7)T und höher, kann die Funktion "Buffer Overflow: Detection and Correction of Redzone Corruption" (Pufferüberlauf: Erkennung und Korrektur von Redzone-Beschädigungen) von auf einem Gerät aktiviert werden, um einen Speicherblocküberlauf zu erkennen und zu korrigieren und den Betrieb fortzusetzen.
Diese globalen Konfigurationsbefehle können verwendet werden, um dieses Merkmal zu aktivieren. Sobald konfiguriert, kann der Showspeichersammelbefehl verwendet werden, um die Buffersammelentdeckungs- und -korrekturstatistiken anzuzeigen.
!
exception memory ignore overflow io
exception memory ignore overflow processor
!
Das erhöhte Crashinfo-Datei-Sammlungsmerkmal löscht automatisch alte crashinfo Dateien. Dieses Merkmal, hinzugefügt im Cisco IOS-Software-Release 12.3(11)T, lässt ein Gerät Platz zurückfordern, um neue crashinfo Dateien herzustellen, wenn das Gerät abbricht. Dieses Merkmal erlaubt auch, dass Konfiguration der Anzahl von crashinfo Dateien gesichert wird.
!
exception crashinfo maximum files <number-of-files>
!
Das Network Time Protocol (NTP) ist ein nicht besonders gefährlicher Service, aber jeder nicht benötigte Service kann einen Angriffsvektor darstellen. Wenn NTP benutzt wird, ist es wichtig, eine verlässliche Zeitquelle ausdrücklich zu konfigurieren und richtige Authentisierung zu verwenden. Genaue und zuverlässige Zeit wird für syslog-Zwecke, wie während gerichtliche Untersuchungen von möglichen Angriffen sowie für erfolgreiche VPN-Anschlussfähigkeit wenn abhängig von Zertifikaten für Authentisierung der Phase 1 benötigt.
Beispielkonfiguration unter Verwendung NTP-Authentisierung:
Kunde:
(config)#ntp authenticate
(config)#ntp authentication-key 5 md5 ciscotime
(config)#ntp trusted-key 5
(config)#ntp server 172.16.1.5 key 5
Server:
(config)#ntp authenticate
(config)#ntp authentication-key 5 md5 ciscotime
(config)#ntp trusted-key 5
Sicherheitsoptimale verfahren um Cisco Smart installieren Merkmal (SMI) abhängen davon, wie die Funktion in einer spezifischen Kundenumgebung benutzt wird. Cisco unterscheidet diese Anwendungsfälle:
Diese Kapitel beschreiben jedes Szenario im Detail:
Hinweis: Der Befehl vstack wurde mit Cisco IOS 12.2(55)SE03 eingeführt.
Dieses ist Beispielausgabe vom Show vstack Befehl auf einem Cisco-Katalysator-Schalter mit Smart installieren das deaktivierte Kundenmerkmal:
switch# show vstack
config Role: Client (SmartInstall disabled)
Vstack Director IP address: 0.0.0.0
Deaktivieren Sie Smart installieren Kundenfunktionalität, nachdem die Nullnoteninstallation komplett ist oder verwenden den keinen vstack Befehl.
Zwecks den keinen vstack Befehl in das Netz zu verbreiten, wenden Sie eine dieser Methoden an:
Zwecks Smart zu aktivieren installieren Sie Kundenfunktionalität später, geben Sie den vstack Befehl auf allem Kunden schaltet entweder manuell oder mit einem Skript ein.
Im Entwurf von Smart installieren Sie Architektur, Sorgfalt sollte so genommen werden, dass der Infrastruktur IP- addressplatz nicht zu den untrusted Parteien zugänglich ist. In den Freigaben, die nicht den vstack Befehl unterstützen, garantieren Sie, dass nur Smart Direktor lässt TCP-Anschlussfähigkeit zu allem Smart Kunden auf Kanal 4786 installieren installieren.
Verwalter können diese Sicherheitsoptimalen verfahren für Cisco Smart verwenden installieren Entwicklungen auf betroffene Geräte:
Dieses Beispiel stellt dar, dass eine Schnittstelle ACL mit Smart Direktor IP address installieren, während 10.10.10.1 und Smart Kunde IP address als 10.10.10.200 installieren:
ip access-list extended SMI_HARDENING_LIST
Permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any
Dieser ACL muss auf allen IP-Schnittstellen auf allen Kunden eingesetzt werden. Er kann über den Direktor auch gedrückt werden, wenn Schalter zuerst eingesetzt werden.
Um Zugriff zu allen Kunden innerhalb der Infrastruktur weiter einzuschränken, können Verwalter diese Sicherheitsoptimalen verfahren auf anderen Geräten im Netz verwenden:
Geplant, um nicht autorisierte direkte Kommunikation zu den Netzgeräten zu verhindern, sind InfrastrukturZugriffskontrolllisten (iACLs) eine der kritischsten Sicherheitskontrollen, die in den Netzen eingeführt werden können. Infrastruktur ACLs-Hebelkraft die Idee, dass fast aller Netzwerkverkehr das Netz überquert und nicht zum Netz selbst vorgesehen wird.
Ein iACL wird konstruiert und angewendet, um Verbindungen von den Hauptrechnern oder von den Netzen zu spezifizieren, die zu den Netzgeräten erlaubt werden müssen. Geläufige Beispiele dieser Typen der Verbindungen sind eBGP, SSH und SNMP. Nachdem die erforderlichen Verbindungen die Erlaubnis gehabt worden sind, weitere wird ganzer Verkehr zur Infrastruktur ausdrücklich verweigert. Aller Durchgangsverkehr, der das Netz kreuzt und nicht zu den Infrastrukturgeräten vorgesehen wird, wird dann ausdrücklich die Erlaubnis gehabt.
Der Schutz, der von den iACLs geboten wird, ist zum Management relevant und steuert Flächen. Die Implementierung von iACLs kann einfacher gemacht werden durch den Gebrauch von eindeutigem Wenden für Netzwerk-Infrastruktur-Geräte. Sprechen Sie eine Sicherheit orientierte Annäherung zu IP an, das zu mehr Information über die Sicherheitsauswirkungen von IPwenden sich wendet.
Diese Beispiel iACL Konfiguration veranschaulicht die Struktur, die als Ausgangspunkt benutzt werden muss, wenn Sie den iACL Implementierungsprozeß anfangen:
!
ip access-list extended ACL-INFRASTRUCTURE-IN
!
!--- Permit required connections for routing protocols and
!--- network management
!
permit tcp host <trusted-ebgp-peer> host <local-ebgp-address> eq 179
permit tcp host <trusted-ebgp-peer> eq 179 host <local-ebgp-address>
permit tcp host <trusted-management-stations> any eq 22
permit udp host <trusted-netmgmt-servers> any eq 161
!
!--- Deny all other IP traffic to any network device
!
deny ip any <infrastructure-address-space> <mask>
!
!--- Permit transit traffic
!
permit ip any any
!
Sobald erstellt, muss das iACL an allen Schnittstellen angewendet werden, die Nichtinfrastrukturgeräte gegenüberstellen. Dieses schließt Schnittstellen ein, die an andere Organisationen, Fernzugriffsegmente, Benutzersegmente und Segmente in den Rechenzentren anschließen.
Im Dokument zum Thema Schützen des Core mit Zugriffskontrolllisten für den Infrastrukturschutz finden Sie weitere Informationen zu Infrastruktur-ACLs.
Das Internet Control Message Protocol (ICMP) ist als IP-Steuerprotokoll konzipiert. Als solches können die Meldungen, die es übermittelt, weit reichende Verzweigungen zu den TCP- und IP-Protokollen im Allgemeinen haben. Während das Netzstörungssuchewerkzeuge Klingeln und das traceroute ICMP benutzen, wird externe ICMP-Anschlussfähigkeit selten für die sinngemässe Funktion eines Netzes benötigt.
Cisco IOS-Software liefert Funktionalität, um ICMP-Meldungen speziell namentlich zu filtern oder zu schreiben und zu codieren. Dieses Beispiel ACL, das mit den Zugriffssteuerungseinträgen (Asse) von den vorhergehenden Beispielen verwendet werden muss, erlaubt Klingeln von den Vermögensverwaltungsstationen und VON Nanometer-Servers und blockt alle weiteren ICMP-Pakete:
!
ip access-list extended ACL-INFRASTRUCTURE-IN
!
!--- Permit ICMP Echo (ping) from trusted management stations and servers
!
permit icmp host <trusted-management-stations> any echo
permit icmp host <trusted-netmgmt-servers> any echo
!
!--- Deny all other IP traffic to any network device
!
deny ip any <infrastructure-address-space> <mask>
!
!--- Permit transit traffic
!
permit ip any any
!
Der Filterprozeß für zersplitterte IP-Pakete kann eine Herausforderung zu den Arten der Sicherheitsleistung darstellen. Dieses ist, weil die Informationen der Schicht 4, die verwendet wird, um TCP- und UDP-Pakete zu filtern, im Anfangsfragment nur anwesend sind. Cisco IOS-Software wendet eine spezifische Methode an, um nicht-Anfangsfragmente gegen konfigurierte Zugriffslisten zu überprüfen. Cisco IOS-Software wertet diese nicht-Anfangsfragmente gegen den ACL aus und ignoriert alle mögliche Entstörungsinformationen der Schicht 4. Dieses veranlaßt nicht-Anfangsfragmente, auf die Schicht nur ausgewertet zu werden 3 Teil von jedem möglichem konfigurierten ACE.
In dieser Beispielkonfiguration wenn ein TCP-Paket, das zu 192.168.1.1 auf Kanal 22 vorgesehen wird, bei dem Transport zersplittert wird, wird das Anfangsfragment wie erwartet durch zweite ACE fallen gelassen, das auf den Informationen der Schicht 4 innerhalb des Pakets basiert. Jedoch werden alle restlichen (nicht-Anfangs) Fragmente durch erste ACE erlaubt, das vollständig auf den Informationen der Schicht 3 im Paket und in ACE basiert. Dieses Szenario wird in dieser Konfiguration gezeigt:
!
ip access-list extended ACL-FRAGMENT-EXAMPLE
permit tcp any host 192.168.1.1 eq 80
deny tcp any host 192.168.1.1 eq 22
!
Wegen der nonintuitive Art des Fragments handhabend, werden IP-Fragmente häufig unbeabsichtigt durch ACLs die Erlaubnis gehabt. Fragmentierung ist auch in den Versuchen, Entdeckung durch EindringenErfassungssysteme auszuweichen häufig benutzt. Es ist aus diesen Gründen, dass IP-Fragmente in den Angriffen häufig benutzt sind, und warum sie an der Spitze aller möglicher konfigurierten iACLs ausdrücklich gefiltert werden müssen. Dieses Beispiel ACL umfasst die umfassende Entstörung von IP-Fragmenten. Die Funktionalität von diesem Beispiel muss in Verbindung mit der Funktionalität der vorhergehenden Beispiele verwendet werden.
!
ip access-list extended ACL-INFRASTRUCTURE-IN
!
!--- Deny IP fragments using protocol-specific ACEs to aid in
!--- classification of attack traffic
!
deny tcp any any fragments
deny udp any any fragments
deny icmp any any fragments
deny ip any any fragments
!
!--- Deny all other IP traffic to any network device
!
deny ip any <infrastructure-address-space> <mask>
!
!--- Permit transit traffic
!
permit ip any any
!
Cisco IOS-Software-Release 12.3(4)T fügte Support für den Gebrauch ACLs, IP-Pakete zu filtern hinzu, die auf den IP-Optionen basierten, die im Paket enthalten werden. IP-Optionen stellen eine Sicherheitsherausforderung für Netzgeräte dar, weil diese Optionen als Ausnahmepakete verarbeitet werden müssen. Dieses benötigt ein Niveau von CPU-Bemühung, die nicht für typische Pakete benötigt wird, die das Netz überqueren. Das Vorhandensein von IP-Optionen innerhalb eines Pakets kann einen Versuch auch anzeigen, Sicherheitskontrollen im Netz umzustürzen oder die Durchfahrteigenschaften eines Pakets andernfalls zu ändern. Es ist aus diesen Gründen, dass Pakete mit IP-Optionen am Rand des Netzes gefiltert werden müssen.
Dieses Beispiel muss mit den Assen von den vorhergehenden Beispielen verwendet werden, um die komplette Entstörung von IP-Paketen einzuschließen, die IP-Optionen enthalten:
!
ip access-list extended ACL-INFRASTRUCTURE-IN
!
!--- Deny IP packets containing IP options
!
deny ip any any option any-options
!
!--- Deny all other IP traffic to any network device
!
deny ip any <infrastructure-address-space> <mask>
!
!--- Permit transit traffic
!
permit ip any any
!
Cisco IOS-Software-Release 12.4(2)T fügte ACL-Support hinzu, um IP-Pakete zu filtern, die auf dem basierten Wert des Time to Live (TTL). Der TTL-Wert eines IP datagram wird durch jedes Netzgerät verringert, während ein Paket von Quelle zu Zieleinheit fließt. Obgleich Anfangswerte durch Betriebssystem schwanken, wenn TTL eines Pakets null erreicht, muss das Paket fallen gelassen werden. Das Gerät, das TTL bis null und deshalb verringert, das Paket fallenläßt, um eine überstiegene Meldung ICMP Zeit zur Quelle des Pakets festzulegen und zu schicken benötigt wird.
Die Generation und die Übertragung dieser Meldungen ist ein Ausnahmeprozeß. Router können diese Aufgabe wahrnehmen, wenn die Anzahl von IP-Paketen, die ablaufen sollen, niedrig ist, aber, wenn die Anzahl von den Paketen, die passend sind abzulaufen, hoch ist, können Generation und Übertragung dieser Meldungen alle verfügbaren CPU-Betriebsmittel verbrauchen. Dieses stellt einen DOS-Angriffsvektor dar. Aus diesem Grunde müssen Geräte gegen DOS-Angriffe verhärtet werden, die eine hohe Kinetik von IP-Paketen verwenden, die ablaufen sollen.
Es wird empfohlen, dass Organisationen IP-Pakete mit niedrigen TTL-Werten am Rand des Netzes filtern. Pakete vollständig filtern mit TTL-Werten, die unzulänglich sind, das Netz zu überqueren, schwächt die Drohung von TTL-basierten Angriffen ab.
Dieses Beispiel ACL filtert Pakete mit TTL-Werten weniger als sechs. Dieses bietet Schutz gegen TTL-Endangriffe für Netze bis zu fünf einsteigt Breite.
!
ip access-list extended ACL-INFRASTRUCTURE-IN
!
!--- Deny IP packets with TTL values insufficient to traverse the network
!
deny ip any any ttl lt 6
!
!--- Deny all other IP traffic to any network device
!
deny ip any <infrastructure-address-space> <mask>
!
!--- Permit transit traffic
!
permit ip any any
!
Hinweis: Bei einigen Protokollen werden Pakete mit niedrigen TTL-Werten zu legitimen Zwecken genutzt. eBGP ist ein solches Protokoll. Siehe TTL-Endangriffs-Kennzeichen und Abschwächung zu mehr Information über die Abschwächung von Ende-basierten Angriffen TTLs.
Siehe ACL-Support für die Entstörung auf TTL-Wert zu mehr Information über diese Funktionalität.
Managementsitzungen zu den Geräten gestehen Ihnen die Fähigkeit zu, Informationen über ein Gerät und seine Operationen anzusehen und zu sammeln. Wenn diese Informationen zu einem böswilligen Benutzer bekannt gemacht werden, kann das Gerät das Ziel werden eines Angriffs, kompromittiert, und benutzt, um zusätzliche Angriffe durchzuführen. Jedermann mit privilegiertem Zugriff zu einem Gerät hat die Fähigkeit für volle Verwaltungskontrolle dieses Gerätes. Es ist zwingend, Managementsitzungen zu sichern, um Informationsdatenübermittlung und -unberechtigten Zugriff zu verhindern.
Im Cisco IOS-Software-Release 12.4(6)T und später, erlaubt der Merkmal Management-Flächen-Schutz (MPP) einem Verwalter, auf, welchem Schnittstellenmanagementverkehr einzuschränken durch ein Gerät empfangen werden kann. Dieses erlaubt die Verwalterzusätzliche kontrolle über einem Gerät und wie das Gerät erreicht wird.
Dieses Beispiel zeigt, wie man den MPP aktiviert, um SSH nur zu erlauben und HTTPS auf dem GigabitEthernet0/1 schließen an:
!
control-plane host
management-interface GigabitEthernet 0/1 allow ssh https
!
Sprechen Sie Management-flachen Schutz zu mehr Information über MPP an.
Steuern Sie flache Gestalten des Schutzes (CPPr) auf der Funktionalität Steuerdes flachen Polizeilich überwachens, zum einzuschränken und Polizeisteuerflächenverkehr, der zum Wegprozessor des IOS-Gerätes vorgesehen wird. CPPr, hinzugefügt im Cisco IOS-Software-Release 12.4(4)T, teilt die Steuerfläche in unterschiedliche Steuerflächenkategorien unter, die als Subinterfaces bekannt. Es gibt drei Subschnittstellen für die Steuerungsebene: Host, Transit und CEF-Exception. Darüber hinaus schließt CPPr diese Flächen-Schutzmerkmale der zusätzlichen Kontrolle ein:
CPPr erlaubt einem Verwalter, Verkehr zu klassifizieren, polizeilich zu überwachen und einzuschränken, der zu einem Gerät zu den Managementzwecken mit dem Hauptrechner Subinterface geschickt wird. Beispiele von Paketen, die für die Hauptrechner Subinterfacekategorie klassifiziert werden, umfassen Managementverkehr wie SSH oder telnet und Wegewahlprotokolle.
Hinweis: CPPr unterstützt IPv6 nicht und ist auf den IPv4-Eingabepfad beschränkt.
Sprechen Sie Steuerflache Schutz-Merkmals-Anleitung - 12.4T und Verständnis des Steuerflachen Schutzes zu mehr Information über das Merkmal Ciscos CPPr an.
Weil Informationen in einer interaktiven Managementsitzung bekannt gemacht werden können, muss dieser Verkehr verschlüsselt werden, damit ein böswilliger Benutzer nicht zu den Daten Zutritt erhalten kann, die übertragen wird. Verkehrsverschlüsselung erlaubt eine sichere Fernzugriffverbindung zum Gerät. Wenn der Verkehr für eine Managementsitzung über das Netz im Klartext gesendet wird, kann ein Angreifer vertrauliche Information über das Gerät und das Netz einholen.
Ein Verwalter ist in der Lage, verschlüsselt herzustellen und Fernzugriffmanagementverbindung zu einem Gerät mit den Merkmalen SSHs oder HTTPS (sicheres Hypertext-Übergangsprotokoll) zu sichern. Cisco IOS-Software Support SSH-Version 1,0 (SSHv1), SSH-Version 2,0 (SSHv2) und HTTPS, das Secure Sockets Layer (SSL) und Transport Layer Security (TLS) für Authentisierung und Datenverschlüsselung verwendet. SSHv1 und SSHv2 sind nicht kompatibel. SSHv1 ist unsicher und nicht standardisiert, also wird es nicht empfohlen, wenn SSHv2 eine Option ist.
