Сергей Гобунов
Евгений Летягин
Иван Лупашко
Сергей СахаровОбщие рекомендации
-
Физический доступ к телекоммуникационному оборудованию должен быть закрыт для неавторизованных лиц.
-
Рекомендуется отключать неиспользуемые или устаревшие сервисы на маршрутизаторе или коммутаторе, это поможет закрыть часть атак.
-
Необходимо содержать сетевое оборудование на актуальном ПО, так как в таком ПО закрыто большинство уязвимостей.
-
Парольная политика:
- длина пароля — не менее 12 символов;
- содержит строчные и заглавные буквы, спецсимволы и цифры;
- пароль не должен содержать обычных слов, как русских, так и английских; или он должен удовлетворять парольной политике компании;
- должно быть установлено время жизни пароля — не более года;
- блокировка учетной записи на 5 минут после трех неверных попыток авторизации.
-
Логирование событий должно поступать на решение класса SIEM.
-
Доступ пользователей к интернету должен осуществляться через proxy или NGFW с использованием функций URL-фильтрации, репутационных фильтров, потоковых антивирусов.
Сегментация сети
В современной сетевой инфраструктуре принято разделять сетевые сегменты или модули по следующим признакам:
- ЦОД;
- периметр;
- WAN;
- ЛВС кампуса или офиса;
- беспроводная ЛВС кампуса или офиса.
В каждом модуле применяются те или иные меры информационной защиты.
Для повышения сетевой безопасности принято выделять сети с различным уровнем защиты:
- Сеть с повышенной безопасностью. Сегмент внутренней сети, требующий более высокой степени защиты. Доступ к такой сети осуществляется только изнутри (внутренняя сеть) и ограничивается за счет использования МСЭ, VPN, VLAN, VRF. Такой сегмент сети не общедоступен, доступ к нему есть только у ограниченного количества сотрудников. Доступ согласовывается со службой ИБ. Пример: серверы «1С», бюджет, контур.
- Доверительная (общедоступная) сеть. Такой сегмент охватывает большую часть сети. Сеть доступна для всех авторизованных пользователей. Пример: домашний портал, справочный портал.
- Сеть DMZ. Сеть, предназначенная для размещения сетевых устройств, взаимодействующих с внешними сетями, в частности с интернетом. Внутренний и внешний доступ ограничен использованием МСЭ, VPN и устройств IDS/IPS. Пример: веб-серверы, почта.
- Гостевая сеть. Специально разработанная сеть для использования посетителями при выходе в интернет. Из гостевой сети не должно быть доступа во внутреннюю доверенную сеть. Обязательный сбор метаданных. Пример: гостевой Wi-Fi.
1. Сегмент ЦОД
ЦОД подразумевает передачу больших объемов трафика на высоких скоростях. Хорошей практикой считается сегментирование сетей в ЦОДе на сервисы. Каждый сервис — это отдельный изолированный VRF. Трафик между VRF контролируется МСЭ по принципу «все, что не разрешено, — запрещено». При использовании виртуальной среды трафик приложений может не выходить из физического сервера, таким образом этот трафик становится невидимым для сетевого оборудования. Для контроля прохождения трафика внутри виртуальной среды рекомендуется использовать endpoint FW.
Необходимо иметь выделенную сеть управления оборудованием. Доступ к этой сети должен быть разрешен только для администраторов.
2. Периметр
Этот модуль включает в себя несколько сегментов, таких как VPN, RA VPN, доступ пользователей в интернет, публикация сервисов.
Рекомендуется разделять сервисы на отдельные физические устройства (например, RA VPN — один кластер МСЭ, site-to-site VPN — другой). При построении VPN-туннелей необходимо придерживаться минимальной допустимой криптографии (DH 19, AES-256, SHA-256). Только указанные выше алгоритмы должны быть в списке на VPN-концентраторе. В стеке протоколов IPsec должны использоваться IKEv2 и PFS, не используйте AH. Рекомендуется использовать метод аутентификации на основе сертификатов. Необходимо ограничить внешний доступ на VPN-концентратор, оставив только те протоколы, которые используются (UDP/500, UDP/4500 и ESP). Отключить web, SSH и прочие сервисы управления на внешнем интерфейсе.
