Cisco Network Security - Zabezpieczenie urządzeń

1. Zabezpieczenie infrastruktury sieciowej jest kluczowe dla ogólnego bezpieczeństwa sieci. Infrastruktura sieciowa obejmuje routery, przełączniki, serwery, punkty końcowe i inne urządzenia. Jeśli atakujący uzyska dostęp do routera, bezpieczeństwo i zarządzanie całej sieci mogą zostać naruszone. Router brzegowy zawsze jest ostatnim routerem pomiędzy wewnętrzną siecią a niezaufaną siecią, taką jak internet. Cały ruch internetowy organizacji przechodzi przez router brzegowy, który często pełni funkcję pierwszej i ostatniej linii obrony sieci. Router brzegowy pomaga zabezpieczyć obwód chronionej sieci i implementuje działania związane z bezpieczeństwem, które są oparte na politykach bezpieczeństwa organizacji. Z tych powodów zabezpieczenie routerów sieciowych jest niezbędne.

2. Różnice w zakresie implementacji routera brzegowego zależą od wielkości przedsiębiorstwa.
  • Podejście z pojedynczym routerem - Pojedynczy router łączy chronioną sieć lub wewnętrzną sieć lokalną (LAN) z internetem. Wszystkie polityki bezpieczeństwa są konfigurowane na tym urządzeniu. Jest to częściej stosowane w mniejszych implementacjach, takich jak oddziały i małe biura, biura domowe (SOHO). W mniejszych sieciach wymagane funkcje bezpieczeństwa mogą być obsługiwane przez routery zintegrowane z usługami (ISR) bez utraty wydajności routera.
  • Podejście obrony w głąb jest bezpieczniejsze niż podejście z pojedynczym routerem. Wykorzystuje ono wiele warstw zabezpieczeń przed wejściem ruchu do chronionej sieci LAN. Istnieją trzy główne warstwy obrony: router brzegowy, zapora ogniowa i wewnętrzny router łączący się z chronioną siecią LAN. Router brzegowy działa jako pierwsza linia obrony i jest znany jako router przesiewający. Po przeprowadzeniu początkowego filtrowania ruchu, router brzegowy przekazuje wszystkie połączenia przeznaczone dla wewnętrznej sieci LAN do drugiej linii obrony, która jest zaporą ogniową. Zapora ogniowa zazwyczaj kontynuuje tam, gdzie kończy router brzegowy, i wykonuje dodatkowe filtrowanie. Zapewnia dodatkową kontrolę dostępu, śledząc stan połączeń i działając jako urządzenie kontrolne. Domyślnie zapora ogniowa blokuje inicjowanie połączeń z sieci zewnętrznych (niezaufanych) do sieci wewnętrznej (zaufanej). Jednak pozwala użytkownikom wewnętrznym na nawiązywanie połączeń z sieciami niezaufanymi i zezwala na przesyłanie odpowiedzi przez zaporę ogniową. Może również przeprowadzać uwierzytelnianie użytkowników (proxy uwierzytelniające), w którym użytkownicy muszą być uwierzytelnieni, aby uzyskać dostęp do zasobów sieciowych.
  • Podejście DMZ - To podejście obejmuje obszar pośredni, często nazywany strefą demilitaryzowaną (DMZ). DMZ może być używana dla serwerów, które muszą być dostępne z internetu lub innej zewnętrznej sieci. DMZ może być ustawiona pomiędzy dwoma routerami, z wewnętrznym routerem łączącym się z chronioną siecią i zewnętrznym routerem łączącym się z niechronioną siecią. Alternatywnie, DMZ może po prostu być dodatkowym portem na pojedynczym routerze. Zapora ogniowa znajduje się między sieciami chronionymi i niechronionymi. Zapora ogniowa jest skonfigurowana tak, aby zezwalać na wymagane połączenia, takie jak HTTP, z sieci zewnętrznych (niezaufanych) do publicznych serwerów w DMZ. Zapora ogniowa służy jako główna ochrona dla wszystkich urządzeń w DMZ.
3. Zasady związane z bezpieczeństwem routerów:
  • umieszczenie routera w bezpiecznym, zamkniętym pomieszczeniu, do którego mają dostęp tylko upoważnione osoby
  • zapewnienie zasilania awaryjnego UPS
  • wyposażenie routerów w maksymalną możliwą ilość pamięci
  • korzystanie z najnowszego firmware`a w routerze
  • zachowanie konfiguracji routera oraz obrazu systemu operacyjnego routera
  • wyłączenie nieużywanych portów i interfejsów
  • wyłączenie niepotrzebnych usług
  • dostęp do routera (możliwość zmiany konfiguracji) tylko przez osoby uprawnione
4. Router może być dostępny do celów administracyjnych lokalnie lub zdalnie:
  • Dostęp lokalny - Wszystkie urządzenia infrastruktury sieciowej mogą być dostępne lokalnie. Lokalny dostęp do routera zwykle wymaga bezpośredniego połączenia z portem konsoli na routerze Cisco i korzystania z komputera, na którym działa oprogramowanie emulacji terminala, jak pokazano na rysunku. Administrator musi mieć fizyczny dostęp do routera i używać kabla konsoli do połączenia z portem konsoli. Dostęp lokalny jest zwykle używany do początkowej konfiguracji urządzenia.
  • Dostęp zdalny - Administratorzy mogą również zdalnie uzyskiwać dostęp do urządzeń infrastruktury, jak pokazano na rysunku. Chociaż dostępna jest opcja portu aux, najczęściej stosowaną metodą zdalnego dostępu jest zezwalanie na połączenia Telnet, SSH, HTTP, HTTPS lub SNMP do routera z komputera. Komputer może być w lokalnej sieci lub sieci zdalnej. Jeśli jednak łączność sieciowa z urządzeniem jest zerwana, jedynym sposobem na dostęp do niego może być linia telefoniczna.
5. Podczas zdalnego dostępu do routera, dane, w tym nazwy użytkowników i hasła, mogą być przechwytywane przez atakujących. Dlatego zaleca się ograniczenie dostępu do routera do lokalnego. Jeśli jednak dostęp zdalny jest konieczny, należy podjąć środki ostrożności, takie jak szyfrowanie ruchu, utworzenie dedykowanej sieci zarządzania, konfiguracja filtrów pakietów i nawiązanie połączenia VPN przed połączeniem z interfejsem zarządzania routerem. Ważne jest również stosowanie bezpiecznych haseł. Te środki są cenne, ale nie zapewniają pełnej ochrony sieci, dlatego konieczne jest wdrożenie innych metod obrony.

