Личный кабинет

Рекомендации по харденингу сетевой инфраструктуры

segorbunov.jpgСергей Гобунов
eletyagin.jpgЕвгений Летягин
ilupashko.jpgИван Лупашко
ssakharov.jpgСергей Сахаров

Общие рекомендации

  1. Физический доступ к телекоммуникационному оборудованию должен быть закрыт для неавторизованных лиц.

  2. Рекомендуется отключать неиспользуемые или устаревшие сервисы на маршрутизаторе или коммутаторе, это поможет закрыть часть атак.

  3. Необходимо содержать сетевое оборудование на актуальном ПО, так как в таком ПО закрыто большинство уязвимостей.

  4. Парольная политика:

    • длина пароля — не менее 12 символов;
    • содержит строчные и заглавные буквы, спецсимволы и цифры;
    • пароль не должен содержать обычных слов, как русских, так и английских; или он должен удовлетворять парольной политике компании;
    • должно быть установлено время жизни пароля — не более года;
    • блокировка учетной записи на 5 минут после трех неверных попыток авторизации.
  5. Логирование событий должно поступать на решение класса SIEM.

  6. Доступ пользователей к интернету должен осуществляться через proxy или NGFW с использованием функций URL-фильтрации, репутационных фильтров, потоковых антивирусов.

Сегментация сети

В современной сетевой инфраструктуре принято разделять сетевые сегменты или модули по следующим признакам:

  • ЦОД;
  • периметр;
  • WAN;
  • ЛВС кампуса или офиса;
  • беспроводная ЛВС кампуса или офиса.

В каждом модуле применяются те или иные меры информационной защиты.

Для повышения сетевой безопасности принято выделять сети с различным уровнем защиты:

  • Сеть с повышенной безопасностью. Сегмент внутренней сети, требующий более высокой степени защиты. Доступ к такой сети осуществляется только изнутри (внутренняя сеть) и ограничивается за счет использования МСЭ, VPN, VLAN, VRF. Такой сегмент сети не общедоступен, доступ к нему есть только у ограниченного количества сотрудников. Доступ согласовывается со службой ИБ. Пример: серверы «1С», бюджет, контур.
  • Доверительная (общедоступная) сеть. Такой сегмент охватывает большую часть сети. Сеть доступна для всех авторизованных пользователей. Пример: домашний портал, справочный портал.
  • Сеть DMZ. Сеть, предназначенная для размещения сетевых устройств, взаимодействующих с внешними сетями, в частности с интернетом. Внутренний и внешний доступ ограничен использованием МСЭ, VPN и устройств IDS/IPS. Пример: веб-серверы, почта.
  • Гостевая сеть. Специально разработанная сеть для использования посетителями при выходе в интернет. Из гостевой сети не должно быть доступа во внутреннюю доверенную сеть. Обязательный сбор метаданных. Пример: гостевой Wi-Fi.

1. Сегмент ЦОД

ЦОД подразумевает передачу больших объемов трафика на высоких скоростях. Хорошей практикой считается сегментирование сетей в ЦОДе на сервисы. Каждый сервис — это отдельный изолированный VRF. Трафик между VRF контролируется МСЭ по принципу «все, что не разрешено, — запрещено». При использовании виртуальной среды трафик приложений может не выходить из физического сервера, таким образом этот трафик становится невидимым для сетевого оборудования. Для контроля прохождения трафика внутри виртуальной среды рекомендуется использовать endpoint FW.

Необходимо иметь выделенную сеть управления оборудованием. Доступ к этой сети должен быть разрешен только для администраторов.

2. Периметр

Этот модуль включает в себя несколько сегментов, таких как VPN, RA VPN, доступ пользователей в интернет, публикация сервисов.