При использовании RA VPN необходимо использовать аутентификацию по сертификатам — это обеспечит максимальный уровень защиты. Если аутентификация через сертификаты невозможна, используйте многофакторную аутентификацию (MFA). При использовании MFA необходимо обеспечить должный уровень информирования пользователей по работе с этим приложением во избежание случаев выдачи необоснованных разрешений на подключение. Пользователи должны подтверждать только собственные подключения и уметь правильно их идентифицировать.
Использовать протокол не ниже TLS 1.3 с наборами шифров. В зависимости от сетевой инфраструктуры рекомендуется проверять подключаемые устройства на предмет: актуальной БД антивируса, подключенных сторонних устройств, флеш-накопителей. Каждая туннельная группа должна иметь ограниченный доступ в сеть. Необходимо использовать полное туннелирование трафика (full split tunneling). Права и доступы должны ограничиваться согласно уровню привилегий пользователя. Должны быть выставлены таймеры на бездействие пользователя.
Необходимо изменить веб-порт управления МСЭ и разрешить доступ только из сети управления. Также не рекомендуется использовать технологию TCP bypass.
Весь периметральный трафик должен дублироваться посредством TAP на IDS/NTA-системы для дальнейшего анализа.
При возникновении DoS-атак следует использовать WAF-сервисы и geo-filtering от ISP.
Желательно использовать резервные маршруты (ISP) для подключения RA-администраторов.
При необходимости публикации ресурсов должен предоставляться минимально необходимый доступ. Веб-порталы должны защищаться с помощью WAF-решений. Доступ публикуемых ресурсов к внутренней сети должен быть максимально ограничен (если такой доступ необходим, правило должно описывать взаимодействие на уровне определенных хостов и (или) определенных приложений).
3. Сегмент WAN
Маршрутизаторы распределенной сети (WAN) должны обеспечивать стойкое шифрование VPN-каналов по стеку технологий IPsec. Например, для формирования ключа шифрования перед фазой аутентификации нужно использовать Diffie–Hellman группы 19, а для симметричного шифрования трафика — алгоритм AES-256. Для обмена ключами необходимо использовать более защищенный протокол IKEv2.
Аутентификация должна проходить с использованием сертификатов, выданных центром сертификации (CA). Во время аутентификации концентраторы VPN-каналов должны проверять список отозванных сертификатов CRL CA. В случае компрометации устройства сертификат должен быть отозван. Передача сертификатов на удаленные устройства должна осуществляться либо физическим перемещением либо по зашифрованным каналам связи. В случае крайней необходимости сертификат можно передать удаленному устройству через специально установленный для этих целей IPsec-туннель c аутентификацией по PSK. Для построения туннелей рекомендуется использовать FVRF.
Пример настройки:
ip vrf INTERNET
crypto key generate rsa label VPN-RSA modulus 2048
!
crypto pki trustpoint CA
enrollment url http://CA.company.ru:80
serial-number
revocation-check crl
source interface Loopback0
rsakeypair VPN-RSA
auto-enroll 98
!
crypto pki certificate map CERT-MAP 10
issuer-name eq cn = ca
!
crypto ikev2 proposal VPN-PROP
encryption aes-gcm-256
prf sha512
group 19
!
crypto ikev2 policy VPN-POL
match fvrf INTERNET
match address local 10.10.10.10
proposal VPN-PROP
!
crypto ikev2 profile VPN-IKEv2-PROF
match fvrf INTERNET
match address local x.x.x.x
match identity remote address y.y.y.y
match certificate CERT-MAP
authentication remote rsa-sig
authentication local rsa-sig
pki trustpoint CA
!
crypto ipsec transform-set VPN-IPSEC-TSET esp-aes 256 esp-sha512-hmac
mode tunnel
!
crypto ipsec profile VPN-IPSEC-PROF
set transform-set VPN-IPSEC-TSET
set pfs group19
set ikev2-profile VPN-IKEv2-PROF
!
interface Tunnel1
tunnel vrf INTERNET
tunnel protection ipsec profile VPN-IPSEC-PROF
Альтернативным вариантом шифрования WAN-каналов на основе L2 является WAN MACsec.
Пример:
key chain mka-keychain macsec
key 01
key-string veryverystrongadminpassword
int gi0/0/1
mka pre-shared-key key-chain mka-keychain
macsec
4. ЛВС кампуса или офиса
На коммутаторах неактивные порты должны быть административно выключены.
Пример:
interface FastEthernet0/21
shutdown
На всех портах доступа конечных пользователей должен быть жестко закреплен соответствующий access vlan.