6. Tworzenie silnych haseł jest bardzo ważne. Najlepiej, aby:
  • używać haseł ośmioznakowych
  • używać małych i wielkich liter,  cyfr i znaków specjalnych
  • unikać haseł słownikowych (słów itp.)
  • często zmieniać hasła
  • nie zapisywać haseł w oczywistych miejscach
7. Konfiguracja hasła przez Cisco iOS:

8. Hashe MD5 nie są już uważane za bezpieczne, ponieważ atakujący mogą odtworzyć ważne certyfikaty. To pozwala atakującym na podszywanie się pod dowolną stronę internetową. 

9. Przypisywanie haseł i lokalna autentykacja nie zapobiega atakom na urządzenie. Ulepszenia logowania w Cisco IOS zapewniają większe bezpieczeństwo, spowalniając ataki, takie jak ataki słownikowe i ataki DoS. Włączenie profilu wykrywania pozwala skonfigurować urządzenie sieciowe tak, aby reagowało na powtarzające się nieudane próby logowania, odmawiając dalszych prób połączenia (lub blokując logowanie). Ten blok można skonfigurować na określony okres czasu, który nazywany jest okresem ciszy. Listy kontroli dostępu (ACL) mogą być używane do zezwalania na legalne połączenia z adresów znanych administratorów systemu.

10. Polecenie login block-for monitoruje aktywność urządzenia logującego i działa w dwóch trybach:
  • Tryb normalny - Znany również jako tryb obserwacji. Router zlicza liczbę nieudanych prób logowania w określonym czasie. 
  • Tryb cichy - Znany również jako okres ciszy. Jeśli liczba nieudanych logowań przekroczy skonfigurowany próg, wszystkie próby logowania za pomocą Telnet, SSH i HTTP są odrzucane na czas określony w poleceniu login block-for. 
Gdy włączony jest tryb cichy, wszystkie próby logowania, w tym prawidłowy dostęp administracyjny, nie są dozwolone. Jednak aby zapewnić dostęp do kluczowych hostów, takich jak określone hosty administracyjne, to zachowanie można zastąpić za pomocą ACL. ACL jest tworzony i identyfikowany za pomocą polecenia login quiet-mode access-class. Tylko hosty zidentyfikowane w ACL mają dostęp do urządzenia podczas trybu cichego.

Podczas implementacji polecenia login block-for automatycznie wywoływane jest jednosekundowe opóźnienie między próbami logowania. Aby utrudnić atakującemu, czas opóźnienia między próbami logowania można zwiększyć za pomocą polecenia login delay seconds, jak pokazano na rysunku. Polecenie wprowadza jednolite opóźnienie między kolejnymi próbami logowania. 

11. SSH (Secure Shell) to protokół, który umożliwia bezpieczne zdalne połączenie z serwerem i wykonywanie poleceń z poziomu terminala lub wiersza poleceń¹². Aby używać SSH, potrzebujesz klienta SSH na swoim komputerze i dostępu do serwera, który obsługuje SSH. Możesz używać SSH do zarządzania plikami, instalowania oprogramowania, aktualizowania systemu i wielu innych zadań na serwerze³⁴.

Aby połączyć się z serwerem przez SSH, należy znać jego adres IP, nazwę użytkownika i hasło lub klucz SSH. Następnie trzeba otworzyć terminal lub wiersz poleceń na swoim komputerze i wpisać polecenie:
ssh nazwa_użytkownika@adres_IP_serwera

Jeśli używasz klucza SSH, możesz dodać opcję -i i podać ścieżkę do pliku klucza, np.:

ssh -i ~/.ssh/id_rsa nazwa_użytkownika@adres_IP_serwera

Po wpisaniu polecenia, zostaniesz poproszony o wpisanie hasła lub potwierdzenie połączenia. Po zalogowaniu się na serwer, możesz wpisywać kolejne polecenia, aby zarządzać nim⁵.