Cisco – Lock & Key

Discutendo una sera sulla sicurezza dei servizi SSH e sull’alternativa di utilizzare porte non standard per ovviare ai frequenti tentativi di instrusione automatici effettuati da bot, l’idea e’ offuscare la porta 22 con stratagemmi simili a port knocking, IOS a riguardo puo’ essere sfruttato con una funzione chiamata Lock & Key si tratta di condizionare una ACL per un tempo limitato per mezzo di autenticazione.

Il meccanismo puo’ essere integrato su router di confine o router di accesso che abbiamo autenticazione locale o TACAS+

– Prima fase e’ abilitare e definire il metodo di autenticazione, in questo esempio e’ locale sul router nel caso ci sia un server ACS specificare i parametri.

aaa new-model
aaa authentication login userauthen local
aaa authentication login clientauth local
aaa authorization network groupauthor local

– Seconda fase definire almeno un utente:

username cisco privilege 15 password cisco

– Terza fase applicare un gruppo all’interfaccia di ingresso:

interface FastEthernet0/0
ip access-group 150 in

– Quarta fase definire l’access list, la prima abilita il telnet, la seconda abilita l’ssh in condizione di autenticazione posiva, e lascia attiva la regola per 120 secondi dopo che connesione viene chiusa:

access-list 150 permit tcp any any eq telnet
access-list 150 dynamic TL01 timeout 120 permit tcp any any eq 22

– Quinta fase definire l’autocommad nella sezione terminali virtuali, nel caso specifico se si esegue un login via telnet si attiva l’ACL, per la gestione del router sono dedicate le line SSH

line vty 0 4
privilege level 15
autocommand  access-enable timeout 5
transport input telnet

line vty 5 9
privilege level 15
transport input ssh

Cisco – Lock & Key Read More »