Upload
crevan
View
142
Download
11
Embed Size (px)
DESCRIPTION
Cisco Device Hardening. Securing Management and Reporting Features. Secure Management and Reporting Planning Considerations. Secure Management and Reporting Planning Considerations. 가장 중요한 로그는 무엇인가 ? 중요한 메시지는 어떻게 분리할 것인가 ? 로그의 변경을 어떻게 방지할 것인가 ? T ime stamp 가 일치한다고 어떻게 확신할 것인가 ? - PowerPoint PPT Presentation
Citation preview
Cisco Device Hardening
Securing Management and Reporting Features
Secure Management and Reporting Planning Considerations
Secure Management and Reporting Planning Considerations
• 가장 중요한 로그는 무엇인가 ?
• 중요한 메시지는 어떻게 분리할 것인가 ?
• 로그의 변경을 어떻게 방지할 것인가 ?
• Time stamp 가 일치한다고 어떻게 확신할 것인가 ?
• 어떠한 로그가 침해조사에 필요한가 ?
• 로그 메시지의 양을 어떻게 다룰 것인가 ?
• 장치를 어떻게 관리할 것인가 ?
• 네트워크에 대한 공격 또는 장애에 어떻게 대응할 것인가 ?
Secure Management and Reporting Architecture
Secure Management andReporting Architecture
Information Paths
In-Band Management Considerations
• 각 장비는 어떠한 관리 프로토콜을 지원하는가 ?
• 관리채널은 항상 활성화 되어 있어야 하는가 ?
• SNMP 를 필요로 하는가 ?
Secure Management andReporting Guidelines
• In-band management guidelines:– 관리 및 감시가 필요한 장치에만 적용한다 . – 가급적 IPSec 를 사용한다 .– Telnet 대신 SSH 를 사용한다 . – 관리채널이 항상 열려있어야 하는가에 대한 판단이 필요하다 .– Host와 Network device 의 클럭을 동기화 한다 .– 기록변경과 설정을 보관한다 .
• OOB management guidelines:– 높은 보안성의 제공과 불안전한 관리 프로토콜의 배제로 위험요소 감소 .– Host와 Network device 의 클럭을 동기화 한다 .– 기록변경과 설정을 보관한다 .
Configuring an SSH Server for Secure Management and Reporting
Configuring an SSH Server forSecure Management and Reporting
Austin2#configure terminalAustin2(config)#ip domain-name cisco.comAustin2(config)#crypto key generate rsa general-keys modulus 1024
Sept 22 13:20:45: %SSH-5-ENABLED: SSH 1.5 has been enabled
Austin2(config)#ip ssh timeout 120Austin2(config)#ip ssh authentication-retries 4Austin2(config)#line vty 0 4Austin2(config-line)#no transport input telnetAustin2(config-line)#transport input sshAustin2(config-line)#end
1. IP domain name 설정2. RSA key 생성3. SSH timeout interval 구성4. SSH 재시도 횟수5. Vty 의 inbound Telnet session 비활성화6. Vty의 inbound SSH sessions 활성화
Using Syslog Logging for Network Security
Implementing Log Messaging for Security
• Router 는 다음의 사항 중 하나 이상의 방식으로 log 를 전송 :
– Console
– Terminal lines
– Memory buffer
– SNMP traps
– Syslog
• Syslog logging 은 중요한 보안정책 구성요소이다 .
Syslog Systems
• Syslog server: 하나 이상의 클라이언트로부터 로그를 받아 처리하는 호스트 .• Syslog client: 로그를 생성하여 서버에 전송하는 호스트 .
Cisco Log Severity Levels
Debug messageDebugging7
Informational messageInformational6
Normal but important eventNotifications5
Warning conditionWarnings4
Error conditionErrors3
Condition criticalCritical2
Immediate action requiredAlerts1
Router unusableEmergencies0
DescriptionNameLevel
Log Message Format
Oct 29 10:00:01 EST: %SYS-5-CONFIG_I: Configured from console by vty0 (10.2.2.6)
Time Stamp
Log Message Name and Severity
Level
Message Text
Configuring Syslog Logging
Configuring Syslog
Router(config)#
logging [host-name | ip-address]
Router(config)#
logging trap level
Router(config)#
logging facility facility-type
1. Sets the destination logging host
2. (Optional) Sets the log severity (trap) level
3. (Optional) Sets the syslog facility
Configuring Syslog (Cont.)
