Ing. Robert Schütz. Absicherung von Netzwerkdevices und Sicherheitsaspekte von Routing Protokollen. Telekom Austria AG Technology Consultant Networks

Transkript

1 Ing. Robert Schütz Absicherung von Netzwerkdevices und Sicherheitsaspekte von Routing Protokollen Telekom Austria AG Technology Consultant Networks ICRC, ACRC, CIT, CLSW, MPLS, PIX Workshop, CCIE Routing and Switching (CCIE# 4744), CCNA, CCDA, CCNP, CCSP, CQS-CWLDS, Microsoft MCP

2 Absicherung von Netzwerkdevices und Sicherheitsaspekte von Routing Protokollen Ing. Robert Schütz

3 Agenda Access Control Software Vulnerability Unnecessary Protocols and Services Secure Routing SNMP Security Logging

4 Access Control Administrative Zugriffsmöglichkeiten auf Netzwerkdevices: Lokal Konsole Remote Telnet SSH RSH HTTP(S) SNMP Modem

5 Access Control Unterschiedliche Berechtigungen setzen. z.b.: Cisco Equipment Priviledged Level 1 bis 15 (1 User, 15 Admin) z.b.: HP Equipment Operator (Lese Rechte) Manager (Schreib- und Lese Rechte)

6 Access Control Schutz vor unberechtigten Zugriff über Konsole. Technikräume versperren! Sicheres Passwort auf der Konsole vergeben! Eventuell Passwort Recovery Funktion deaktivieren!

7 Access Control Unsichere Remote Access Protokolle: Telnet, HTTP, SNMPv1, SNMPv2c, RSH, Modem Sichere Remote Access Protokolle SSH, HTTPS, SNMPv3 Problem: Telnet und SNMPv1 sind weit verbreitet!

8 Access Control Allowed Hosts einrichten am Beispiel von Cisco IOS SSH (Telnet) Zugriff aus dem Netz /24 erlauben! username robert secret *****! access-list 10 permit ! line vty 0 4 access-class 10 in login local transport input ssh (telnet) HTTP(S) Zugriff aus dem Netz /24 erlauben! access-list 99 permit ! (ip http server) ip http access-class 99 ip http secure-server

9 Access Control TACACS+ bzw. RADIUS Authentifizierung Vorteil: Zentrale Benutzerverwaltung und Protokollierung Jeder Administrator/Operator arbeitet mit eigenem User. Passwortänderungen und Benutzeränderungen können zentral durchgeführt werden. Achtung: Gefahr des Aussperrens bei Netzwerkausfällen oder bei Ausfall des TACACS+ oder RADIUS Servers.

10 Access Control TACACS+ Server einrichten am Beispiel von Cisco IOS username emergency secret ****** (Notfall User)! aaa new-model aaa authentication login auth-admins group tacacs+ local aaa authentication enable default enable! tacacs-server host tacacs-server key securityforum06! line vty 0 4 transport input ssh (telnet) login authentication auth-admins

11 Software Vulnerability Einige Beispiele für bekannte Software Bugs: CERT Advisory CA Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP) Cisco IOS HTTP Authorization Vulnerability Cisco IOS HTTP Server Code Injection Vulnerability HP Procurve 4000 Stacked Switch HTTP Reset Vulnerability

12 Software Vulnerability

13 Software Vulnerability Empfehlungen: Nicht benötigte Dienste deaktivieren! no ip http server, no snmp server, Allowed Hosts explizit angeben! access-list 1 permit ip http access-class 1 Aktuelle gepatchte Software einsetzen!

14 Unnecessary Protocols and Services Empfehlungen (Fortsetzung): Folgende Services werden normalerweise nicht benötigt und sollten daher überhaupt deaktiviert werden: Source Routing no ip source-route Finger no ip finger Small Services no service tcp-small-servers no service udp-small.servers ICMP unreachables (in Verbindung mit Access-Listen) Durch das Interface Kommando no ip unreachables wird der Router veranlasst keine Meldung zu versenden wenn gegen eine Access-Liste verstoßen wird. Reduziert unter anderem die Geschwindigkeit mit der Port Scans durchgeführt werden können.