Cisco IOS-Software unterstützt auch das sichere Kopien-Protokoll (SCP), das eine verschlüsselte und sichere erlaubt, Verbindung, zum von Geräteausstattungen oder von Software-Bildern zu kopieren. SCP beruht auf SSH. Diese Beispielkonfiguration aktiviert SSH auf einem Cisco IOS-Gerät:
!
ip domain-name example.com
!
crypto key generate rsa modulus 2048
!
ip ssh time-out 60
ip ssh authentication-retries 3
ip ssh source-interface GigabitEthernet 0/1
!
line vty 0 4
transport input ssh
!
Dieses Konfigurationsbeispiel aktiviert SCP-Dienstleistungen:
!
ip scp server enable
!
Dieses ist ein Konfigurationsbeispiel für HTTPS-Dienstleistungen:
!
crypto key generate rsa modulus 2048
!
ip http secure-server
!
Sprechen Sie konfigurierendes sicheres Shell auf den Routern und Schaltern an, die Cisco IOS ausführen und sichern Sie Shell (SSH) FAQ zu mehr Information über das Cisco IOS-Software SSH-Merkmal.
Das Merkmal der Unterstützungs SSHv2, das im Cisco IOS-Software-Release 12.3(4)T eingeführt wird, erlaubt einem Benutzer, SSHv2 zu konfigurieren. (Die SSHv1-Unterstützung wurde in einer früheren Version der Cisco IOS-Software implementiert.) SSH wird auf einer zuverlässigen Transportschicht ausgeführt und bietet Funktionen für starke Authentifizierung und Verschlüsselung. Der einzige zuverlässige Transport, der für SSH definiert wird, ist TCP. SSH liefert Durchschnitte, auf Befehle auf einem anderen Computer oder Gerät über einem Netz sicher zuzugreifen und sicher durchzuführen. Das sichere Merkmal des Kopien-Protokolls (SCP), das über SSH einen Tunnel angelegt wird, lässt die sichere Übertragung von Dateien zu.
Wenn der IP-ssh verson 2 Befehl nicht ausdrücklich konfiguriert wird, dann aktiviert Cisco IOS SSH-Version 1,99. SSH-Version 1,99 erlaubt Verbindungen SSHv1 und SSHv2. SSHv1 wird als unsicher betrachtet und kann nachteilige Wirkungen auf das System haben. Wenn SSH aktiviert wird, wird es empfohlen, um SSHv1 zu deaktivieren, indem man den Befehl IP-ssh Version 2 verwendet.
Diese Beispielkonfiguration aktiviert SSHv2 (wenn SSHv1 deaktiviert ist,) auf einem Cisco IOS-Gerät:
!
hostname router
!
ip domain-name example.com
!
crypto key generate rsa modulus 2048
!
ip ssh time-out 60
ip ssh authentication-retries 3
ip ssh source-interface GigabitEthernet 0/1
!
ip ssh version 2
!
line vty 0 4
transport input ssh
!
Sprechen Sie sicheren Support Shell Versions 2 zu mehr Information über den Gebrauch SSHv2 an.
Cisco IOS SSHv2 unterstützt die Tastatur-interaktiven und Passwort-basierten Authentisierungsmethoden. Die Verbesserungen SSHv2 für RSA-Hauptmerkmal unterstützt auch RSA-basierte Authentisierung der allgemeinen Taste für den Kunden und den Server.
Für Benutzerauthentisierung verwendet RSA-basierte Benutzerauthentisierung ein privates/allgemeines Schlüsselpaar, das mit jedem Benutzer für Authentisierung verbunden ist. Der Benutzer muss ein privates/allgemeines Schlüsselpaar auf dem Kunden festlegen und eine allgemeine Taste auf dem Server Cisco IOS konfigurieren SSH, um die Authentisierung abzuschließen.
Ein SSH-Benutzer, der versucht, die Bescheinigungen herzustellen, versieht eine verschlüsselte Unterzeichnung mit der privaten Taste. Die Unterzeichnung und die allgemeine Taste des Benutzers werden zum SSH-Server für Authentisierung geschickt. Der SSH-Server berechnet ein Hasch über der allgemeinen Taste, die vom Benutzer zur Verfügung gestellt wird. Das Hasch wird benutzt, um zu bestimmen, wenn der Server einen Eintrag hat, der abgleicht. Wenn eine Abgleichung gefunden wird, wird RSA-basierte Meldungsüberprüfung mit der allgemeinen Taste durchgeführt. Folglich wird der Benutzer beglaubigt, oder verweigerter Zugriff basiert auf der verschlüsselten Unterzeichnung.
Für Serverauthentisierung muss der Kunde Cisco IOS SSH eine Hauptrechnertaste für jeden Server zuweisen. Wenn der Kunde versucht, eine SSH-Sitzung mit einem Server herzustellen, empfängt er die Unterzeichnung des Servers als Teil der Schlüsselaustauschmeldung. Wenn die Schlüsselprüfungsflagge des strengen Hauptrechners auf dem Kunden aktiviert wird, überprüft der Kunde, ob sie den Hauptrechnerschlüsseleintrag hat, der dem vorkonfigurierten Server entspricht. Wenn eine Abgleichung gefunden wird, versucht der Kunde, die Unterzeichnung mit der Serverhauptrechnertaste zu validieren. Wenn der Server erfolgreich authentifiziert wird, wird der Sitzungsaufbau fortgesetzt. Andernfalls wird er mit einer Meldung zu einer fehlgeschlagenen Serverauthentifizierung beendet.
Diese Beispielkonfiguration aktiviert den Gebrauch von RSA-Tasten mit SSHv2 auf einem Cisco IOS-Gerät:
!
! Configure a hostname for the device
!
hostname router
!
! Configure a domain name
!
ip domain-name cisco.com
!
! Specify the name of the RSA key pair (in this case, "sshkeys") to use for SSH
!
ip ssh rsa keypair-name sshkeys
!
! Enable the SSH server for local and remote authentication on the router using
! the "crypto key generate" command
! For SSH version 2, the modulus size must be at least 768 bits
!
crypto key generate rsa usage-keys label sshkeys modulus 2048
!
! Configure an ssh timeout (in seconds)
!
! The following enables a timeout of 120 seconds for SSH connections
!
ip ssh time-out 120
!
! Configure a limit of five (5) authentication retries
!
ip ssh authentication-retries 5
!
! Configure SSH version 2
!
ip ssh version 2
!
Diese Beispielkonfiguration aktiviert den Server Cisco IOS SSH, RSA-basierte Benutzerauthentisierung durchzuführen. Die Benutzerauthentisierung ist erfolgreich, wenn die allgemeine Taste RSA, die auf dem Server gespeichert wird, mit der Öffentlichkeit oder den privaten Schlüsselpaaren überprüft wird, die auf dem Kunden gespeichert werden.
!
! Configure a hostname for the device
!
hostname router
!
! Configure a domain name
!
ip domain-name cisco.com
!
! Generate RSA key pairs using a modulus of 2048 bits
!
crypto key generate rsa modulus 2048
!
! Configure SSH-RSA keys for user and server authentication on the SSH server
!
ip ssh pubkey-chain
!
! Configure the SSH username
!
username ssh-user
!
! Specify the RSA public key of the remote peer
!
! You must then configure either the key-string command
! (followed by the RSA public key of the remote peer) or the
! key-hash command (followed by the SSH key type and version.)
!
Diese Beispielkonfiguration aktiviert den Kunden Cisco IOS SSH, RSA-basierte Serverauthentisierung durchzuführen.
!
!
hostname router
!
ip domain-name cisco.c
!
! Generate RSA key pairs
!
crypto key generate rsa
!
! Configure SSH-RSA keys for user and server authentication on the SSH server
!
ip ssh pubkey-chain
!
! Enable the SSH server for public-key authentication on the router
!
server SSH-server-name
!
! Specify the RSA public-key of the remote peer
!
! You must then configure either the key-string command
! (followed by the RSA public key of the remote peer) or the
! key-hash <key-type> <key-name> command (followed by the SSH key
! type and version.)
!
! Ensure that server authentication takes place - The connection will be
! terminated on a failure
!
ip ssh stricthostkeycheck
!
In Cisco IOS-Geräten sind Konsole und zusätzliche (ZUSATZ) Kanäle asynchrone Zeilen, die für lokalen und Fernzugriff zu einem Gerät benutzt werden können. Sie müssen beachten, dass Konsolenkanäle auf Cisco IOS-Geräten besondere Rechte haben. Insbesondere erlauben diese Privilegien einem Verwalter, die PasswortWiederherstellungsprozedur durchzuführen. Zwecks Passwortwiederanlauf durchzuführen, würde ein unauthenticated Angreifer Zugriff zum Konsolenkanal und zur Fähigkeit haben müssen Energie zum Gerät zu unterbrechen oder das Gerät zu veranlassen abzubrechen.
Jede mögliche Methode, die angewendet wird, um auf den Konsolenkanal eines Gerätes zuzugreifen, muss in gewissem Sinne gesichert werden, das der Sicherheit gleich ist, die für privilegierten Zugriff zu einem Gerät erzwungen wird. Die Methoden, die angewendet werden, um Zugriff zu sichern, müssen den Gebrauch von AAA, Leitprogrammunterbrechung und Modempasswörtern umfassen, wenn ein Modem zur Konsole befestigt wird.
Wenn die Kennwortwiederherstellung nicht erforderlich ist, kann ein Administrator die Möglichkeit entfernen, die Kennwortwiederherstellung mit dem globalen Konfigurationsbefehl no service password-recovery durchzuführen. Sobald jedoch der Befehl no service password-recovery aktiviert wurde, kann ein Administrator die Kennwortwiederherstellung nicht mehr auf einem Gerät durchführen.
In den meisten Situationen muss der ZUSATZkanal eines Gerätes behindert sein, um unberechtigten Zugriff zu verhindern. Ein ZUSATZkanal kann mit diesen Befehlen deaktiviert werden:
!
line aux 0
transport input none
transport output none
no exec
exec-timeout 0 1
no password
!
Interaktive Managementsitzungen in Cisco IOS-Software benutzen einen tty oder virtuellen tty (vty). Ein tty ist eine lokale asynchrone Zeile, zu der ein Terminal für lokalen Zugriff zum Gerät oder zu einem Modem für Wählleitung zu einem Gerät befestigt werden kann. Beachten Sie, dass ttys für Verbindungen zu den Konsolenkanälen anderer Geräte benutzt werden können. Diese Funktion lässt ein Gerät mit tty-Zeilen als ein Konsolenserver, in dem auftreten Verbindungen über dem Netz hergestellt werden können zu den Konsolenkanälen von den Geräten, die an die tty-Zeilen angeschlossen werden. Die tty-Zeilen für diese Rückverbindungen über dem Netz müssen kontrolliert auch sein.
Eine vty Zeile wird für alle weiteren Netzs- mit größerer geographischer Ausdehnungverbindungen benutzt, die durch das Gerät, unabhängig davon Protokoll unterstützt werden (SSH, SCP oder telnet sind Beispiele). Zwecks zu garantieren dass ein Gerät über eine Sitzung der lokalen oder Fernverwaltung erreicht werden kann, müssen richtige Kontrollen auf den vty und tty-Zeilen erzwungen werden. Cisco IOS-Geräte verfügen über eine begrenzte Anzahl von VTY-Leitungen. Die Anzahl der verfügbaren Leitungen kann mit dem EXEC-Befehl show line ermittelt werden. Wenn alle vty Zeilen gebräuchlich sind, können neue Managementsitzungen nicht hergestellt werden, das eine DOS-Zugangsbedingung zum Gerät erstellt.
Das einfachste Formular der Zugriffssteuerung zu einem vty oder des tty eines Gerätes ist durch den Gebrauch von Authentisierung auf allen Zeilen unabhängig davon den Gerätstandort innerhalb des Netzes. Dieses ist für vty Zeilen kritisch, weil sie über das Netz zugänglich sind. Eine tty-Zeile, die an ein Modem angeschlossen wird, das für Fernzugriff zum Gerät benutzt wird oder eine tty-Zeile, die an den Konsolenkanal anderer Geräte angeschlossen wird, sind auch über das Netz zugänglich. Andere Formulare von vty und tty-Zugriffssteuerungen können mit dem Transportinput oder Zugriff-klasseden konfigurationsbefehlen, mit dem Gebrauch von den Merkmalen CoPP und CPPr erzwungen werden oder, wenn Sie Zugriffslisten an den Schnittstellen auf dem Gerät anwenden.
Authentisierung kann durch den Gebrauch AAA erzwungen werden, der die empfohlene Methode für beglaubigten Zugriff zu einem Gerät, mit dem Gebrauch von der lokalen Benutzerdatenbank oder durch die einfache Passwortauthentisierung ist, die direkt auf der vty oder tty-Zeile konfiguriert wird.
Der Leitprogrammunterbrechungsbefehl muss verwendet werden, um sich Sitzungen auf den vty oder tty-Zeilen auszuloggen, die untätig gelassen werden. Der Service TCP-keepalives-im Befehl muss auch verwendet werden, um TCP-Keepalives auf ankommenden Verbindungen zum Gerät zu aktivieren. Dieses garantiert, dass das Gerät am Fernende der Verbindung noch zugänglich ist und dass halb offene oder verwaiste Verbindungen vom lokalen IOS-Gerät gelöscht werden.
Ein vty und ein tty sollten konfiguriert werden, um anzunehmen nur verschlüsselt und Fernzugriffmanagementverbindungen zum Gerät oder durch das Gerät zu sichern, wenn es als Konsolenserver benutzt wird. Dieses Kapitel adressiert ttys, weil solche Zeilen an Konsolenkanäle auf anderen Geräten angeschlossen werden können, die den tty über dem Netz zugänglich sein lassen. In einer Bemühung, Informationsdatenübermittlung oder -unberechtigten Zugriff zu den Daten zu verhindern, die zwischen den Verwalter und das Gerät übertragen wird, sollte Transportinput ssh anstelle der Klartextprotokolle, wie telnet und rlogin benutzt werden. Der Transport gab, das keine ein, kann Konfiguration auf einem tty aktiviert werden, der in Wirklichkeit den Gebrauch von der tty-Zeile für Rück-konsolenverbindungen deaktiviert.
erlauben vty und tty-Zeilen einem Verwalter, an andere Geräte anzuschließen. Zwecks den Typen des Transportes zu begrenzen den ein Verwalter für gehend Verbindungen benutzen kann, benutzen Sie die TransportAusgabeleitung Konfigurationsbefehl. Wenn gehend Verbindungen nicht erforderlich sind, dann gab Transport keine sollte verwendet werden aus. Jedoch wenn gehend Verbindungen erlaubt werden, dann sichern verschlüsselt und Fernzugriffmethode für die Verbindung sollten durch den Gebrauch von Transportausgabe ssh erzwungen werden.
Hinweis: Sofern unterstützt, kann IPsec für verschlüsselte, sichere Remote-Zugriffsverbindungen zu einem Gerät verwendet werden. Wenn Sie IPSec verwenden, fügt es auch zusätzliche CPU-Unkosten dem Gerät hinzu. Jedoch muss SSH als der Transport noch erzwungen werden, selbst wenn IPSec verwendet wird.
In etwas Gerichtsbezirken zu verfolgen kann unmöglich sein und illegal, böswillige Benutzer zu überwachen, es sei denn, dass sie benachrichtigt worden sind, dass sie nicht die Erlaubnis gehabt werden, um das System zu benutzen. Eine Methode, zum dieser Mitteilung bereitzustellen ist, diese Informationen in eine Bannermeldung zu platzieren, die mit dem Cisco IOS-Software-Banner-LOGON-Befehl konfiguriert wird.
Legale Meldepflichten sind komplex, schwanken durch die Rechtsprechung und Situation und sollten mit Rechtsberater behandelt werden. Sogar innerhalb der Rechtsprechungen, können sich Rechtsgutachten unterscheiden. In Zusammenarbeit mit Ratschlag kann ein Banner einiges oder alle diese Informationen zur Verfügung stellen:
Von einem Sicherheitsgesichtspunkt eher als legal, sollte ein LOGON-Banner keine spezifischen Informationen über den Routernamen, -modell, -software oder -besitz enthalten. Diese Informationen können von den böswilligen Benutzern missbraucht werden.
Der Authentisierungs-, Ermächtigungs- und Buchhaltungs(AAA) Rahmen ist kritisch, um interaktiven Zugriff zu den Netzgeräten zu sichern. Der aaa-Rahmen liefert eine in hohem Grade konfigurierbare Umgebung, die hergestellt werden kann basierte auf dem Bedarf des Netzes.
TACACS+ ist ein Authentisierungsprotokoll, das Cisco IOS-Geräte für Authentisierung von Managementbenutzern gegen einen Fern-AAA-Server verwenden können. Diese Managementbenutzer können auf das IOS-Gerät über SSH, HTTPS, telnet oder HTTP zugreifen.
TACACS+-Authentisierung oder im Allgemeinen AAA-Authentisierung, liefert die Fähigkeit, einzelnen Benutzer zu verwenden erklärt jeden Netzwerkadministrator. Wenn Sie nicht von einem einzelnen geteilten Passwort abhängen, wird die Sicherheit des Netzes verbessert und Ihre Verantwortlichkeit wird verstärkt.
RADIUS ist ein Protokoll, das TACACS+ ähnelt. Dabei wird jedoch nur das Kennwort verschlüsselt, das über das Netzwerk gesendet wird. Demgegenüber verschlüsselt TACACS+ die gesamte TCP-Nutzlast, die das username und Passwort einschließt. Aus diesem Grund sollte TACACS+ anstatt des RADIUS verwendet werden, wenn TACACS+ durch den AAA-Server unterstützt wird. Siehe TACACS+- und RADIUS-Vergleich für einen ausführlicheren Vergleich dieser zwei Protokolle.
TACACS+-Authentisierung kann auf einem Cisco IOS-Gerät mit einer Konfiguration aktiviert werden, die diesem Beispiel ähnlich ist:
!
aaa new-model
aaa authentication login default group tacacs+
!
tacacs-server host <ip-address-of-tacacs-server>
tacacs-server key <key>
!
Die vorhergehende Konfiguration kann als Ausgangspunkt für eine Organisation-spezifische AAA-Authentisierungsschablone verwendet werden. Siehe Authentisierung, Ermächtigung und das Ausmachen von mehr Informationen über die Konfiguration von AAA.
Eine Methodenliste ist eine sequenzielle Liste, die die, um einen beschreibt Benutzer zu beglaubigen abgefragt zu werden Authentisierungsmethoden. Methodenlisten aktivieren Sie, für Authentisierung verwendet zu werden Sicherheitsprotokolle zu kennzeichnen eine oder mehrere, und stellen folglich eine Ausweichanlage für Authentisierung sicher, falls die Anfangsmethode ausfällt. Cisco IOS-Software wendet die erste ausgedruckte Methode an, die erfolgreich einen Benutzer annimmt oder zurückweist. Folgende Methoden werden nur versucht, in den Fällen wo frühere Methoden wegen der Servernichtverfügbarkeit oder der falschen Konfiguration verlassen.
Sprechen Sie benannte Method Lists für Authentisierung zu mehr Information über die Konfiguration von benannter Method Lists an.