Рекомендуется разделять сервисы на отдельные физические устройства (например, RA VPN — один кластер МСЭ, site-to-site VPN — другой). При построении VPN-туннелей необходимо придерживаться минимальной допустимой криптографии (DH 19, AES-256, SHA-256). Только указанные выше алгоритмы должны быть в списке на VPN-концентраторе. В стеке протоколов IPsec должны использоваться IKEv2 и PFS, не используйте AH. Рекомендуется использовать метод аутентификации на основе сертификатов. Необходимо ограничить внешний доступ на VPN-концентратор, оставив только те протоколы, которые используются (UDP/500, UDP/4500 и ESP). Отключить web, SSH и прочие сервисы управления на внешнем интерфейсе.

При использовании RA VPN необходимо использовать аутентификацию по сертификатам — это обеспечит максимальный уровень защиты. Если аутентификация через сертификаты невозможна, используйте многофакторную аутентификацию (MFA). При использовании MFA необходимо обеспечить должный уровень информирования пользователей по работе с этим приложением во избежание случаев выдачи необоснованных разрешений на подключение. Пользователи должны подтверждать только собственные подключения и уметь правильно их идентифицировать.

Использовать протокол не ниже TLS 1.3 с наборами шифров. В зависимости от сетевой инфраструктуры рекомендуется проверять подключаемые устройства на предмет: актуальной БД антивируса, подключенных сторонних устройств, флеш-накопителей. Каждая туннельная группа должна иметь ограниченный доступ в сеть. Необходимо использовать полное туннелирование трафика (full split tunneling). Права и доступы должны ограничиваться согласно уровню привилегий пользователя. Должны быть выставлены таймеры на бездействие пользователя.

Необходимо изменить веб-порт управления МСЭ и разрешить доступ только из сети управления. Также не рекомендуется использовать технологию TCP bypass.

Весь периметральный трафик должен дублироваться посредством TAP на IDS/NTA-системы для дальнейшего анализа.

При возникновении DoS-атак следует использовать WAF-сервисы и geo-filtering от ISP.

Желательно использовать резервные маршруты (ISP) для подключения RA-администраторов.

При необходимости публикации ресурсов должен предоставляться минимально необходимый доступ. Веб-порталы должны защищаться с помощью WAF-решений. Доступ публикуемых ресурсов к внутренней сети должен быть максимально ограничен (если такой доступ необходим, правило должно описывать взаимодействие на уровне определенных хостов и (или) определенных приложений).

3. Сегмент WAN

Маршрутизаторы распределенной сети (WAN) должны обеспечивать стойкое шифрование VPN-каналов по стеку технологий IPsec. Например, для формирования ключа шифрования перед фазой аутентификации нужно использовать Diffie–Hellman группы 19, а для симметричного шифрования трафика — алгоритм AES-256. Для обмена ключами необходимо использовать более защищенный протокол IKEv2.

Аутентификация должна проходить с использованием сертификатов, выданных центром сертификации (CA). Во время аутентификации концентраторы VPN-каналов должны проверять список отозванных сертификатов CRL CA. В случае компрометации устройства сертификат должен быть отозван. Передача сертификатов на удаленные устройства должна осуществляться либо физическим перемещением либо по зашифрованным каналам связи. В случае крайней необходимости сертификат можно передать удаленному устройству через специально установленный для этих целей IPsec-туннель c аутентификацией по PSK. Для построения туннелей рекомендуется использовать FVRF.

Пример настройки:

ip vrf INTERNET

crypto key generate rsa label VPN-RSA modulus 2048

!

crypto pki trustpoint CA

enrollment url http://CA.company.ru:80

serial-number

revocation-check crl

source interface Loopback0

rsakeypair VPN-RSA

auto-enroll 98

!

crypto pki certificate map CERT-MAP 10

issuer-name eq cn = ca

! crypto ikev2 proposal VPN-PROP

encryption aes-gcm-256

prf sha512

group 19

!

crypto ikev2 policy VPN-POL

match fvrf INTERNET

match address local 10.10.10.10

proposal VPN-PROP

!

