© 2006 Cisco Systems, Inc. All rights reserved.Cisco Public 1 Version 4.0 Enterprise Network Security Accessing the WAN – Chapter 4

Objectives  How to mitigate security threats  Configure Basic Router Security  Disable unused router services and interfaces  How to use Cisco SDM  Manage Cisco IOS devices zmírnit hrozby

How to Mitigate Security Threats  Open vs. Closed Networks Otevřená síť: Povol všechno, co není přímo zakázáno Snadná konfigurace Uživatelé mají snadný přístup k síťovým prostředkům Náklady na bezpečnost: minimální Jak minimalizovat ohrožení bezpečnosti

How to Mitigate Security Threats  Open vs. Closed Networks Uzavřená síť: Zakaž všechno, co není přímo dovoleno Obtížná konfigurace Uživatelé mají nesnadný přístup k síťovým prostředkům Náklady na bezpečnost: maximální

How to Mitigate Security Threats  Common security threats ZVENKU –firmy nebo lidé, kteří nemají přístup, ale dostanou se přes firewall a jiná opatření ZEVNITŘ – člověk, který pracuje u firmy, má přístup k HW, SW, heslům

How to Mitigate Security Threats  Common security threats NEODBORNÉ – škůdce používá primitivní prostředky, přesto se vlomí např. do webových stránek ODBORNÉ – škůdce má k dispozici techniku i znalosti na vysoké úrovni

How to Mitigate Security Threats  Types of network attacks Obhlídka terénu – sbírání informací, příprava na vlastní útok Neoprávněný přístup – pomocí odborných nástrojů a s využitím slabin systému

How to Mitigate Security Threats  Types of network attacks Odepření služeb – narušení sítí, systémů, služeb; zhroucení nebo zpomalení systému; vymazání, poničení informací Škodlivý SW, instalovaný na PC bez vědomí uživatele a proti jeho vůli. Samovolně se množí, šíří. Dělá všechno špatné, na co jen můžeme pomyslet.

How to Mitigate Security Threats  Common techniques against threats

How to Mitigate Security Threats  Network Security Wheel 1. Učiň opatření pro bezpečnost 2. Sleduj chod systému 3. Aktivně testuj: pastičky, návnady 4. Na základě poznatků vylepši A tak pořád dokola... kolo

How to Mitigate Security Threats  Security policy in an organization Soubor pravidel, která musí dodržovat lidé, kteří mají přístup k podnikové technice a informacím.

How to Mitigate Security Threats  Security policy in an organization Chrání lidi, techniku, informace Stanoví pravidla chování pro uživatele, administrátory, vedení, bezpečnostní personál Opravňuje bezpečnostní personál sledovat, sondovat, vyšetřovat Stanoví postihy za nedodržování pravidel

Basic Router Security  Role of routers Routers : Advertise networks and filter who can use them. Provide access to network segments and subnetworks. Inzerují vlastní sítě a filtrují, kdo je smí používat. Poskytují a filtrují přístup do segmentů sítě a do podsítí. Obrázek nestudovat, je to jen zbytečně složitá ilustrace.

Basic Router Security  Routers as targets = terče R2 připojuje síť na internet. Proto je hlavním terčem útoků hlavně na něm činíme opatření Útoky: Změna pravidel přístupu: odhalení tajných věcí zablokování provozu Změna směrovací tabulky: posílá jinam nebo vůbec

Basic Router Security  Cisco IOS security on routers 1. Starej se o bezpečnost směrovače: kvalitní hesla, často je měň 2. Zabezpeč vzdálený přístup přes VTY = telnet, TTY = konzola, AUX = modem 3. Zaznamenávej činnosti směrovače 4. Zakaž, zavři ty služby a rozhraní, které přímo nepoužíváš. 5. Zabezpeč směrovací protokoly ověřováním totožnosti (authentication) 6. Řiď a filtruj provoz pomocí ACL = Access Control List

Basic Router Security  Measures to secure Cisco routers Založ hesla na zapamatovatelných větách Zadáme-li tento příkaz, heslo se ve výpisu konfigurace objeví zašifrované

Disable Unused Services and Interfaces  Services and interfaces that are vulnerable to network attack Zakaž všechno, co není nezbytně nutné.