Wenn alle konfigurierten TACACS+-Servers nicht verfügbar werden, dann kann ein Cisco IOS-Gerät auf Sekundärauthentisierungsprotokollen beruhen. Typische Konfigurationen umfassen den Gebrauch des Einheimischen oder aktivieren Authentisierung, wenn alle konfigurierten TACACS+-Servers nicht verfügbar sind.
Die komplette Liste von Optionen für Aufgerätauthentisierung umfasst aktivieren, Einheimisches und Zeile. Jede dieser Optionen hat Vorteile. Der Gebrauch von dem Aktivierungsgeheimnis wird bevorzugt, weil das Geheimnis mit einem Einwegalgorithmus gehackt wird, der in sich selbst sicherer als der Verschlüsselungsalgorithmus ist, der mit dem Typen 7 Passwörter für Zeile oder lokale Authentisierung verwendet wird.
Jedoch auf Cisco IOS-Software-Releases, die den Gebrauch von geheimen Passwörtern für lokal definierte Benutzer unterstützen, kann Reserve zur lokalen Authentisierung wünschenswert sein. Dieses darf einen lokal definierten Benutzer für eine oder mehrere Netzwerkadministratoren erstellt werden. Wenn TACACS+, vollständig nicht verfügbar zu werden waren, kann jeder Verwalter ihr lokales username und Passwort verwenden. Obgleich diese Aktion die Verantwortlichkeit von Netzwerkadministratoren in TACACS+-Ausfällen erhöht, erhöht sie erheblich die Verwaltungsbelastung, weil lokale Benutzerkonten auf allen Netzgeräten aufrechterhalten werden müssen.
Gestalten dieses Konfigurationsbeispiels nach dem vorhergehenden TACACS+-Authentisierungsbeispiel zwecks Reservenauthentisierung zum Passwort einschließen, das lokal mit dem geheimen Befehl des Aktivierunges konfiguriert wird:
!
enable secret <password>
!
aaa new-model
aaa authentication login default group tacacs+ enable
!
tacacs-server host <ip-address-of-tacacs-server>
tacacs-server key <key>
!
Sprechen Sie konfigurierende Authentisierung zu mehr Information über den Gebrauch von Reservenauthentisierung mit AAA an.
Ursprünglich konzipiert, um schnelle Dekodierung von gespeicherten Passwörtern zu erlauben, sind Typ 7 Passwörter kein sicheres Formular des Passwortspeichers. Es gibt viele verfügbaren Werkzeuge, die diese Passwörter leicht entschlüsseln können. Der Gebrauch von Typen 7 Passwörter sollte vermieden werden, es sei denn, dass benötigt worden durch ein Merkmal, das auf dem Cisco IOS-Gerät gebräuchlich ist.
Typ 9 (scrypt) sollte benutzt werden, wann immer möglich:
username <username> privilege 15 algorithm-type scrypt secret <secret>
Der Abbau von Passwörtern dieses Typen kann durch AAA-Authentisierung und den Gebrauch von dem erhöhten Passwort-Sicherheitsmerkmal erleichtert werden, das erlaubt, dass geheime Passwörter mit Benutzern verwendet werden, die lokal über den globalen Konfigurationsbefehl username definiert werden. Wenn Sie den Gebrauch von Typen 7 Passwörter nicht völlig verhindern können, betrachten Sie diese Passwörter als verdunkelt, nicht verschlüsselt.
Sehen Sie das flache Verhärtungskapitel der Geschäftsleitung dieses Dokuments zu mehr Information über den Abbau des Typen 7 Passwörter.
Befehlsermächtigung mit TACACS+ und AAA liefert einen Mechanismus, der ermöglicht oder verweigert jeden Befehl, der von einem Verwaltungsbenutzer eingegeben wird. Wenn der Benutzer Bedienungsaufrufe an den Ablaufteil eingibt, schickt Cisco IOS jeden Befehl zum konfigurierten AAA-Server. Der aaa-Server verwendet dann seine konfigurierte Politik, um den Befehl für diesen bestimmten Benutzer zu ermöglichen oder zu verweigern.
Diese Konfiguration kann dem vorhergehenden AAA-Authentisierungsbeispiel hinzugefügt werden, um Befehlsermächtigung einzuführen:
!
aaa authorization exec default group tacacs none
aaa authorization commands 0 default group tacacs none
aaa authorization commands 1 default group tacacs none
aaa authorization commands 15 default group tacacs none
!
Sprechen Sie konfigurierende Ermächtigung zu mehr Information über Befehlsermächtigung an.
Wenn sie konfiguriert wird, sendet AAA-Befehlsbuchhaltung Informationen über jeden Bedienungsaufruf an den Ablaufteil, der zu den konfigurierten TACACS+-Servers eingegeben wird. Die Informationen, die zum TACACS+-Server geschickt werden, umfassen den durchgeführten Befehl, das Datum, die er durchgeführt wurde und das username des Benutzers, der den Befehl eingibt. Befehlsbuchhaltung wird nicht mit RADIUS unterstützt.
Diese Beispielkonfiguration aktiviert AAA-Befehl die erklärenden Bedienungsaufrufe an den Ablaufteil, die auf Privilegstufen null, eine und 15 eingegeben werden. Gestalten dieser Konfiguration nach vorhergehenden Beispielen, die Konfiguration der TACACS-Servers umfassen.
!
aaa accounting exec default start-stop group tacacs
aaa accounting commands 0 default start-stop group tacacs
aaa accounting commands 1 default start-stop group tacacs
aaa accounting commands 15 default start-stop group tacacs
!
Siehe das Konfigurieren, mehr Informationen über die Konfiguration von AAA-Buchhaltung ausmachend.
Die aaa-Servers, die in einer Umgebung wirksam eingesetzt werden, sollten überflüssig und eingesetzt in einer fehlertoleranten Art sein. Dieses hilft, zu garantieren, dass interaktiver Managementzugriff, wie SSH, möglich ist, wenn ein AAA-Server nicht verfügbar ist.
Wenn Sie eine überflüssige AAA-Serverlösung konzipieren oder einführen, erinnern Sie sich an diese Erwägungen:
Sprechen Sie einsetzen die Zugriffssteuerungs-Servers zu mehr Information an.
Dieses Kapitel markiert einige Methoden, die angewendet werden können, um die Entwicklung von SNMP innerhalb IOS-Geräte zu sichern. Es ist kritisch, dass SNMP richtig gesichert wird, um die Vertraulichkeit, die Integrität und die Verfügbarkeit der Netzdaten und der Netzgeräte zu schützen, durch die diese Daten durchfahren. SNMP versieht Sie mit einer Fülle von Informationen auf der Gesundheit von Netzgeräten. Diese Informationen sollten vor böswilligen Benutzern geschützt werden, die diese Daten wirksam einsetzen möchten, um Angriffe gegen das Netz durchzuführen.
Gemeinschaftszeichenketten sind- Passwörter, die auf ein IOS-Gerät zugetroffen werden, um Zugriffs, Read-only-- und Lese-Schreibzugriff einzuschränken, zu den SNMP-Daten bezüglich des Gerätes. Diese Gemeinschaftszeichenketten, wie mit allen Passwörtern, sorgfältig beschlossen werden sollten, um sicherzustellen, dass sie nicht trivial sind. Gemeinschaftszeichenketten sollten in regelmäßigen Abständen und in Übereinstimmung mit Netzwerksicherheitspolitik geändert werden. Zum Beispiel sollten die Zeichenketten geändert werden, wenn ein Netzwerkadministrator Rollen ändert oder die Firma lässt.
Diese Konfigurationszeilen konfigurieren eine Read-only-Gemeinschaftszeichenkette von READ-ONLY und eine Lese-Schreibgemeinschaftszeichenkette von LESE-SCHREIB:
!
snmp-server community READONLY RO
snmp-server community READWRITE RW
!
Hinweis: Die vorherigen Community-Stringbeispiele wurden ausgewählt, um die Verwendung dieser Strings klar zu erklären. Für Produktionsumgebungen sollten Gemeinschaftszeichenketten mit Vorsicht gewählt werden und sollten einer Reihe aus alphabetischen, numerischen und nicht-alphanumerischen Symbolen bestehen. Siehe Empfehlungen für das Erstellen von starken Passwörtern zu mehr Information über die Auswahl von nicht trivialen Passwörtern.
Siehe IOS-SNMP-Befehlsreferenz zu mehr Information über dieses Merkmal.
Zusätzlich zur Gemeinschaftszeichenkette sollte ein ACL angewandt sein, der weiter SNMP-Zugriff zu einer ausgewählten Gruppe Quellip address einschränkt. Diese Konfiguration schränkt SNMP-Read-only-Zugriff zu den Endenhauptrechnergeräten, die im 192.168.100.0/24 Adressbereich sich befinden ein und schränkt SNMP-Lese-Schreibzugriff nur zum Endenhauptrechnergerät bei 192.168.100.1 ein.
Hinweis: Für die Geräte, die von diesen ACLs zugelassen werden, ist der korrekte Community String erforderlich, um auf die angeforderten SNMP-Informationen zugreifen zu können.
!
access-list 98 permit 192.168.100.0 0.0.0.255
access-list 99 permit 192.168.100.1
!
snmp-server community READONLY RO 98
snmp-server community READWRITE RW 99
!
Sprechen Sie SNMPservergemeinschaft in der Cisco IOS-Netzführungs-Befehlsreferenz zu mehr Information über dieses Merkmal an.
Infrastruktur ACLs (iACLs) kann eingesetzt werden, um zu garantieren, dass nur Endenhauptrechner mit verlässlichen IP address SNMP-Verkehr zu einem IOS-Gerät schicken können. Ein iACL sollte eine Politik enthalten, die nicht autorisierte SNMP-Pakete auf UDP-Kanal 161 verweigert.
Sehen Sie den Begrenzungszugriff zum Netz mit Infrastruktur ACLs-Kapitel dieses Dokuments zu mehr Information über den Gebrauch von iACLs.
SNMP-Ansichten sind ein Sicherheitsmerkmal, das Zugriff zu bestimmtem SNMP MIBs ermöglichen oder verweigern kann. Sobald eine Ansicht an einer Gemeinschaftszeichenkette mit den globalen Konfigurationsbefehlen der SNMPservergemeinschaftsgemeinschaftzeichenkettenansicht erstellt und angewendet wird, wenn Sie auf MIB-Daten zugreifen, werden Sie auf die Erlaubnis eingeschränkt, die durch die Ansicht definiert werden. Wenn passend, werden Sie geraten, Ansichten zu verwenden, um Benutzer von SNMP auf die Daten zu begrenzen, die sie fordern.
Dieses Konfigurationsbeispiel schränkt SNMP-Zugriff mit der Gemeinschaftszeichenkette ein, die zu den MIB-Daten BEGRENZT ist, die in der Systemgruppe ist:
!
snmp-server view VIEW-SYSTEM-ONLY system include
!
snmp-server community LIMITED view VIEW-SYSTEM-ONLY RO
!
Sprechen Sie konfigurierenden SNMP-Support zu mehr Information an.
SNMP-Version 3 (SNMPv3) wird durch RFC3410, RFC3411, RFC3412, RFC3413, RFC3414 und RFC3415 definiert und ist ein dialogfähiges Standard-basiertes Protokoll für Netzführung. SNMPv3 bietet sicheren Zugang zu den Geräten, weil es beglaubigt und beliebig Pakete über dem Netz verschlüsselt. Wo unterstützt, kann SNMPv3 verwendet werden, um eine andere Schicht Sicherheit hinzuzufügen, wenn Sie SNMP einsetzen. SNMPv3 besteht aus drei Primärkonfigurationsoptionen:
Es muss eine autoritative Engine-ID vorhanden sein, damit die SNMPv3-Sicherheitsmechanismen - Authentifizierung oder Authentifizierung und Verschlüsselung - zur Verarbeitung von SNMP-Paketen verwendet werden können. Standardmäßig wird die Engine-ID lokal generiert. Die Maschine Identifikation kann mit dem Show-SNMP-engineID Befehl wie in diesem Beispiel gezeigt angezeigt werden:
router#show snmp engineID
Local SNMP engineID: 80000009030000152BD35496
Remote Engine ID IP-addr Port
Hinweis: Wenn der Wert von engineID geändert wird, müssen alle SNMP-Benutzerkonten neu konfiguriert werden.
Der nächste Schritt ist, eine Gruppe SNMPv3 zu konfigurieren. Dieser Befehl konfiguriert ein Cisco IOS-Gerät für SNMPv3 mit einer SNMP-Servergruppe AUTHGROUP und aktiviert nur Authentisierung für diese Gruppe mit dem authentischen Schlüsselwort:
!
snmp-server group AUTHGROUP v3 auth
!
Dieser Befehl konfiguriert ein Cisco IOS-Gerät für SNMPv3 mit einer SNMP-Servergruppe PRIVGROUP und aktiviert Authentisierung und Verschlüsselung für diese Gruppe mit dem priv Schlüsselwort:
!
snmp-server group PRIVGROUP v3 priv
!
Dieser Befehl konfiguriert einen SNMPv3 Benutzer snmpv3user mit einem Passwort der Authentisierung MD5 von authpassword und einem Passwort der Verschlüsselung 3DES von privpassword:
!
snmp-server user snmpv3user PRIVGROUP v3 auth md5 authpassword priv 3des
privpassword
!
Beachten Sie, dass die Benutzer-Konfigurationsbefehle für snmp-server nicht in der Konfigurationsausgabe des Geräts angezeigt werden, wie dies nach RFC 3414 erforderlich ist. Das Benutzerkennwort kann daher in der Konfiguration nicht angezeigt werden. Zwecks die konfigurierten Benutzer anzusehen, geben Sie den Show-SNMP-Benutzerbefehl wie in diesem Beispiel gezeigt ein:
router#show snmp user
User name: snmpv3user
Engine ID: 80000009030000152BD35496
storage-type: nonvolatile active
Authentication Protocol: MD5
Privacy Protocol: 3DES
Group-name: PRIVGROUP
Sprechen Sie konfigurierenden SNMP-Support zu mehr Information über dieses Merkmal an.
Die Funktion des Management-Flächen-Schutzes (MPP) in Cisco IOS-Software kann benutzt werden, um sicherem SNMP zu helfen, weil sie die Schnittstellen einschränkt, durch die SNMP-Verkehr auf dem Gerät abbrechen kann. Das mpp-Merkmal erlaubt einem Verwalter, eine oder mehrere Schnittstellen als Managementschnittstellen zu kennzeichnen. Managementverkehr wird die Erlaubnis gehabt, um ein Gerät nur durch diese Managementschnittstellen einzutragen. Nachdem MPP aktiviert ist, keine Schnittstellen, ausgenommen gekennzeichnete Managementschnittstellen Netzführungsverkehr annehmen, der zum Gerät vorgesehen wird.
Beachten Sie, dass der MPP eine Teilmenge des CPPr-Merkmals ist und eine Version von IOS benötigt, der CPPr unterstützt. Siehe Verständnis des Steuerflachen Schutzes zu mehr Information über CPPr.
In diesem Beispiel wird MPP verwendet, um SNMP- und SSH-Zugriff nur zum FastEthernet einzuschränken 0/0 Schnittstelle:
!
control-plane host
management-interface FastEthernet0/0 allow ssh snmp
!
Sprechen Sie Management-flache Schutz-Merkmals-Anleitung zu mehr Information an.
Das Ereignisprotokollieren stellt Ihnen Sicht in die Operation eines Cisco IOS-Gerätes und des Netzes zur Verfügung, in die sie eingesetzt wird. Cisco IOS-Software liefert einige flexible protokollierende Optionen, die helfen können, die Netzführungs- und Sichtziele einer Organisation zu erzielen.
Diese Kapitel liefern etwas grundlegende protokollierende optimale Verfahren, die einem Verwalter helfen können, erfolgreich protokollieren wirksam einzusetzen bei der Minderung der Auswirkung des Anmeldens eines Cisco IOS-Gerätes.
Sie werden geraten, protokollierende Informationen zu einem Fernsyslog-Server zu schicken. Dieses macht es möglich, effektiv aufeinander zu beziehen und Revisionsnetz- und -sicherheitsereignisse über Netzgeräten. Beachten Sie, dass syslog-Meldungen unzuverlässig durch UDP und in Klartext übertragen werden. Aus diesem Grund sollten alle mögliche Schutze, die ein Netz zum Managementverkehr sich leistet (zum Beispiel, Verschlüsselung oder nicht auf Band aufgenommener Zugriff) ausgedehnt sein, um syslog-Verkehr zu umfassen.
Dieses Konfigurationsbeispiel konfiguriert ein Cisco IOS-Gerät, um protokollierende Informationen zu einem Fernsyslog-Server zu schicken:
!
logging host <ip-address>
!
Integriert in 12.4(15)T und in 12.0(26)S, aktiviert das Protokollieren zum lokalen Merkmal des nichtflüssiges Speicher (ATA Disk) ursprünglich eingeführt protokollierende Meldungen des Systems, auf einer neuen grellen Platte des Technologieanhangs gesichert zu werden (ATA). Die Meldungen, die auf einem ATA-Laufwerk gesichert werden, bestehen weiter, nachdem ein Router neu geladen ist.
Diese Konfiguration zeichnet konfigurieren 134.217.728 Bytes (MB 128) protokollierende Meldungen zum syslog-Verzeichnis des ATA-Blitzes (disk0) und spezifiziert eine Dateigröße von 16.384 Bytes:
logging buffered
logging persistent url disk0:/syslog size 134217728 filesize 16384
Bevor protokollierende Meldungen zu einer Datei auf die ATA-Platte geschrieben werden, überprüft Cisco IOS-Software, ob es genügendes Speicherkapazität gibt. Wenn nicht, wird die älteste Datei von protokollierenden Meldungen (durch Zeitstempel) und die aktive Datei wird gesichert gelöscht. Das Format für den Dateinamen lautet Protokoll_Monat:Tag:Jahr::Zeit.
Hinweis: Ein ATA-Flash-Laufwerk hat nur begrenzten Speicherplatz und muss daher gewartet werden, um das Überschreiben gespeicherter Daten zu vermeiden.
Dieses Beispiel zeigt, wie man protokollierende Meldungen von der grellen Platte des Routers ATA zu einer externen Platte auf ftp server 192.168.1.129 als Teil der Instandhaltungsverfahren kopiert:
copy disk0:/syslog ftp://myuser/mypass@192.168.1.129/syslog
Jede Logmeldung, die durch ein Cisco IOS-Gerät festgelegt wird, wird eins von acht severities, die von Stufe 0, Not-, durch Stufe 7 reichen, ausprüfen zugewiesen. Es wird empfohlen, die Protokollierung auf Stufe 7 zu vermeiden, sofern dies nicht ausdrücklich erforderlich ist. Protokollierung auf Ebene 7 erzeugt eine erhöhte CPU-Last auf dem Gerät, die zu Geräte- und Netzwerkinstabilität führen kann.
Die globale protokollierende Stufe des Konfigurationsbefehls Blockierwird benutzt, um zu spezifizieren, welche protokollierenden Meldungen zu Fernsyslog-Servers geschickt werden. Die spezifizierte Stufe zeigt die niedrigste Schweremeldung an, die gesendet wird. Für das gepufferte Protokollieren wird der protokollierende gepufferte waagerecht ausgerichtete Befehl verwendet.