crypto ikev2 profile VPN-IKEv2-PROF

match fvrf INTERNET

match address local x.x.x.x

match identity remote address y.y.y.y

match certificate CERT-MAP

authentication remote rsa-sig

authentication local rsa-sig

pki trustpoint CA

!

crypto ipsec transform-set VPN-IPSEC-TSET esp-aes 256 esp-sha512-hmac

mode tunnel

!

crypto ipsec profile VPN-IPSEC-PROF

set transform-set VPN-IPSEC-TSET

set pfs group19

set ikev2-profile VPN-IKEv2-PROF

!

interface Tunnel1

tunnel vrf INTERNET

tunnel protection ipsec profile VPN-IPSEC-PROF

Альтернативным вариантом шифрования WAN-каналов на основе L2 является WAN MACsec.

Пример:

key chain mka-keychain macsec

key 01

key-string veryverystrongadminpassword

int gi0/0/1

mka pre-shared-key key-chain mka-keychain

macsec

4. ЛВС кампуса или офиса

На коммутаторах неактивные порты должны быть административно выключены.

Пример:

interface FastEthernet0/21

shutdown

На всех портах доступа конечных пользователей должен быть жестко закреплен соответствующий access vlan.

Пример:

interface FastEthernet0/21

switchport mode access

switchport access vlan 5

Должны быть настроены как базовые технологии защиты, такие как port-security (если за портом более одного устройства, необходимо вручную ограничивать количество mac-адресов):

interface FastEthernet0/21

switchport port-security

switchport port-security violation restrict

switchport port-security mac-address sticky !(sticky- если текущий MAC-адрес авторизован, или вручную вписать MAC в формате aaaa.bbbb.cccc)

так и продвинутые — 802.1x, MAB (Mac Authentication Bypass).

Пример конфигурации:

aaa group server radius RAD

server X.X.X.X

server Y.Y.Y.Y

aaa authentication dot1x default group RAD

aaa authorization network default group RAD

dot1x system-auth-control

interface FastEthernet0/21

authentication port-control auto

authentication periodicauthentication order dot1x mab

authentication priority dot1x mab

authentication violation restrict

mab

dot1x pae authenticator

authentication order dot1x mab

authentication priority dot1x mab

После прохождения аутентификации рекомендуется спустить DACL на данный порт и назначить соответствующий VLAN. Для защиты от несанкционированного трафика, приводящего к атакам типа MITM, внутри сетевого сегмента необходимо дополнительно настроить технологию DHCP snooping с дополнительными функциями безопасности dynamic ARP inspection и IP source guard.

Примеры конфигурации:

  • DHCP snooping

ip dhcp snooping vlan 1-4094

ip dhcp snooping

interface FastEthernet0/21

ip dhcp snooping trust (только на доверенных uplink-портах или доверенных downlink-портах, куда непосредственно подключен DHCP-сервер)

ip dhcp snooping database flash:dhcp

ip dhcp snooping limit rate 10 (на всех downlink-портах)

  • DAI (dynamic ARP inspection):

ip arp inspection vlan 1-4094

interface FastEthernet0/21

ip arp inspection trust (только на доверенных uplink-портах)

Если в организации используется статическая адресация конечных хостов, формирование базы DHCP snooping необходимо прописывать вручную.

Пример:

ip dhcp snooping binding aaa.bbb.ccc vlan 10 x.x.x.x interface FastEthernet0/21

Uplink-порты должны быть настроены в жестком режиме trunk с ограниченным пропуском меток, необходимых VLAN. Нетегированный трафик должен относиться к отдельному выделенному native VLAN, отличному от значения по умолчанию.

Пример:

interface Ethernet0/1

switchport trunk allowed vlan 10,20,30,99

switchport trunk encapsulation dot1q

switchport mode trunk

switchport trunk native vlan 999

Для оборудования Cisco необходимо перевести режим протокола VTP в transparent.

