-Possiamo quindi impostare la lunghezza minima della password a 10 caratteri:
cisco1700(config)#security passwords min-length 10
-Per impedire che un hacker possa decifrare la nostra password di “enable” che ci consente di entrare in modalità privilegiata, possiamo utilizzare il comando “secret” che crittograferà la password utilizzando il robusto algoritmo MD5.
cisco1700(config)#enable secret M1aPassword
-Ora andiamo a crittografare tutte le altre password presenti nella configurazione abilitando a livello global il servizio “service password encryption”. Questo servizio utilizza una crittografia proprietaria Cisco, non essendo molto efficace serve solo a proteggere le password da occhi indiscreti.
cisco1700(config)#service password-encryption
Come potete vedere dallo “show run” il numero 5 sulla password di enable indica che è utilizzata la crittografia MD5,mentre il numero 7 per l’utente cisco indica la crittografia proprietaria Cisco.
-Se il nostro router non è installato in un locale adatto e ben sorvegliato, un malintenzionato può collegarsi alla porta console ed effettuare una procedura di password recovery. Possiamo mitigare questo tipo di intrusione disabilitando la modalità “rommon”,in questo modo dalla porta console si potrà soltanto fare un reset di fabbrica senza permettere la visualizzazione o la manipolazione della nostra configurazione.
cisco1700(config)#no service password-recovery
-Sempre per rendere inefficace un attacco di tipo brute-force andiamo ad impostare un delay di 5 secondi tra ogni tentativo di autenticazione e configuriamo un messaggio di allerta dopo 5 tentativi falliti aggiungendo un ulteriore delay di 15 secondi
cisco1700(config)#security authentication failure rate 5 log
cisco1700(config)#login delay 5
cisco1700(config)#login on failure log every 3
-Per evitare che qualcuno possa prendere il controllo di una postazione amministrativa lasciata incustodita indichiamo un time-out di inattività sulle interfacce virtuali.
cisco1700(config)#line vty 04
cisco1700(config-line)#exec-timeout 2 30
-Attiviamo la funzionalità “Cisco IOS resilient configuration”, grazie alla quale l’immagine IOS verrà nascosta dal comando “show flash” e la “running-configuration” sarà archiviata in uno spazio persistente della memoria.
cisco1700(config)#secure boot-image
cisco1700(config)#secure boot-config
-Di default le connessioni virtuali utilizzano il protocollo telnet,che non avvalendosi di crittografia è altamente insicuro. Abilitiamo quindi il protocollo SSH e disabilitiamo il telnet.
Per la configurazione vi rimando a questo articolo:
Configurare l’SSH in un router Cisco
-Cisco ci mette a disposizione un potente strumento per fare hardening del nostro router introducendo la funzione “auto secure”, che tramite un prompt interattivo svolgerà diversi compiti come la disabilitazione dei servizi non necessari,la configurazione di un firewall CBAC,l’attivazione del timestamp per una migliore lettura dei log,lo shutdown delle interfacce inutilizzate.
Basterà digitare il comando “auto secure” in exec mode e rispondere alle varie richieste.
Alla fine del processo verrà generata una configurazione da applicare al router.
View Comments (4)
Ottimo! Grazie.
Non conoscevo il comando "auto secure" è nuovo? E comunque sulla CCNA non è presente.
è introdotto dalla versione Cisco IOS Software Releases 12.3 and 12.3T.
http://www.cisco.com/global/EMEA/sitewide_assets/pdfs/tdm/threat/autosecure.pdf
L'argomento è trattato nella certificazione IINS Cisco Security
640-554
Cool blog!