Dieses Konfigurationsbeispiel begrenzt Logmeldungen, die zu Fernsyslog-Servers und zum lokalen Logbuffer zu den severities 6 (informatorisch) durch 0 geschickt werden (Not-):
!
logging trap 6
logging buffered 6
!
Siehe Störungssuche, Störungs-Management und das Protokollieren zu mehr Information.
Mit Cisco IOS-Software ist es möglich, Logmeldungen zu den Monitorläufen - Monitorläufe sind interaktive Managementsitzungen, in denen der Bedienungsaufruf- an den Ablaufteilterminalmonitor herausgegeben worden ist - und zur Konsole zu schicken. Jedoch kann dieses die CPU-Eingabe eines IOS-Gerätes erhöhen und deshalb wird nicht empfohlen. Stattdessen werden Sie geraten, protokollierende Informationen zum lokalen Logbuffer zu schicken, der mit dem protokollierenden Befehl der Show angesehen werden kann.
Verwenden Sie die globalen Konfigurationsbefehle keine protokollierende Konsole und kein protokollierender Monitor, um das Protokollieren zur Konsole und zu den Monitorläufen zu deaktivieren. Dieses Konfigurationsbeispiel zeigt den Gebrauch von diesen Befehlen:
!
no logging console
no logging monitor
!
Siehe Cisco IOS-Netzführungs-Befehlsreferenz zu mehr Information über globale Konfigurationsbefehle.
Cisco IOSSoftware Support den Gebrauch von einem lokalen Logbuffer, damit ein Verwalter lokal festgelegte Logmeldungen ansehen kann. Der Gebrauch von gepuffertem Protokollieren wird in hohem Grade gegen das Protokollieren entweder in den Konsolen- oder Monitorläufen empfohlen.
Für die Konfiguration der gepufferten Protokollierung gibt es zwei relevante Konfigurationsoptionen: die Größe des Protokollierungspuffers und die Nachrichtenschweregrade, die im Puffer gespeichert werden. Die Größe des protokollierenden Buffers wird mit der globalen protokollierenden Puffergröße des Konfigurationsbefehls konfiguriert. Die niedrigste Schwere, die im Buffer eingeschlossen ist, wird mit dem protokollierenden gepufferten Schwerebefehl konfiguriert. Ein Verwalter ist in der Lage, den Inhalt des protokollierenden Buffers durch den Show protokollierenden Bedienungsaufruf an den Ablaufteil anzusehen.
Dieses Konfigurationsbeispiel umfasst die Konfiguration eines protokollierenden Buffers von 16384 Bytes sowie eine Schwere von 6, informatorisch, die anzeigt, dass Meldungen auf Stufen 0 (Not-) durch 6 (informatorisch) gespeichert wird:
!
logging buffered 16384 6
!
Siehe Cisco IOS-Netzführungs-Befehlsreferenz zu mehr Information über das gepufferte Protokollieren.
Zwecks ein erhöhtes Niveau der Übereinstimmung zur Verfügung zu stellen wenn Sie Logmeldungen sammeln und wiederholen, werden Sie geraten eine protokollierende Quellschnittstelle statisch zu konfigurieren. Vollendet über den protokollierenden Quelleschnittstellenschnittstellenbefehl, eine protokollierende Quellschnittstelle statisch garantiert konfigurieren, dass das gleiche IP address in allen protokollierenden Meldungen erscheint, die von einem einzelnen Cisco IOS-Gerät gesendet werden. Für hinzugefügte Stabilität werden Sie geraten, eine Schleifenbetriebschnittstelle als die protokollierende Quelle zu benutzen.
Dieses Konfigurationsbeispiel veranschaulicht den Gebrauch von dem protokollierenden globalen Konfigurationsbefehl der Quelleschnittstellenschnittstelle, um zu spezifizieren, dass das IP address der Schnittstelle des Schleifenbetriebs 0 für alle Logmeldungen verwendet wird:
!
logging source-interface Loopback 0
!
Sprechen Sie die Cisco IOS-Befehlsreferenz zu mehr Information an.
Die Konfiguration von protokollierenden Zeitstempeln hilft Ihnen, Ereignisse über Netzgeräten aufeinander zu beziehen. Es ist wichtig, eine korrekte und konsequente protokollierende Zeitstempelkonfiguration einzuführen, zu garantieren, dass Sie in der Lage sind, Journaldaten aufeinander zu beziehen. Protokollierende Zeitstempel sollten konfiguriert werden, um das Datum und die Zeit mit Millisekundenpräzision einzuschließen und die Zeitzone einzuschließen, die auf dem Gerät gebräuchlich ist.
Dieses Beispiel umfasst die Konfiguration von protokollierenden Zeitstempeln mit Millisekundenpräzision innerhalb der koordinierten Zone der Weltzeit (UTC):
!
service timestamps log datetime msec show-timezone
!
Wenn Sie, es vorziehen Zeiten nicht im Verhältnis zu UTC zu protokollieren, können Sie eine spezifische Ortszeitzone konfigurieren und diese Informationen konfigurieren, um in festgelegten Logmeldungen anwesend zu sein. Dieses Beispiel zeigt eine Geräteausstattung für die Zone der pazifischen Standardzeit (PST):
!
clock timezone PST -8
service timestamps log datetime msec localtime show-timezone
!
Cisco IOS-Software umfasst einige Merkmale, die ein Formular der Konfigurationsverwaltung auf einem Cisco IOS-Gerät aktivieren können. Solche Merkmale umfassen Funktionalität, um Konfigurationen und zur Preissenkung die Konfiguration zu einer vorhergehenden Version zu archivieren sowie ein ausführliches Konfigurationsänderungslog herzustellen.
Im Cisco IOS-Software-Release 12.3(7)T und später, ersetzen die Konfiguration und Konfigurations-Preissenkungsmerkmale erlauben Ihnen, die Cisco IOS-Geräteausstattung auf dem Gerät zu archivieren. Manuell oder automatisch gespeichert, können die Konfigurationen in diesem Archiv verwendet werden, um die aktuelle laufende Konfiguration durch das Konfigurierung zu ersetzen ersetzen Dateinamebefehl. Dieses ist im Gegensatz zu dem Kopiendateiname AusführenConfigbefehl. Das Konfigurierung ersetzen Dateinamebefehl ersetzt die laufende Konfiguration im Gegensatz zu dem Merge, das durch die Kopieanweisung durchgeführt wird.
Sie werden geraten, dieses Merkmal auf allen Cisco IOS-Geräten im Netz zu aktivieren. Sobald aktiviert, kann ein Verwalter die aktuelle laufende Konfiguration veranlassen, dem Archiv mit dem Archiv Config privilegierten Bedienungsaufruf an den Ablaufteil hinzugefügt zu werden. Die archivierten Konfigurationen können mit dem Showarchiv Bedienungsaufruf an den Ablaufteil angesehen werden.
Dieses Beispiel veranschaulicht die Konfiguration der automatischen Konfigurationsarchivierung. In diesem Beispiel wird das Cisco IOS-Gerät angewiesen, archivierte Konfigurationen als Dateien mit dem Namen archived-config-N auf dem Dateisystem disk0: zu speichern, maximal 14 Sicherungen zu verwalten und einmal täglich (1440 Minuten) zu archivieren, wenn ein Administrator den EXEC-Befehl write memory ausgibt.
!
archive
path disk0:archived-config
maximum 14
time-period 1440
write-memory
!
Obgleich die Konfigurationsarchivfunktionalität bis 14 Backup-Konfigurationen speichern kann, werden Sie geraten, den Platzbedarf zu betrachten, bevor Sie den maximalen Befehl verwenden.
Hinzugefügt Cisco IOS-Software-Release 12.3(14)T, garantiert das exklusive Konfigurations-Änderungs-Zugriffsmerkmal, dass nur ein Verwalter Konfigurationsänderungen an einem Cisco IOS-Gerät zu gegebener Zeit vornimmt. Dieses Merkmal hilft, die unerwünschte Auswirkung von den simultanen Änderungen zu beseitigen, die an in Verbindung stehenden Konfigurationskomponenten vorgenommen werden. Diese Funktion wird mit dem globalen Konfigurationsbefehl Konfigurationsmodus Exklusivmodus konfiguriert und in einem von zwei Modi betrieben: auto und manual. Im Selbst-modus sperrt die Konfiguration automatisch, wenn ein Verwalter den Konfigurierung Terminalbedienungsaufruf an den Ablaufteil herausgibt. Im manuellen Arbeitsmodus verwendet der Verwalter den Konfigurierungsterminalverschlussbefehl, um die Konfiguration zu sperren, wenn er Konfigurationsmodus kommt.
Dieses Beispiel veranschaulicht die Konfiguration dieses Merkmals für das automatische Konfigurationssperrung:
!
configuration mode exclusive auto
!
Hinzugefügt im Cisco IOS-Software-Release 12.3(8)T, macht das elastische Konfigurationsmerkmal es möglich, eine Kopie des Cisco IOS-Software-Bildes und der Geräteausstattung sicher zu speichern, die aktuell durch ein Cisco IOS-Gerät verwendet wird. Wenn dieses Merkmal aktiviert wird, ist es nicht möglich, diese Sicherungsdateien zu ändern oder zu löschen. Sie werden geraten, dieses Merkmal zu aktivieren, um die unbeabsichtigten und böswilligen Versuche zu verhindern, diese Dateien zu löschen.
!
secure boot-image
secure boot-config!
Sobald dieses Merkmal aktiviert wird, ist es möglich, ein gelöschtes Konfigurations- oder Cisco IOS-Software-Bild zurückzustellen. Der aktuelle Laufstatus dieses Merkmals kann mit dem sicheren Bedienungsaufruf an den Ablaufteil Stiefel der Show angezeigt werden.
Hinzugefügt in Cisco IOS-Software-Release 15.0(1)M für das Cisco 1900, erleichtert die Router mit 2900 und 3900 Serien, die Digital gekennzeichnete Cisco-Programmiereinrichtung den Gebrauch von Cisco IOS-Software, die digital gekennzeichnet wird und folglich vertraut, mit dem Gebrauch der sicheren asymetrischen (Öffentlichkeittasten) Kriptographie.
Ein digital gekennzeichnetes Bild trägt ein verschlüsseltes (mit einer privaten Taste) Hasch von sich. Nach Kontrolle entschlüsselt das Gerät das Hasch mit der entsprechenden allgemeinen Taste von den Tasten, die sie in seinem Schlüsselspeicher hat und auch sein eigenes Hasch des Bildes berechnet. Wenn das entschlüsselte Hasch das berechnete Bildhasch abgleicht, ist das Bild nicht mit abgegeben worden und kann vertraut werden.
Digital gekennzeichnete Cisco-Software-Tasten werden nach dem Typen und der Version der Taste identifiziert. Eine Taste kann ein Special, eine Produktion oder ein Unfallschlüsseltyp sein. Produktion und spezielle Schlüsseltypen haben eine verbundene Schlüsselversion, die alphabetisch erhöht, wann immer die Taste widerrufen und ersetzt wird. ROMMON und regelmäßige Cisco IOS-Bilder werden mit einer Special- oder Produktionstaste gekennzeichnet, wenn Sie die Digital gekennzeichnete Cisco-Programmiereinrichtung benutzen. Das ROMMON-Bild ist erweiterungsfähig und muss mit der gleichen Taste wie das Special- oder Produktionsbild gekennzeichnet werden, das geladen wird.
Dieser Befehl überprüft die Integrität des Bildes c3900-universalk9-mz.SSA im Blitz mit den Tasten im Gerättastenspeicher:
show software authenticity file flash0:c3900-universalk9-mz.SSA
Die Digital gekennzeichnete Cisco-Programmiereinrichtung wurde auch in Freigabe 3.1.0.SG Cisco IOS XE für den Cisco-Katalysator die 4500 E-Serien-Schalter integriert.
Sprechen Sie Digital gekennzeichnete Cisco-Software zu mehr Information über dieses Merkmal an.
Im Cisco IOS-Software-Release 15.1(1)T und später, wurde Schlüsselersatz für Digital gekennzeichnete Cisco-Software eingeführt. Schlüsselersatz und Rücknahme ersetzt und löscht eine Taste, die für eine Digital gekennzeichnete Cisco-Software-Kontrolle vom Schlüsselspeicher einer Plattform verwendet wird. Nur spezielle und Produktionstasten können im Falle eines Schlüsselkompromisses widerrufen werden.
Eine neue (Special oder Produktion) Taste für Bild a (Special oder Produktion) kommt in Bild a (Produktion oder Rücknahme), das verwendet wird, um die vorhergehende Special- oder Produktionstaste zu widerrufen. Die Rücknahmebildintegrität wird mit einer Unfalltaste überprüft, die vorgespeichert auf der Plattform kommt. Eine Unfalltaste ändert nicht. Wenn Sie eine Produktionstaste widerrufen, nachdem das Rücknahmebild geladen ist, wird die neue Taste, die es trägt, dem Schlüsselspeicher hinzugefügt und die entsprechende alte Taste kann widerrufen werden, solange ROMMON-Bild ausgebaut wird und das neue Produktionsbild aufgeladen wird. Wenn Sie eine spezielle Taste widerrufen, wird ein Produktionsbild geladen. Dieses Bild fügt die neue spezielle Taste hinzu und kann die alte spezielle Taste widerrufen. Nachdem Sie ROMMON ausbauen, kann das neue spezielle Bild aufgeladen werden.
Dieses Beispiel beschreibt Rücknahme einer speziellen Taste. Diese Befehle fügen die neue spezielle Taste dem Schlüsselspeicher vom aktuellen Produktionsbild, kopieren ein neues ROMMON-Bild (C3900_rom-monitor.srec.SSB) zum Speicherbereich (usbflash0:), ausbauen die ROMMON-Datei und widerrufen die alte spezielle Taste hinzu:
software authenticity key add special
copy tftp://192.168.1.129/C3900_rom-monitor.srec.SSB usbflash0:
upgrade rom-monitor file usbflash0:C3900_PRIV_RM2.srec.SSB
software authenticity key revoke special
Ein neues spezielles Bild (c3900-universalk9-mz.SSB) kann zu ladenden Blitz und zur Unterzeichnung des Bildes dann kopiert werden wird überprüft mit der eben hinzugefügten speziellen Taste (.SSB):
copy /verify tftp://192.168.1.129/c3900-universalk9-mz.SSB flash:
Schlüsselrücknahme und Ersatz wird nicht auf Katalysator die 4500 E-Serien-Schalter unterstützt, die Software Cisco IOS XE ausführen, obgleich diese Schalter die Digital gekennzeichnete Cisco-Programmiereinrichtung unterstützen.
Sprechen Sie das Digital gekennzeichnete Cisco-Software-Tasten-Rücknahme- und Ersatzkapitel der Digital gekennzeichneten Cisco-Software-Anleitung zu mehr Information über dieses Merkmal an.
Die Konfigurations-Änderungs-Mitteilung und das protokollierende Merkmal, hinzugefügt im Cisco IOS-Software-Release 12.3(4)T, macht es möglich, die Konfigurationsänderungen zu protokollieren, die an einem Cisco IOS-Gerät vorgenommen werden. Das Log wird auf dem Cisco IOS-Gerät gewartet und die Benutzerinformation der Einzelperson enthält, die die Änderung machte, den eingegebenen Konfigurationsbefehl und die Zeit, dass die Änderung vorgenommen wurde. Diese Funktionalität wird mit dem Protokollieren aktivieren Konfigurationsänderungs-Loggerkonfigurations-Modusbefehl aktiviert. Die optionalen Befehle hidekeys und protokollierenden die Größeneinträge werden benutzt, um die Nichterfüllungskonfiguration zu verbessern, weil sie das Protokollieren von Passwortdaten verhindern und die Länge des Änderungslogs erhöhen.
Sie werden geraten, diese Funktionalität zu aktivieren, damit die Konfigurationsänderungsgeschichte eines Cisco IOS-Gerätes leicht verständlicher sein kann. Zusätzlich werden Sie geraten, den Benachrichtigung syslog-Konfigurationsbefehl zu verwenden, um die Generation von syslog-Meldungen zu aktivieren, wenn eine Konfigurationsänderung vorgenommen wird.
!
archive
log config
logging enable
logging size 200
hidekeys
notify syslog
!
Nach der Mitteilung und protokollierenden dem Merkmal der Konfigurations-Änderung ist, die privilegierten Bedienungsaufruf- an den Ablaufteilshow-Archivlog Config kann ganz verwendet werden, um das Konfigurationslog anzusehen aktiviert worden.
Steuerflache Funktionen bestehen den Protokollen und aus den Prozessen, die zwischen Netzgeräten in Verbindung stehen, um Daten von der Quelle auf Zieleinheit zu verschieben. Dieses schließt Wegewahlprotokolle wie das Border Gateway Protocol sowie Protokolle wie ICMP und das Ressourcen-Reservierungs-Protokoll ein (RSVP).
Es ist wichtig, dass Ereignisse in den Management- und Datenflächen nicht nachteilig die Steuerfläche beeinflussen. Wenn ein Datenflächenereignis wie ein DOS-Angriff die Steuerfläche auswirkt, kann das gesamte Netz instabil werden. Diese Informationen über Cisco IOS-Programmiereinrichtungen und Konfigurationen können helfen, die Beweglichkeit der Steuerfläche sicherzustellen.
Schutz der Steuerfläche eines Netzgerätes ist- kritisch, weil die Steuerfläche garantiert, dass die Management- und Datenflächen gewartet und betrieblich sind. Wenn die Steuerfläche, während eines Sicherheitsvorfalls instabil zu werden waren-, kann es für Sie unmöglich sein, die Stabilität des Netzes wieder herzustellen.
In vielen Fällen können Sie die Aufnahme und die Übertragung von bestimmten Typen von Meldungen auf einer Schnittstelle deaktivieren, um die Menge von CPU-Eingabe herabzusetzen, die benötigt wird, um nicht benötigte Pakete zu verarbeiten.
Ein ICMP adressieren Meldung kann durch einen Router festgelegt werden um, wenn ein Paket auf die gleiche Schnittstelle empfangen und übertragen wird. In dieser Situation sendet der Router vorwärts das Paket und ein ICMP umadressieren Meldung zurück zu dem Absender des ursprünglichen Pakets. Dieses Verhalten erlaubt dem Absender, den Router und die vorderen zukünftigen Pakete direkt zur Zieleinheit zu umgehen (oder zu einem Router näher an der Zieleinheit). In einem richtig arbeitenden IP-Netz sendet ein Router umadressiert nur zu den Hauptrechnern auf seinen eigenen lokalen Teilnetzen. Das heißt, adressiert ICMP sollte nie über eine Grenze der Schicht 3 hinausgehen um.
Es gibt zwei Arten von ICMP-Umleitungsnachrichten: die Umleitung für eine Host-Adresse und die Umleitung für ein komplettes Subnetz. Ein böswilliger Benutzer kann die Fähigkeit des Routers ausnutzen, ICMP zu senden umadressiert, indem er fortwährend Pakete zum Router schickt, der den Router erzwingt, um mit ICMP zu reagieren umadressieren Meldungen und Ergebnisse in einer nachteiligen Auswirkung auf die CPU und die Leistung des Routers. Zwecks zu verhindern dass der Router ICMP umadressiert, benutzt das kein IP umadressiert Schnittstellenkonfigurationsbefehl sendet.