Обязательно необходимо использовать storm-control BUM-трафика.

Пример:

interface Ethernet0/10

storm-control broadcast level 10

storm-control multicast level 5

storm-control unicast level 10

Значения подбираются исходя из нормальной работы порта.

Не допускается настройка портов в access native vlan. Для STP необходимо жестко назначить корневой коммутатор (root switch) для всех VLAN, также необходимо использовать технологию root guard для предотвращения получения лучшего BPDU. BPDU guard должен быть прописан на всех портах portfast.

Пример:

spanning-tree vlan 1-4094 priority 4096

interface Ethernet0/1

spanning-tree root guard

spanning-tree portfast edge

Для изоляции хоста от других хостов в рамках одной подсети рекомендуется использовать private Vlan.

Пример:

vlan 20 private-vlan isolated

vlan 10 private-vlan primary private-vlan association 20

interface Ethernet0/10

switchport private-vlan host-association 10 20

switchport mode private-vlan host

Рекомендуется использовать uRPF (проверка обратного пути пакета, антиспуфинг) как минимум в режиме loose (проверка, есть ли в таблице маршрутизации обратный маршрут к источнику пакета) или в режиме strict (помимо проверки loose также проверяется, что интерфейсы, куда пришел пакет и куда смотрит обратный маршрут до источника, совпадают).

Пример:

interface Ethernet0/0

ip verify unicast source reachable-via any (loose)

interface Ethernet0/1

ip verify unicast source reachable-via rx (strict)

uRPF необходимо использовать с осторожностью, так как эта технология подходит не под все реализации сети, особенно с асимметричной маршрутизацией.

5. Беспроводная ЛВС кампуса или офиса

5.1. Корпоративная сеть

В инфраструктуре предприятия необходимо использовать WPA3-Enterprise-192 и аутентификацию по стандарту 802.1x через RADIUS-сервер. Максимальной защиты можно добиться, используя EAP-TLS. Этот метод подразумевает использование сертификатов как на стороне сервера, так и на суппликанте.

Для каждого пользователя необходимо сгенерировать сертификат и установить его на устройство пользователя. В случае увольнения или потери суппликанта сертификат пользователя отзывается.

Для обеспечения максимальной защиты управление точками доступа должно осуществляться централизованно. Если управление точками доступа или контроллерами предусматривает управление через веб, необходимо использовать только HTTPS с высокими шифрами (устаревшие методы исключить или удалить). Отключить управление через беспроводную сеть. Адреса управления должны быть доступны только администраторам БЛВС.

Если невозможно использовать WPA3, необходимо выделить новую сеть с WPA2-Enterprise, а также обеспечить аутентификацию по сертификатам.

После аутентификации необходимо авторизовать пользователя в соответствии с его привилегиями и изолировать его от пользователей в той же подсети.

Необходимо использовать функциональность WIPS и средства обнаружения и подавления сторонних точек доступа.

Необходимо регулярно проводить радиоразведку на предмет помех, фейковых точек доступа в подконтрольном помещении (желательно в автоматическом режиме). Также нужно очень внимательно относиться к трафику во внерабочее время пользователей.

При гостевом доступе пользователь, подключенный по 802.11a/b/g, может намеренно ухудшать или замедлять производительность сети (подключившийся c data rate 1, 2, 5,5), тем самым занимая больше эфирного времени для передачи данных. Рекомендуется отключить legacy data rate 1, 2, 5,5 Мбит/с.

Необходимо закрыть доступ из подсетей пользователей к точкам доступа. Должны быть отключены устаревшие методы, такие как LEAP, wireless uplink. В корпоративной сети не должно быть открытых WEP/WPA/TKIP, использующих PSK. Время ожидания EAP должно быть не более 30 секунд, повторные попытки — не более 2.

5.2. Гостевой доступ

Эта сеть не должна пересекаться с корпоративной сетью.