Пример:
interface FastEthernet0/21
switchport mode access
switchport access vlan 5
Должны быть настроены как базовые технологии защиты, такие как port-security (если за портом более одного устройства, необходимо вручную ограничивать количество mac-адресов):
interface FastEthernet0/21
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky !(sticky- если текущий MAC-адрес авторизован, или вручную вписать MAC в формате aaaa.bbbb.cccc)
так и продвинутые — 802.1x, MAB (Mac Authentication Bypass).
Пример конфигурации:
aaa group server radius RAD
server X.X.X.X
server Y.Y.Y.Y
aaa authentication dot1x default group RAD
aaa authorization network default group RAD
dot1x system-auth-control
interface FastEthernet0/21
authentication port-control auto
authentication periodicauthentication order dot1x mab
authentication priority dot1x mab
authentication violation restrict
mab
dot1x pae authenticator
authentication order dot1x mab
authentication priority dot1x mab
После прохождения аутентификации рекомендуется спустить DACL на данный порт и назначить соответствующий VLAN. Для защиты от несанкционированного трафика, приводящего к атакам типа MITM, внутри сетевого сегмента необходимо дополнительно настроить технологию DHCP snooping с дополнительными функциями безопасности dynamic ARP inspection и IP source guard.
Примеры конфигурации:
- DHCP snooping
ip dhcp snooping vlan 1-4094
ip dhcp snooping
interface FastEthernet0/21
ip dhcp snooping trust (только на доверенных uplink-портах или доверенных downlink-портах, куда непосредственно подключен DHCP-сервер)
ip dhcp snooping database flash:dhcp
ip dhcp snooping limit rate 10 (на всех downlink-портах)
- DAI (dynamic ARP inspection):
ip arp inspection vlan 1-4094
interface FastEthernet0/21
ip arp inspection trust (только на доверенных uplink-портах)
Если в организации используется статическая адресация конечных хостов, формирование базы DHCP snooping необходимо прописывать вручную.
Пример:
ip dhcp snooping binding aaa.bbb.ccc vlan 10 x.x.x.x interface FastEthernet0/21
Uplink-порты должны быть настроены в жестком режиме trunk с ограниченным пропуском меток, необходимых VLAN. Нетегированный трафик должен относиться к отдельному выделенному native VLAN, отличному от значения по умолчанию.
Пример:
interface Ethernet0/1
switchport trunk allowed vlan 10,20,30,99
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 999
Для оборудования Cisco необходимо перевести режим протокола VTP в transparent.
Обязательно необходимо использовать storm-control BUM-трафика.
Пример:
interface Ethernet0/10
storm-control broadcast level 10
storm-control multicast level 5
storm-control unicast level 10
Значения подбираются исходя из нормальной работы порта.
Не допускается настройка портов в access native vlan. Для STP необходимо жестко назначить корневой коммутатор (root switch) для всех VLAN, также необходимо использовать технологию root guard для предотвращения получения лучшего BPDU. BPDU guard должен быть прописан на всех портах portfast.
Пример:
spanning-tree vlan 1-4094 priority 4096
interface Ethernet0/1
spanning-tree root guard
spanning-tree portfast edge
Для изоляции хоста от других хостов в рамках одной подсети рекомендуется использовать private Vlan.
Пример:
vlan 20 private-vlan isolated
vlan 10 private-vlan primary private-vlan association 20
interface Ethernet0/10
switchport private-vlan host-association 10 20
switchport mode private-vlan host
Рекомендуется использовать uRPF (проверка обратного пути пакета, антиспуфинг) как минимум в режиме loose (проверка, есть ли в таблице маршрутизации обратный маршрут к источнику пакета) или в режиме strict (помимо проверки loose также проверяется, что интерфейсы, куда пришел пакет и куда смотрит обратный маршрут до источника, совпадают).
Пример:
interface Ethernet0/0
ip verify unicast source reachable-via any (loose)
interface Ethernet0/1
ip verify unicast source reachable-via rx (strict)
uRPF необходимо использовать с осторожностью, так как эта технология подходит не под все реализации сети, особенно с асимметричной маршрутизацией.