Die Entstörung mit einer Schnittstellenzugriffsliste bekommt die Übertragung von nicht-erreichbaren Meldungen ICMP zurück zu der Quelle des gefilterten Verkehrs heraus. Die Generation dieser Meldungen kann CPU-Nutzung auf dem Gerät erhöhen. In Cisco IOS-Software ist nicht-erreichbare Generation ICMP auf ein Paket alle 500 Millisekunden standardmäßig begrenzt. Kann nicht-erreichbare Meldungsgeneration ICMP mit dem Schnittstellenkonfigurationsbefehl deaktiviert werden keine IP-unreachables. Kann die nicht-erreichbare Kinetikbegrenzung ICMP von der Nichterfüllung mit der globale Konfigurationsbefehls-IPicmp-Kinetikgrenznicht-erreichbaren Abstand-infrau geändert werden.
Proxy ARP ist die Technik in, welches Gerät, normalerweise ein Router, Antworten ARP-Anfragen, die für ein anderes Gerät bestimmt sind. Indem er seine Identität „fälscht“, übernimmt der Router Verantwortung für die Verlegung von Paketen auf der wirklichen Zieleinheit. Proxy ARP kann Maschinen auf einem Teilnetze helfen, Fernteilnetze zu erreichen, ohne Wegewahl oder einen Nichterfüllungskommunikationsrechner zu konfigurieren. Proxy ARP wird in RFC 1027 definiert.
Es gibt einige Nachteile zur proxy- ARPnutzung. Es kann eine Zunahme der Menge von ARP-Verkehr auf der Netzsegment- und -ressourcenabführung und den Mann-in-d-mittleren Angriffen ergeben. Proxy ARP stellt einen Ressourcenabführungs-Angriffsvektor dar, weil jede proxied ARP-Anfrage eine kleine Menge des Speichers verbraucht. Ein Angreifer kann in der Lage sein, allen verfügbaren Speicher zu erschöpfen, wenn er viele ARP-Anfragen sendet.
Mann-in-d-mittlere Angriffe aktivieren einen Hauptrechner im Netz zur Parodie das MAC address des Routers, der die unverdächtigen Hauptrechner ergibt, die Verkehr zum Angreifer schicken. Proxy ARP kann mit dem Schnittstellenkonfigurationsbefehl deaktiviert werden kein IP-proxy ARP.
Siehe das Aktivieren von proxy ARP zu mehr Information über dieses Merkmal.
Schutz der Steuerfläche ist- kritisch. Weil Anwendungsleistungs- und -endbenutzererfahrung ohne das Vorhandensein des Daten- und Managementverkehrs leiden kann, garantiert die Empfindlichkeit der Steuerfläche, dass die anderen zwei Flächen gewartet und betrieblich sind.
Um die Steuerfläche des Cisco IOS-Gerätes richtig zu schützen, ist- es wesentlich die Verkehrsarten zu verstehen das der Prozess ist, der durch die CPU geschaltet wird. Verarbeiten Sie geschalteten Verkehr besteht normalerweise aus zwei verschiedenen Verkehrsarten. Die erste Verkehrsart wird auf das Cisco IOS-Gerät verwiesen und muss direkt durch die Cisco IOS-Gerät CPU gehandhabt werden. Dieser Verkehr besteht aus der Empfangungsumgebungs-Verkehrskategorie. Dieser Verkehr enthält einen Eintrag in der Tabelle Eilbeförderung Ciscos (CEF), hingegen das folgende Routerhopfen das Gerät selbst ist, das durch den Ausdruck empfangen in der Show-IP-cef CLI Ausgabe angezeigt wird. Dieses Anzeichen ist das Argument für jedes mögliches IP address, das das direkte Handhaben durch die Cisco IOS-Gerät CPU benötigt, die Schnittstelle IP address, Multicast-Adresse Adressbereich einschließt, und SendungsAdressbereich.
Die zweite Verkehrsart, das durch die CPU gehandhabt wird, ist flacher Verkehr der Daten - handeln Sie mit einer Zieleinheit über dem Cisco IOS-Gerät hinaus selbst - das die spezielle Verarbeitung durch die CPU benötigt. Obgleich keine vollständige Liste des auswirkenden flachen Verkehrs Daten CPU, diese Verkehrsarten der geschaltete Prozess sind und kann den Betrieb der Steuerfläche deshalb beeinflussen:
Diese Liste führt einige Methoden einzeln auf, um zu bestimmen, welche Verkehrsarten durch die Cisco IOS-Gerät CPU verarbeitet werden:
Grenzmitteilung nach außen Infrastruktur ACLs (iACLs) zu den Geräten des Netzes. Infrastruktur ACLs werden weitgehend im Grenzzugriff zum Netz mit Infrastruktur ACLs-Kapitel dieses Dokuments umfasst.
Sie werden geraten, iACLs einzuführen, um die Steuerfläche aller Netzgeräte zu schützen.
Für verteilte Plattformen empfangen Sie ACLs (rACLs) kann eine Option für Cisco IOS-Software-Releases 12.0(21)S2 für die 12000 (GSR), 12.0(24)S für die 7500 und 12.0(31)S für die 10720 sein. Das rACL schützt das Gerät vor schädlichem Verkehr vor dem Verkehr auswirkt den Wegprozessor. Empfangen Sie ACLs sind konzipiert, das Gerät nur zu schützen, auf dem es konfiguriert wird und Durchgangsverkehr nicht durch ein rACL beeinflußt wird. Infolgedessen spricht das Zieleinheit IP address irgendwie, das in den Beispiel ACL-Einträgen unten verwendet wird, nur die körperlichen oder virtuellen IP address des Routers an. Empfangen Sie ACLs auch gelten als ein Netzwerksicherheitsoptimales verfahren und sollten als einen langfristigen Zusatz zur guten Netzwerksicherheit angesehen werden.
Dieses ist der Empfangsweg ACL, der geschrieben wird, um Verkehr SSHs (TCP-Kanal 22) von verlässlichen Hauptrechnern im Netz 192.168.100.0/24 zu ermöglichen:
!
!--- Permit SSH from trusted hosts allowed to the device.
!
access-list 151 permit tcp 192.168.100.0 0.0.0.255 any eq 22
!
!--- Deny SSH from all other sources to the RP.
!
access-list 151 deny tcp any any eq 22
!
!--- Permit all other traffic to the device.
!--- according to security policy and configurations.
!
access-list 151 permit ip any any
!
!--- Apply this access list to the receive path.
!
ip receive access-list 151
!
Weitere Informationen finden Sie unter GSR: Receive Access Control Lists (GSR: Empfangszugriffskontrolllisten), um legitimen Datenverkehr zu einem Gerät zu identifizieren und zuzulassen und alle unerwünschten Pakete abzulehnen.
Die CoPP-Funktion kann auch benutzt werden, um IP-Pakete einzuschränken, die zum Infrastrukturgerät vorgesehen werden. In diesem Beispiel nur SSH-Verkehr von verlässlichen Hauptrechnern wird die Erlaubnis gehabt, um die Cisco IOS-Gerät CPU zu erreichen.
Hinweis: Das Verwerfen von Datenverkehr von unbekannten oder nicht vertrauenswürdigen IP-Adressen kann Hosts mit dynamisch zugewiesenen IP-Adressen daran hindern, eine Verbindung mit dem Cisco IOS-Gerät herzustellen.
!
access-list 152 deny tcp <trusted-addresses> <mask> any eq 22
access-list 152 permit tcp any any eq 22
access-list 152 deny ip any any
!
class-map match-all COPP-KNOWN-UNDESIRABLE
match access-group 152
!
policy-map COPP-INPUT-POLICY
class COPP-KNOWN-UNDESIRABLE
drop
!
control-plane
service-policy input COPP-INPUT-POLICY
!
Im vorhergehenden CoPP-Beispiel lassen die ACL-Einträge, die abgleichen, die nicht autorisierten Pakete mit dem Erlaubnisaktionsergebnis in einem Ausschuss dieser Pakete durch die Politikkarte Funktion fallen, während Pakete, die die Leugnungsaktion abgleichen, nicht durch die Politikkartenrückgangsfunktion beeinflußt werden.
CoPP ist in Cisco IOS-Software-Release Serien 12.0S, 12.2SX, 12.2S, 12.3T, 12,4 und 12.4T verfügbar.
Sprechen Sie die einsetzende Steuerfläche an, die zu mehr Information über die Konfiguration und den Gebrauch von dem CoPP-Merkmal polizeilich überwacht.
Steuern Sie den flachen Schutz (CPPr), eingeführt im Cisco IOS-Software-Release 12.4(4)T, kann verwendet werden, um einzuschränken oder Polizeisteuerflächenverkehr, der zur CPU des Cisco IOS-Gerätes vorgesehen wird. Wenn ähnlich CoPP, hat CPPr die Fähigkeit, Verkehr mit feinerer Körnigkeit einzuschränken. CPPr teilt die gesamte Steuerfläche in drei verschiedene Steuerflächenkategorien unter, die als Subinterfaces bekannt sind. Subinterfaces existieren für Hauptrechner-, Durchfahrt- und CEF-Ausnahmeverkehr Kategorien. Darüber hinaus enthält CPPr diese Steuerflache Schutzmerkmale:
Siehe das Steuerflachen Schutz und -verständnis des Steuerflachen Schutzes (CPPr) zu mehr Information über die Konfiguration und den Gebrauch von dem CPPr-Merkmal.
Der Cisco-Katalysator 6500 Serien-Überwachungsprogramm-Maschine 32 und Support der Überwachungsprogramm-Maschine 720 Plattform-spezifisch, Kinetikbegrenzer Hardware gestützt (HWRLs) für spezielle Vernetzungsszenario. Diese Hardware-Kinetikbegrenzer gekennzeichnet als Speziellfallkinetikbegrenzer, weil sie ein Besondere vorbestimmtes Set IPv4, IPv6, unicast und multicast DOS-Szenario umfassen. HWRLs kann das Cisco IOS-Gerät vor einer Vielzahl von Angriffen schützen, die Pakete benötigen, durch die CPU verarbeitet zu werden.
Es gibt einiges HWRLs, das standardmäßig aktiviert werden. Siehe PFC3 Rate Limiter Default Settings Hardware gestützt zu mehr Information.
Sprechen Sie Rate Limiters Hardware gestützt auf dem PFC3 zu mehr Information über HWRLs an.
Das Border Gateway Protocol (BGP) ist die Wegewahlgrundlage des Internets. Als solches verwendet jede mögliche Organisation mit mehr als bescheidenen Anschlussfähigkeitsanforderungen häufig BGP. BGP wird häufig durch Angreifer wegen seiner Allgegenwart und des Sets anvisiert und Art von BGP-Konfigurationen in den kleineren Organisationen vergisst. Jedoch gibt es viele BGP-spezifischen Sicherheitsmerkmale, die wirksam eingesetzt werden können, um die Sicherheit einer BGP-Konfiguration zu erhöhen.
Dieses liefert einen Überblick über die wichtigsten BGP-Sicherheitsmerkmale. Gegebenenfalls werden Konfigurationsempfehlungen gemacht.
Jedes IP-Paket enthält ein Feld 1-byte, das als das Time to Live (TTL) bekannt ist. Jedes Gerät, dass ein IP-Paket Dekrement dieser Wert durch einen überquert. Der Anfangswert schwankt durch Betriebssystem und reicht gewöhnlich von 64 bis 255. Ein Paket wird fallen gelassen, wenn sein TTL-Wert null erreicht.
Bekannt als beide generalisierte TTL-basierte Kerbe des Sicherheits-Mechanismus-(GTSM) und Sicherheit BGP TTL (BTSH), setzt ein TTL-basierter Sicherheitsschutz den TTL-Wert von IP-Paketen wirksam ein, um zu garantieren, dass die BGP-Pakete, die empfangen werden, von einem direkt verbundenen Gleichen sind. Diese Funktion erfordert häufig die Koordination von Peering-Routern, kann jedoch nach der Aktivierung viele TCP-basierte Angriffe gegen BGP abwehren.
GTSM für BGP wird mit der TTLsicherheitsoption für den Nachbar BGP-Routerkonfigurationsbefehl aktiviert. Dieses Beispiel veranschaulicht die Konfiguration dieses Merkmals:
!
router bgp <asn>
neighbor <ip-address> remote-as <remote-asn>
neighbor <ip-address> ttl-security hops <hop-count>
!
Während BGP-Pakete empfangen werden, wird der TTL-Wert überprüft und muss als oder Gleichgestelltes bis 255 minus der spezifizierten Hopfenzählung größer sein.
Gleichauthentisierung mit MD5 stellt eine Auswahl MD5 jedes Pakets her, das als Teil einer BGP-Sitzung gesendet wird. Speziell werden Teile der IP- und TCP-Vorsätze, DER TCP-Nutzlast und der geheimen Taste benutzt, um die Auswahl festzulegen.
Die hergestellte Auswahl wird dann in TCP-Option Art 19 gespeichert, die speziell zu diesem Zweck durch RFC 2385 erstellt wurde. Der empfangende BGP-Sprecher verwendet die gleiche Algorithmus- und Geheimnistaste, um die Meldungsauswahl zu regenerieren. Wenn die empfangenen und Berechnungs- Auswahl nicht identisch sind, wird das Paket verworfen.
Gleichauthentisierung mit MD5 wird mit der Passwortoption zum Nachbar BGP-Routerkonfigurationsbefehl konfiguriert. Der Gebrauch von diesem Befehl wird veranschaulicht, wie folgt:
!
router bgp <asn>
neighbor <ip-address> remote-as <remote-asn>
neighbor <ip-address> password <secret>
!
Sprechen Sie Nachbarrouter-Authentisierung zu mehr Information über BGP-Gleichauthentisierung mit MD5 an.
BGP-Vorzeichen werden durch einen Router im Speicher gespeichert. Je mehr Vorzeichen ein Router anhalten muss, desto mehr Speicher BGP verbrauchen muss. In einigen Konfigurationen kann eine Teilmenge aller Internet-Vorzeichen, wie in Konfigurationen gespeichert werden, die nur ein default route oder Wege für Kundennetze eines Anbieters wirksam einsetzen.
Zwecks Speicherabführung zu verhindern, ist es wichtig die Höchstzahl von Vorzeichen zu konfigurieren die auf einer Progleichbasis angenommen wird. Es wird empfohlen, dass eine Grenze für jeden BGP-Gleichen konfiguriert wird.
Wenn Sie diese Funktion mit dem Konfigurationsbefehl für den Nachbar-BGP-Router mit maximalem Präfix konfigurieren, ist ein Argument erforderlich: die maximale Anzahl von Präfixen, die akzeptiert werden, bevor ein Peer heruntergefahren wird. Beliebig kann eine Zahl von 1 bis 100 auch eingegeben werden. Diese Zahl stellt den Prozentsatz des maximalen Vorzeichenwertes an dar, welchem Punkt eine Logmeldung gesendet wird.
!
router bgp <asn>
neighbor <ip-address> remote-as <remote-asn>
neighbor <ip-address> maximum-prefix <shutdown-threshold> <log-percent>
!
Vorzeichenlisten erlauben einem Netzwerkadministrator, spezifische Vorzeichen zu ermöglichen oder zu verweigern, die über BGP gesendet oder empfangen werden. Vorzeichenlisten sollten wo möglich benutzt werden, um sicherzustellen, dass Netzwerkverkehr über die beabsichtigten Pfade gesendet wird. Vorzeichenlisten sollten an jedem eBGP Gleichen in den Inlands- und Auslandsrichtungen angewendet werden.
Konfiguriertes Vorzeichen druckt Grenze die Vorzeichen aus, die zu denen geschickt oder empfangen werden, die speziell durch die Wegewahlpolitik eines Netzes die Erlaubnis gehabt werden. Wenn dieses nicht an der großen Anzahl von den empfangenen Vorzeichen durchführbares liegt, sollte eine Vorzeichenliste konfiguriert werden, um bekannte falsche Vorzeichen speziell zu blocken. Diese bekannten falschen Vorzeichen umfassen nicht zugewiesenen IP- addressplatz und -netze, die zu den internen oder Prüfungszwecken durch RFC 3330 reserviert sind. Auslandsvorzeichenlisten sollten konfiguriert werden, um nur die Vorzeichen speziell zu ermöglichen, die eine Organisation beabsichtigt, bekanntzumachen.
Dieses Konfigurationsbeispiel benutzt Vorzeichenlisten, um die Wege zu begrenzen, die gelehrt sind und machte bekannt. Speziell nur ein default route wird Inlands durch Vorzeichenliste BGP-PL-INBOUND erlaubt, und das Vorzeichen 192.168.2.0/24 ist der einzige Weg, der durch BGP-PL-OUTBOUND bekannt gemacht werden lassen wird.
!
ip prefix-list BGP-PL-INBOUND seq 5 permit 0.0.0.0/0
ip prefix-list BGP-PL-OUTBOUND seq 5 permit 192.168.2.0/24
!
router bgp <asn>
neighbor <ip-address> prefix-list BGP-PL-INBOUND in
neighbor <ip-address> prefix-list BGP-PL-OUTBOUND out
!
Pfad-Zugriffslisten BGP-Autonomous System (WIE) erlaubt dem Benutzer, die empfangenen und bekannt gemachten Vorzeichen zu filtern, die auf dem Wie-Pfadattribut eines Vorzeichens basieren. Dieses kann in Verbindung mit Vorzeichenlisten verwendet werden, um ein robustes Set Filter herzustellen.
Gebrauch dieses Konfigurationsbeispiels ALS Pfadzugriffslisten, zwecks Inlandsvorzeichen auf die einzuschränken entstand durch die entfernte Station, WIE und Auslandsvorzeichen zu denen durch das lokale Autonomous System entstanden. Vorzeichen, die von allen weiteren Autonomous System Ursprungs sind, sind gefiltert und installiert nicht in die Leitwegtabelle.
!
ip as-path access-list 1 permit ^65501$
ip as-path access-list 2 permit ^$
!
router bgp <asn>
neighbor <ip-address> remote-as 65501
neighbor <ip-address> filter-list 1 in
neighbor <ip-address> filter-list 2 out
!
Die Fähigkeit eines Netzes schicken richtig Verkehr nach und erholen sich von Topologieänderungen, oder Störungen ist von einer genauen Ansicht der Topologie abhängig. Sie können ein Interior Gateway Protocol (IGP) in der Ordnung häufig ausführen zur Verfügung stellen diese Ansicht. Standardmäßig sind IGP dynamisch und entdecken zusätzliche Router, die das bestimmte gebräuchliche IGP sind. IGP entdecken auch Wege, die während einer Netzwerk-Link-Störung benutzt werden können.
Diese Unterabschnitte liefern einen Überblick über die wichtigsten IGP-Sicherheitsmerkmale. Empfehlungen und Beispiele, die Routing- Information Protocolversion 2 (RIPv2) umfassen, erhöhtes Innenkommunikationsrechner-Wegewahl-Protokoll (EIGRP) und offenes Shortest-Path zuerst (OSPF) werden zur Verfügung gestellt, wenn passend.
