Gestione sicura dei dispositivi

È importante garantire la sicurezza del traffico di gestione tra un dispositivo di rete e l’host remoto utilizzato per gestire il dispositivo.

SSH

Telnet è comunemente utilizzato per gestire in remoto i dispositivi Cisco. Telnet è intrinsecamente insicuro e la ragione di questa insicurezza è che tutti i messaggi Telnet vengono inviati in testo normale, inclusi i comandi di configurazione e persino i nomi utente e le password in quei comandi di configurazione. Tutto ciò che un utente malintenzionato deve fare è essere in grado di annusare questa comunicazione e quindi possiede la tua rete. Una volta che i tuoi dispositivi di rete sono compromessi, possono essere usati come trampolino di lancio per collegare sistemi più interessanti come i server.

Un’efficace alternativa a questa intrinseca mancanza di sicurezza in Telnet è il protocollo Secure Shell (SSH). SSH utilizza tunnel sevure stabiliti su una rete non sicura per lo scambio di informazioni. SSH è un’applicazione server client e il dispositivo Cisco può essere configurato per fungere sia da server che da client SSH. Tuttavia, un dispositivo Cisco viene solitamente configurato come server SSH per accettare connessioni SSH in entrata da una stazione di gestione remota. SSH ha due versioni principali denominate SSH-1 e SSH-2. La porta TCP standard 22 è stata assegnata per SSH e i server SSH sono in ascolto su questa porta per le connessioni in entrata.

Proprio come Telnet, puoi utilizzare SSH per connetterti in remoto a un dispositivo Cisco e inserire comandi IOS o copiare file sulla rete. SSH utilizza messaggi crittografati in modo che le comunicazioni di rete siano sicure. PuTTY è un client Telnet / SSH popolare e gratuito disponibile per piattaforme Windows e Linux.

Un router Cisco deve essere configurato con nome host e nome di dominio prima della configurazione SSH iniziale. La configurazione è qualcosa del genere:

Router>enable
Router#configure terminal
Router(config)#hostname R1
R1(config)#ip domain-name certificationkits.com
R1(config)#crypto key generate rsa modulus 512

SSH deve anche essere abilitato sulle linee vty prima che il router inizi ad accettare connessioni SSH per la gestione remota:

R1(config)#line vty 0 4
R1(config-line)#transport input ssh
R1(config-line)#end
R1#

SNMP

Il protocollo SNMP (Simple Network Management Protocol) viene utilizzato dalle aziende per gestire e monitorare un gran numero di dispositivi di rete. SNMP ha diversi usi, dal monitoraggio e generazione di avvisi alla configurazione del dispositivo.

Esistono tre versioni principali di SNMP:

Versione 1: questa versione è definita in RFC 1157 e semplice sicurezza basata su comunità SNMP.
Versione 2c: questa versione è definita nelle RFC 1901, 1905 e 1906 e utilizza anche la sicurezza basata sulla comunità.
Versione 3: questa versione è definita nelle RFC da 3413 a 3415 e introduce un nuovo modello di sicurezza che supporta l’integrità, l’autenticazione e la crittografia dei messaggi.

Il modello di sicurezza basato sulla comunità utilizzato dalle versioni SNMP 1 e 2c è una vulnerabilità di sicurezza nota a causa della sua mancanza di crittografia e autenticazione. Utilizza solo un semplice nome di comunità per la sicurezza. La configurazione di SNMP versione 3 è più complessa e dovrebbe essere preferita per una maggiore sicurezza, soprattutto quando il traffico deve essere spostato su reti non attendibili.

Syslog

Syslog è un metodo che può essere utilizzato per raccogliere i messaggi di sistema dai dispositivi Cisco a un sistema che esegue un server syslog. Tutti i messaggi di sistema vengono inviati al server syslog centrale che aiuta nell’aggregazione di log e avvisi. I dispositivi Cisco possono inviare i propri messaggi di registrazione a un servizio SYSLOG simile a Unix. Un servizio SYSLOG accetta semplicemente i messaggi di registro e li memorizza in file o li stampa in base a un file di configurazione. Syslog utilizza UDP come protocollo di trasporto e ascolta sulla porta 512. Questa forma di registrazione è la migliore disponibile per i dispositivi Cisco perché può fornire l’archiviazione esterna a lungo termine dei registri. Ma questa archiviazione esterna dei registri può essere utile nella gestione degli incidenti quando un dispositivo è compromesso o subisce un arresto anomalo.

Questi registri sono utili anche nelle attività di manutenzione ordinaria e i timestamp di ogni messaggio di registro forniscono una registrazione cronologica accurata degli eventi importanti che si verificano nel dispositivo Cisco. Ma per rendere significativi questi timestamp, l’ora sui dispositivi di rete deve essere precisa e sincronizzata con la stessa sorgente. Il protocollo NTP (Network Time Protocol) viene in genere utilizzato per assicurarsi che le informazioni di temporizzazione nei messaggi Syslog siano accurate. I dispositivi di rete possono utilizzare NTP per sincronizzare i loro orologi con un’accurata fonte centrale di informazioni sui tempi.

Network Time Protocol (NTP)

Network Time Protocol (NTP) viene utilizzato per sincronizzare l’ora sull’orologio del dispositivo Cisco. L’NTP di solito ottiene l’ora da una fonte dell’ora precisa e affidabile, come un orologio radio o un orologio atomico collegato a un server dell’ora. NTP è un protocollo client server e utilizza la porta UDP 123 sia come origine che come destinazione. Le comunicazioni NTP possono essere protette utilizzando un meccanismo di autenticazione che utilizza l’algoritmo MD5.

NTP è assolutamente essenziale per i messaggi syslog in quanto viene utilizzato per mantenere accurate informazioni sui tempi. I timestamp con messaggi syslog devono essere accurati per rendere le informazioni di registrazione utili per la risoluzione dei problemi o la gestione degli incidenti. Il comando Cisco IOS ntp viene utilizzato in modalità di configurazione globale per tutte le configurazioni relative a NTP.