Securing Cisco IOS

Cisco IOS-ийн өөрийнх нь аюулгүй байдлыг хэрхэн хангаж болох талаар өөрийн мэддэг жаахан зүйлээ сийрүүлэн бичье.
Миний бодлоор сүлжээний аюулгүй байдал гэдэг сүлжээний гол зангилаа төхөөрөмжийн аюулгүй байдлаас шууд хамааралтай гэж боддог. Учир нь миний бодлоор ихэнх халдагчид гаднаас халдлага хийдэг.

Cisco IOS Security = VPN + Firewall /IOS/ /ACL/ + IDS + IP Routing + Timestamp + Syslog server + Limit connection + Needed or Not needed service гэсэн хэлбэртэй байх болов уу гэж бодож байна.

Намайг оюутан байх үед нэг багш маань хэлж байсан санаанд орж байна. Бусад орны хүмүүс програм суулгахдаа эхлээд license agreement хэсгийг нь уншдаг харин монголчууд уншилгүй суулгаад алдаа гарвал уншдаг гэж хэлж байсан санагдаж байна.

Banner гэсэн нэг ойлголт байдаг. Энэ нь тухайн төхөөрөмж /host/-рүү хандалт хийх үед хамгийн түрүүнд гарч ирдэг анхааруулга юм. Тухайн анхааруулга дээр ихэвчлэн зөвшөөрөгдсөн хэрэглэгчид хандах боломжтой зөвшөөрөлгүй хандвал хууль бус болно гэдгийг сануулсан сануулга байдаг юм.

VPN :
Энэ нь нийтийн сүлжээг ашиглан хувийн холболт үүсгэхийг хэлдэг гэдгийг хүн бүхэн надаар хэлүүлэлтгүй мэдэх байхаа. Cisco IOS-д маш олон төрлийн VPN холболтууд байдаг. Тэдгээрээс хамгийн их хэрэглэдэг нь /магадгүй хамгийн найдвартай нь байх/ IPSec болой. /Хэрхэн тохируулах талаар тусад нь бичнэ/

ACL :
Энэ бол миний бодлоор хамгийн чухал нь болой. Firewall яаж ажилладаг талаар хүн бүхэн мэдэж байгаа байх яг үүнтэй адилаар хамгаалалтыг хийдэг эд шүү дээ.
Энэ нь Standard Extended гэсэн хоёр төрөл байна. Эдгээр нь ашиглаж байгаа дугаараараа ялгагдана. ACL нь дараах байдлаар хамгаалалтаа хийнэ. Протокол бүр дээр /IP , IPX гэх мэт/, интерфэйс бүр дээр /Fastethernet 0/0 гэх мэт/, хандалтууд дээр /in, out, forward/ тус бүр дээр нь хамгаалах чадвартай эд байгаа юм. ACL нь бичсэн дүрмүүдийн дээрээс нь доош нь дарааллаар гүйцэтгэнэ. ACL бол зөвхөн хориглоно эсвэл зөвшөөрнө гэсэн дүрэмтэй.
Жишээ. access-list 1 deny host 10.0.5.5 дээрх жишээн дээр 10,0,5,5 гэсэн логик хаягтай нөхрийг энэ төхөөрөмжрүү хандах боломжгүй болгож байна. ACL-ийг цагийн хязгаарлалттай тавьж болно гэдгийг бас мэдэж байх хэрэгтэй болов уу. жишээ нь дараах байдлаар:

access-list 100 remark Only allow IP traffic during open hours
access-list 100 permit ip any any time-range only-during-open-hours
!
time-range only-during-open-hours
absolute start 00:00 01 January 2002
periodic weekdays 7:30 to 18:30
periodic Saturday 8:30 to 13:30 periodic Sunday 8:30 to 18:30

IDS:
За энэ бол халдлага илрүүлдэг эд байгаа юм. Cisco IOS дээр нэмж суулгаж хэрэглэх боломжтой. Гэхдээ таны CPU нэлээд өндөр хувиар ачааллах хэрэг гарна шүү дээ. Яагаад гэвэл таны төхөөрөмж өөр дээгүүрээ дамжин өнгөрч байгаа бүх л трафикийг шинжилж үзнэ шүү дээ.