Störung, den Austausch der Leitinformation zu sichern erlaubt einem Angreifer, falsche Leitinformation in das Netz vorzustellen. Indem Sie Passwortauthentisierung mit Wegewahlprotokollen zwischen Routern verwenden, können Sie die Sicherheit des Netzes unterstützen. Jedoch weil diese Authentisierung als Klartext gesendet wird, kann es einfach sein, damit ein Angreifer diese Sicherheitskontrolle umstürzt.
Indem Sie Fähigkeiten des Hasch MD5 dem Authentisierungsprozeß hinzufügen und Aktualisierungen verlegen, enthalten Sie nicht mehr Klartextpasswörter, und der gesamte Inhalt der Wegewahlaktualisierung ist gegen die verfälschung beständiger. Jedoch ist Authentisierung MD5 gegen Angriffe der Gewalt und des Wörterbuches noch anfällig, wenn schwache Passwörter gewählt werden. Sie werden geraten, Passwörter mit genügender Zufallszuteilung zu verwenden. Da Authentisierung MD5, wenn sie mit Passwortauthentisierung verglichen wird, diese Beispiele, sind spezifisch zur Authentisierung MD5 viel sicherer ist. IPSec kann auch verwendet werden, um Wegewahlprotokolle zu validieren und zu sichern, aber diese Beispiele führen nicht seinen Gebrauch einzeln auf.
EIGRP und RIPv2 verwenden Schlüsselanhänger als Teil der Konfiguration. Siehe Taste zu mehr Information über die Konfiguration und den Gebrauch der Schlüsselanhänger.
Dieses ist eine Beispielkonfiguration für EIGRP-Routerauthentisierung unter Verwendung MD5:
!
key chain <key-name>
key <key-identifier>
key-string <password>
!
interface <interface>
ip authentication mode eigrp <as-number> md5
ip authentication key-chain eigrp <as-number> <key-name>
!
Dieses ist eine Router-Authentisierungskonfiguration des Beispiels MD5 für RIPv2. RIPv1 unterstützt nicht Authentisierung.
!
key chain <key-name>
key <key-identifier>
key-string <password>
!
interface <interface>
ip rip authentication mode md5
ip rip authentication key-chain <key-name>
!
Dieses ist eine Beispielkonfiguration für OSPF-Routerauthentisierung unter Verwendung MD5. OSPF verwendet nicht Schlüsselanhänger.
!
interface <interface>
ip ospf message-digest-key <key-id> md5 <password>
!
router ospf <process-id>
network 10.0.0.0 0.255.255.255 area 0
area 0 authentication message-digest
!
Sprechen Sie konfigurierendes OSPF zu mehr Information an.
Informationslecks oder die Einleitung von falschen Informationen in ein IGP, können durch Gebrauch von dem Passivschnittstellenbefehl abgeschwächt werden, der in der Steuerung der Anzeige der Leitinformation unterstützt. Sie werden, geraten keine Informationen zu den Netzen bekanntzumachen, die außerhalb Ihrer Verwaltungskontrolle sind.
Dieses Beispiel zeigt Verwendung dieses Merkmals:
!
router eigrp <as-number>
passive-interface default
no passive-interface <interface>
!
Zwecks die Möglichkeit zu verringern dass Sie falsche Leitinformation im Netz vorstellen, müssen Sie die Weg-Entstörung verwenden. Anders als den Passivschnittstellenrouter-Konfigurationsbefehl tritt die Verlegung auf der Wegentstörung der Schnittstellen einmal wird aktiviert auf, aber die Informationen, die bekannt gemacht oder verarbeitet wird, sind begrenzt.
Für EIGRP und RISS Verwendung des Verteilenlistenbefehls mit den Herausschlüsselwortgrenzen, welche Informationen bekannt gemacht werden, während Verwendung von im Schlüsselwort begrenzt, welche Aktualisierungen verarbeitet werden. Der Verteilenlistenbefehl ist für OSPF verfügbar, aber er verhindert, ein dass Router nicht gefilterte Wege fortpflanzt. Stattdessen kann der Bereichsfilterlistenbefehl verwendet werden.
Dieses EIGRP-Beispiel filtert Auslandsanzeigen mit dem Verteilenlistenbefehl und einer Vorzeichenliste:
!
ip prefix-list <list-name> seq 10 permit <prefix>
!
router eigrp <as-number>
passive-interface default
no passive-interface <interface>
distribute-list prefix <list-name> out <interface>
!
Dieses EIGRP-Beispiel filtert Inlandsaktualisierungen mit einer Vorzeichenliste:
!
ip prefix-list <list-name> seq 10 permit <prefix>
!
router eigrp <as-number>
passive-interface default
no passive-interface <interface>
distribute-list prefix <list-name> in <interface>
!
Dieses OSPF-Beispiel benutzt eine Vorzeichenliste mit dem OSPF-spezifischen Bereichsfilterlistenbefehl:
!
ip prefix-list <list-name> seq 10 permit <prefix>
!
router ospf <process-id>
area <area-id> filter-list prefix <list-name> in
!
Protokollvorzeichen verlegend, werden durch einen Router im Speicher und Ressourcenverbrauchszunahmen mit zusätzlichen Vorzeichen gespeichert, die ein Router anhalten muss. Zwecks Ressourcenabführung zu verhindern, ist es wichtig das Wegewahlprotokoll zu konfigurieren um Ressourcenverbrauch zu begrenzen. Dieses ist mit OSPF möglich, wenn Sie die Link-Zustands-Datenbank-Überlastschutzfunktion benutzen.
Dieses Beispiel zeigt Konfiguration des OSPF-Link-Zustands-Datenbank-Überlastschutzmerkmals:
!
router ospf <process-id>
max-lsa <maximum-number>
!
Erste Hopfenredundanz-Protokolle (FHRPs) stellen Elastizität und Redundanz für Geräte zur Verfügung, die als Nichterfüllungskommunikationsrechner auftreten. Diese Situation und diese Protokolle sind in den Umgebungen alltäglich, in denen ein Paar Geräte der Schicht 3 Nichterfüllungskommunikationsrechnerfunktionalität für ein Netzsegment oder Set von VLANs zur Verfügung stellt, die Servers oder Arbeitsplätze enthalten.
Das Kommunikationsrechner-Eingabe-balancierende Protokoll (GLBP), das Hot-standbyrouter-Protokoll (HSRP) und das virtuelle Router-Redundanz-Protokoll (VRRP) sind alles FHRPs. Standardmäßig sind diese Protokolle unauthenticated Kommunikationen verbunden. Diese Art der Kommunikation kann einem Angreifer erlauben, als FHRP-sprechendes Gerät aufzuwerfen, um die Nichterfüllungskommunikationsrechnerrolle im Netz anzunehmen. Diese Übernahme würde einem Angreifer erlauben, einen Mann-in-d-mittleren Angriff durchzuführen und allen Benutzerverkehr abzufangen, der das Netz beendet.
Zwecks diesen Typen des Angriffs zu verhindern, schließen alles FHRPs das durch Cisco IOS-Software unterstützt werden eine Authentisierungsfähigkeit entweder mit MD5 oder Textfolgen ein. Wegen der Drohung, die durch unauthenticated FHRPs aufgeworfen wird, wird es empfohlen, dass Fälle dieser Protokolle Authentisierung MD5 verwenden. Dieses Konfigurationsbeispiel zeigt den Gebrauch von GLBP-, HSRP- und VRRP-MD5 Authentisierung:
!
interface FastEthernet 1
description *** GLBP Authentication ***
glbp 1 authentication md5 key-string <glbp-secret>
glbp 1 ip 10.1.1.1
!
interface FastEthernet 2
description *** HSRP Authentication ***
standby 1 authentication md5 key-string <hsrp-secret>
standby 1 ip 10.2.2.1
!
interface FastEthernet 3
description *** VRRP Authentication ***
vrrp 1 authentication md5 key-string <vrrp-secret>
vrrp 1 ip 10.3.3.1
!
Obgleich die Datenfläche für das Verschieben von Daten von Quelle zu Zieleinheit, im Zusammenhang mit Sicherheit, die Datenfläche ist das wenige wichtige der drei Flächen verantwortlich ist. Aus diesem Grunde ist es wichtig, das Management zu schützen und Flächen in der Präferenz über der Datenfläche zu steuern, wenn Sie ein Netzgerät sichern.
Jedoch innerhalb der Datenfläche selbst, gibt es viele Merkmale und Konfigurationsoptionen, die sicherem Verkehr helfen können. Diese Kapitel führen diese Merkmale und Optionen so einzeln auf, dass Sie leicht sicher Ihr Netz können.
Die überwiegende Mehrheit von Daten planieren Verkehrsströme über das Netz, wie durch die Wegewahlkonfiguration des Netzes bestimmt. Jedoch existiert IP-Netzfunktionalität, um den Pfad von Paketen über dem Netz zu ändern. Merkmale wie IP-Optionen, speziell die Quellwegewahloption, bilden eine Sicherheitsherausforderung in den heutigen Netzen.
Der Gebrauch von Durchfahrt ACLs ist auch zur Verhärtung der Datenfläche relevant.
Sehen Sie den Filter-Durchgangsverkehr mit Durchfahrt ACLs-Kapitel dieses Dokuments zu mehr Information.
Es gibt zwei Sicherheitsprobleme, die durch IP-Optionen dargestellt werden. Handeln Sie, das IP-Optionen muss durch Cisco IOS-Geräte Prozess-geschaltet werden enthält, die erhöhte CPU-Eingabe führen können. IP-Optionen umfassen auch die Funktionalität, um den Pfad zu ändern, den Verkehr durch das Netz nimmt, das ihn möglicherweise Sicherheitskontrollen umstürzen lässt.
Wegen dieser Interessen, die globalen Konfigurationsbefehls-IP-Optionen {Tropfen | ignorieren Sie} ist hinzugefügt worden Cisco IOS-Software-Releases 12.3(4)T, 12.0(22)S und 12.2(25)S. In der ersten Form dieses Befehls, fallen IP-Optionen, alle IP-Pakete, die IP-Optionen enthalten, die durch das Cisco IOS-Gerät werden gefallen empfangen werden. Dieses verhindert die erhöhte CPU-Eingabe und mögliche Subversion von Sicherheitskontrollen, die IP-Optionen aktivieren können.
Das zweite Formular dieses Befehls, IP-Optionen ignorieren, konfigurieren das Cisco IOS-Gerät, IP-Optionen zu ignorieren, die in empfangenen Paketen enthalten werden. Während dieses die Drohungen abschwächt, die auf IP-Optionen für die lokale Einheit in Verbindung gestanden werden, ist es möglich, dass abwärts gerichtete Geräte durch das Vorhandensein von IP-Optionen beeinflußt werden konnten. Aus diesem Grunde wird das Tropfenformular dieses Befehls in hohem Grade empfohlen. Dieses wird im Konfigurationsbeispiel demonstriert:
!
ip options drop
!
Beachten Sie, dass einige Protokolle, zum Beispiel das RSVP, legitimen Gebrauch von IP-Optionen machen. Die Funktionalität dieser Protokolle wird durch diesen Befehl ausgewirkt.
Sobald IP-Options-selektiver Tropfen aktiviert worden ist, kann der Show-IP-Verkehr Bedienungsaufruf an den Ablaufteil verwendet werden, um die Anzahl von Paketen zu bestimmen, die am Vorhandensein von IP-Optionen fallengelassenes liegen. Diese Informationen sind im vorverlegten Rückgangszähler anwesend.
Sprechen Sie ACL-IP-Options-selektiven Tropfen zu mehr Information über dieses Merkmal an.
IP-Quellwegewahl setzt die losen Quellweg- und Satz-Wegoptionen im Tandem oder im strengen Quellweg zusammen mit der Rekordwegoption wirksam ein, um die Quelle des IP datagram zu aktivieren, den Netzpfad zu spezifizieren Nehmen eines Pakets. Diese Funktionalität kann in den Versuchen verwendet werden, Verkehr um Sicherheitskontrollen im Netz zu verlegen.
Wenn IP-Optionen nicht vollständig über das IP-Options-selektive Tropfenmerkmal deaktiviert worden sind, ist es wichtig, dass IP-Quellwegewahl behindert ist-. IP-Quellwegewahl, die standardmäßig in allen Cisco IOS-Software-Releases aktiviert wird, ist über den keinen globalen Konfigurationsbefehl IP-Quelleweges behindert. Dieses Konfigurationsbeispiel veranschaulicht den Gebrauch von diesem Befehl:
!
no ip source-route
!
ICMP adressiert werden verwendet, um ein Netzgerät über einen besseren Pfad zu einer IP-Zieleinheit zu informieren um. Standardmäßig sendet die Cisco IOS-Software ein Umadressierung, wenn sie ein Paket empfängt, das durch die Schnittstelle verlegt werden muss, die, sie empfangen wurde.
In manchen Situationen wäre möglicherweise es möglich für einen Angreifer, das Cisco IOS-Gerät zu veranlassen, vielen ICMP zu schicken umadressiert Meldungen, das eine erhöhte CPU-Eingabe ergibt. Aus diesem Grund wird es empfohlen, dass die Übertragung von ICMP ist behindert umadressiert. ICMP adressiert werden deaktiviert mit der Schnittstellenkonfiguration, die kein IP Befehl umadressiert, wie in der Beispielkonfiguration gezeigt um:
!
interface FastEthernet 0
no ip redirects
!
IP verwiesene Sendungen machen es möglich, ein IP-Sendungspaket zu einem Fern-IP-Teilnetze zu schicken. Sobald es das Netz mit größerer geographischer Ausdehnung erreicht, schickt das nachschickende IP-Gerät das Paket als Sendung der Schicht 2 zu allen Stationen auf dem Teilnetze. Diese verwiesene Sendungsfunktionalität ist als Verstärkungs- und Reflexionshilfe in einigen Angriffen, einschließlich den smurf Angriff wirksam eingesetzt worden.
Bei aktuellen Versionen der Cisco IOS-Software ist diese Funktion standardmäßig deaktiviert. Sie kann jedoch über den Konfigurationsbefehl ip directed-broadcast interface aktiviert werden. Freigaben von Cisco IOS-Software vor 12,0 haben diese Funktionalität, die standardmäßig aktiviert wird.
Wenn ein Netz absolut verwiesene Sendungsfunktionalität benötigt, sollte sein Gebrauch kontrolliert sein. Dieses ist mit dem Gebrauch eines Access Control List als Option zum IP-verweisensendungsbefehl möglich. Grenzen dieses Konfigurationsbeispiels verwiesen Sendungen auf jene UDP-Pakete, die an einem verlässlichen Netz entstehen, 192.168.1.0/24:
!
access-list 100 permit udp 192.168.1.0 0.0.0.255 any
!
interface FastEthernet 0
ip directed-broadcast 100
!
Es ist möglich, zu steuern, welcher Verkehr das Netz mit dem Gebrauch von Durchfahrt ACLs (tACLs) durchfährt. Dieses ist im Gegensatz zu Infrastruktur ACLs, das suchen, Verkehr zu filtern, der zum Netz selbst vorgesehen wird. Die Entstörung, die von den tACLs bereitgestellt wird, ist nützlich, wenn zu handeln ist wünschenswert, Verkehr zu einer bestimmten Gruppe Geräten zu filtern oder dass das Netz durchfährt.
Dieser Typ der Entstörung wird traditionsgemäß durch Firewalls durchgeführt. Jedoch gibt es Fälle, in denen es möglicherweise nützlich ist, dieses durchzuführen, das auf einem Cisco IOS-Gerät im Netz filtert, zum Beispiel wo die Entstörung durchgeführt werden muss aber, keine Firewall anwesend ist.
Durchfahrt ACLs sind auch ein passender Platz, in dem statische anti-spoofing Schutze einführen.
Sehen Sie das Anti-Spoofing Schutzkapitel dieses Dokuments zu mehr Information.
Weitere Informationen zu tACLs finden Sie bei den Hinweisen zu Transit-Zugriffskontrolllisten: Filtern am Edge.
Das Internet Control Message Protocol (ICMP) war als Steuerprotokoll für IP konzipiert. Als solches können die Meldungen, die es übermittelt, weit reichende Verzweigungen auf den TCP- und IP-Protokollen im Allgemeinen haben. ICMP wird von den Tools ping und traceroute zur Fehlerbehebung im Netzwerk sowie von der MTU-Pfaderkennung verwendet. Externe ICMP-Verbindungen sind jedoch für den ordnungsgemäßen Betrieb eines Netzwerks nur selten erforderlich.
Cisco IOS-Software liefert Funktionalität, um ICMP-Meldungen speziell namentlich zu filtern oder zu schreiben und zu codieren. Dieses Beispiel ACL erlaubt ICMP von verlässlichen Netzen, während es alle ICMP-Pakete von anderen Quellen blockt:
!
ip access-list extended ACL-TRANSIT-IN
!
!--- Permit ICMP packets from trusted networks only
!
permit icmp host <trusted-networks> any
!
!--- Deny all other IP traffic to any network device
!
deny icmp any any
!
Wegen der nonintuitive Art des Fragments handhabend, werden IP-Fragmente häufig unbeabsichtigt durch ACLs die Erlaubnis gehabt. Fragmentierung ist auch in den Versuchen, Entdeckung durch EindringenErfassungssysteme auszuweichen häufig benutzt. Es ist aus diesen Gründen, dass IP-Fragmente in den Angriffen häufig benutzt sind und an der Spitze aller möglicher konfigurierten tACLs ausdrücklich gefiltert werden sollten. Der folgende ACL umfasst die umfassende Entstörung von IP-Fragmenten. Die Funktionalität, die in diesem Beispiel veranschaulicht wird, muss in Verbindung mit der Funktionalität der vorhergehenden Beispiele verwendet werden:
!
ip access-list extended ACL-TRANSIT-IN
!
!--- Deny IP fragments using protocol-specific ACEs to aid in
!--- classification of attack traffic
!
deny tcp any any fragments
deny udp any any fragments
deny icmp any any fragments
deny ip any any fragments
!
Im Cisco IOS-Software-Release 12.3(4)T und später, Cisco IOSsoftware support den Gebrauch ACLs, IP-Pakete zu filtern, die auf den IP-Optionen basieren, die im Paket enthalten werden. Das Vorhandensein von IP-Optionen innerhalb eines Pakets zeigte möglicherweise einen Versuch an, Sicherheitskontrollen im Netz umzustürzen oder die Durchfahrteigenschaften eines Pakets andernfalls zu ändern. Es ist aus diesen Gründen, dass Pakete mit IP-Optionen am Rand des Netzes gefiltert werden sollten.
Dieses Beispiel muss mit dem Inhalt von den vorhergehenden Beispielen verwendet werden, um die komplette Entstörung von IP-Paketen einzuschließen, die IP-Optionen enthalten:
!
ip access-list extended ACL-TRANSIT-IN
!
!--- Deny IP packets containing IP options
!
deny ip any any option any-options
!
Gebrauchsquellip address vieler Angriffe, das, um effektiv zu sein- spoofing ist oder die wahre Quelle eines Angriffs zu verbergen und genauen Traceback zu hindern. Cisco IOS-Software liefert Schutz Unicast RPF und IP-Quell (IPSG) um Angriffe abzuhalten, die auf Quellip address spoofing beruhen. Darüber hinaus wird ACLs und ungültige Wegewahl häufig als manuelle Durchschnitte von spoofing Verhinderung eingesetzt.
