テクノロジーの無限の力の現代世界では、保存または送信されるデータの機密性 、 整合性 、 可用性にますます注意が払われています。 そして、これは理解できます。なぜなら、個人や秘密と考えられる情報を第三者に、または(神が禁じる)競合他社、さらには敵にさえ渡すことを望んでいるからです。
それでは、データ伝送ネットワークの分野で保護されている情報とは何ですか? 完全に安全なネットワークは存在せず、完全に安全ではありません。おそらく、各デバイスをネットワークから切断した場合にのみ(または、おそらく信頼性のために完全にオフにした方がよいでしょう)。 しかし、データが送信されないネットワークが必要なのは誰ですか? そう、誰も。 したがって、varの製造元(ソフト/ハード)によって何度も何度もスローされる可能性のあるすべての脆弱性を考慮に入れて、可能な限り安全にする方法の問題が生じます。
この記事では、主要なネットワークノードの1つとして、これらのデバイスに誰がアクセスできるか、実際にどのようなアクセスを行うかを制御できるように、Ciscoデバイスを構成する微妙な点について説明します。
3つの主要なサブトピック:
-「ロールによる」アクセスの設定
特定の許可されたユーザーが使用できるコマンド(「使用可能」と読みます)を決定する、いわゆるビューについて通知される場所
-認証プロセスのセキュリティを強化する手段
不正なデータの入力試行回数、認証プロセスのログ記録など、ユーザー認証プロセスに加えることができる改善点について説明します。
-iOSイメージと既存の構成ファイルの保護
削除されたiOSと設定ファイルの保護機能とリカバリについて通知される場合、はい、それは起こります。
1.「ロールによる」アクセスの設定。
そのため、簡単に言えば、役割ベースのアクセスを設定すると、アクセスとコマンドのセットが制限された構成可能なデバイスのセカンダリ管理者のプロファイルを作成できます。
ビュー(プロファイルテンプレート)を作成するプロセス:
-AAA(許可、認証、アカウンティング)を有効にする
ルーター(config) #aaa new-model
-ルートビューを有効にします(モードは特権モードよりも1つ上位です。他のビューテンプレートを作成できるのはこのモードのみです)。
ルーター# ビューを有効にする
注:上記のコマンドを実行した後、デバイスはルートビューに入るときにシークレットパスワードを要求します。これは、コマンドenable secret [password]を使用して事前設定できます 。 実行後、対応するコンソールメッセージが次のように表示されます。
* 10月17日20:53:57.203:%PARSER-6-VIEW_SWITCH: 'root'を表示するように正常に設定されました。
-新しいビューを作成
(たとえば、「show ...」および「telnet ...」で始まるコマンドにのみアクセスできる1つのST_ONLYビューテンプレートと、「show ...」および「ping」コマンドにアクセスできるSP_ONLYビューテンプレートを作成しましょう)そして、作成されたViewパスワード(ユーザーではなく、つまりビューテンプレートに注意)と利用可能なコマンドのセットを割り当てます
ルーター(config)# パーサービューST_ONLY
* 10月17日20:58:12.943:%PARSER-6-VIEW_CREATED:ビュー 'S_ONLY'が正常に作成されました。
ルーター(config-view)# 秘密のpass2st
Router(config-view)# コマンドexec include all show
ルーター(config-view)# コマンドexec includeすべてのtelnet
Router(config)# パーサービューSP_ONLY
* 10月17日21:00:12.771:%PARSER-6-VIEW_CREATED:ビュー 'SP_ONLY'が正常に作成されました。
ルーター(config-view)# シークレットpass2sp
ルーター(config-view)# コマンドexec include show
ルーター(config-view) #exec include pingコマンド
これで、必要な場合に、他のいくつかの単純なビューテンプレートを組み合わせて、いわゆるスーパービューを作成できます。
Router(config)# パーサービューSUP_VIEWスーパービュー
ルーター(config-view)# 秘密のpass2sview
ルーター(config-view) #ST_ONLYを表示
ルーター(config-view) #SP_ONLYを表示
その後、ローカルデバイスデータベースのユーザーを作成できます。 作成された各ユーザーにはデフォルトのビューが割り当てられ、このユーザーはそのコマンドを使用できます。
ルーター(config)# ユーザー名st_adminビューST_ONLYシークレットcisco1
Router(config) #username sp_admin view SP_ONLY secret cisco2
ルーター(config)# ユーザー名sview_adminビューSUP_VIEWシークレットcisco3
動作する構成の完全な例:
Router> enable
ルーター#ターミナルの構成
設定コマンドを1行に1つずつ入力します。 CNTL / Zで終わります。
ルーター(config) #aaa new-model
Router(config)# シークレットを有効にするsupersecretciscopassword
ルーター(config) #exit
* Oct 17 21:13:37.511:%SYS-5-CONFIG_I:コンソールごとにコンソールから構成
ルーター# ビューを有効にする
パスワード:
ルーター番号
* 10月17日21:13:56.035:%PARSER-6-VIEW_SWITCH:「ルート」を表示するように正常に設定されました。
ルーター# ターミナルの構成
設定コマンドを1行に1つずつ入力します。 CNTL / Zで終わります。
ルーター(config)# パーサービューST_ONLY
* 10月17 21:14:41.699:%PARSER-6-VIEW_CREATED:ビュー 'ST_ONLY'が正常に作成されました。
ルーター(config-view)# 秘密のpass2st
Router(config-view)# コマンドexec include all show
ルーター(config-view)# コマンドexec includeすべてのtelnet
ルーター(config-view) #exit
ルーター(config)#
Router(config)# パーサービューSP_ONLY