Disable Unused Services and Interfaces  Vulnerabilities of management services zranitelnost SNMP = Simple Network Management Protocol v nižších verzích přenáší řídicí informace otevřeným textem. NTP = Network Time Protocol – slouží k synchronizaci hodin reálného času. Nechává po sobě otevřené porty. DNS = Domain Name Service – pomáhá útočníkům spojit si doménová jména ( s IP adresami ( ).

Securing Routing Protocols Všechna rozhraní smějí aktualizace přijímat, nesmějí vysílat s výjimkou s0/0/0 Pro ověření totožnosti aktualizací se bude používat klíč. Klíč sdělíme všem rozhraním, která se budou na aktualizacích podílet.

Disable Unused Services and Interfaces  auto secure command Dialog, ve kterém si router vyžádá různá hesla a další informace, a odstaví všechny služby, které nejsou nezbytné. Změny potom zařadí do running config. Startuje se z privilegovaného, nikoliv konfiguračního módu.

How to Use Cisco SDM  Cisco SDM = Security Device Manager

How to Use Cisco SDM  Cisco SDM = Security Device Manager Security Device Manager (SDM) is a web-based tool for configuring LAN, WAN, and security Cisco routers. SDM je nástroj založený na webovém rozhraní, určený pro konfigurování LAN, WAN a bezpečnosti na routerech Cisco. Může být instalován a spuštěn v paměti routeru nebo v PC. V nových routerech je už instalován. Do některých starších se dá doinstalovat. Do nejstarších se doinstalovat nedá. Záleží také na verzi IOSu, která je v routeru instalovaná.

How to Use Cisco SDM  Cisco SDM = Security Device Manager SDM smart wizards vedou uživatele step-by-step a pomáhají konfigurovat LAN and WAN interfaces firewall IPS = Intrusion Prevention System VPNs = Virtual Private Networks

How to Use Cisco SDM  Steps to configure a router to use SDM 1.Enable the HTTP and HTTPS servers on the router 2.Create a user account defined with privilege level 15 (enable privileges). 3.Configure SSH and Telnet for local login and privilege level

How to Use Cisco SDM  Steps to start SDM Na PC, který je připojený k routeru, zadej do browseru IP adresu routeru.

How to Use Cisco SDM  Cisco SDM Interface

How to Use Cisco SDM  SDM wizards = průvodci Příklad několika obrazovek průvodce pro konfiguraci NAT

How to Use Cisco SDM  Security Audit = vyhodnocení bezpečnosti Security Audit vyhodnotí bezpečnostní rizika a nabídne jejich odstranění. Uživatel zaškrtne v seznamu ta rizika, která chce odstranit. Když potom uživatel klikne na Next, SDM udělá všechny zaškrtnuté změny.

Manage Cisco IOS Devices  File systems used by a Cisco router V tomto kurzu se budeme zabývat jen těmito systémy Read and Write Write Only Read Only

Manage Cisco IOS Devices  File systems used by a Cisco router * znamená: toto je aktuální default systém # znamená: toto je bootable disk

Manage Cisco IOS Devices  File systems used by a Cisco router Flash měl na předchozím výpisu hvězdičku, tj. je aktuální default, proto se příkazem dir vypíše právě jeho obsah.

Manage Cisco IOS Devices  File systems used by a Cisco router Chceme-li zobrazit obsah nvram, musíme se do ní přepnout příkazem cd. Tím se stane aktuální default. Příkazem pwd = present working directory si ověříme, že jsme opravdu v nvram.

