Zabezpecení sítových prostredku

Zabezpečenı́ sı́t’ových prostředků
Martin Beránek
Střednı́ Smı́chovská průmyslová škola
17. března 2014
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
1 / 39
Gnuskola
Tato prezentace je vytvořena pomocı́ svobodného software
v rámci projektu Gnuskola.cz
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
2 / 39
Autorstvı́
Prezentace čerpá z látky CISCO Security na portálu netacad.com
Napsal Martin Beránek 2012
Částečně poupravil Jakub Kolář 2014
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
3 / 39
Úvod
CLI/CCP
Role based CLI
SSH, SNMP, NTP
auto secure
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
4 / 39
Edge routers
Single router - jeden router pro privátnı́ sı́t’
Defense-in-Depth - router a za nı́m firewall
DMZ - firewall primárně pro DMZ zónu
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
5 / 39
Router
Physical Security - fyzicky někam zavřı́t
Router Hardening - bezpečný přı́stup, vypnutı́ nepoužitých portů,
vypnutı́ nepoužı́vaných služeb, ...
OS Security - poslednı́ updaty, maximalnı́ hardware (pamět’), kopie
IOS a konfigurace
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
6 / 39
Co může admin udělat
Restrikce přı́stupových portů
Logovánı́ všech přı́stupů
Autentifikace všech akcı́
Nastavit upozorněnı́ (bannery, MOTD, ...)
Ochrana lokálně uložených citlivých dat
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
7 / 39
Lokálnı́/vzdálený
Lokálně - konzole
Vzdáleně - SSH, HTTPS, HTTP, ...
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
8 / 39
Bezpečné heslo
10 a vı́ce znaků
Velké a malá pı́smena, čı́sla, symboly a mezery
Žádné datumy narozenin, jména zvı́řátek, ...
Vytvořit třeba přechody z S na 5 atd
Časté změny hesel v neurčitých intervalech
Heslo nenechávat někde napsané
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
9 / 39
Bezpečné heslo
Kromě secret pass jsou všechny plaintext
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
10 / 39
Nastavenı́
security passwords min-length length
exec-timeout minutes [seconds]
no exec
service password-encryption - jednocestné, po no zůstanou v šifře 7
Šifra 7 je záměrně převoditelná na plaintext, pouze enable secret je
defaultně v md5
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
11 / 39
Nastavenı́
username name secret [0] password — 5 encrypted-secret
lokálnı́ databáze s použı́tı́m přı́kazu na dané lince login local
podpora md5
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
12 / 39
Rozšı́řenı́
login
login
login
login
login
block-for seconds attempts tries within seconds
quiet-mode access-class acl-name — acl-number
delay seconds
on-failure log [every login]
on-success log [every login]
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
13 / 39
SSH motivace
Silně kryptovaný přenos
Všude podporován
Nejvhodnějšı́ na vzdálený přı́stup
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
14 / 39
SSH konfigurace
ip ssh timeout 60
ip ssh authentication-retries 2
ip domain-name cisco.com
crypto key generate rsa general-keys modulus 1024
ip ssh version 2
line vty 0 4
login local
transport input ssh
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
15 / 39
Konfigurace privilegovaných režimů
Jednotlivé vrtsvy pro určenı́ přı́kazů vhodných ke konfiguraci
User EXEC mode - privileg level 1 (router¿)
Privileg EXEC mode - privileg level 15 (router#)
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
16 / 39
Konfigurace privilegovaných režimů
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
17 / 39
Konfigurace privilegovaných režimů
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
18 / 39
Role-Based CLI Access
Vytvářenı́ rolı́ a jejich přiřazovánı́ k uživatelům
V CISCO zařı́zenı́ch definované jako view
Bezpečné
Dostupnost
Operativnı́ účinnost
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
19 / 39
Pohledy
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
20 / 39
Vytvořenı́ pohledu
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
21 / 39
Vytvořenı́ super pohledu
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
22 / 39
Secure
Zabezpečenı́ proti přı́mému přı́stupu k obrazu a konfiguraci
secure boot-image
secure boot-config
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
23 / 39
Password recovery
Postup pro obnovu hesla se dá zakázat přes no service password-recovery
Zákaz vstupu do romon
Pokud heslo zapomenete, řešenı́m je výměna celé flash
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
24 / 39
Report
Postup pro zı́skánı́ reportů ze sı́tě
Out-of-band - informace o zabezpečenı́ tečou ve vymezené sı́ti
In-band - informace jsou součástı́ produkčnı́ sı́tě
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
25 / 39
Zásady
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
26 / 39
Logovánı́
Kde se všude loguje?
Console - každý log vždy vypadne nejdřı́v na konzoli
Terminal lines - enabled exec sessions mohou přijimat logy na line
Buffered logging - logy chvı́li sedı́ v ram, pozor na reboot
SNMP traps - při překročenı́ nějaké nastavené hladiny se pošle SNMP
Syslog - loguje dle nastavenı́ a hladin
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
27 / 39
Syslog
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
28 / 39
Přı́klad
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
29 / 39
SNMP
Nástroj pro správu sı́tě rozděluje vše na node
MIB - databáze zpráv SNMP
NMS - network management system, systém zodpovědný za správu
sı́tě
set - nastavenı́
get - požadavek
trap - zpráva
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
30 / 39
SNMP
Vysı́lajı́ se Community stringy pro authentifikaci mezi agenty
read-write stringy majı́ význam get a set
set majı́ stejnou váhu jako mı́t enable na zařı́zenı́
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
31 / 39
SNMPv3
Výhody a vlastnosti verze 3
Message integrity - zpráva nebyla za cesty upravena
Authentication - uživatelé jsou jasně identifikováni
Encryption - zakryptovánı́ přenosu
Access Control - kontrola přı́stupu
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
32 / 39
Nastavenı́
noAuth - vše plantext
auth - proběhne aspoň HMAC
priv - proběhne HMAC a kryptovánı́ přenosu
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
33 / 39
NTP
Network time protocol
Centrálnı́ zdroj času pro všechny
Stabilnı́ a komunitou podporovaný
Čas je pro sı́t’ jedna z nejdůležiejšı́ch věcı́!!!
ručně: R# clock set <time> <date>
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
34 / 39
NTP server
R(config)# ntp master <stratum>
R(config)# ntp server <IP>
R(config)# ntp broadcast client
broadcast použı́vat nebudem
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
35 / 39
NTP server
R(config)# ntp master <stratum>
R(config)# ntp server <IP>
R(config)# ntp broadcast client
broadcast použı́vat nebudem
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
36 / 39
NTP authentifikace
ntp authenticate
ntp authentication-key key-number md5 key-value
ntp trusted-key key-number
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
37 / 39
Vytvořenı́ bezpečenostnı́ho auditu
Disable unnecessary services and interfaces.
Disable and restrict commonly configured management services, such
as SNMP.
Disable probes and scans, such as ICMP.
Ensure terminal access security.
Disable gratuitous and proxy Address Resolution Protocol (ARP).
Disable IP-directed broadcasts.
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
38 / 39
Vytvořenı́ bezpečenostnı́ho auditu
Security Audit wizard - audit vygenerovaný v CCP, admin pak může
vybrat co chce vypnout dle potřeb konfigurace
Cisco AutoSecure - autosecure v cli, projde konfiguraci a dle
adminových rozhodnutı́ zabezpečı́ systém
One-Step Lockdown - přes CCP automaticky zabezpečı́ systém
Martin Beránek (SSPŠ)
Zabezpečenı́ sı́t’ových prostředků
17. března 2014
39 / 39