5. Беспроводная ЛВС кампуса или офиса
5.1. Корпоративная сеть
В инфраструктуре предприятия необходимо использовать WPA3-Enterprise-192 и аутентификацию по стандарту 802.1x через RADIUS-сервер. Максимальной защиты можно добиться, используя EAP-TLS. Этот метод подразумевает использование сертификатов как на стороне сервера, так и на суппликанте.
Для каждого пользователя необходимо сгенерировать сертификат и установить его на устройство пользователя. В случае увольнения или потери суппликанта сертификат пользователя отзывается.
Для обеспечения максимальной защиты управление точками доступа должно осуществляться централизованно. Если управление точками доступа или контроллерами предусматривает управление через веб, необходимо использовать только HTTPS с высокими шифрами (устаревшие методы исключить или удалить). Отключить управление через беспроводную сеть. Адреса управления должны быть доступны только администраторам БЛВС.
Если невозможно использовать WPA3, необходимо выделить новую сеть с WPA2-Enterprise, а также обеспечить аутентификацию по сертификатам.
После аутентификации необходимо авторизовать пользователя в соответствии с его привилегиями и изолировать его от пользователей в той же подсети.
Необходимо использовать функциональность WIPS и средства обнаружения и подавления сторонних точек доступа.
Необходимо регулярно проводить радиоразведку на предмет помех, фейковых точек доступа в подконтрольном помещении (желательно в автоматическом режиме). Также нужно очень внимательно относиться к трафику во внерабочее время пользователей.
При гостевом доступе пользователь, подключенный по 802.11a/b/g, может намеренно ухудшать или замедлять производительность сети (подключившийся c data rate 1, 2, 5,5), тем самым занимая больше эфирного времени для передачи данных. Рекомендуется отключить legacy data rate 1, 2, 5,5 Мбит/с.
Необходимо закрыть доступ из подсетей пользователей к точкам доступа. Должны быть отключены устаревшие методы, такие как LEAP, wireless uplink. В корпоративной сети не должно быть открытых WEP/WPA/TKIP, использующих PSK. Время ожидания EAP должно быть не более 30 секунд, повторные попытки — не более 2.
5.2. Гостевой доступ
Эта сеть не должна пересекаться с корпоративной сетью.
Для гостевых устройств при подключении к беспроводной сети весь трафик должен перенаправляться на гостевой портал, и, пока пользователь не авторизуется, весь остальной трафик блокировать. Пользователь должен пройти аутентификацию посредством одноразового пароля. Пользователю выдается доступ в интернет на 8 часов. После этого сессия пользователя блокируется. Пользователи в этой подсети должны быть изолированы друг от друга.
Защита management plane
В организации рекомендуется иметь сеть управления с ограниченным доступом как внутри инфраструктуры, так и вне ее. Администрирование сетевых устройств должно осуществляться только с выделенной сети или хостов. На сетевом оборудовании необходимо выделить отдельный порт, предусмотренный вендором, а при отсутствии такового нужно выделить VRF, отделенный от обычной корпоративной сети.
Пример:
ip vrf MNG
interface Ethernet0/2
description MNG
ip vrf forwarding MNG
Управление оборудованием должно осуществляться только через защищенные протоколы (SSHv2, SSL). Открытых каналов управления, таких как Telnet или HTTP, быть не должно. Необходимо защитить конфигурацию устройства, чтобы усложнить эксфильтрацию ключей из файла конфигурации.
Пример:
password encryption aes
key config-key password-encrypt verystrongstring
Пароли доступа к устройству необходимо зашифровать стойкими алгоритмами, они не должны храниться в текстовом виде в файле конфигурации.
Пример:
enable algorithm-type sha256 secret veryverystrongenablepassword
username admin privilege 15 algorithm-type sha256 secret veryverystrongadminpassword
show running-config | i secret
enable secret 9 $9$zYIpC4/jSpqYN4$Frq9IFendmHVHBR1TQN7dRL8Z5EPYZeudBQA1JJGPIA
username admin privilege 15 secret $9$wclNUYaKpHP1/K$MGj9.Zyhjviw.Vfx8BHP9HO1hJ/WYqGKkUhT0rHKcnY
Предустановленные производителем учетные записи должны быть удалены. Доступ к устройству необходимо осуществлять с использованием модели AAA (серверы TACACS, RADIUS). Рекомендуем использовать протокол TACACS+, это позволит более гранулярно и безопасно настроить доступ для администраторов и логировать действия на устройствах. Также необходимо ограничивать количество неудачных попыток входа на оборудование как на сервере авторизации, так и локально на оборудовании.