IP-Quellschutz arbeitet, um spoofing für Netze herabzusetzen, die unter direkter Verwaltungskontrolle durch Ausführungsschalterkanal, MAC address und Quelladreßüberprüfung sind. Unicast RPF liefert Quellnetzüberprüfung und kann spoofed Angriffe von den Netzen verringern, die nicht unter direkter Verwaltungskontrolle sind. Kanal-Sicherheit kann verwendet werden, um MAC-Adressen an der Zugriffsschicht zu validieren. Dynamische Inspektion des Address- Resolution Protocol(ARP) (DAI) schwächt Angriffsvektoren ab, die ARP-Vergiftung auf lokalen Segmenten verwenden.
Unicast RPF aktiviert ein Gerät, zu überprüfen, dass die Quelladresse eines nachgeschickten Pakets durch die Schnittstelle erreicht werden kann, die das Paket empfing. Sie dürfen nicht auf Unicast RPF als der einzige Schutz gegen spoofing bauen. Spoofed Pakete konnten das Netz durch eine Unicast RPF-aktivierte Schnittstelle eintragen, wenn ein passender Rückholweg zum Quellip address existiert. Unicast RPF beruht auf Ihnen, um Eilbeförderung Ciscos auf jedem Gerät zu aktivieren und wird auf einer Proschnittstellenbasis konfiguriert.
Unicast RPF kann in einem von zwei Modi konfiguriert werden: „Loose“ (locker) oder „Strict“ (streng). In den Fällen wo es asymetrische Wegewahl gibt, wird loser Modus bevorzugt, weil strenger Modus bekannt, um Pakete in diesen Situationen fallenzulassen. Während der Konfiguration des IP überprüfen Sie Schnittstellenkonfigurationsbefehl, das Schlüsselwort konfiguriert irgendwie losen Modus, während das Schlüsselwort rx strengen Modus konfiguriert.
Dieses Beispiel veranschaulicht Konfiguration dieses Merkmals:
!
ip cef
!
interface <interface>
ip verify unicast source reachable-via <mode>
!
IP-Quellschutz ist- effektive Durchschnitte von spoofing Verhinderung, die verwendet werden kann, wenn Sie Steuerung über Schnittstellen der Schicht 2 haben. IP-Quellschutzgebrauchsinformationen von DHCP, das herumschnüffelt, um ein Kanalaccess control list (PACL) auf der Schnittstelle der Schicht 2 dynamisch zu konfigurieren, irgendeinen Verkehr von den IP address verweigernd, die nicht in der IP-Quellverbindlichen Tabelle sind.
IP-Quellschutz kann angewendet werden, um 2 Schnittstellen zu überlagern, die DHCP herumgeschnüffelte-aktiviertem VLANs gehören. Diese Befehle aktivieren DHCP-Herumschnüffeln:
!
ip dhcp snooping
ip dhcp snooping vlan <vlan-range>
!
Nachdem DHCP-Herumschnüffeln aktiviert ist, aktivieren diese Befehle IPSG:
!
interface <interface-id>
ip verify source
!
Kanalsicherheit kann mit dem IP aktiviert werden überprüfen Quellkanalsicherheits-Schnittstellen-Konfigurationsbefehl. Dazu ist der globale Konfigurationsbefehl ip dhcp snooping information option erforderlich. Zusätzlich muss der DHCP-Server die DHCP-Option 82 unterstützen.
Sprechen Sie konfigurierende DHCP-Merkmale und IP-Quellschutz zu mehr Information über dieses Merkmal an.
Kanal-Sicherheit wird verwendet, um das MAC address abzuschwächen, das an der Zugriffsschnittstelle spoofing ist. Kanal-Sicherheit kann dynamisch gelehrte (klebrige) MAC-Adressen verwenden, um in der Erstkonfiguration nachzulassen. Sobald Kanalsicherheit eine MAC-Verletzung bestimmt hat, kann sie einen von vier Verletzungsmodi verwenden. Diese Modi sind sich schützen, einschränken, Abschaltung und Abschaltung VLAN. In den Fällen, wenn ein Kanal nur Zugang für ein Einzelplatz mit dem Gebrauch von Standardprotokollen bietet, ist möglicherweise eine Höchstzahl von einer genügend. Protokolle, die wirksam einsetzen, virtuelles MAC wendet sich wie HSRP arbeiten nicht, wenn die Höchstzahl bis eine eingestellt wird.
!
interface <interface>
switchport
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security maximum <number>
switchport port-security violation <violation-mode>
!
Sprechen Sie konfigurierende Kanal-Sicherheit zu mehr Information über das Kanal-Sicherheit confuration an.
Dynamische ARP-Inspektion (DAI) kann verwendet werden, um ARP-Vergiftungsangriffe auf lokalen Segmenten abzuschwächen. Ein arp-Vergiftungsangriff ist eine Methode, in der ein Angreifer gefälschte ARP-Informationen zu einem lokalen Segment schickt. Diese Informationen sind konzipiert, um das ARP-Cache anderer Geräte zu verderben. Häufig verwendet ein Angreifer ARP-Vergiftung, um einen Mann-in-d-mittleren Angriff durchzuführen.
DAI fängt ab und validiert das IP-zu-MAC-Adress-Verhältnis aller ARP-Pakete auf untrusted Kanälen. In DHCP-Umgebungen verwendet DAI die Daten, die durch das herumschnüffelnde Merkmal DHCP festgelegt wird. Arp-Pakete, die auf verlässlichen Schnittstellen werden nicht validiert empfangen werden und ungültige Pakete auf untrusted Schnittstellen werden verworfen. In den Umgebungen NichtdHCP wird der Gebrauch ARP ACLs benötigt.
Diese Befehle aktivieren DHCP-Herumschnüffeln:
!
ip dhcp snooping
ip dhcp snooping vlan <vlan-range>
!
Sobald DHCP-Herumschnüffeln aktiviert worden ist, aktivieren diese Befehle DAI:
!
ip arp inspection vlan <vlan-range>
!
In nicht DHCP-Umgebungen werden ARP ACLs benötigt, um DAI zu aktivieren. Dieses Beispiel zeigt die Grundkonfiguration von DAI mit ARP ACLs:
!
arp access-list <acl-name>
permit ip host <sender-ip> mac host <sender-mac>
!
ip arp inspection filter <arp-acl-name> vlan <vlan-range>
!
Dai kann pro die gleichgültig wo unterstützte worden Schnittstellenbasis auch an aktiviert werden.
ip arp inspection limit rate <rate_value> burst interval <interval_value>
Sprechen Sie konfigurierende dynamische ARP-Inspektion zu mehr Information über an, wie man DAI konfiguriert.
Manuell konfiguriertes ACLs kann statischen anti-spoofing Schutz gegen Angriffe bieten, die bekannten unbenutzten und untrusted Adressbereich benutzen. Geläufig werden diese, die ACLs anti-spoofing sind, am Eintrittverkehr an den Netzgrenzen als Komponente eines größeren ACL angewendet. Anti-spoofing ACLs benötigen Sie regelmäßige Überwachung, weil sie häufig ändern können. Spoofing kann im Verkehr herabgesetzt werden, der vom lokalen Netzwerk (LAN) entsteht, wenn Sie Auslands-ACLs anwenden, das den Verkehr auf gültige lokale Adressen begrenzen.
Dieses Beispiel zeigt, wie ACLs verwendet werden kann, um IP spoofing zu begrenzen. Dieser ACL ist auf der gewünschten Schnittstelle angewandtes Inlands. Die Asse, die diesen ACL bilden, sind nicht umfassend. Wenn Sie diese Typen von ACLs konfigurieren, suchen Sie eine aktuelle Referenz, die entscheidend ist.
!
ip access-list extended ACL-ANTISPOOF-IN
deny ip 10.0.0.0 0.255.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
!
interface <interface>
ip access-group ACL-ANTISPOOF-IN in
!
Die amtliche Börsennotierung von nicht zugewiesenen Internet-Adressen wird von Team Cymru beibehalten. Zusätzliche Information über filternde unbenutzte Adressen ist an der Bogon-Bezugsseite verfügbar.
Der Hauptzweck von Routern und von Schaltern ist, Pakete und Felder durch das Gerät zu den endgültigen Bestimmungsorts vorwärts nachzuschicken. Diese Pakete, die die Geräte durchfahren, setzten während des Netzes, können CPU-Operationen eines Gerätes auswirken ein. Die Datenfläche, die aus Verkehr besteht, der das Netzgerät durchfährt, sollte gesichert werden, um die Operation des Managements sicherzustellen und Flächen zu steuern. Wenn Durchgangsverkehr ein Gerät veranlassen kann, Schalterverkehr zu verarbeiten, kann die Steuerfläche eines Gerätes betroffen sein, das möglicherweise zu eine Betriebsunterbrechung führt.
Obgleich nicht vollständig, umfasst diese Liste Typen von Daten planieren Verkehr, die spezielle CPU benötigen, die verarbeitet und sind der Prozess, der durch die CPU geschaltet wird:
Sehen Sie das flache Verhärtungskapitel der allgemeinen Daten dieses Dokuments zu mehr Information über die Daten-flache Verhärtung.
Sie können den ACL-Support für die Entstörung auf TTL-Wertmerkmal benutzen, eingeführt im Cisco IOS-Software-Release 12.4(2)T, in einer ausgedehnten IP-Zugriffsliste, um die Pakete zu filtern, die auf TTL-Wert basieren. Diese Funktion kann benutzt werden, um ein Gerät zu schützen, das Durchgangsverkehr empfängt, in dem der TTL-Wert null oder das ist. Die Entstörungspakete, die auf TTL-Werten basieren, können auch benutzt werden, um, dass der TTL-Wert nicht niedriger als der Durchmesser des Netzes ist, die Steuerfläche von abwärts gerichteten Infrastrukturgeräten vor TTL-Endangriffen so schützen sicherzustellen.
Beachten Sie, dass einige Anwendungen und Werkzeuge wie traceroute TTL-Endpakete für die Prüfung und die Diagnosezwecke benutzen. Einige Protokolle, wie IGMP, verwenden legitim einen TTL-Wert von einem.
Dieses ACL-Beispiel erstellt eine Politik dieses Filter IP-Pakete, wo der TTL-Wert kleiner als 6. ist.
!
!--- Create ACL policy that filters IP packets with a TTL value
!--- less than 6
!
ip access-list extended ACL-TRANSIT-IN
deny ip any any ttl lt 6
permit ip any any
!
!--- Apply access-list to interface in the ingress direction
!
interface GigabitEthernet 0/0
ip access-group ACL-TRANSIT-IN in
!
Siehe ACL-Support für die Entstörung auf TTL-Wert zu mehr Information über dieses Merkmal.
Im Cisco IOS-Software-Release 12.4(4)T und im neueren, flexiblen Paket erlaubt das Abgleichen (FPM) einem Verwalter, auf willkürlichen Bits eines Pakets abzugleichen. Diese FPM-Politik lässt Pakete mit einem TTL-Wert weniger als sechs fallen.
!
load protocol flash:ip.phdf
!
class-map type access-control match-all FPM-TTL-LT-6-CLASS
match field IP ttl lt 6
!
policy-map type access-control FPM-TTL-LT-6-DROP-POLICY
class FPM-TTL-LT-6-CLASS
drop
!
interface FastEthernet0
service-policy type access-control input FPM-TTL-LT-6-DROP-POLICY
!
Sprechen Sie das flexible Paket-Abgleichen an, gelegen auf dem flexiblen Paket Cisco IOS, das homepage, zu mehr Information über das Merkmal abgleicht.
Im Cisco IOS-Software-Release 12.3(4)T und später, können Sie den ACL-Support für das Entstörungsip-Optionsmerkmal in einer benannten, ausgedehnten, IP-Zugriffsliste benutzen, zum von IP-Paketen mit vorhandenen IP-Optionen zu filtern. Entstörungsip-Pakete, die auf dem Vorhandensein von IP-Optionen basieren, können auch benutzt werden, um die Steuerfläche von Infrastrukturgeräten am Müssen zu verhindern diese Pakete auf der CPU-Stufe verarbeiten.
Beachten Sie dass der ACL-Support für die Entstörung von IP-Optionen, die Funktion nur mit benanntem, ausgedehntem ACLs benutzt werden kann. Es sollte auch beachtet werden, dass RSVP, Mehrprotokolletikett-Schaltungs-Verkehrs-Technik, IGMP-Versionen 2 und 3 und andere Protokolle, die IP-Optionspakete benutzen, möglicherweise nicht wären, richtig zu arbeiten, wenn Pakete für diese Protokolle fallen gelassen werden. Wenn diese Protokolle im Netzwerk verwendet werden, kann die ACL-Unterstützung für das Filtern von IP-Optionen verwendet werden. Die ACL-Funktion zum selektiven Löschen von IP-Optionen kann diesen Datenverkehr jedoch verwerfen, und diese Protokolle funktionieren möglicherweise nicht ordnungsgemäß. Wenn es keine gebräuchlichen Protokolle gibt, die IP-Optionen benötigen, ist ACL-IP-Options-selektiver Rückgang die bevorzugte Methode, zum dieser Pakete fallenzulassen.
Dieses ACL-Beispiel erstellt eine Politik dieses Filter IP-Pakete, die alle mögliche IP-Optionen enthalten:
!
ip access-list extended ACL-TRANSIT-IN
deny ip any any option any-options
permit ip any any
!
interface GigabitEthernet 0/0
ip access-group ACL-TRANSIT-IN in
!
Dieses Beispiel ACL zeigt eine Politik dieses Filter IP-Pakete mit fünf spezifischen IP-Optionen. Pakete, die diese Optionen enthalten, werden verweigert:
!
ip access-list extended ACL-TRANSIT-IN
deny ip any any option eool
deny ip any any option record-route
deny ip any any option timestamp
deny ip any any option lsr
deny ip any any option ssr
permit ip any any
!
interface GigabitEthernet 0/0
ip access-group ACL-TRANSIT-IN in
!
Sehen Sie das flache Verhärtungskapitel der allgemeinen Daten dieses Dokuments zu mehr Information über ACL-IP-Options-selektiven Tropfen.
Weitere Informationen zum Filtern von Transit- und Edge-Datenverkehr finden Sie unter Transit Access Control Lists: Filtering at Your Edge.
Ein anderes Merkmal in Cisco IOS-Software, die benutzt werden kann, um Pakete mit IP-Optionen zu filtern, ist CoPP. Im Cisco IOS-Software-Release 12.3(4)T und später, erlaubt CoPP einem Verwalter, den Verkehrsprogrammablauf Flächenpakete zu filtern. Ein Gerät, das CoPP und ACL-Support für die Entstörung von IP-Optionen unterstützt, eingeführt im Cisco IOS-Software-Release 12.3(4)T, verwendet möglicherweise eine Zugriffslistenpolitik, um Pakete zu filtern, die IP-Optionen enthalten.
Diese CoPP-Politik lässt Durchfahrtpakete fallen, die durch ein Gerät empfangen werden, wenn alle mögliche IP-Optionen anwesend sind:
!
ip access-list extended ACL-IP-OPTIONS-ANY
permit ip any any option any-options
!
class-map ACL-IP-OPTIONS-CLASS
match access-group name ACL-IP-OPTIONS-ANY
!
policy-map COPP-POLICY
class ACL-IP-OPTIONS-CLASS
drop
!
control-plane
service-policy input COPP-POLICY
!
Diese CoPP-Politik lässt die Durchfahrtpakete fallen, die durch ein Gerät empfangen werden, wenn diese IP-Optionen anwesend sind:
!
ip access-list extended ACL-IP-OPTIONS
permit ip any any option eool
permit ip any any option record-route
permit ip any any option timestamp
permit ip any any option lsr
permit ip any any option ssr
!
class-map ACL-IP-OPTIONS-CLASS
match access-group name ACL-IP-OPTIONS
!
policy-map COPP-POLICY
class ACL-IP-OPTIONS-CLASS
drop
!
control-plane
service-policy input COPP-POLICY
!
In der vorhergehenden CoPP-Politik die Access- Control Listeinträge (Asse) Pakete dieser Abgleichung mit dem Erlaubnisaktionsergebnis in diesen Paketen, die durch die Politikkartenrückgangsfunktion verworfen werden, während Pakete, die die Leugnungsaktion abgleichen (nicht gezeigt) nicht durch die Politikkartenrückgangsfunktion beeinflußt werden.
Sprechen Sie die einsetzende Steuerfläche an, die zu mehr Information über das CoPP-Merkmal polizeilich überwacht.
Im Cisco IOS-Software-Release 12.4(4)T und später, steuern Sie flachen Schutz (CPPr) kann, um einzuschränken oder Polizeisteuerflächenverkehr durch die CPU eines Cisco IOS-Gerätes verwendet werden. Wenn ähnlich CoPP, hat CPPr die Fähigkeit, Verkehr unter Verwendung der feineren Körnigkeit als CoPP einzuschränken oder polizeilich zu überwachen. Bei CPPr wird die aggregierte Kontrollebene in drei getrennte Kontrollebenenkategorien aufgeteilt, die als Unterschnittstellen bezeichnet werden: Host, Transit und CEF-Exception.
Diese CPPr-Politik lässt die Durchfahrtpakete fallen, die durch ein Gerät empfangen werden, in dem der TTL-Wert kleiner als 6 und die Durchfahrt- oder Nichtdurchfahrtpakete, die durch ein Gerät empfangen werden ist, in dem der TTL-Wert null oder eins ist. Die CPPr-Politik lässt auch Pakete mit ausgewählten IP-Optionen fallen, die durch das Gerät empfangen werden.
!
ip access-list extended ACL-IP-TTL-0/1
permit ip any any ttl eq 0 1
!
class-map ACL-IP-TTL-0/1-CLASS
match access-group name ACL-IP-TTL-0/1
!
ip access-list extended ACL-IP-TTL-LOW
permit ip any any ttl lt 6
!
class-map ACL-IP-TTL-LOW-CLASS
match access-group name ACL-IP-TTL-LOW
!
ip access-list extended ACL-IP-OPTIONS
permit ip any any option eool
permit ip any any option record-route
permit ip any any option timestamp
permit ip any any option lsr
permit ip any any option ssr
!
class-map ACL-IP-OPTIONS-CLASS
match access-group name ACL-IP-OPTIONS
!
policy-map CPPR-CEF-EXCEPTION-POLICY
class ACL-IP-TTL-0/1-CLASS
drop
class ACL-IP-OPTIONS-CLASS
drop
!
!-- Apply CPPr CEF-Exception policy CPPR-CEF-EXCEPTION-POLICY to
!-- the CEF-Exception CPPr sub-interface of the device
!
control-plane cef-exception
service-policy input CPPR-CEF-EXCEPTION-POLICY
!
policy-map CPPR-TRANSIT-POLICY
class ACL-IP-TTL-LOW-CLASS
drop
!
control-plane transit
service-policy input CPPR-TRANSIT-POLICY
!
