8 bước để bảo vệ Router Cisco

Việc đầu tiên là áp dụng vài quy tắc để hạn chế tất cả việc truy cập từ bên ngoài đến một số cổng của router. Bạn có thể khóa tất cả cổng, nhưng điều đó không cần thiết. Những lệnh bên dưới sẽ bảo vệ router của bạn chống lại vài cuộc tấn công thăm dò và, tất nhiên, sẽ hạn chế việc truy cập đến những cổng đó:
Nội dung trích xuất từ tài liệu:
8 bước để bảo vệ Router Cisco 8 bư c b o v Router Cisco1- i u khi n vi c truy c p n router c a b nVi c u tiên là áp d ng vài quy t c h n ch t t c vi c truy c p t bên ngoài n m ts c ng c a router. B n có th khóa t t c c ng, nhưng i u ó không c n thi t. Nh ngl nh bên dư i s b o v router c a b n ch ng l i vài cu c t n công thăm dò và, t t nhiên,s h n ch vi c truy c p n nh ng c ng ó:access-list 110 deny tcp any host $yourRouterIP eq 7access-list 110 deny tcp any host $yourRouterIP eq 9access-list 110 deny tcp any host $yourRouterIP eq 13access-list 110 deny tcp any host $yourRouterIP eq 19access-list 110 deny tcp any host $yourRouterIP eq 23access-list 110 deny tcp any host $yourRouterIP eq 79int x0/0access-group in 110 ây $yourRouterIP là IP router c a b n và x0/0 là external interface c a b n. Chúng tas dùng nó trong c bài này.2- H n ch vi c truy c p b ng telnetTelnet không ph i là giao th c an toàn dùng, nhưng n u th c s b n mu n dùng nó(nên dùng ssh thì t t hơn) thì h n ch t t c vi c truy c p n nó (nên nh r ng vi ctruy n thông tin s không ư c mã hóa). Cách t t nh t làm là dùng l nh access-list vàaccess-class.access-list 50 permit 192.168.1.1access-list 50 deny any logline vty 0 4access-class 50 inexec-timeout 5 0 ây 192.168.1.1 là a ch IP cho phép telnet n router3- Block nh ng gói tin x uB n không bao gi cho phép nh ng IP loopback/reserve t Internet n external interfacevà b n có th t ch i broadcast và a ch multicast.access-list 111 deny ip 127.0.0.0 0.255.255.255 anyaccess-list 111 deny ip 192.168.0.0 0.0.0.255 anyaccess-list 111 deny ip 172.16.0.0 0.0.255.255 anyaccess-list 111 deny ip 10.0.0.0 0.255.255.255 anyaccess-list 111 deny ip host 0.0.0.0 anyaccess-list 111 deny ip 224.0.0.0 31.255.255.255 anyaccess-list 111 deny icmp any any redirectint x0/0access-group in 1114- H n ch SNMPSNMP ph i luôn luôn h n ch , tr khi b n mu n m i ngư i l y thông tin c a mình trênm ng.access-list 112 deny udp any any eq snmpaccess-list 112 permit ip any anyinterface x0/0access-group 112 inVà n u b n không nh dùng SNMP thì vô hi u hóa nó luôn:no snmp-server5- Mã hóa t t c m t kh uM t i u r t quan tr ng b o v t t c m t kh u c a b n là dùng thu t toán m nh nh tn u có th . M t kh u t ch exec ư c c p quy n truy c p n h th ng IOS. Có thdùng MD5, hi n gi m nh nh t trong Cisco IOS.enable secret $yourpasswordL nh dùng mã hóa t t c m t kh u hi n th i trong h th ng làservice password-encryption6- Vô hi u hóa t t c nh ng d ch v không dùng n6.1 – Disable Echo, Chargen và discardno service tcp-small-serversno service udp-small-servers6.2 – Disable fingerno service finger6.3 – Disable httpd interfaceno ip http server6.4 - Disable ntp (n u không dùng)ntp disable7- Thêm vài tùy ch n b o m t7.1 – Disable source routingno ip source-route7.2 - Disable Proxy Arpno ip proxy-arp7.3 - Disable ICMP redirectsinterface s0/0 (external interface c a b n)no ip redirects7.4 - Disable Multicast route Cachinginterface s0/0 (external interface c a b n)no ip mroute-cache7.5 - Disable CDPno cdp run7.6 - Disable direct broadcast (protect against Smurf attacks)no ip directed-broadcast8- Ghi l i m i th (Log) k t thúc, b n ph i ghi l i m i th trên m t Log Server bên ngoài. B n ph i theo dõithư ng xuyên h th ng và luôn phân tích file log.logging trap debugginglogging 192.168.1.10 ây 192.168.1.10 là ip c a log server (c u hình như m t Syslog server)Tóm l iV i nh ng bư c như trên b n có th b o v cho router ch ng l i nh ng cu c t n công vàtăng kh năng b o m t cho mình. ây có m t ví d , b n có th th y k t qu c a nmap trư c và sau khi áp d ng nh ngcách trên:Trư c:bash-2.05b# nmap -O 192.168.1.1Starting nmap V. 3.00 ( www.insecure.org/nmap/ )Interesting ports on (192.168.1.1):Port State Service7/tcp open echo9/tcp open discard13/tcp open daytime19/tcp open chargen23/tcp open telnet79/tcp open finger80/tcp open httpRemote OS guesses: AS5200, Cisco 2501/5260/5300 terminal server IOS 11.3.6(T1),Cisco IOS 11.3 - 12.0(11)Sau:bash-2.05b# nmap -P0 -O 192.168.1.1Starting nmap V. 3.00 ( www.insecure.org/nmap/ )Warning: OS detection will be MUCH less reliable because we did not find at least 1open and 1 closed TCP portAll 1601 scanned ports on (192.168.1.1) are: filteredToo many fingerprints match this host for me to give an accurate OS guessNmap run completed -- 1 IP address (1 host up) scanned in 403 seconds