Mettere in sicurezza un router Cisco

There is a mobile optimized version of this page, view AMP Version.

networ-secureL’aspetto fondamentale per rendere sicuro il nostro router, è di rinforzare l’accesso amministrativo.Quindi è consigliabile utilizzare password lunghe contenenti tre set di caratteri, lettere minuscole,lettere maiuscole e numeri, in questo modo un attacco di tipo brute-force o Dictionary sarà meno efficace.

-Possiamo quindi impostare la lunghezza minima della password a 10 caratteri:

cisco1700(config)#security passwords min-length 10

-Per impedire che un hacker possa decifrare la nostra password di “enable” che ci consente di entrare in modalità privilegiata, possiamo utilizzare il comando “secret” che crittograferà la password utilizzando il robusto algoritmo MD5.

cisco1700(config)#enable secret M1aPassword

-Ora andiamo a crittografare tutte le altre password presenti nella configurazione abilitando a livello global il servizio “service password encryption”. Questo servizio utilizza una crittografia proprietaria Cisco, non essendo molto efficace serve solo a proteggere le password da occhi indiscreti.

cisco1700(config)#service password-encryption

Come potete vedere dallo “show run” il numero 5 sulla password di enable indica che è utilizzata la crittografia MD5,mentre il numero 7 per l’utente cisco indica la crittografia proprietaria Cisco.

secureR1

-Se il nostro router non è installato in un locale adatto e ben sorvegliato, un malintenzionato può collegarsi alla porta console ed effettuare una procedura di password recovery. Possiamo mitigare questo tipo di intrusione disabilitando la modalità “rommon”,in questo modo dalla porta console si potrà soltanto fare un reset di fabbrica senza permettere la visualizzazione o la manipolazione della nostra configurazione.

cisco1700(config)#no service password-recovery

-Sempre per rendere inefficace un attacco di tipo brute-force andiamo ad impostare un delay di 5 secondi tra ogni tentativo di autenticazione e configuriamo un messaggio di allerta dopo 5 tentativi falliti aggiungendo un ulteriore delay di 15 secondi

cisco1700(config)#security authentication failure rate 5 log

cisco1700(config)#login delay 5

cisco1700(config)#login on failure log every 3

-Per evitare che qualcuno possa prendere il controllo di una postazione amministrativa lasciata incustodita indichiamo un time-out di inattività sulle interfacce virtuali.

cisco1700(config)#line vty 04
cisco1700(config-line)#exec-timeout 2 30

-Attiviamo la funzionalità “Cisco IOS resilient configuration”, grazie alla quale l’immagine IOS verrà nascosta dal comando “show flash” e la “running-configuration” sarà archiviata in uno spazio persistente della memoria.

cisco1700(config)#secure boot-image 

cisco1700(config)#secure boot-config

-Di default le connessioni virtuali utilizzano il protocollo telnet,che non avvalendosi di crittografia è altamente insicuro. Abilitiamo quindi il protocollo SSH e disabilitiamo il telnet.

Per la configurazione vi rimando a questo articolo:

Configurare l’SSH in un router Cisco

-Cisco ci mette a disposizione un potente strumento per fare hardening del nostro router introducendo la funzione “auto secure”, che tramite un prompt interattivo svolgerà diversi compiti come la disabilitazione dei servizi non necessari,la configurazione di un firewall  CBAC,l’attivazione del timestamp per una migliore lettura dei log,lo shutdown delle interfacce inutilizzate.

Basterà digitare il comando “auto secure” in exec mode e rispondere alle varie richieste.

 

secureR2

 

Alla fine del processo verrà generata una configurazione da applicare al router.

Share

4 pensieri su “Mettere in sicurezza un router Cisco

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *