Escolar Documentos
Profissional Documentos
Cultura Documentos
"Waktu telah ditemukan di alam semesta sehingga segala sesuatu tidak akan terjadi sekaligus.
Memahami NTP
Untuk informasi waktu akurat dalam pesan syslog. Sertifikat otentikasi berbasis di VPN. ACL dengan waktu konfigurasi jangkauan.
Sistem Clock
Inti dari waktu layanan router adalah perangkat lunak berbasis sistem clock.
Jam ini melacak waktu dari saat sistem dimulai.
Sistem alarm dapat diatur dari sejumlah sumber dan dapat digunakan untuk mendistribusikan waktu saat ini melalui berbagai mekanisme untuk sistem lain.
Ketika sebuah router dengan kalender sistem diinisialisasi atau reboot, jam sistem diatur berdasarkan waktu dalam kalender internal sistem bertenaga baterai..
NTP merupakan protokol Internet yang digunakan untuk sinkronisasi jam jaringan perangkat yang terhubung ke beberapa referensi waktu.
NTP merupakan protokol standar Internet saat ini di v3 dan ditetapkan dalam RFC 1305.
NTP
NTP dirancang untuk waktu-sinkronisasi jaringan.
NTP berjalan di atas UDP.
Sebuah jaringan NTP biasanya memperoleh waktu dari sumber otoritatif waktu, seperti jam radio atau jam atom.
NTP kemudian mendistribusikan saat ini di seluruh jaringan. NTP sangat efisien, tidak lebih dari satu paket per menit diperlukan untuk menyinkronkan dua mesin ke dalam 1 msec satu sama lain.
Untuk memungkinkan jam perangkat lunak yang akan disinkronisasi dengan server waktu NTP, gunakan perintah ntp server dalam mode konfigurasi global.
Di samping atau bukannya menciptakan unicast NTP asosiasi, sistem dapat dikonfigurasi untuk mendengarkan siaran paket pada basis antarmukake-antarmuka.
Untuk melakukan ini, gunakan perintah ntp broadcast client dalam mode konfigurasi antarmuka.
Router(config-if)#
Keamanan NTP
Waktu yang mesin jaga adalah sumber daya yang penting, sehingga fitur keamanan NTP harus digunakan untuk menghindari pengaturan disengaja atau pengaturan berbahaya pada waktu yang salah. Dua mekanisme yang tersedia:
ntp authenticate
ntp authentication
Tentukan kunci otentikasi yang akan digunakan untuk kedua rekan dan Server asosiasi.
Router(config)# ntp authentication-key key-number md5 value
Internet
R1(config)# ntp master 5 R1(config)# ntp authentication-key 1 md5 R1-SECRET R1(config)# ntp peer 209.165.200.225 key 1
R2(config)# ntp authentication-key 1 md5 R1-SECRET R2(config)# ntp authentication-key 2 md5 R2-SECRET R2(config)# ntp trusted-key 1 R2(config)# ntp server 209.165.201.1 R2(config)# interface Fastethernet0/0 R2(config-if)# ntp broadcast
R3(config)# ntp authentication-key 1 md5 R2-SECRET R3(config)# ntp trusted-key 1 R3(config)# interface Fastethernet0/1 R3(config-if)# ntp broadcast client
Namun, router Cisco IOS menjalankan berbagai layanan yang menciptakan kerentanan potensial.
Untuk mengamankan jaringan perusahaan, semua layanan yang tidak diperlukan dan router interface harus dinonaktifkan.
Unnecessary Services
Router Service Description
This service allows a router to act as a BOOTP server for other routers. If not required, disable this service. CDP obtains information of neighboring Cisco devices. If not required, disable this service globally or on a perinterface basis. Auto-loading of configuration files from a network server should remain disabled when not in use by the router. The FTP server enables you to use your router as an FTP server for FTP client requests. Because this server allows access to certain files in the router Flash memory, this service should be disabled when not required. Same as FTP. When enabled, the router acts as a time server for other network devices. If configured insecurely, NTP can be used to corrupt the router clock and potentially the clock of other devices that learn time from the router. If this service is used, restrict which devices have access to NTP.
Default
Best Practice
Disable. no ip bootp server
BOOTP server
Enabled
Enabled
Configuration autoloading
Disabled
FTP server
Disabled
Disable if not required. Otherwise encrypt traffic within an IPsec tunnel. Disable if not required. Otherwise encrypt traffic within an IPsec tunnel.
TFTP server
Disabled
Disabled
Disable if not required. Otherwise configure NTPv3 and control access between permitted devices using ACLs.
Unnecessary Services
Router Service Packet assembler and disassembler (PAD) service Description Default Best Practice
The PAD service allows access to X.25 PAD commands when forwarding X.25 packets.
The minor services are provided by small servers (daemons) that run in the router. The services are potentially useful for diagnostics, but are rarely used. MOP is a Digital Equipment Corporation (DEC) maintenance protocol that should be explicitly disabled when not in use.