* Oct 17 21:15:32.279:%PARSER-6-VIEW_CREATED:ビュー 'SP_ONLY'が正常に作成されました。
ルーター(config-view)# シークレットpass2sp
Router(config-view)# コマンドexec include all show
ルーター(config-view)# コマンドexec includeすべてのping
ルーター(config-view) #exit
ルーター(config)#
Router(config)# パーサービューSUP_VIEWスーパービュー
* 10月17日21:16:31.783:%PARSER-6-SUPER_VIEW_CREATED:スーパービュー「SUP_VIEW」が正常に作成されました。
ルーター(config-view)# 秘密のpass2sview
ルーター(config-view) #ST_ONLYを表示
* 10月17 21:17:39.451:%PARSER-6-SUPER_VIEW_EDIT_ADD:スーパービューSUP_VIEWにビューST_ONLYが追加されました。
ルーター(config-view) #SP_ONLYを表示
* 10月17 21:17:44.083:%PARSER-6-SUPER_VIEW_EDIT_ADD:ビューSP_ONLYがスーパービューSUP_VIEWに追加されました。
ルーター(config-view) #exit
ルーター(config)# ユーザー名st_adminビューST_ONLYシークレットcisco1
Router(config) #username sp_admin view SP_ONLY secret cisco2
ルーター(config)# ユーザー名sview_adminビューSUP_VIEWシークレットcisco3
Router(config) #aaa authentication login default local
Router(config) #aaa authorization exec default local
Router(config) #aaa認可コンソール
ルーター(config) #exit
ルーター#wr
建物の構成...
* Oct 17 21:23:19.771:%SYS-5-CONFIG_I:コンソールごとにコンソールごとに設定[OK]
ルーター番号
現在、承認後、ユーザーst_admin、sp_admin、およびsview_adminのコマンドの数は非常に限られています。
ユーザーアクセス検証
ユーザー名: st_admin
パスワード:
ルーター> ?
実行コマンド:
enable特権コマンドを有効にする
exit EXECを終了します
show実行中のシステム情報を表示します
telnet telnet接続を開きます
ルーター>ユーザーアクセスの確認
ユーザー名: sp_admin
パスワード:
ルーター> ?
実行コマンド:
enable特権コマンドを有効にします
exit EXECを終了します
pingエコーメッセージを送信
show実行中のシステム情報を表示します
ルーター>ユーザーアクセスの確認
ユーザー名: sview_admin
パスワード:
ルーター> ?
実行コマンド:
enable特権コマンドを有効にする
exit EXECを終了します
pingエコーメッセージを送信
show実行中のシステム情報を表示します
telnet telnet接続を開きます
2.認証プロセスのセキュリティを強化する手段
このパートでは、シスコデバイスでのユーザ認証プロセスのセキュリティを強化することを目的とした一連のコマンドを提供し、その目的を簡単に説明します。
一定の期間{sec2}に一定の回数{num}回失敗した後、一定の回数{sec1}の間デバイスで認証する機能を完全に無効にします。
ルーター( 構成 )# {sec1}のログインブロック-{sec2}内で{num}を試行
前のコマンド「login block-for ...」によって許可オプションがブロックされている場合でも、アクセスリストで指定されたデバイスグループへのルーターへのアクセスを許可します。 つまり、言い換えれば、攻撃者がブルートフォースによってパスワードを見つけようとする場合に、私たち自身がログインできるようにするためです。
Router(config)# access-list 10 permit 10.0.0.0
ルーター(config)# 完全モードのアクセスクラス10にログイン
認可試行の間隔を秒単位で設定します{sec}。
ルーター(構成)# ログイン遅延{秒}
SYSLOGでの認証試行の失敗/成功のログ。
ルーター(config)# {num}ごとに失敗時のログにログイン
Router(config)# {num}ごとにログイン成功ログ
ユーザーがパスワードを変更するときに許可される最小パスワード長。
ルーター(構成)# セキュリティパスワードmin-length {num}
ユーザーがシステムを「追い出す」までのタイムアウト。
ルーター(config-line)# exec-timeout {min} {sec}
構成に保存されているパスワードの暗号化。
ルーター(config)# サービスパスワード暗号化
3. IOSイメージと既存の構成ファイルの保護
それでも誰かがデバイスにログインし、IOSと構成ファイルを消去した場合、(IOSがダウンロードされるまで、バックアップ構成が検出されるまで)、特定のアクティビティ領域での停止時間が長くなる可能性があります。
2つの救助隊が出会う:
このコマンドは、iOS保護を有効にします(iOSの削除不可能なコピーを作成します)
Router(config)# セキュアブートイメージ
このコマンドは、構成ファイルの保護を有効にします(startup-configの削除不可能なコピーを作成します)
ルーター(config)# セキュアboot-config
注:ISOを復元できるようにするには、PCMCIAスロットを備えたルーターが必要です
ROMMONモードで、デバイスにPCMCIAとイメージの名前から起動するように指示します
rommon> ブートスロット:c3745-js2-mz.bin
デバイス構成を一時ファイルに復元する
Router(config) #secure boot-config restore flash:rescue-cfg
一時ファイルを構成ファイルにコピーし、その後
Router# copy flash:rescue-cfg startup-config
そして再起動します。
この記事は、CCNA Security CBT_Nuggetsを表示して知識を要約および整理し、試験の準備をすることに触発されました。