Router(config)#
logging source-interface interface-type interface-number
Router(config)#
logging on
4. (Optional) Sets the source interface
5. Enables logging
Syslog Implementation Example
R3(config)#logging 10.2.2.6R3(config)#logging trap informationalR3(config)#logging source-interface loopback 0R3(config)#logging on
SNMP Version 3
SNMPv1 and SNMPv2 Architecture
• SNMP NMS 는 정보를 위하여 Device 에 내장된 Agent 에 Query하거나 Set 명령을 전달할 수 있다 .
Community Strings
Management station과 SNMPv1 또는 SNMPv2 engine 사이에서 메시지를 인증하기 위해 사용 :• Read only community string 은 정보를 읽을 수는 있지만
정보를 설정할 수는 없다 .• Read-write community string 은 정보를 읽을 수 있으며
설정할 수 도 있다 .
SNMP Security Models and Levels
Model
Level Authentication Encryption
What Happens
v1 noAuthNoPriv
Community String
No • Authenticates with a community string match
v2 noAuthNoPriv
Community String
No • Authenticates with a community string match
v3 noAuthNoPriv
Username No • Authenticates with a username
authNoPriv MD5 or SHA No • Provides HMAC MD5 or SHA algorithms for authentication
authPriv MD5 or SHA DES • Provides HMAC MD5 or SHA algorithms for authentication
• Provides DES 56-bit encryption in addition to authentication based on the CBC-DES (DES-56) standard
Definitions:• Security model 은 SNMP agent 사용을 위한 보안 전략이다 .
• Security level 은 Security model 내에서 허용된 보안 레벨이다 .
SNMPv3 Architecture
SNMPv3 Operational Model
SNMPv3 Features and Benefits
Features • Message integrity: 패킷이 전송중에 변조되지 않았음을 보장 .
• Authentication: 적합한 출발지에서 메시지가 전달되었는지 판단 .
• Encryption: 패킷 내용의 노출 방지 .
Benefits • SNMP device 에서 전송되는 데이터가 조작되거나 손상되는 것을 방지 .
• 라우터의 설정을 변경하는 SNMP Set 명령이 네트워크에 노출되는 것을 방지 .
Configuring an SNMP Managed Node
SNMPv3 Configuration Task List
Cisco IOS SNMPv3 server configuration tasks:
1. Configuring the SNMP-server engine ID
2. Configuring the SNMP-server group names
3. Configuring the SNMP-server users
4. Configuring the SNMP-server hosts
Configuring the SNMP-Server Engine ID
snmp-server engineID [local engineid-string] | [remote ip-address udp-port port-number engineid-string]
Router(config)#
• Configures names for both the local and remote SNMP engine (or copy of SNMP) on the router
PR1(config)#snmp-server engineID local 1234
Configuring the SNMP-Server Group Names
snmp-server group groupname {v1 | v2c | v3 {auth | noauth | priv}} [read readview] [write writeview] [notify notifyview] [access access-list]
Router(config)#
• Configures a new SNMP group, or a table that maps SNMP users to SNMP views
PR1(config)#snmp-server group johngroup v3 auth
PR1(config)#snmp-server group billgroup v3 auth priv
Configuring the SNMP-Server Users
snmp-server user username groupname [remote ip-address [udp-port port]] {v1 | v2c | v3 [encrypted] [auth {md5 | sha} auth-password [priv des56 priv-password]]} [access access-list]
Router(config)#
• Configures a new user to an SNMP group
PR1(config)#snmp-server user John johngroup v3 auth md5 john2passwd PR1(config)#snmp-server user Bill billgroup v3 auth md5 bill3passwd des56
password2PR1(config)#snmp-server group johngroup v3 auth PR1(config)#snmp-server group billgroup v3 auth priv
Configuring the SNMP-Server Hosts
snmp-server host host-address [traps | informs] [version {1 | 2c | 3 [auth | noauth | priv]}] community-string [udp-port port] [notification-type]
Router(config)#
• Configures the recipient of an SNMP trap operation.