IP Routing:
За энэ бас их чухал хэрэгтэй эд. Таны төхөөрөмжөөр хэн дамжин гарах уу хэнийг хориглох уу гээд л таны шийдэх асуудал шүү дээ. Жишээ нь та зөвхөн дотооддоо дамжин өнгөрөх трафикийг гадна талдаа ямар ч нөлөө үзүүлэхгүйгээр явуулах эсвэл дотооддоо дамжиж байгаа зүйлсийг интернэтэд цацах нь таны асуудал болно гэсэн үг.
Дээр нь нэмээд хэлэхэд нөгөө routing протоколыхоо аюулгүй байдлыг хангаж өгөх хэрэгтэй. Ямар нэг байдлаар энкрипт хийдэг ч юмуу.
ip ospf message-digest-key 1 md5 mypassword гэдэг ч юмуу байж болно ш дээ.

Timestamp:
Энэ маш чухал юм шиг санагддаг юм. Ямар нэг алдаанаас болоод та халдлагад өртсөн тохиолдолд та хэзээ гэдгийг нь үнэн зөвөөр мэдэх ганц боломж шүү дээ. Өөрөөр хэлбэл та дараах байдлаар NTP тохируулж өгч болно гэсэн үг юм.
clock timezone GMT +8
ntp authentication -key 1 md5 YMAR_NEG_KEY
ntp authenticate
ntp update calendar
ntp server 10.0.5.5

Syslog server:
Зиа үүнийг надаар хэлүүлэлтгүй бүгдээрээ мэдэж байгаа байлгүй дээ. Саяхан цагаа үнэн зөв тохируулсан юм чинь одоо нөгөө таньруу хэн халдаад байна системд хэн орж гарч байна гээд бүхий л төрлийн мэдээллийг нэг газарт хадгалах боломжийг олгоно гэсэн үг шүү дээ энэ нөхөр чинь. Энэ тохируулахад маш амархан гэхдээ хамгийн их хэрэгтэй шүү дээ.
Серверээ заагаад өгчихнө.
logging 10.0.5.5
logging facility local7
Ямар лог хадгалах вэ гэдгээ заагаад өгнө.
logging trap informational
logging console warning
Хаанаас вэ гэдгийг нь бас зааж өгч болно.
logging source-interface loopback0
Хэр хэмжээтэй хадгалах вэ гэдгийг зааж өгч болно.
logging buffered 4096

Limit connection
Энэ бас хэрэгтэй байх болов уу гэж бодоод л. Жишээ нь таньруу нэг нөхөр маш удаан хугацаагаар олон удаа хандалт хийж байвал халдлага байх магадлал өндөртэй шүү дээ. Тэгэхээр үүнээс хэрхэн сэргийлэх вэ гэхээр тодорхой хугацаанд тодорхой тооны хандалтыг зөвшөөрнө гээд өгчихнө шүү дээ.
ip tcp synwait-time 10 ч гэдэг юмуу.

Needed or Not needed service
Энэ миний бодлоор бас их чухал санагдсан. Учир нь ямар ч хэрэггүй олон сервис ажиллуулна гэдэг нь тэр тооны олон порт протокол нээлттэй байна гэсэн үг болж байгаа юм. Мэдээж олон нээлттэй порт байх үед аль нэг нь сул талтай болж л таарна шүү дээ түүгээр нь ямар нэг вирус ворм ч юмуу орж ирээд нөгөө сайхан сүлжээг маань будаа болгоно гэсэн үг шүү дээ. Тэгэхээр би дараах байдлаар хэрэгтэй болон хэрэггүй сервисүүдийг ангилсан юм.

Хэрэгтэй:
service password-encryption
service timestamps debug datetime
service timestamps log datetime localtime
service tcp-keepalives-in
service tcp-keepalives-out

Хэрэггүй: /Гэхдээ огт хэрэггүй биш/
no cdp run (be careful)
no boot network (older command)
no service config
no ip source-route
no service finger (older command)
no ip finger
no ip identd
no service pad
no service tcp-small-servers
no service udp-small-servers
no ip bootp server
no snmp-server (more on this later)
no tftp-server
no cdp enable
ip accounting access-violation
no ip directed-broadcast
no ip redirects
no ip unreachables
no ip mask-reply
no ip proxy-arp
no mop enabled