Пример:
aaa local authentication attempts max-fail 3
Роли учетных записей должны быть настроены на серверах учета согласно профилю и компетенции владельцев учетных записей. Доступ к оборудованию должен быть ограничен политиками ACL, рекомендуется использовать тайм-ауты бездействия сеанса равные 5–10 минутам.
Пример:
ip access-list standard MNG-ACL
permit host x.x.x.x
!
aaa group server tacacs+ tacacs_mng-int
server-private x.x.x.x key <tacacs-srvX-key>
server-private y.y.y.y key <tacacs-srvY-key>
ip vrf forwarding MNG
aaa authentication login mng-int group tacacs_mng-int local enable
!
line vty 0 15
login authentication mng-int
exec-timeout 5 0
access-class MNG-ACL in vrf-also
transport input ssh
На устройстве должны быть только локальные учетные записи, необходимые для обеспечения доступа в аварийных режимах работы (например, отказ серверов AAA). Локальные учетные записи должны проходить регулярную смену пароля согласно политике предприятия.
Пример:
aaa common-criteria policy EnterprisePolicy
char-changes 6
max-length 20
min-length 12
lower-case 3
upper-case 3
numeric-count 3
special-case 3
lifetime month 6
character-repetition 1
restrict-consecutive-letters
username campus_admin common-criteria-policy EnterprisePolicy password Afs123@fd$!8
Доступ по протоколу SNMP должен быть только на чтение и с определенных адресов (ACL), должен использоваться защищенный протокол SNMPv3.
Пример настройки:
snmp-server ifindex persist
ip access-list standard SNMP-RO-ACL
permit host x.x.x.x
snmp-server view SNMP-RO-VIEW iso included
snmp-server view SNMP-RO-VIEW system included
snmp-server view SNMP-RO-VIEW interfaces included
snmp-server view SNMP-RO-VIEW chassis included
snmp-server view SNMP-RO-VIEW 1.3.6.1.4.1.9.9.13 included (mib ciscoEnvMonMIB добавлена в виде oid)
snmp-server view SNMP-RO-VIEW <oid> included (можно добавить в этот список просмотра любой OID)
snmp-server view SNMP-RO-VIEW ip included
snmp-server view SNMP-RO-VIEW 1.3.6.1.4.1.9.2.4.2 excluded (можно из ранее добавленной ip MIB удалить просмотр ipRouteTable)
snmp-server group SNMP-RO-GRP v3 priv read SNMP-RO-VIEW access SNMP-RO-ACL
snmp-server user SNMP-RO-USER SNMP-RO-GRP v3 auth sha verystrongstring1 priv aes 256 verystrongstring2
Удаляем MIB из просмотров по умолчанию, которые используют версии v1 и v2c:
snmp-server view v1default iso excluded
snmp-server view *ilmi system excluded
snmp-server view *ilmi atmForumUni excluded
Для предотвращения и расследования инцидентов ИБ необходимо использовать решения SIEM и NTA.
В момент расследования необходимо иметь точное доверенное время, не искаженное извне, поэтому рекомендуется использовать аутентификацию при настройке NTP.
Пример:
ntp authenticate
ntp authentication-key 15 md5 VeryStrongKey
ntp trusted-key 15
ntp source Loopback0 vrf MNG
ntp server vrf MNG x.x.x.x key 15 prefer
Необходимо собирать syslog-сообщения со всего сетевого оборудования, так как syslog отправляет данные в открытом виде. Необходимо разрешать передачу данного типа только до места назначения либо использовать сеть управления (она не должна пересекаться с пользовательскими данными или сервисами) для передачи syslog-данных.
Пример:
service timestamps log datetime year show-timezone
logging origin-id ip
logging source-interface Loopback0 vrf MNG
logging host x.x.x.x (SIEM)
logging trap informational
login on-success log
login on-failure log
archive
log config
logging enable
notify syslog contenttype plaintext
hidekeys
Не будет лишним собирать и хранить метаданные NetFlow. Хорошей практикой считается настройка сбора метаданных как можно ближе к контролируемому источнику.
