NTP SSH (TR)
description
Transcript of NTP SSH (TR)
© 2012 Cisco and/or its affiliates. All rights reserved. 1
Mengkonfigurasi NTP
• "Waktu telah ditemukan di alam semesta sehingga segala sesuatu tidak akan terjadi sekaligus.“
• The NTP FAQ and HOWTO - http://www.ntp.org/ntpfaq/
• Banyak fitur dalam jaringan komputer tergantung pada sinkronisasi waktu:
– Untuk informasi waktu akurat dalam pesan syslog.– Sertifikat otentikasi berbasis di VPN.– ACL dengan waktu konfigurasi jangkauan.
Memahami NTP
Sistem Clock
• Inti dari waktu layanan router adalah perangkat lunak berbasis sistem clock.– Jam ini melacak waktu dari saat sistem dimulai.
• Sistem alarm dapat diatur dari sejumlah sumber dan dapat digunakan untuk mendistribusikan waktu saat ini melalui berbagai mekanisme untuk sistem lain.– Ketika sebuah router dengan kalender sistem diinisialisasi atau reboot, jam
sistem diatur berdasarkan waktu dalam kalender internal sistem bertenaga baterai..
• Sistem jam kemudian dapat diatur:– Manual menggunakan set jam perintah EXEC istimewa.– Secara otomatis menggunakan Network Time Protocol (NTP).
• NTP merupakan protokol Internet yang digunakan untuk sinkronisasi jam jaringan perangkat yang terhubung ke beberapa referensi waktu.– NTP merupakan protokol standar Internet saat ini di v3 dan ditetapkan dalam
RFC 1305.
NTP
• NTP dirancang untuk waktu-sinkronisasi jaringan. – NTP berjalan di atas UDP.
• Sebuah jaringan NTP biasanya memperoleh waktu dari sumber otoritatif waktu, seperti jam radio atau jam atom. – NTP kemudian mendistribusikan saat ini di seluruh jaringan. – NTP sangat efisien, tidak lebih dari satu paket per menit diperlukan
untuk menyinkronkan dua mesin ke dalam 1 msec satu sama lain.• Perangkat Cisco mendukung spesifikasi untuk NTP v3 (RFC 1305).
– NTP v4 berada di bawah pengembangan namun NTP v3 adalah standar Internet.
• Layanan NTP diaktifkan pada semua interface secara default. – Untuk menonaktifkan NTP pada interface tertentu, menggunakan
perintah ntp disable dalam modus konfigurasi antarmuka. command in the interface configuration mode.
Mengkonfigurasi Sebuah NTP Master dan Client
• Untuk mengkonfigurasi router sebagai sumber otoritatif waktu, gunakan perintah ntp master dalam modus konfigurasi global.
• Untuk mengkonfigurasi router sebagai klien NTP, baik:– Buat asosiasi ke server menggunakan server perintah ntp server command.
– Mengkonfigurasi router untuk mendengarkan siaran paket NTP menggunakan siaran perintah ntp broadcast client .
Mengidentifikasi NTP Server
• Meskipun router dapat dikonfigurasi dengan baik rekan atau server asosiasi, klien NTP biasanya dikonfigurasi dengan asosiasi Server (berarti bahwa hanya sistem ini akan melakukan sinkronisasi ke sistem lain, dan bukan sebaliknya versa).
• Untuk memungkinkan jam perangkat lunak yang akan disinkronisasi dengan server waktu NTP, gunakan perintah ntp server dalam mode konfigurasi global.
ntp server {ip-address | hostname} [version number] [key keyid] [source interface] [prefer]
Router(config)#
• NTP broadcast client:
– Di samping atau bukannya menciptakan unicast NTP asosiasi, sistem dapat dikonfigurasi untuk mendengarkan siaran paket pada basis antarmuka-ke-antarmuka.
• Untuk melakukan ini, gunakan perintah ntp broadcast client dalam mode konfigurasi antarmuka.
Konfigurasi Asosiasi NTP
ntp broadcast client
Router(config-if)#
• Waktu yang mesin jaga adalah sumber daya yang penting, sehingga fitur keamanan NTP harus digunakan untuk menghindari pengaturan disengaja atau pengaturan berbahaya pada waktu yang salah.
