Configurare l’accesso remoto in SSH su apparati cisco

Per abilitare SSH su un router è necessario specificare alcuni parametri:

1. Hostname

2. Nome di Dominio

3. Chiavi asimmetriche

4. Autenticazione locale

5. Timeout (opzionale)

6. Numero di tentativi (opzionale)

1. Configurare l’hostname:

2. Per SSH è obbligatorio configurare il nome di dominio:

3. E’ necessario configurare le chiavi asimmetriche ad uso generico. SSH utilizza

queste chiavi per crittografare il traffico. E’ necessario scegliere la lunghezza della

chiave da 360 a 2048 bit (consigliata una lunghezza di almeno 1024)

4. Configurare almeno un utente sul data base locale:

5. Per aumentare la sicurezza delle sessioni è possibile configurare il timeout di

negoziazione in secondi (default 120 secondi) passato il quale la sessione di

management viene gestita con il normale timeout VTY

6. E’ possibile configurare il numero di tentativi dopo i quali viene chiusa la sessione.

Questo limita la possibilità di attacchi brute force

Le versioni IOS che supportano SSH sono individuate dalla presenza di k9 o k8 nel nome dell’immagine

Installare un server TFTP

TFTP è un servizio molto semplice,molto simile a FTP, ma che non utilizza alcun tipo di autenticazione. Assicurarsi di utilizzare il pacchetto tftpd-hda il quale supporta l’opzione “tsize” utile per utilizzare in futuro la propria workstation anche come server PXE per installare le proprie distro da rete.

apt-get install tftpd-hpa tftp-hpa

 

Il File di configurazione (tftpd-hpa) per quanto riguarda debian è all’interno della cartella /etc/default se volete potete utilizzare questo settaggio.

# /etc/default/tftpd-hpa

 

TFTP_USERNAME=”tftp”

TFTP_DIRECTORY=”/tftproot”

TFTP_ADDRESS=”0.0.0.0:69″

# TFTP_OPTIONS=”–secure”

TFTP_OPTIONS=”-s –create”

RUN_DAEMON=”yes”

 

Dopo aver modificato a prorio piacimento il file riavviate il servizio.

/etc/init.d/tftpd-hpa restart

Port security su Switch Cisco

Apprendimento degli indirizzi

Le funzionalità di port security possono mitigare alcuni attacchi limitando il numero massimo di indirizzi MAC sorgenti provenienti su una porta o mappando staticamente gli indirizzi su una porta. Le associazioni possono essere di tre tipi:

  1. Statiche: utilizzando il comando switchport port-security mac-address “nome_mac a livello di interfaccia che viene inserito staticamente nella tabella di switching
  2. Sticky: utilizzando il comando switchport port-security mac-address sticky a livello di interfaccia si abilita l’apprendimento sticky che aggiunge in configurazione staticamente gli indirizzi dinamici presenti in tabella di
    switching e quelli che si aggiungeranno successivamente. Possono essere aggiunti anche indirizzi non fisicamente presenti in tabella con il comando di interfaccia switchport port-security mac-address sticky nome_mac (sconsigliato). Se questa modalità viene disabilitata gli indirizzi vengono cancellati dalla tabella ma non dalla configurazione.
  3. Dinamici: gli indirizzi vengono inseriti in tabella con apprendimento dinamico

Modalità di violazione

Possono presentarsi alcune violazioni sulle interfacce se:
– un indirizzo non presente in tabella prova ad accedere e la tabella è piena
– un indirizzo presente in tabella prova ad accedere su una porta differente della
stessa VLAN

Possono essere configurate diverse reazioni ad una violazione:
Restrict: quando il numero di indirizzi MAC sicuri supera il limite, vengono scartati i pacchetti provenienti dagli altri indirizzi
Protect: come restrict, ma viene inviato un messaggio di sicurezza violata
Shutdown: quando il numero di indirizzi MAC sicuri supera il limite configurato la porta viene spenta e viene mandato un messaggio di sicurezza

Configurazione

Il comando generale per abilitare il port security su una interfaccia di uno switch è il
seguente (il limite massimo di indirizzi sicuri su una interfaccia è 132):

switchport port-security [mac-address mac-address] | [mac-address sticky [macaddress]]
| [maximum value] | [violation {protect | restrict | shutdown}]

Di seguito alcuni esempi di configurazione:

Effettuare password recovery Cisco

Nel caso in cui venga dimenticata la password di enable è possibile recuperarla con un processo detto di password recovery che per motivi di sicurezza può essere eseguito esclusivamente con accesso locale su line console.
Per effettuare questo processo si opera sul valore di registro; questo valore stabilisce i passi che il router esegue allo startup, per certi aspetti è simile al ruolo che ha un bios per un pc

Per eseguire il password recovery seguire i seguenti passi:

1. Connettersi alla porta console

2. Utilizzare il comando show version per verificare il valore di registro che tipicamente è configurato al valore 0x2102 o 0x102

3. Spegnere l’apparato

4. Premere il tasto break sul pc per entrare in modalità ROMmon

5. Digitare il comando confreg 0x2142 per forzare il processo di bootup a non
caricare il file di configurazione allo startup

6. Utilizzare il comando reset per effettuare un reboot

7. Rispondere “no” alle domande effettuate dal programma di setup

8. Utilizzare il comando enable per entrare in modalità privilegiata

9. Utilizzare il comando copy startup-config running-config per caricare la configurazione precedente. Utilizzare il comando copy run start cancella la configurazione precedente!

10. Effettuando uno show running config possono essere visualizzate tutte le password crittografate o in chiaro. Tutte le interfacce sono down.

11. Utilizzare il comando configure terminal per entrare in configurazione

12. Utilizzare il comando enable secret per configurare la password di enable

13. Utilizzare il comando no shutdown su tutte le interfacce che si intende utilizzare

14. Utilizzare il comando config-register <register_value> per riportare il valore di registro a 0x2102

15. Uscire dalla configurazione con CTRL-Z o end

16. Utilizzare il comando copy running-config startup-config per salvare i cambiamenti


Il comando show version può confermare che il router stia utilizzando il nuovo valore di registro, quindi eseguire un reboot

Convenzioni di nomenclatura delle immagini IOS

Data una immagine di IOS il nome del file rispetta una convenzione:

C1841: indica la piattaforma sulla quale gira l’immagine
Ipbase: indica il set di funzionalità, altre possibilità sono:
i: indica funzionalità IP
j: indica funzionalità enterprise(tutti i protocolli)
s: indica un set di funzionalità PLUS
56i: indica crittografia DES
3: indica firewall/IDS
K2: indica crittografia 3DES IPsec (168 bit)
mz: indica che l’immagine gira in RAM ed è compressa
12.3-14.T7: indica il numero di versione IOS
bin: indica l’estensione binaria del file

1 2