CISCO IOS HARDENING

แผนการจัดการ
การดำเนินการทั่วไปของแผนการจัดการ hardening (ทำให้แฮกยาก)
-เข้าถึงอุปกรณ์ network โดยใช้ ssh
-จัดเก็บสถิติ โดยใช้ snmp
-deployment cisco ios โดยใช้ FTP
-ใช้พาสเวิร์ดที่ ปลอดภัย , แข็งแรง
-มีการทำ enable password , enable secret
-และ  No service password -recovery
-ใช้พาสเเวิร์ดที่แข็งแรง
-use the login password rery lockout feature
-มีการ motnitor memory  , cpu load ของอุปกรณ์ network

ปิด Service ดังต่อไปนี้
-UDP
-Maintenance Operation protocol - [MOP]
-PAD
-BOOTP
-finger protocol
-dhcp
-dns resolution services
-http


การ Secure interactive management sessions
ด้วยการ จำกัด ip ที่ใช้จัดการอุปกรณ์ nework โดยใช้

-access-classes
-MMP
-CoPP

รวมถึงการใช้ banner และใช้ protocols ที่ปลอดภัย
-SSH
-SCP

จำกัดการเข้าถึง Network ด้วย iACLs
-ใช้  AAA
-ป้องกัน snmp ให้แข็งแรง


=================  Control plane ================
ออกแบบภายใน gateway protocols
อย่างเช่น  EIGRP , หรือ  OSPF
BGP , NTP

หรือ LDP ใช้ใน Multiprotocol label switching [MPLS]


ขั้นที่สอง -------
Disable icmp redirect processing
Disable icmp unreachable generation
Disable proxy ARP

ถ้าใช้ NTP ให้คอนฟิก  trusted time source
และใช้ Proper Authentication.

----------

limit traffic ที่เกิดผลกระทบต่อ cpu
-use iACLs , rACLs
-use coPP , CPPr
-use HWRLs

-------secure BGP 
-ใช้ GTSM หรือที่รู้จักกันในชื่อ BTSH
-implement bgp peer authentica-ion ด้วย md5
-config maximum number ของ bgp prefixes ที่จัดเก็บโดย router ภายใน memory
-filter BGP prefixes = BGP autonomous system  (AS)
= access lists and prefix lists

-secure IGPs
ใช้ routing protocol authentication ด้วย md5 , passive-interface command , route filtering


--------secure first hop Redundancy protocols (FHRPs)

=======data plane
-user web browsing
-E-mail
-Streaming Video
-ip telephony


การจัดการทั่วไปเกี่ยวกับ Data plane hardening
-Use the ip options Selective drop feature
-disable ip source routing
-disable icmp redirects
-disable หรือ limit ip directed broadcasts


----------------------------
-Antispoofing สามารถป้องกันได้ในหลายการโจมตี

-limit data plane traffic ที่มีผลกระทบต่อ CPU
=กรอง packets containing ip options where they are not needed
=minimize cpu-intensive features such as ACL logging and ip fragmentation


================
แยกแยะ และ ติดตามการโจมตี
-cisco ios netflow
-classification ACLs
-ใช้ vlan maps และ port ACLs
-ใช้ private VLANs


Source : http://www.slideshare.net/guest575e9c/cisco-ios-suneet