• Dua mekanisme yang tersedia:
– Skema pembatasan berbasis ACL– Otentikasi terenkripsi
Keamanan NTP
Perintah Otentikasi NTP
• Mengaktifkan fitur otentikasi.
• Tentukan kunci otentikasi yang akan digunakan untuk kedua rekan dan Server asosiasi.
• Menentukan kunci yang bisa dipercaya.
Mengkonfigurasi Otentikasi NTP
Router(config)#
ntp authentication-key key-number md5 value
Router(config)#
ntp trusted-key key-number
Router(config)#
ntp authentication
Contoh Konfigurasi NTP
R1(config)# ntp master 5R1(config)# ntp authentication-key 1 md5 R1-SECRETR1(config)# ntp peer 209.165.200.225 key 1
R2(config)# ntp authentication-key 1 md5 R1-SECRETR2(config)# ntp authentication-key 2 md5 R2-SECRETR2(config)# ntp trusted-key 1R2(config)# ntp server 209.165.201.1R2(config)# interface Fastethernet0/0R2(config-if)# ntp broadcast
R3(config)# ntp authentication-key 1 md5 R2-SECRETR3(config)# ntp trusted-key 1R3(config)# interface Fastethernet0/1R3(config-if)# ntp broadcast client
R1 R2 R3
209.165.200.225Internet
209.165.201.1 Fa0/0 Fa0/1
© 2012 Cisco and/or its affiliates. All rights reserved. 12
Menonaktifkan Cisco Router
tidak digunakan Network
Services dan Antarmuka
Services Router Rentan
• Ukuran Menengah dan jaringan besar biasanya menggunakan alat firewall (PIX / ASA) di belakang router perimeter, yang menambahkan fitur keamanan dan melakukan otentikasi pengguna dan packet filtering lebih maju.
• Instalasi firewall juga memfasilitasi penciptaan Zona Demiliterisasi (DMZs), di mana host firewall 'tempat' yang biasa diakses dari Internet.
Services Router Rentan
• Sebagai alternatif, Cisco IOS software dapat menggabungkan banyak fitur firewall dalam router perimeter. – Opsi ini hanya berlaku untuk persyaratan
keamanan perimeter usaha kecil-menengah. • Namun, router Cisco IOS menjalankan
berbagai layanan yang menciptakan kerentanan potensial. – Untuk mengamankan jaringan perusahaan,
semua layanan yang tidak diperlukan dan router interface harus dinonaktifkan.
Unnecessary Services
Unnecessary Services
Commonly Configured Management Services
Path Integrity Mechanisms
Probe and Scan Features
Terminal Access Security
ARP Service
IP Directed Broadcasts
Disable Unneeded Services•Router(config)# no ip bootp server•Router(config)# no cdp run•Router(config)# no ip source-route•Router(config)# no ip classless•Router(config)# no service tcp-small-servers•Router(config)# no service udp-small-servers•Router(config)# no ip finger•Router(config)# no service finger•Router(config)# no ip http server•Router(config)# no ip name-server•Router(config)# no boot network•Router(config)# no service config
IP Classless Routing
• Secara default, router Cisco akan membuat upaya untuk rute hampir semua paket IP. – Jika sebuah paket ysng ditujukan ke subnet dari
jaringan tanpa jaringan rute default, maka IOS akan menggunakan IP Routing tanpa kelas untuk meneruskan paket sepanjang rute terbaik yang tersedia.
• Fitur ini sering tidak diperlukan karena pada router mana IP tanpa kelas routing tidak diperlukan. Nonaktifkan dengan menggunakan no ip classless
Protecting Routing Table Integrity
• Gunakan hanya rute statis: – Bekerja dengan baik dalam jaringan kecil.– Tidak cocok untuk jaringan besar.
• Otentikasi update tabel rute: – Konfigurasi routing yang otentikasi.– Update router dikonfirmasi memastikan
bahwa pesan-pesan pembaruan berasal dari sumber yang sah.
Passive Interfaces
• Mengkonfigurasi perintah passive-interface untuk mencegah hacker dari belajar tentang keberadaan rute tertentu atau protokol routing yang digunakan
Router Hardening Considerations
• Penyerang dapat memanfaatkan layanan router yang tidak terpakai dan interface.