15 Unnecessary Protocols and Services Empfehlungen (Fortsetzung): HTTP wenn möglich deaktivieren oder zumindest auf bestimmte Hosts einschränken. CDP Cisco Discovery Protokoll Layer2 Protokoll über das Informationen wie Software Versionen, Connected Ports, IP Adressen, usw. versendet werden. Soll in Security kritischen Bereichen entweder global no cdp run oder per Interface no cdp enable deaktiviert werden.

16 Secure Routing Antispoofing: Antispoofing mit Hilfe von Access Listen (ACL). Router überprüfen normalerweise nicht die Source IP Adresse eines IP Paketes. Deshalb kann die Absender IP Adresse leicht gefälscht werden. Mit Hilfe einer ACL am Perimeter Router können z.b. reservierte IP Bereiche geblockt werden. Bei Internetzugängen sind das vor allem RFC 1918 (private IP s) oder noch besser RFC 3330 (Special-Use IPv4 Addresses) Adressen. Vor allem sollten auch die vom Provider zugewiesenen eigenen IP Adressen in diese ACL aufgenommen werden!

17 Secure Routing Beispiel für eine Antispoofing ACL! Block RFC 1918 reserved IP Address Ranges access-list 10 deny access-list 10 deny access-list 10 deny ! Block for Loopback reserved Address Range access-list 10 deny ! Block for Multicast reserved IP Address Range access-list 10 deny ! Block own from Provider assigned IP Address Range access-list 10 deny access-list 10 permit any! interface serial 0 description ### Link to Internet ### ip access-group 10 in

18 Secure Routing urpf (Unicast Reverse Packet Forwarding) Der Router überprüft mit Hilfe der Routing Tabelle ob das IP Paket tatsächlich auf dem richtigen Ingress Interface hereingekommen ist. Wird direkt am Interface mit dem Kommando ip verify unicast reverse-path aktiviert (funktioniert nur in Verbindung mit CEF Cisco Express Forwarding) Problematisch bei asymmetrischen Routing.

19 Secure Routing Absicherung von Routing Protokollen. Meist laufen Routing Protokolle wie RIP, OSPF, BGP ohne Authentifizierung. Es ist daher für einen Angreifer relativ leicht möglich direkt in das Routing einzugreifen. Um diese Sicherheitslücke zu schließen bieten die meisten Routing Protokolle die Möglichkeit der Authentifizierung. Dabei sollte natürlich auf plain text Authentifizierung verzichtet werden, da dabei das Passwort leicht mitgesniffert werden kann.

20 Secure Routing Beispiel für RIPv2 MD5 Authentifizierung. Hinweis: RIPv1 unterstützt keine Authentifizierung! key chain 4rip key 1 key-string forum2006! interface Serial0 ip address ip rip authentication mode md5 ip rip authentication key-chain 4rip! router rip version 2 network

21 Secure Routing Beispiel für OSPF MD5 Authentifizierung. interface Loopback0 ip address ! interface Serial2 ip address ip ospf message-digest-key 1 md5 forum2006! router ospf 10 network area 0 network area 0 area 0 authentication message-digest

22 Secure Routing Beispiel für BGP MD5 Authentifizierung. router bgp 100 network neighbor remote-as 200 neighbor password forum2006

23 SNMP Security SNMP Version 1 Sicherheits Problem: Die Authentifizierung erfolgt nur durch einen Community String welcher im Klartext über das Netzwerk geschickt wird. Darüber hinaus werden häufig die Community Strings public und private verwendet. Beim Einsatz von SNMPv1 sollte zumindest eine Einschränkung auf berechtigte Hosts erfolgen und wenn möglich die Berechtigung lediglich auf RO Read Only gesetzt werden. Beispiel: access-list 10 permit ! snmp-server community forum2006 RO 10