Для гостевых устройств при подключении к беспроводной сети весь трафик должен перенаправляться на гостевой портал, и, пока пользователь не авторизуется, весь остальной трафик блокировать. Пользователь должен пройти аутентификацию посредством одноразового пароля. Пользователю выдается доступ в интернет на 8 часов. После этого сессия пользователя блокируется. Пользователи в этой подсети должны быть изолированы друг от друга.

Защита management plane

В организации рекомендуется иметь сеть управления с ограниченным доступом как внутри инфраструктуры, так и вне ее. Администрирование сетевых устройств должно осуществляться только с выделенной сети или хостов. На сетевом оборудовании необходимо выделить отдельный порт, предусмотренный вендором, а при отсутствии такового нужно выделить VRF, отделенный от обычной корпоративной сети.

Пример:

ip vrf MNG

interface Ethernet0/2

description MNG

ip vrf forwarding MNG

Управление оборудованием должно осуществляться только через защищенные протоколы (SSHv2, SSL). Открытых каналов управления, таких как Telnet или HTTP, быть не должно. Необходимо защитить конфигурацию устройства, чтобы усложнить эксфильтрацию ключей из файла конфигурации.

Пример:

password encryption aes

key config-key password-encrypt verystrongstring

Пароли доступа к устройству необходимо зашифровать стойкими алгоритмами, они не должны храниться в текстовом виде в файле конфигурации.

Пример:

enable algorithm-type sha256 secret veryverystrongenablepassword

username admin privilege 15 algorithm-type sha256 secret veryverystrongadminpassword

show running-config | i secret

enable secret 9 $9$zYIpC4/jSpqYN4$Frq9IFendmHVHBR1TQN7dRL8Z5EPYZeudBQA1JJGPIA

username admin privilege 15 secret $9$wclNUYaKpHP1/K$MGj9.Zyhjviw.Vfx8BHP9HO1hJ/WYqGKkUhT0rHKcnY

Предустановленные производителем учетные записи должны быть удалены. Доступ к устройству необходимо осуществлять с использованием модели AAA (серверы TACACS, RADIUS). Рекомендуем использовать протокол TACACS+, это позволит более гранулярно и безопасно настроить доступ для администраторов и логировать действия на устройствах. Также необходимо ограничивать количество неудачных попыток входа на оборудование как на сервере авторизации, так и локально на оборудовании.

Пример:

aaa local authentication attempts max-fail 3

Роли учетных записей должны быть настроены на серверах учета согласно профилю и компетенции владельцев учетных записей. Доступ к оборудованию должен быть ограничен политиками ACL, рекомендуется использовать тайм-ауты бездействия сеанса равные 5–10 минутам.

Пример:

ip access-list standard MNG-ACL

permit host x.x.x.x

!

aaa group server tacacs+ tacacs_mng-int

server-private x.x.x.x key <tacacs-srvX-key>

server-private y.y.y.y key <tacacs-srvY-key>

ip vrf forwarding MNG

aaa authentication login mng-int group tacacs_mng-int local enable

!

line vty 0 15

login authentication mng-int

exec-timeout 5 0

access-class MNG-ACL in vrf-also

transport input ssh

На устройстве должны быть только локальные учетные записи, необходимые для обеспечения доступа в аварийных режимах работы (например, отказ серверов AAA). Локальные учетные записи должны проходить регулярную смену пароля согласно политике предприятия.

Пример:

aaa common-criteria policy EnterprisePolicy

char-changes 6

max-length 20

min-length 12

lower-case 3

upper-case 3

numeric-count 3

special-case 3

lifetime month 6

character-repetition 1

restrict-consecutive-letters

username campus_admin common-criteria-policy EnterprisePolicy password Afs123@fd$!8

Доступ по протоколу SNMP должен быть только на чтение и с определенных адресов (ACL), должен использоваться защищенный протокол SNMPv3.