• Administrator tidak perlu tahu bagaimana memanfaatkan layanan, tetapi mereka harus tahu bagaimana untuk menonaktifkan mereka.
• Hal ini membosankan untuk menonaktifkan layanan individual.
• Sebuah metode otomatis diperlukan untuk mempercepat proses pengerasan.
Locking Down Routers with AutoSecure
• Fitur AutoSecure dirilis pada Cisco IOS Release 12,3..
• AutoSecure adalah program privileged EXEC tunggal yang memungkinkan penghapusan banyak ancaman keamanan potensial dengan cepat dan mudah. – AutoSecure membantu untuk membuat Anda lebih efisien
dalam mengamankan router Cisco.• AutoSecure memungkinkan dua mode operasi:
– Interactive mode: Anjuran untuk memilih cara yang Anda ingin mengkonfigurasi router layanan dan fitur keamanan lain.
– Noninteractive mode: fitur keamanan terkait Configures pada router Anda berdasarkan satu set default Cisco.
• Management plane services and functions:– Finger, PAD, UDP and TCP small servers, password encryption,
TCP keepalives, CDP, BOOTP, HTTP, source routing, gratuitous ARP, proxy ARP, ICMP (redirects, mask-replies), directed broadcast, MOP, banner
– password security and SSH access• Forwarding plane services and functions:
– CEF, traffic filtering with ACLs• Firewall services and functions:
– Cisco IOS Firewall inspection for common protocols• Login functions:
– Password security• NTP protocol
• SSH access
• TCP Intercept services
AutoSecure Can Lockdown Planes
• If AutoSecure fails to complete its operation, the running configuration may be corrupt:
– In Cisco IOS Release 12.3(8)T and later releases a pre-AutoSecure configuration snapshot is stored in the flash under filename pre_autosec.cfg.
– Rollback reverts the router to the router’s pre-autosecure configuration using the configure replace flash:pre_autosec.cfg command.
– If the router is using software prior to Cisco IOS Release 12.3(8)T, the running configuration should be saved before running AutoSecure.
AutoSecure Failure Rollback Feature
C Langkah-langkah Cisco AutoSecure Interaktif :
•Langkah 1 - Identifikasi interface luar.
•Langkah 2 - Amankan bidang manajemen.
•Langkah 3 - Membuat banner keamanan.
•Langkah 4 - password Configure, AAA, dan SSH.
•Langkah 5 - Amankan forwarding plane.
AutoSecure Process Overview
auto secure [management | forwarding] [no-interact | full] [ntp | login | ssh | firewall | tcp-intercept]
Router#
Auto Secure Parameters
Router# auto secure--- AutoSecure Configuration ---
*** AutoSecure configuration enhances the security of the router but it will not make router absolutely secure from all security attacks ***All the configuration done as part of AutoSecure will be shown here. For more details of why and how this configuration is useful, and any possible side effects, please refer to Cisco documentation of AutoSecure.At any prompt you may enter '?' for help.Use ctrl-c to abort this session at any prompt.Gathering information about the router for AutoSecure
Is this router connected to internet? [no]: yEnter the number of interfaces facing internet [1]: 1Interface IP-Address OK? Method Status ProtocolEthernet0/0 10.0.2.2 YES NVRAM up upEthernet0/1 172.30.2.2 YES NVRAM up up
Enter the interface name that is facing internet: Ethernet0/1
Step 1: Identify Outside Interfaces(Identifikasi Antarmuka luar)
Step 2: Secure Management PlaneSecuring Management plane services..Disabling service fingerDisabling service padDisabling udp & tcp small serversEnabling service password encryptionEnabling service tcp-keepalives-inEnabling service tcp-keepalives-outDisabling the cdp protocolDisabling the bootp serverDisabling the http serverDisabling the finger serviceDisabling source routingDisabling gratuitous arp
Step 3: Create Security BannerHere is a sample Security Banner to be shown at every access to device. Modify it to suit your enterprise requirements.Authorised Access only This system is the property of Woolloomooloo Pty Ltd. UNAUTHORISED ACCESS TO THIS DEVICE IS PROHIBITED. You must have explicit permission to access this device. All activities performed on this device are logged and violations of of this policy result in disciplinary action.Enter the security banner {Put the banner betweenk and k, where k is any character}:%This system is the property of Cisco Systems, Inc.UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.%