Пример:
flow record FLOW
match ipv4 tos
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match interface input
match flow direction
collect routing source as
collect routing destination as
collect routing next-hop address ipv4
collect ipv4 dscp
collect ipv4 id
collect ipv4 source prefix
collect ipv4 source mask
collect ipv4 destination mask
collect transport tcp flags
collect interface output
collect flow sampler
collect counter bytes
collect counter packets
collect timestamp absolute first
collect timestamp absolute last
!
flow exporter FLOW-EXPORT
destination x.x.x.x
source Loopback0
output-features
transport udp 9996
option interface-table
!
flow monitor FLOW-MON
exporter FLOW-EXPORT
cache timeout inactive 10
cache timeout active 60
record FLOW
!
interface Eth0/2
ip flow monitor FLOW-MON input
ip flow monitor FLOW-MON output
Необходимо использовать SCP вместо FTP при передаче данных (например, конфигурационных параметров).
Следует отключать протоколы обнаружения устройств (CDP, LLDP) на недоверенных портах.
Пример:
no cdp enable
no lldp transmit
no lldp receive
Защита control plane
Для каждого сетевого устройства необходимо настроить защиту центрального процессора в соответствии с рекомендациями вендора.
Как минимум необходимо настроить классификацию трафика control plane с выделением достаточной полосы. Это позволит зарезервировать ресурсы оборудования для критически важных классов трафика.
Пример конфигурации:
ip access-list extended ACL-CoPP-ICMP
permit icmp any any echo-reply
permit icmp any any ttl-exceeded
permit icmp any any unreachable
permit icmp any any redirect
permit icmp any any echo
permit udp any any gt 1023 ttl eq 1
permit ip any any option eool
permit ip any any option record-route
permit ip any any option timestamp
permit ip any any option lsr
permit ip any any option ssr
ip access-list extended ACL-CoPP-IPsec
permit esp any any
permit gre any any
permit udp any eq isakmp any eq isakmp
permit udp any any eq non500-isakmp
permit udp any eq non500-isakmp any
ip access-list extended ACL-CoPP-Initialize
permit udp any eq bootps any eq bootpc
permit udp any eq bootps any eq bootps
permit udp any eq bootpc any eq bootps
permit udp any eq ntp any
ip access-list extended ACL-CoPP-Management
permit tcp any any eq 22
permit tcp any eq 22 any established
permit tcp any eq tacacs any established
ip access-list extended ACL-CoPP-Routing
permit tcp any eq bgp any established
permit tcp any any eq bgp
permit eigrp any host 224.0.0.10
permit ospf any host 224.0.0.5
permit ospf any host 224.0.0.6
ip access-list extended ACL-CoPP-SNMP
permit udp any any eq snmp
ip access-list extended ACL-CoPP-IP
permit ip any any
class-map match-all CLASS-CoPP-IPsec
match access-group name ACL-CoPP-IPsec
class-map match-all CLASS-CoPP-Routing
match access-group name ACL-CoPP-Routing
class-map match-all CLASS-CoPP-Initialize
match access-group name ACL-CoPP-Initialize
class-map match-all CLASS-CoPP-Management
match access-group name ACL-CoPP-Management
class-map match-all CLASS-CoPP-SNMP
match access-group name ACL-CoPP-SNMP
class-map match-all CLASS-CoPP-ICMP
match access-group name ACL-CoPP-ICMP
class-map match-all CLASS-CoPP-IP
match access-group name ACL-CoPP-IP
policy-map POLICY-CoPP
class CLASS-CoPP-ICMP
police cir 16000 bc 60000 be 60000
conform-action transmit
exceed-action transmit
violate-action drop
class CLASS-CoPP-IPsec
police cir 64000
conform-action transmit
exceed-action transmit
violate-action drop
class CLASS-CoPP-Initialize
police cir 32000
conform-action transmit
exceed-action transmit
violate-action drop
class CLASS-CoPP-SNMP
police cir 128000 bc 16000 be 16000
conform-action transmit
exceed-action transmit
violate-action drop
class CLASS-CoPP-Management
police cir 128000
conform-action transmit
exceed-action transmit
violate-action drop
class CLASS-CoPP-Routing
police cir 256000 bc 20000 be 20000
conform-action transmit
exceed-action transmit
violate-action drop
class CLASS-CoPP-IP
police cir 8000
conform-action transmit
exceed-action transmit
violate-action drop
class class-default
police cir 8000
conform-action transmit
exceed-action transmit
violate-action drop
control-plane
service-policy input POLICY-CoPP
Параметры для каждого класса нужно определять с учетом специфики сети компании. Пока параметры не определены, рекомендуется перевести violate-action drop в violate-action transmit. На интерфейсах необходимо отключить отправку icmp unreachables и icmp redirects, кроме сегментов сети, где это действительно нужно.