PR1(config)#snmp-server engineID remote 10.1.1.1 1234PR1(config)#snmp-server user bill billgroup remote 10.1.1.1 v3PR1(config)#snmp-server group billgroup v3 noauthPR1(config)#snmp-server enable traps PR1(config)#snmp-server host 10.1.1.1 inform version 3 noauth billPR1(config)#snmp-server manager
SNMPv3 Configuration Example
Trap_sender(config)#snmp-server group snmpgroup v3 auth Trap_sender(config)#snmp-server group snmpgroup v3 privTrap_sender(config)#snmp-server user snmpuser snmpgroup v3 auth md5 authpassword priv des56 encryptpassword Trap_sender(config)#snmp-server enable traps cpu Trap_sender(config)#snmp-server enable traps configTrap_sender(config)#snmp-server enable traps snmpTrap_sender(config)#snmp-server host 11.11.11.11 traps version 3 priv snmpuserTrap_sender(config)#snmp-server source-interface traps loopback 0
Walked_device(config)#snmp-server group snmpgroup v3 auth Walked_device(config)#snmp-server group snmpgroup v3 privWalked_device(config)#snmp-server user snmpuser snmpgroup v3 auth md5 authpassword priv des56 encrypt password
Configuring NTP Client
Understanding NTP
• NTP 는 전체 네트워크에서 Clock 을 동기화 하기 위해 사용된다 .• System clock 은 부팅되는 동안 Battery system calendar 에
의해 설정 .• System clock 인접 NTP 를 경유하여 수동으로 변경될 수 있다 .• NTP는 UDP 123 번 port 를 사용한다 .• 현재 사용되는 버전은 version4 이다 .• Version3 까지 RFC 문서화 되어 있다 .• Stratum 은 신뢰할 수 있는 time source 로 부터 몇 번의 “ NTP
hops” 를 경유하는 지를 나타낸다 .• NTP 는 타임 동기화를 위해 사용된다 .
Configuring NTP Authentication
ntp authenticate
Router(config)#
• Enables the authentication feature
R1(config)#ntp authenticationR1(config)#ntp authentication-key 1 md5 NeVeRgUeSsR1(config)#ntp trusted-key 1
ntp authentication-key number md5 value
• Defines the authentication keys• Used for both peer and server associations
ntp trusted-key key-number
• Defines the trusted authentication keys • Required to synchronize to a system (server association)
Router(config)#
Router(config)#
Configuring NTP Associations
ntp server {ip-address | hostname} [version number] [key keyid] [source interface] [prefer]
Router(config)#
R1(config)#ntp server 10.1.1.1 key 1 R1(config)#ntp server 10.2.2.2 key 2 preferR1(config)#interface Fastethernet 0/1R1(config-if)#ntp broadcast client
• Forms a server association with another system
ntp broadcast client
• Receives NTP broadcast packets
Router(config-if)#
Configuring Additional NTP Options
ntp access-group {query-only | serve-only | serve | peer} access-list-number
Router(config)#
R1(config)#access-list 1 permit host 10.1.1.1R1(config)#ntp access-group peer 1 R1(config)#ntp source loopack 0
• Controls NTP message exchange
ntp source interface
• Modifies the source IP address of NTP packets
Router(config)#
Configuring NTP Server
Configuring NTP Server
ntp master [stratum]
R2(config)#ntp peer 10.1.1.1 key 1R2(config)#ntp master 3R2(config)#interface Fastethernet0/0 R2(config-int)#ntp broadcast
• Makes the system an authoritative NTP server
ntp broadcast [version number][destination address][key keyid]
• Configures an interface to send NTP broadcast packets
Router(config-int)#
ntp peer ip-address [normal-sync][version number] [key keyid] [source interface] [prefer]
Router(config)#
• Forms a peer association with another system
Router(config)#
NTP Configuration Example
Source(config)#ntp master 5Source(config)#ntp authentication-key 1 md5 secretsourceSource(config)#ntp peer 172.16.0.2 key 1Source(config)#ntp source loopback 0
Intermediate(config)#ntp authentication-key 1 md5 secretsourceIntermediate(config)#ntp authentication-key 2 md5 secretclientIntermediate(config)#ntp trusted-key 1Intermediate(config)#ntp server 172.16.0.1 Intermediate(config)#ntp source loopback 0Intermediate(config)#interface Fastethernet0/0Intermediate(config-int)#ntp broadcast
Client(config)#ntp authentication-key 1 md5 secretclientClient(config)#ntp trusted-key 1Client(config)#interface Fastethernet0/1Client(config-int)#ntp broadcast client