Пример настройки:

snmp-server ifindex persist

ip access-list standard SNMP-RO-ACL

permit host x.x.x.x

snmp-server view SNMP-RO-VIEW iso included

snmp-server view SNMP-RO-VIEW system included

snmp-server view SNMP-RO-VIEW interfaces included

snmp-server view SNMP-RO-VIEW chassis included

snmp-server view SNMP-RO-VIEW 1.3.6.1.4.1.9.9.13 included (mib ciscoEnvMonMIB добавлена в виде oid)

snmp-server view SNMP-RO-VIEW <oid> included (можно добавить в этот список просмотра любой OID)

snmp-server view SNMP-RO-VIEW ip included

snmp-server view SNMP-RO-VIEW 1.3.6.1.4.1.9.2.4.2 excluded (можно из ранее добавленной ip MIB удалить просмотр ipRouteTable)

snmp-server group SNMP-RO-GRP v3 priv read SNMP-RO-VIEW access SNMP-RO-ACL

snmp-server user SNMP-RO-USER SNMP-RO-GRP v3 auth sha verystrongstring1 priv aes 256 verystrongstring2

Удаляем MIB из просмотров по умолчанию, которые используют версии v1 и v2c:

snmp-server view v1default iso excluded

snmp-server view *ilmi system excluded

snmp-server view *ilmi atmForumUni excluded

Для предотвращения и расследования инцидентов ИБ необходимо использовать решения SIEM и NTA.

В момент расследования необходимо иметь точное доверенное время, не искаженное извне, поэтому рекомендуется использовать аутентификацию при настройке NTP.

Пример:

ntp authenticate

ntp authentication-key 15 md5 VeryStrongKey

ntp trusted-key 15

ntp source Loopback0 vrf MNG

ntp server vrf MNG x.x.x.x key 15 prefer

Необходимо собирать syslog-сообщения со всего сетевого оборудования, так как syslog отправляет данные в открытом виде. Необходимо разрешать передачу данного типа только до места назначения либо использовать сеть управления (она не должна пересекаться с пользовательскими данными или сервисами) для передачи syslog-данных.

Пример:

service timestamps log datetime year show-timezone

logging origin-id ip

logging source-interface Loopback0 vrf MNG

logging host x.x.x.x (SIEM)

logging trap informational

login on-success log

login on-failure log

archive

log config

logging enable

notify syslog contenttype plaintext

hidekeys

Не будет лишним собирать и хранить метаданные NetFlow. Хорошей практикой считается настройка сбора метаданных как можно ближе к контролируемому источнику.

Пример:

flow record FLOW

match ipv4 tos

match ipv4 protocol

match ipv4 source address

match ipv4 destination address

match transport source-port

match transport destination-port

match interface input

match flow direction

collect routing source as

collect routing destination as

collect routing next-hop address ipv4

collect ipv4 dscp

collect ipv4 id

collect ipv4 source prefix

collect ipv4 source mask

collect ipv4 destination mask

collect transport tcp flags

collect interface output

collect flow sampler

collect counter bytes

collect counter packets

collect timestamp absolute first

collect timestamp absolute last

!

flow exporter FLOW-EXPORT

destination x.x.x.x

source Loopback0

output-features

transport udp 9996

option interface-table

!

flow monitor FLOW-MON

exporter FLOW-EXPORT

cache timeout inactive 10

cache timeout active 60

record FLOW

!

interface Eth0/2

ip flow monitor FLOW-MON input

ip flow monitor FLOW-MON output

Необходимо использовать SCP вместо FTP при передаче данных (например, конфигурационных параметров).

Следует отключать протоколы обнаружения устройств (CDP, LLDP) на недоверенных портах.

Пример:

no cdp enable

no lldp transmit

no lldp receive

Защита control plane

Для каждого сетевого устройства необходимо настроить защиту центрального процессора в соответствии с рекомендациями вендора.