In der vorhergehenden CPPr-Politik die Access- Control Listeinträge, die Pakete mit dem Erlaubnisaktionsergebnis in diesen Paketen abgleichen, die durch die Politikkartenrückgangsfunktion verworfen werden, während Pakete, die die Leugnungsaktion abgleichen (nicht gezeigt) nicht durch die Politikkartenrückgangsfunktion beeinflußt werden.
Siehe Verständnis des Steuerflachen Schutzes und steuern Sie flachen Schutz zu mehr Information über das CPPr-Merkmal.
Manchmal können Sie und Tracebacknetzwerkverkehr, besonders während der Vorfallantwort oder der schlechten Netzwerk-Performance schnell identifizieren müssen. NetFlow und Klassifikation ACLs sind die zwei primären Methoden, zum dieses mit Cisco IOS-Software zu vollenden. NetFlow kann Sicht in allen Verkehr auf dem Netz zur Verfügung stellen. Zusätzlich kann NetFlow mit Kollektoren eingeführt werden, die das Neigen der Zeitdauer und automatisierte Analyse zur Verfügung stellen können. Klassifikation ACLs sind eine Komponente von ACLs und benötigen das Im Voraus planen, zum des spezifischen Verkehrs und der manuellen Intervention während der Analyse zu identifizieren. Diese Kapitel liefern einen kurzen Überblick über jedes Merkmal.
NetFlow identifiziert unregelmäßige und sicherheitsbezogene Netzaktivität durch Gleichlaufnetzflüsse. NetFlow-Daten können über das CLI angesehen werden und analysiert werden, oder die Daten können in einen Werbung oder Freeware NetFlow-Kollektor für Anhäufung und Analyse exportiert werden. NetFlow-Kollektoren, durch das langfristige Neigen, können Netzverhalten und Verwendungsanalyse zur Verfügung stellen. NetFlow arbeitet, indem er Analyse auf spezifischen Attributen innerhalb IP-Pakete durchführt und das Erstellen fließt. Version 5 ist die allgemein verwendetste Version von NetFlow, jedoch ist Version 9 dehnbarer. NetFlow-Flüsse können mit geprüften Verkehrsdaten in den Großserienumgebungen erstellt werden.
CEF oder verteiltes CEF, ist eine Voraussetzung zum Aktivieren von NetFlow. NetFlow kann auf Routern und Schaltern konfiguriert werden.
Dieses Beispiel veranschaulicht die Grundkonfiguration dieses Merkmals. In den vorhergehenden Freigaben von Cisco IOS-Software, ist der Befehl, NetFlow auf einer Schnittstelle zu aktivieren IP-Wegcachefluß anstelle IP-Flusses {Eintritt | Ausgang}.
!
ip flow-export destination <ip-address> <udp-port>
ip flow-export version <version>
!
interface <interface>
ip flow <ingess|egress>
!
Dieses ist ein Beispiel von NetFlow ausgab vom CLI. Das SrcIf-Attribut kann im Traceback helfen.
router#show ip cache flow
IP packet size distribution (26662860 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.741 .124 .047 .006 .005 .005 .002 .008 .000 .000 .003 .000 .001 .000 .000
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .001 .007 .039 .000 .000 .000 .000 .000 .000
IP Flow Switching Cache, 4456704 bytes
55 active, 65481 inactive, 1014683 added
41000680 ager polls, 0 flow alloc failures
Active flows timeout in 2 minutes
Inactive flows timeout in 60 seconds
IP Sub Flow Cache, 336520 bytes
110 active, 16274 inactive, 2029366 added, 1014683 added to flow
0 alloc failures, 0 force free
1 chunk, 15 chunks added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-Telnet 11512 0.0 15 42 0.2 33.8 44.8
TCP-FTP 5606 0.0 3 45 0.0 59.5 47.1
TCP-FTPD 1075 0.0 13 52 0.0 1.2 61.1
TCP-WWW 77155 0.0 11 530 1.0 13.9 31.5
TCP-SMTP 8913 0.0 2 43 0.0 74.2 44.4
TCP-X 351 0.0 2 40 0.0 0.0 60.8
TCP-BGP 114 0.0 1 40 0.0 0.0 62.4
TCP-NNTP 120 0.0 1 42 0.0 0.7 61.4
TCP-other 556070 0.6 8 318 6.0 8.2 38.3
UDP-DNS 130909 0.1 2 55 0.3 24.0 53.1
UDP-NTP 116213 0.1 1 75 0.1 5.0 58.6
UDP-TFTP 169 0.0 3 51 0.0 15.3 64.2
UDP-Frag 1 0.0 1 1405 0.0 0.0 86.8
UDP-other 86247 0.1 226 29 24.0 31.4 54.3
ICMP 19989 0.0 37 33 0.9 26.0 53.9
IP-other 193 0.0 1 22 0.0 3.0 78.2
Total: 1014637 1.2 26 99 32.8 13.8 43.9
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Gi0/1 192.168.128.21 Local 192.168.128.20 11 CB2B 07AF 3
Gi0/1 192.168.150.60 Gi0/0 10.89.17.146 06 0016 101F 55
Gi0/0 10.89.17.146 Gi0/1 192.168.150.60 06 101F 0016 9
Gi0/1 192.168.150.60 Local 192.168.206.20 01 0000 0303 11
Gi0/0 10.89.17.146 Gi0/1 192.168.150.60 06 07F1 0016 1
Siehe Cisco IOS NetFlow zu mehr Information über NetFlow-Fähigkeiten.
Sprechen Sie eine Einleitung zu Cisco IOS NetFlow - ein technischer Überblick für einen technischen Überblick über NetFlow an.
Klassifikation ACLs stellen Sicht in Verkehr zur Verfügung, der eine Schnittstelle überquert. Klassifikation ACLs ändern nicht die Sicherheitspolitik eines Netzes und werden gewöhnlich konstruiert, um einzelne Protokolle, Quelladressen oder Zieleinheiten zu klassifizieren. Zum Beispiel könnte ACE, der allen Verkehr ermöglicht, in spezifische Protokolle oder in Kanäle getrennt werden. Diese granuliertere Klassifikation des Verkehrs in spezifische Asse kann helfen, ein Verständnis des Netzwerkverkehrs zur Verfügung zu stellen, weil jede Verkehrskategorie seinen eigenen Trefferzähler hat. Ein Verwalter trennte möglicherweise auch das implizite verweigern am Ende eines ACL in granulierte Asse, um zu helfen, die Typen des verweigerten Verkehrs zu identifizieren.
Ein Verwalter kann eine Vorfallantwort beschleunigen, indem er Klassifikation ACLs mit der Showzugriffliste und klaren den IP-Zugrifflistenzähler Bedienungsaufrufen an den Ablaufteil verwendet.
Dieses Beispiel veranschaulicht die Konfiguration einer Klassifikation ACL, um SMB-Verkehr vor einer Nichterfüllung zu identifizieren verweigern:
!
ip access-list extended ACL-SMB-CLASSIFY
remark Existing contents of ACL
remark Classification of SMB specific TCP traffic
deny tcp any any eq 139
deny tcp any any eq 445
deny ip any any
!
Zwecks den Verkehr zu identifizieren der eine Klassifikation ACL verwendet, verwenden Sie den Showzugrifflistenaclname Bedienungsaufruf an den Ablaufteil. Die acl-Zähler können durch mit den klaren IP-Zugrifflistenzähleraclname Bedienungsaufruf an den Ablaufteil gelöscht werden.
router#show access-list ACL-SMB-CLASSIFY
Extended IP access list ACL-SMB-CLASSIFY
10 deny tcp any any eq 139 (10 matches)
20 deny tcp any any eq 445 (9 matches)
30 deny ip any any (184 matches)
VLAN-Zugriffskontrolllisten (VACLs) oder VLAN-Karten und Kanal ACLs (PACLs), liefern die Fähigkeit, um Zugriffssteuerung auf nicht-verlegtem Verkehr zu erzwingen, der näher an Endpunktgeräten als Zugriffskontrolllisten ist, die an verlegten Schnittstellen angewendet werden.
Diese Kapitel liefern einen Überblick über die Merkmale, den Nutzen und die möglichen Anwendungsszenarien von VACLs und von PACLs.
VACLs oder VLAN-Karten, die auf alle Pakete zutreffen, die VLAN kommen, liefern die Fähigkeit, um Zugriffssteuerung auf Intra-VLAN-Verkehr zu erzwingen. Dieses ist nicht mit ACLs auf verlegten Schnittstellen möglich. Zum Beispiel würde eine VLAN-Karte benutzt möglicherweise, um Hauptrechner zu verhindern, die innerhalb gleichen VLANs von der Kommunikation mit einander enthalten werden, die Gelegenheiten verringert, damit lokale Angreifer oder Würmer einen Hauptrechner auf dem gleichen Netzsegment ausnutzen. Zwecks Pakete von der Anwendung einer VLAN-Karte zu verweigern, können Sie ein Access Control List (ACL) dieses Abgleichungen der Verkehr und, in der VLAN-Karte herstellen, die Aktion einstellen um zu fallen. Sobald eine VLAN-Karte konfiguriert wird, werden alle Pakete, die den LAN eintragen, sequenziell gegen die konfigurierte VLAN-Karte ausgewertet. VLAN-Zugriffskarten unterstützen IPv4- und MAC-Zugriffslisten, jedoch keine Protokollierung oder IPv6-Zugriffskontrolllisten.
Dieses Beispiel benutzt eine ausgedehnte benannte Zugriffsliste, die die Konfiguration dieses Merkmals veranschaulicht:
!
ip access-list extended <acl-name>
permit <protocol> <source-address> <source-port> <destination-address>
<destination-port>
!
vlan access-map <name> <number>
match ip address <acl-name>
action <drop|forward>
!
Dieses Beispiel zeigt den Gebrauch einer VLAN-Karte, um TCP-Kanäle 139 und 445 sowie das Protokoll RebeiP zu verweigern:
!
ip access-list extended VACL-MATCH-ANY
permit ip any any
!
ip access-list extended VACL-MATCH-PORTS
permit tcp 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 445
permit tcp 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 139
!
mac access-list extended VACL-MATCH-VINES
permit any any vines-ip
!
vlan access-map VACL 10
match ip address VACL-MATCH-VINES
action drop
!
vlan access-map VACL 20
match ip address VACL-MATCH-PORTS
action drop
!
vlan access-map VACL 30
match ip address VACL-MATCH-ANY
action forward
!
vlan filter VACL vlan 100
!
Sprechen Sie konfigurierende Netzwerksicherheit mit ACLs zu mehr Information über die Konfiguration von VLAN-Karten an.
PACLs kann an der Inlandsrichtung auf körperliche Schnittstellen der Schicht 2 eines Schalters nur angewendet werden. Ähnlich VLAN-Karten, stellen PACLs Zugriffssteuerung auf nicht-verlegt zur Verfügung oder überlagern Verkehr 2. Die Syntax für PACLs-Schaffung, die Vorrang vor VLAN-Karten und Router ACLs hat, ist die selbe wie Router ACLs. Wenn ein ACL an einer Schnittstelle der Schicht 2 angewendet wird, dann gekennzeichnet es als ein PACL. Konfiguration bezieht die Schaffung eines IPv4, des IPv6 oder des MAC ACL und der Anwendung von ihr zur Schnittstelle der Schicht 2 mit ein.
Dieses Beispiel benutzt eine ausgedehnte benannte Zugriffsliste, um die Konfiguration dieses Merkmals zu veranschaulichen:
!
ip access-list extended <acl-name>
permit <protocol> <source-address> <source-port> <destination-address>
<destination-port>
!
interface <type> <slot/port>
switchport mode access
switchport access vlan <vlan_number>
ip access-group <acl-name> in
!
Sprechen Sie das Kanal ACL-Kapitel des Konfigurierens von Netzwerksicherheit mit ACLs zu mehr Information über die Konfiguration von PACLs an.
MAC-Zugriffskontrolllisten oder ausgedehnte Listen können in IP-Netz mit dem Gebrauch von diesem Befehl im Schnittstellenkonfigurationsmodus angewendet werden:
Cat6K-IOS(config-if)#mac packet-classify
Hinweis: Layer-3-Pakete sollen als Layer-2-Pakete klassifiziert werden. Der Befehl wird in Cisco IOS-Software-Release 12.2(18)SXD (für Sup 720) und Cisco IOS Software-Releases 12.2(33)SRA oder später unterstützt.
Dieser Schnittstellenbefehl muss auf der Eintrittschnittstelle angewendet werden und er weist die Versendenmaschine an, um den IP-Vorsatz nicht zu kontrollieren. Das Ergebnis ist, dass Sie in der Lage sind, eine MAC-Zugriffsliste auf der IP-Umgebung zu benutzen.
Privates VLANs (PVLANs) sind ein Sicherheitsmerkmal der Schicht 2, das Anschlussfähigkeit zwischen Arbeitsplätzen oder Servers innerhalb VLANs begrenzt. Ohne PVLANs können alle Geräte auf einer Schicht 2 VLAN frei in Verbindung stehen. Vernetzungssituationen existieren, wo Sicherheit unterstützt werden kann, indem man Kommunikation zwischen Geräten auf einzelnen VLAN begrenzt. Zum Beispiel sind PVLANs häufig benutzt, um Kommunikation zwischen Servers in einem öffentlich zugänglichen Teilnetze zu verbieten. Ein einzelner Server wenn, wird kompromittiert, hülfe möglicherweise der Mangel an Anschlussfähigkeit zu anderen Servers wegen der Anwendung von PVLANs, den Kompromiss auf den einen Server zu begrenzen.
Es gibt drei Arten von privaten VLANs: isolierte VLANs, Community-VLANs und primäre VLANs. Die Konfiguration von PVLANs nutzt Primär- und Sekundär-VLANs aus. Primär- VLAN enthält alle gemischten Kanäle, die später beschrieben werden, und enthält ein oder mehreres Sekundär-VLANs, das entweder lokalisiert werden kann oder Gemeinschaft VLANs.
Die Konfiguration von Sekundär-VLAN als lokalisierten VLAN verhindert vollständig Kommunikation zwischen Geräten in Sekundär-VLAN. Es gäbe möglicherweise nur ein lokalisiertes VLAN pro Primär-VLAN, und nur gemischte Kanäle können Kanäle in lokalisierten VLAN verbunden sein. Lokalisiertes VLANs sollte in den untrusted Netzen wie Netzen verwendet werden, die Gäste unterstützen.
Dieses Konfigurationsbeispiel konfiguriert VLAN 11 als lokalisiertes VLAN und verbindet es zu Primär-VLAN, VLAN 20. Das Beispiel unten konfiguriert auch Schnittstelle FastEthernet 1/1, wie ein lokalisierter Kanal in VLAN 11:
!
vlan 11
private-vlan isolated
!
vlan 20
private-vlan primary
private-vlan association 11
!
interface FastEthernet 1/1
description *** Port in Isolated VLAN ***
switchport mode private-vlan host
switchport private-vlan host-association 20 11
!
Sekundär-VLAN, die als Gemeinschaft VLAN konfiguriert wird, erlaubt Kommunikation unter Bauteilen VLANs sowie mit allen gemischten Kanälen in Primär-VLAN. Jedoch ist keine Kommunikation zwischen jeder möglicher zwei Gemeinschaft VLANs oder von einer Gemeinschaft VLAN zu lokalisierten VLAN möglich. Gemeinschaft VLANs muss sein, um zu gruppieren Servers, die Anschlussfähigkeit miteinander benötigen, aber wo Anschlussfähigkeit zu allen weiteren Geräten in VLAN nicht benötigt wird. Dieses Szenario ist in einem öffentlich zugänglichen Netz geläufig, oder überall das Servers stellen Inhalt zu den untrusted Kunden zur Verfügung.
Dieses Beispiel konfiguriert eine einzelne Gemeinschaft VLAN und konfiguriert Schalterkanal FastEthernet 1/2 als Bauteil von diesem VLAN. Die Gemeinschaft VLAN, VLAN 12, ist Sekundär-VLAN zu Primär-VLAN 20.
!
vlan 12
private-vlan community
!
vlan 20
private-vlan primary
private-vlan association 12
!
interface FastEthernet 1/2
description *** Port in Community VLAN ***
switchport mode private-vlan host
switchport private-vlan host-association 20 12
!
Schalten Sie Kanäle, die in Primär-VLAN bekannt als gemischte Kanäle platziert werden. Gemischte Kanäle können alle weiteren Kanäle im Primär- und Sekundär-VLANs verbunden sein. Router- oder Firewallschnittstellen sind die geläufigsten Geräte, die auf diesen VLANs gefunden werden.
Dieses Konfigurationsbeispiel kombiniert die vorhergehenden lokalisierten und Gemeinschafts-VLAN-Beispiele und fügt die Konfiguration der Schnittstelle FastEthernet 1/12 als gemischter Kanal hinzu:
!
vlan 11
private-vlan isolated
!
vlan 12
private-vlan community
!
vlan 20
private-vlan primary
private-vlan association 11-12
!
interface FastEthernet 1/1
description *** Port in Isolated VLAN ***
switchport mode private-vlan host
switchport private-vlan host-association 20 11
!
interface FastEthernet 1/2
description *** Port in Community VLAN ***
switchport mode private-vlan host
switchport private-vlan host-association 20 12
!
interface FastEthernet 1/12
description *** Promiscuous Port ***
switchport mode private-vlan promiscuous
switchport private-vlan mapping 20 add 11-12
!
Wenn Sie PVLANs einführen, ist es wichtig, zu garantieren, dass die Konfiguration der Schicht 3 an Ort und Stelle die Beschränkungen unterstützt, die durch PVLANs auferlegt werden und nicht die PVLAN-Konfiguration umgestürzt werden darf. Die Schicht 3, die mit einem Router ACL oder Firewall filtert, kann die Subversion der PVLAN-Konfiguration verhindern.
Sprechen Sie privates VLANs an (PVLANs) - Gemischt, lokalisiert, Gemeinschaft, lokalisiert auf dem LAN Security-homepage, zu mehr Information über den Gebrauch und die Konfiguration von privatem VLANs.
Dieses Dokument gibt Ihnen einen breiten Überblick über die Methoden, die angewendet werden können, um ein Cisco IOS-Systemgerät zu sichern. Wenn Sie die Geräte sichern, erhöht es die Gesamtsicherheit der Netze, die Sie handhaben. In diesem Überblick werden Schutz des Managements, Steuerung, und Datenflächen wird behandelt, und Empfehlungen für Konfiguration geliefert. Wo möglich wird genügendes Detail für die Konfiguration jedes verbundenen Merkmals bereitgestellt. Jedoch in allen Fällen, werden umfassende Referenzen zur Verfügung gestellt, um Sie mit den Informationen zur Verfügung zu stellen, die für weitere Bewertung benötigt werden.
Einige Merkmalsbeschreibungen in diesem Dokument wurden von den Cisco-Informationsentwicklerteams geschrieben.
Diese Checkliste ist eine Sammlung aller Verhärtungsschritte, die in dieser Anleitung dargestellt werden. Verwalter können sie verwenden, während eine Anzeige der ganzer Verhärtung verwendet und für ein Cisco IOS-Gerät betrachtet kennzeichnet, selbst wenn ein Merkmal nicht eingeführt wurde, weil es nicht zutraf. Verwalter werden geraten, jede Option für sein potenzielles Risiko auszuwerten, bevor sie die Option einführen.