Step 4: Passwords, AAA and Login Blocking
Enable secret is either not configured or is same as enable passwordEnter the new enable secret: Curium96Configuration of local user databaseEnter the username: student1Enter the password: student1Configuring aaa local authenticationConfiguring console, Aux and vty lines forlocal authentication, exec-timeout, transportSecuring device against Login AttacksConfigure the following parametersBlocking Period when Login Attack detected: 300Maximum Login failures with the device: 3Maximum time period for crossing the failed login attempts: 60
Step 5: SSH and Interface-SpecificsConfigure SSH server? [yes]: yEnter the hostname: R2Enter the domain-name: cisco.com
Configuring interface specific AutoSecure servicesDisabling the following ip services on all interfaces: no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-replyDisabling mop on Ethernet interfaces
Step 6: Forwarding Plane and Firewall
Securing Forwarding plane services..Enabling CEF (This might impact the memory requirements for your platform)Enabling unicast rpf on all interfaces connectedto internetConfigure CBAC Firewall feature? [yes/no]: yes This is the configuration generated:
no service fingerno service padno service udp-small-serversno service tcp-small-serversservice password-encryption..Apply this configuration to running-config? [yes]: y
• CCP simplifies router and security configuration through smart wizards that help to quickly and easily deploy, configure, and monitor a Cisco router without requiring knowledge of the CLI.
• CCP simplifies firewall and IOS software configuration without requiring expertise about security or IOS software.
• CCP contains a Security Audit wizard that performs a comprehensive router security audit.
Locking Down Routers with Cisco CCP
• menggunakan konfigurasi keamanan yang direkomendasikan oleh Cisco Technical Assistance Center (TAC) dan International Computer Security Association (ICSA) sebagai dasar untuk perbandingan dan pengaturan default.
• Keamanan Audit Wizard menilai kerentanan router yang ada dan memberikan kepatuhan cepat untuk kebijakan keamanan praktek terbaik.
• CCP bisa menerapkan hampir semua konfigurasi yang menawarkan AutoSecure dengan fitur Lockdown One-Step.
Locking Down Routers with Cisco CCP
• Security Audit membandingkan konfigurasi router terhadap pengaturan yang direkomendasikan..
• Contoh audit meliputi:
– Matikan server tidak dibutuhkan.– Nonaktifkan layanan yang tidak diperlukan.– Terapkan firewall ke luar interface.– Menonaktifkan atau mengeras SNMP.– Matikan interface yang tidak terpakai.– Periksa kekuatan password.– Menegakkan penggunaan ACL.
CCP Security Audit Overview
CCP Security Audit: Main Window
CCP Security Audit Wizard
CCP Security Audit Configuration
CCP Security Audit
CCP Security Audit
CCP Security Audit: Summary
CCP One-Step Lockdown
CCP One-Step Lockdown Wizard
• Part 1: Basic Network Device Configuration
• Part 2: Control Administrative Access for Routers
– Configure and encrypt all passwords.– Configure a login warning banner.– Configure enhanced username password security.– Configure enhanced virtual login security.– Configure an SSH server on a router.– Configure an SSH client and verify connectivity.
• Part 3: Configure Administrative Roles
– Create multiple role views and grant varying privileges.– Verify and contrast views.
• Part 4: Configure Cisco IOS Resilience and Management Reporting
– Secure the Cisco IOS image and configuration files.– Configure a router as a synchronized time source for other devices using NTP.– Configure Syslog support on a router.– Install a Syslog server on a PC and enable it.– Configure trap reporting on a router using SNMP.– Make changes to the router and monitor syslog results on the PC.
• Part 5: Configure Automated Security Features
– Lock down a router using AutoSecure and verify the configuration.– Use the CCP Security Audit tool to identify vulnerabilities and to lock down services.– Contrast the AutoSecure configuration with CCP.
Lab 2A: Securing the Router for Administrative Access
© 2012 Cisco and/or its affiliates. All rights reserved. 51