Как минимум необходимо настроить классификацию трафика control plane с выделением достаточной полосы. Это позволит зарезервировать ресурсы оборудования для критически важных классов трафика.

Пример конфигурации:

ip access-list extended ACL-CoPP-ICMP

permit icmp any any echo-reply

permit icmp any any ttl-exceeded

permit icmp any any unreachable

permit icmp any any redirect

permit icmp any any echo

permit udp any any gt 1023 ttl eq 1

permit ip any any option eool

permit ip any any option record-route

permit ip any any option timestamp

permit ip any any option lsr

permit ip any any option ssr

ip access-list extended ACL-CoPP-IPsec

permit esp any any

permit gre any any

permit udp any eq isakmp any eq isakmp

permit udp any any eq non500-isakmp

permit udp any eq non500-isakmp any

ip access-list extended ACL-CoPP-Initialize

permit udp any eq bootps any eq bootpc

permit udp any eq bootps any eq bootps

permit udp any eq bootpc any eq bootps

permit udp any eq ntp any

ip access-list extended ACL-CoPP-Management

permit tcp any any eq 22

permit tcp any eq 22 any established

permit tcp any eq tacacs any established

ip access-list extended ACL-CoPP-Routing

permit tcp any eq bgp any established

permit tcp any any eq bgp

permit eigrp any host 224.0.0.10

permit ospf any host 224.0.0.5

permit ospf any host 224.0.0.6

ip access-list extended ACL-CoPP-SNMP

permit udp any any eq snmp

ip access-list extended ACL-CoPP-IP

permit ip any any

class-map match-all CLASS-CoPP-IPsec

match access-group name ACL-CoPP-IPsec

class-map match-all CLASS-CoPP-Routing

match access-group name ACL-CoPP-Routing

class-map match-all CLASS-CoPP-Initialize

match access-group name ACL-CoPP-Initialize

class-map match-all CLASS-CoPP-Management

match access-group name ACL-CoPP-Management

class-map match-all CLASS-CoPP-SNMP

match access-group name ACL-CoPP-SNMP

class-map match-all CLASS-CoPP-ICMP

match access-group name ACL-CoPP-ICMP

class-map match-all CLASS-CoPP-IP

match access-group name ACL-CoPP-IP

policy-map POLICY-CoPP

class CLASS-CoPP-ICMP

police cir 16000 bc 60000 be 60000

conform-action transmit

exceed-action transmit

violate-action drop

class CLASS-CoPP-IPsec

police cir 64000

conform-action transmit

exceed-action transmit

violate-action drop

class CLASS-CoPP-Initialize

police cir 32000

conform-action transmit

exceed-action transmit

violate-action drop

class CLASS-CoPP-SNMP

police cir 128000 bc 16000 be 16000

conform-action transmit

exceed-action transmit

violate-action drop

class CLASS-CoPP-Management

police cir 128000

conform-action transmit

exceed-action transmit

violate-action drop

class CLASS-CoPP-Routing

police cir 256000 bc 20000 be 20000

conform-action transmit

exceed-action transmit

violate-action drop

class CLASS-CoPP-IP

police cir 8000

conform-action transmit

exceed-action transmit

violate-action drop

class class-default

police cir 8000

conform-action transmit

exceed-action transmit

violate-action drop

control-plane

service-policy input POLICY-CoPP

Параметры для каждого класса нужно определять с учетом специфики сети компании. Пока параметры не определены, рекомендуется перевести violate-action drop в violate-action transmit. На интерфейсах необходимо отключить отправку icmp unreachables и icmp redirects, кроме сегментов сети, где это действительно нужно.

Proxy ARP следует использовать только в случае крайней необходимости; во всех остальных случаях эта функция должна быть отключена. Proxy ARP может быть отключена как на интерфейсе, так и глобально.