Manage Cisco IOS Devices  How to backup and upgrade a Cisco IOS image Copy the running configuration from RAM to the startup configuration in NVRAM: R2# copy running-config startup-config Nebo jen: R2# copy run start R2# copy system:running-config nvram:startup-config Copy the running configuration from RAM to a remote location: R2# copy running-config tftp: Nebo jen: R2# copy run tftp R2# copy system:running-config tftp: Copy a configuration from a remote source to the running configuration: R2# copy tftp: running-config Nebo jen: R2# copy tftp run R2# copy tftp: system:running-config Copy a configuration from a remote source to the startup configuration: R2# copy tftp: startup-config Nebo jen: R2# copy tftp start R2# copy tftp: nvram:startup-config Příklady kopírování – první zjednodušený, druhý úplnější

Manage Cisco IOS Devices  How to back up and upgrade Cisco IOS Příkaz copy flash: tftp: neříká přesně odkud – kam. Proto po jeho zadání jsme dotázáni na podrobnosti. Toto vyťukávám já Toto mi nabízí on

Manage Cisco IOS Devices  How to recover a Cisco IOS Když má router poškozený IOS, nabíhá jen s velmi primitivním operačním systémem zvaným rommon (= monitor umístěný v ROM). Kroky, které vedou k záchraně IOSu:

Manage Cisco IOS Devices  How to recover a Cisco IOS Krok 1 Připojit první ethernetové rozhraní routeru k TFTP serveru (to je PC, na kterém běží program „TFTP Server“). Jiné PC připojit k routeru pomocí konzoly. Adresu TFTP serveru a ethernetového rozhraní routeru nastavit takto.

Manage Cisco IOS Devices  How to recover a Cisco IOS Krok 2 V ROM monitoru zadat tyto parametry: Adresa a maska ethernetového rozhraní routeru Adresa TFTP serveru Default gateway Jméno souboru, do kterého jsme si na TFTP server prozíravě uložili IOS, dokud ještě fungoval.

Manage Cisco IOS Devices  How to recover a Cisco IOS Krok 3 V ROM monitoru zadat příkaz tftpdnld:

Manage Cisco IOS Devices  Show and debug commands Funguje staticky, tj. jednou po zadání a dost Málo zatěžuje router Shromažďuje fakta Funguje dynamicky, tj. pořád Zatěžuje router Sleduje procesy

Manage Cisco IOS Devices  How to recover passwords Příprava: Připojit PC jako konzolu.

Manage Cisco IOS Devices  How to recover passwords Zapíšeme si někam hodnotu konfiguračního registru, abychom nakonec byli schopni ji zase vrátit. Vypneme – zapneme router, stiskneme „Break“.

Manage Cisco IOS Devices  How to recover passwords Změníme hodnotu konfiguračního registru tak, aby říkala: Při startu ignoruj konfiguraci v NVRAM, tj. ignoruj hesla.

Manage Cisco IOS Devices  How to recover passwords Zkopírujeme si konfiguraci z NVRAM do RAM (RAM je totiž prázdná, neboť jsme zadali ignorovat konfiguraci).

Manage Cisco IOS Devices  How to recover passwords Změníme hesla (kvůli tomu jsme to všecko dělali). Vrátíme původní hodnotu konfiguračního registru.

Manage Cisco IOS Devices  How to recover passwords Shrnutí: Změnou konfiguračního registru přimějeme router, aby nevnímal konfiguraci v NVRAM, tj. ani hesla. Když router naběhne, změníme hesla. Vrátíme konfigurační registr na původní hodnotu.

Summary  Security Threats to an Enterprise network include: – Unstructured threats – Structured threats – External threats – Internal threats  Methods to lessen security threats consist of: – Device hardening – Use of antivirus software – Firewalls – Download security updates

Summary  Basic router security involves the following: – Physical security – Update and backup IOS – Backup configuration files – Password configuration – Logging router activity  Disable unused router interfaces & services to minimize their exploitation by intruders  Cisco SDM – A web based management tool for configuring security on Cisco routers

Summary  Cisco IOS Integrated File System (IFS) – Allows for the creation, navigation & manipulation of directories on a Cisco device

© 2006 Cisco Systems, Inc. All rights reserved.Cisco Public 49