Enabled
Disable if not required. Disable if not required. no service tcpsmall-servers no service udpsmall-servers Disable explicitly if not required.
Enabled
Device dependent
Disable if not required. Otherwise restrict access using ACLs. no ip http server
Disable if not required. Otherwise explicitly configure the DNS server address. no ip domain-lookup no ip name-server
IP source routing
Enabled
Enabled
Disabled
TCP Keepalives
Disabled
Enable.
ARP Service
Terminal Access Security Gratuitous ARP Description Gratuitous ARP is the main mechanism that hackers use in ARP poisoning attacks. Proxy ARP enables a Cisco router to act as an intermediary for ARP, responding to ARP queries on selected interfaces and thus enabling transparent access between multiple LAN segments. Proxy ARP should be used only between two LAN segments at the same trust level, and only when absolutely necessary to support legacy network architectures. Default Enabled Best Practice Disable if not required.
Proxy ARP
Enabled
IP Directed Broadcasts
IP Directed Broadcasts Description IP directed broadcasts are used in the common and popular smurf DoS attack and other related attacks. Directed broadcasts permit a host on one LAN segment to initiate a physical broadcast on a different LAN segment. This technique was used in some old DoS attacks, and the default Cisco IOS configuration is to reject directed broadcasts. Default Best Practice IP Directed Broadcasts Enabled (pre 12.0) Disabled (12.0+) Disable if not required.
IP Classless Routing
Secara default, router Cisco akan membuat upaya untuk rute hampir semua paket IP.
Jika sebuah paket ysng ditujukan ke subnet dari jaringan tanpa jaringan rute default, maka IOS akan menggunakan IP Routing tanpa kelas untuk meneruskan paket sepanjang rute terbaik yang tersedia.
Fitur ini sering tidak diperlukan karena pada router mana IP tanpa kelas routing tidak diperlukan. Nonaktifkan dengan menggunakan no ip classless
Passive Interfaces
Mengkonfigurasi perintah passiveinterface untuk mencegah hacker dari belajar tentang keberadaan rute tertentu atau protokol routing yang digunakan
Finger, PAD, UDP and TCP small servers, password encryption, TCP keepalives, CDP, BOOTP, HTTP, source routing, gratuitous ARP, proxy ARP, ICMP (redirects, mask-replies), directed broadcast, MOP, banner password security and SSH access
Forwarding plane services and functions:
Password security
NTP protocol SSH access TCP Intercept services
If AutoSecure fails to complete its operation, the running configuration may be corrupt:
In Cisco IOS Release 12.3(8)T and later releases a pre-AutoSecure configuration snapshot is stored in the flash under filename pre_autosec.cfg. Rollback reverts the router to the routers preautosecure configuration using the configure replace flash:pre_autosec.cfg command. If the router is using software prior to Cisco IOS Release 12.3(8)T, the running configuration should be saved before running AutoSecure.
Description
(Optional) Hanya bidang manajemen yang akan dijamin. (Optional) Hanya forwarding plane akan dijamin. (Optional) Pengguna tidak akan diminta untuk setiap konfigurasi interaktif. Tidak ada parameter dialog interaktif akan dikonfigurasi, termasuk username atau password. (Optional) Pengguna akan diminta untuk semua pertanyaan interaktif. Ini adalah pengaturan default. (Optional) Menentukan konfigurasi Network Time Protocol fitur (NTP) di AutoSecure antarmuka baris perintah (CLI). (Optional) Menentukan konfigurasi fitur Login di AutoSecure CLI.
full
ntp
login
ssh
firewall
tcp-intercept
Locking Down Routers with Cisco CCP simplifies router and security configuration through smart CCP wizards that help to quickly and easily deploy, configure, and
monitor a Cisco router without requiring knowledge of the CLI.
CCP simplifies firewall and IOS software configuration without requiring expertise about security or IOS software.
CCP contains a Security Audit wizard that performs a comprehensive router security audit.
Matikan server tidak dibutuhkan. Nonaktifkan layanan yang tidak diperlukan. Terapkan firewall ke luar interface. Menonaktifkan atau mengeras SNMP. Matikan interface yang tidak terpakai. Periksa kekuatan password. Menegakkan penggunaan ACL.
Configure and encrypt all passwords. Configure a login warning banner. Configure enhanced username password security. Configure enhanced virtual login security. Configure an SSH server on a router. Configure an SSH client and verify connectivity.
Create multiple role views and grant varying privileges. Verify and contrast views.
Secure the Cisco IOS image and configuration files. Configure a router as a synchronized time source for other devices using NTP. Configure Syslog support on a router. Install a Syslog server on a PC and enable it. Configure trap reporting on a router using SNMP. Make changes to the router and monitor syslog results on the PC.
Lock down a router using AutoSecure and verify the configuration. Use the CCP Security Audit tool to identify vulnerabilities and to lock down services. Contrast the AutoSecure configuration with CCP.
51