Пример:

ip arp proxy disable

interface Ethernet0/1

no ip redirects

no ip unreachables

no ip proxy-arp

Также следует отключить возможность маршрутизации на основе параметров пакета.

Пример:

no ip source-route

Securing Routing Protocols, IGP

По умолчанию сетевые устройства отправляют информацию о маршрутизации своим соседям и получают такую же информацию от них в открытом виде, что делает эту информацию видимой для всех заинтересованных сторон. Исходя из этого, должна быть настроена аутентификация динамических протоколов маршрутизации.

Протоколы маршрутизации должны быть защищены от формирования соседства с несанкционированными маршрутизирующими устройствами путем выключения отправки hello-пакетов на интерфейсах (passive-interface).

Пример аутентификации в OSPF:

router ospf 1

area 0 authentication message-digest

interface Ethernet0/0.6

ip ospf 1 area 0

ip ospf message-digest-key 1 md5 verystrongstring

Где возможно, необходимо использовать связки ключей (key chains).

Пример:

key chain EIGRP_KCHAIN

key 1

key-string verystrongstring

key 2

key-string verystrongstring2

interface Ethernet0/0

ip authentication mode eigrp 1 md5

ip authentication key-chain eigrp 1 EIGRP_KCHAIN

При использовании протоколов динамической маршрутизации необходимо ограничить объем получаемой маршрутной информации. Также необходимо фильтровать маршрутную информацию, вводимую и объявляемую.

Пример для протокола OSFP:

router ospf 1

area 1 filter-list prefix PL in

max-lsa 1000

Защита BGP

При использовании BGP рекомендуется использовать технологию TTL security. Так же как и с IGP-протоколами, необходимо использовать аутентификацию удаленного соседа и фильтрацию маршрутной информации.

Пример:

router bgp 65000

neighbor 192.168.1.1 remote-as 65001

neighbor 192.168.1.1 password C!$c0

neighbor 192.168.1.1 ttl-security hops 1

neighbor 192.168.1.1 maximum-prefix 1000

neighbor 192.168.1.1 prefix-list PL-IN in

neighbor 192.168.1.1 prefix-list PL-OUT out

Не рекомендуется использовать автоматическое обнаружение соседей в BGP.

Для внешних подключений рекомендуется использовать ACL с фильтрацией соседств.

Пример:

access-list INFRA_ACL deny ip host 0.0.0.0 any

access-list INFRA_ACL deny ip 127.0.0.0 0.255.255.255 any

access-list INFRA_ACL deny ip 192.0.2.0 0.0.0.255 any

access-list INFRA_ACL deny ip 224.0.0.0 31.255.255.255 any

access-list INFRA_ACL deny ip 10.0.0.0 0.255.255.255 any

access-list INFRA_ACL deny ip 172.16.0.0 0.15.255.255 any

access-list INFRA_ACL deny ip 192.168.0.0 0.0.255.255 any

access-list INFRA_ACL deny ip X.X.X.X <ваша внешняя подсеть> any

access-list INFRA_ACL permit tcp host Y.Y.Y.Y <сосед № 1> host A.A.A.A <IP вашего маршрутизатора> eq bgp

access-list INFRA_ACL permit tcp host Z.Z.Z.Z <сосед № 2> eq bgp host A.A.A.A <IP вашего маршрутизатора>

access-list INFRA_ACL deny ip any 10.0.0.0 0.255.255.255

access-list INFRA_ACL permit ip any any

Защита FHRP

При использовании технологий FHRP (First Hop Redundancy Protocols) необходимо настроить аутентификацию каждого peer, участвующего в работе этих протоколов, и обязательно назначить главному максимальный приоритет.

Пример:

interface Ethernet0/0.5

encapsulation dot1Q 5

ip address 10.0.0.2 255.255.255.248

standby version 2

standby 5 ip 10.0.0.1

standby 5 priority 255

standby 5 preempt delay minimum 20 reload 100

standby 5 authentication md5 key-string verystrongstring