Proxy ARP следует использовать только в случае крайней необходимости; во всех остальных случаях эта функция должна быть отключена. Proxy ARP может быть отключена как на интерфейсе, так и глобально.
Пример:
ip arp proxy disable
interface Ethernet0/1
no ip redirects
no ip unreachables
no ip proxy-arp
Также следует отключить возможность маршрутизации на основе параметров пакета.
Пример:
no ip source-route
Securing Routing Protocols, IGP
По умолчанию сетевые устройства отправляют информацию о маршрутизации своим соседям и получают такую же информацию от них в открытом виде, что делает эту информацию видимой для всех заинтересованных сторон. Исходя из этого, должна быть настроена аутентификация динамических протоколов маршрутизации.
Протоколы маршрутизации должны быть защищены от формирования соседства с несанкционированными маршрутизирующими устройствами путем выключения отправки hello-пакетов на интерфейсах (passive-interface).
Пример аутентификации в OSPF:
router ospf 1
area 0 authentication message-digest
interface Ethernet0/0.6
ip ospf 1 area 0
ip ospf message-digest-key 1 md5 verystrongstring
Где возможно, необходимо использовать связки ключей (key chains).
Пример:
key chain EIGRP_KCHAIN
key 1
key-string verystrongstring
key 2
key-string verystrongstring2
interface Ethernet0/0
ip authentication mode eigrp 1 md5
ip authentication key-chain eigrp 1 EIGRP_KCHAIN
При использовании протоколов динамической маршрутизации необходимо ограничить объем получаемой маршрутной информации. Также необходимо фильтровать маршрутную информацию, вводимую и объявляемую.
Пример для протокола OSFP:
router ospf 1
area 1 filter-list prefix PL in
max-lsa 1000
Защита BGP
При использовании BGP рекомендуется использовать технологию TTL security. Так же как и с IGP-протоколами, необходимо использовать аутентификацию удаленного соседа и фильтрацию маршрутной информации.
Пример:
router bgp 65000
neighbor 192.168.1.1 remote-as 65001
neighbor 192.168.1.1 password C!$c0
neighbor 192.168.1.1 ttl-security hops 1
neighbor 192.168.1.1 maximum-prefix 1000
neighbor 192.168.1.1 prefix-list PL-IN in
neighbor 192.168.1.1 prefix-list PL-OUT out
Не рекомендуется использовать автоматическое обнаружение соседей в BGP.
Для внешних подключений рекомендуется использовать ACL с фильтрацией соседств.
Пример:
access-list INFRA_ACL deny ip host 0.0.0.0 any
access-list INFRA_ACL deny ip 127.0.0.0 0.255.255.255 any
access-list INFRA_ACL deny ip 192.0.2.0 0.0.0.255 any
access-list INFRA_ACL deny ip 224.0.0.0 31.255.255.255 any
access-list INFRA_ACL deny ip 10.0.0.0 0.255.255.255 any
access-list INFRA_ACL deny ip 172.16.0.0 0.15.255.255 any
access-list INFRA_ACL deny ip 192.168.0.0 0.0.255.255 any
access-list INFRA_ACL deny ip X.X.X.X <ваша внешняя подсеть> any
access-list INFRA_ACL permit tcp host Y.Y.Y.Y <сосед № 1> host A.A.A.A <IP вашего маршрутизатора> eq bgp
access-list INFRA_ACL permit tcp host Z.Z.Z.Z <сосед № 2> eq bgp host A.A.A.A <IP вашего маршрутизатора>
access-list INFRA_ACL deny ip any 10.0.0.0 0.255.255.255
access-list INFRA_ACL permit ip any any
Защита FHRP
При использовании технологий FHRP (First Hop Redundancy Protocols) необходимо настроить аутентификацию каждого peer, участвующего в работе этих протоколов, и обязательно назначить главному максимальный приоритет.
Пример:
interface Ethernet0/0.5
encapsulation dot1Q 5
ip address 10.0.0.2 255.255.255.248
standby version 2
standby 5 ip 10.0.0.1
standby 5 priority 255
standby 5 preempt delay minimum 20 reload 100
standby 5 authentication md5 key-string verystrongstring