Resultados 1 al 3 de 3

Hardening Switches Cisco + Syslog y Radius

Ver modo hilado

Mensaje anterior Mensaje anterior   Próximo mensaje Próximo mensaje
  1. #1 Hardening Switches Cisco + Syslog y Radius 
    Colaborador HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Uruguay
    Mensajes
    1.451
    Descargas
    11
    Uploads
    0
    Estimadisimos!

    Hacía mucho que no aportaba nada a la comunidad, el trabajo recorta muchas de las actividades que hacía uno cuando era estudiante.

    Pero bueno, me estoy tomando un buen rato para devolver un poco de conocimiento del que he recibido en este foro.
    Tal vez útil para algunos.

    Esto es un procedimiento que se hace aqui para hacer más seguro un switch o un router, pc, etc. (Hardenining ).

    Le hemos agregado algunas cosas como autentificación con Radius, y acceso para hacer backups de running config y logs (syslog).


    Sin más y a modo de script que es como los corro yo, más alguno que otro comentario:

    Código:
    ip domain-name cypress.com
    crypto key generate rsa
    1024
    ip ssh version 2
    ip ssh time-out 60
    ip ssh authentication-retries 3
    access-list 2 permit host 10.20.75.120 # le doy acceso a mi máquina
    access-list 2 permit host 10.20.75.5 # le doy acceso a un servidor que corre varios servicios ( radius, syslog, backup etc )
    aaa new-model
    aaa group server radius RadiusServers
     server 10.20.75.5 auth-port 1812 acct-port 1813
    exit
    aaa authentication login default group RadiusServers local
    aaa authentication enable default group RadiusServers enable
    radius-server host 10.20.75.5 auth-port 1812 acct-port 1813 key M1_Super_Clave_D1f1c1l
    access-list 55 remark PERMIT hosts requesting TFTP access  # Doy acceso para sacar la running config y hacer backup.
    access-list 55 permit 10.20.75.5
    tftp-server nvram:startup-config 55
    vlan 52
    name Servidores_cypress
    exit
    interface vlan 52
    ip access-group 2 in
    ip address 10.20.75.6 255.255.255.128 #Direccion administrativa
    exit
    line vty 0 4
    password M1_Super_Clave_D1f1c1l
    transport input ssh # dejamos solo acceso por ssh
    line vty 5 15
    password M1_Super_Clave_D1f1c1l
    transport input ssh # lo mismo
    exit
    
    logging buffered 
    logging history 7 # nivel de detalle del log, 7 es el más alto.
    logging 10.20.75.5 # tiramos todos los cambios al syslog
    line vty 0 4
    exec-timeout 20 00
    line vty 5 15
    exec-timeout 20 00
    exit
    no service udp-small-servers 		
    no service tcp-small-servers 		
    no service pad
    no ip http server
    no ip bootp server
    no service finger
    no ip finger
    no ip domain-lookup
    banner login ^
    ************************************
    * banner genial para los juackers  *
    ************************************
    ^
    -------------------

    Configuración de syslog-ng

    en Debian GNU/Linux 5.0
    Código:
    destination switch-cypress { file("/var/log/switch-cypress.log"); };
    log { source(s_all); filter(f_switch-cypress); destination(switch-cypress); };
    
    filter f_switch-cypress { host("10.20.75.6"); };
    Esto ya tira un log en la ruta: /var/log/switch-cypress.log

    --------------------

    Configurando Radius para cisco, usando FreeRadius.

    Solo tocamos solo estos archivos:
    Código:
    # vim clients.conf
    
    y agregamos esta linea:
    
    client 10.20.75.0/25 {
            secret          = 'M1_Super_Clave_D1f1c1l'
            shortname       = SW-Cypress
    }
    Ahí estamos con toda la red, pero podríamos poner host especificos.

    Código:
    # vim users
    
    Cypress        Auth-Type:=System ( usa el hash del archivo passwd. hay que copiar del shadow al passwd, no sé como cambiar esto.. se aceptan sugerencias )
    
    $enab15$        Auth-Type:=Local, Password == 'Passwd_Enable', NAS-Port-Type == Virtual
    $enab15$        Auth-Type:=Local, Password == 'Passwd_Enable', NAS-Port-Type != Virtual
    Passwd para el enable ^

    BUeno.. eso es todo.. espero que les sirva. es bastante útil como politica para asegurar tu router/switch Cisco.

    Saludos!
    Última edición por Cypress; 19-10-2010 a las 15:45
    Louis Armstrong le dice a Ella Fitzgerald
    "take another drink of wine, and maybe you change your mind"
    Citar  
     

Temas similares

  1. server radius
    Por guby en el foro REDES Y TECNOLOGIAS WIRELESS
    Respuestas: 0
    Último mensaje: 03-06-2013, 21:32
  2. Hardening SSL/TLS (windows)
    Por LUK en el foro GENERAL
    Respuestas: 0
    Último mensaje: 17-10-2011, 11:30
  3. cisco switches VLANS CNNA
    Por miacpi en el foro REDES Y TECNOLOGIAS WIRELESS
    Respuestas: 3
    Último mensaje: 04-04-2011, 13:21
  4. Hardening PHP mediante php.ini
    Por LUK en el foro PROGRAMACION WEB
    Respuestas: 0
    Último mensaje: 09-02-2011, 15:11
  5. Hardening Linux con grsecurity
    Por LUK en el foro LINUX - MAC - OTROS
    Respuestas: 0
    Último mensaje: 30-01-2008, 11:02

Etiquetas para este tema

Marcadores

Marcadores