แผนการจัดการ
การดำเนินการทั่วไปของแผนการจัดการ hardening (ทำให้แฮกยาก)
-เข้าถึงอุปกรณ์ network โดยใช้ ssh
-จัดเก็บสถิติ โดยใช้ snmp
-deployment cisco ios โดยใช้ FTP
-ใช้พาสเวิร์ดที่ ปลอดภัย , แข็งแรง
-มีการทำ enable password , enable secret
-และ No service password -recovery
-ใช้พาสเเวิร์ดที่แข็งแรง
-use the login password rery lockout feature
-มีการ motnitor memory , cpu load ของอุปกรณ์ network
ปิด Service ดังต่อไปนี้
-UDP
-Maintenance Operation protocol - [MOP]
-PAD
-BOOTP
-finger protocol
-dhcp
-dns resolution services
-http
การ Secure interactive management sessions
ด้วยการ จำกัด ip ที่ใช้จัดการอุปกรณ์ nework โดยใช้
-access-classes
-MMP
-CoPP
รวมถึงการใช้ banner และใช้ protocols ที่ปลอดภัย
-SSH
-SCP
จำกัดการเข้าถึง Network ด้วย iACLs
-ใช้ AAA
-ป้องกัน snmp ให้แข็งแรง
================= Control plane ================
ออกแบบภายใน gateway protocols
อย่างเช่น EIGRP , หรือ OSPF
BGP , NTP
หรือ LDP ใช้ใน Multiprotocol label switching [MPLS]
ขั้นที่สอง -------
Disable icmp redirect processing
Disable icmp unreachable generation
Disable proxy ARP
ถ้าใช้ NTP ให้คอนฟิก trusted time source
และใช้ Proper Authentication.
----------
limit traffic ที่เกิดผลกระทบต่อ cpu
-use iACLs , rACLs
-use coPP , CPPr
-use HWRLs
-------secure BGP
-ใช้ GTSM หรือที่รู้จักกันในชื่อ BTSH
-implement bgp peer authentica-ion ด้วย md5
-config maximum number ของ bgp prefixes ที่จัดเก็บโดย router ภายใน memory
-filter BGP prefixes = BGP autonomous system (AS)
= access lists and prefix lists
-secure IGPs
ใช้ routing protocol authentication ด้วย md5 , passive-interface command , route filtering
--------secure first hop Redundancy protocols (FHRPs)
=======data plane
-user web browsing
-E-mail
-Streaming Video
-ip telephony
การจัดการทั่วไปเกี่ยวกับ Data plane hardening
-Use the ip options Selective drop feature
-disable ip source routing
-disable icmp redirects
-disable หรือ limit ip directed broadcasts
----------------------------
-Antispoofing สามารถป้องกันได้ในหลายการโจมตี
-limit data plane traffic ที่มีผลกระทบต่อ CPU
=กรอง packets containing ip options where they are not needed
=minimize cpu-intensive features such as ACL logging and ip fragmentation
================
แยกแยะ และ ติดตามการโจมตี
-cisco ios netflow
-classification ACLs
-ใช้ vlan maps และ port ACLs
-ใช้ private VLANs
Source : http://www.slideshare.net/guest575e9c/cisco-ios-suneet