24 SNMP Security SNMP Version 2 Da keine Einigung über SNMPv2 gefunden wurde hat sich lediglich SNMPv2c in geringem Ausmaß durchgesetzt. Es bestehen die gleichen Sicherheits Probleme wie bei SNMPv1. Link zu SNMP: eine kleine Bestandsaufnahme

25 SNMP Security SNMP Version 3 SNMPv3 bietet die Möglichkeit eines (optional) gesicherten Zugriffes mittels Authentifzierung und Verschlüsselung. Nachteil: Wird derzeit von vielen Geräten noch nicht unterstützt (Cisco IOS ab Version 12.0(3)T). Beispiel: snmp-server group nurauth v3 priv snmp-server user snmptest nurauth v3 auth md5 snmppwd priv des56 privkey (snmp-server group nurauth v3 auth access 10)! (access-list 10 permit ) Abfrage: snmpwalk v 3 u snmptest -l authpriv A snmppwd X privkey

26 Logging Logging Meldungen werden in Prioritätsstufen von 0 bis 7 eingeteilt. Ein niedriger Wert bedeutet eine höhere Priorität der Meldung! Logging Level 0 Emergencies (System is unusable) 1 Alerts (Immediate action is needed) 2 Critical (A critical condition has occurred) 3 Errors (An error condition has occurred) 4 Warning (A warning message) 5 Notifications (Normal but significant events) 6 Information (Information messages) 7 Debugging (Debugging messages)

27 Logging Router / Switch Logging Console Logging Ausgabe über den Konsolen Port. Per default werden Meldungen bis Level 5 ausgegeben. Buffered Logging Logging Meldungen werden im RAM des Routers gespeichert und wird mit dem Kommando logging buffered aktiviert. Tipp: NTP am Router / Switch aktivieren und mit dem Kommando service timestamps log datetime localtime automatisch die korrekte Uhrzeit zu den Meldungen abspeichern! Terminal Logging Mit dem Kommando terminal monitor werden die Logging Meldungen, die normalerweise an die Konsole geschickt werden, auch an die eigene Terminal Session (Telnet oder SSH) geschickt.

28 Logging Router / Switch Logging (Fortsetzung) Syslog Um Logging Informationen dauerhaft zu speichern sollte ein eigener Syslog Server verwendet werden. Mit den folgenden Kommandos werden Logging Meldungen bis Level 5 an den Syslog Server geschickt. logging host logging trap 5

29 Logging Router Logging (Fortsetzung) SNMP Traps Mit nachfolgenden Kommandos werden Logging Meldungen an den SNMP Server mit dem Community Namen forum2006 gesendet. snmp-server host forum2006 snmp-server enable traps

30 Logging Router /Switch Logging (Fortsetzung) AAA Accounting In Verbindung mit TACACS+ oder RADIUS Servern können verschiedene Accounting Funktionen genutzt werden. Nachfolgend zwei Beispiele für Accounting mittels TACACS+ Server (eine funktionierende AAA Konfiguration vorausgesetzt). Protokollierung wer zu welcher Zeit eingeloggt war! aaa accounting exec default start-stop group tacacs+ Protokollierung welche priviledged level 15 Kommandos ausgeführt wurden! aaa accounting commands 15 default start-stop group tacacs+

31 Logging Treffer bei Access Listen loggen. Wird bei Access List Einträgen am Ende der Zeile das keyword log bzw. log-input nachgestellt, werden Treffer auf diese Regel protokolliert. Beispiel (mit Logging Auszug): access-list 100 deny tcp any log Apr 15 03:28:10: %SEC-6-IPACCESSLOGP: list extern denied tcp (58130) -> (135), 2 packets Apr 15 03:28:56: %SEC-6-IPACCESSLOGP: list extern denied tcp (1757) -> (135), 1 packet

32 Ing. Robert Schütz Fragen?

33 Absicherung von Netzwerkdevices und Sicherheitsaspekte von Routing Protokollen Vielen Dank für Ihre Aufmerksamkeit! Ing. Robert Schütz