ntp ssh (tr)

© 2012 Cisco and/or its affiliates. All rights reserved. 1

Mengkonfigurasi NTP

• "Waktu telah ditemukan di alam semesta sehingga segala sesuatu tidak akan terjadi sekaligus.“

• The NTP FAQ and HOWTO - http://www.ntp.org/ntpfaq/

• Banyak fitur dalam jaringan komputer tergantung pada sinkronisasi waktu:

– Untuk informasi waktu akurat dalam pesan syslog.– Sertifikat otentikasi berbasis di VPN.– ACL dengan waktu konfigurasi jangkauan.

Memahami NTP

Sistem Clock

• Inti dari waktu layanan router adalah perangkat lunak berbasis sistem clock.– Jam ini melacak waktu dari saat sistem dimulai.

• Sistem alarm dapat diatur dari sejumlah sumber dan dapat digunakan untuk mendistribusikan waktu saat ini melalui berbagai mekanisme untuk sistem lain.– Ketika sebuah router dengan kalender sistem diinisialisasi atau reboot, jam

sistem diatur berdasarkan waktu dalam kalender internal sistem bertenaga baterai..

• Sistem jam kemudian dapat diatur:– Manual menggunakan set jam perintah EXEC istimewa.– Secara otomatis menggunakan Network Time Protocol (NTP).

• NTP merupakan protokol Internet yang digunakan untuk sinkronisasi jam jaringan perangkat yang terhubung ke beberapa referensi waktu.– NTP merupakan protokol standar Internet saat ini di v3 dan ditetapkan dalam

RFC 1305.

NTP

• NTP dirancang untuk waktu-sinkronisasi jaringan. – NTP berjalan di atas UDP.

• Sebuah jaringan NTP biasanya memperoleh waktu dari sumber otoritatif waktu, seperti jam radio atau jam atom. – NTP kemudian mendistribusikan saat ini di seluruh jaringan. – NTP sangat efisien, tidak lebih dari satu paket per menit diperlukan

untuk menyinkronkan dua mesin ke dalam 1 msec satu sama lain.• Perangkat Cisco mendukung spesifikasi untuk NTP v3 (RFC 1305).

– NTP v4 berada di bawah pengembangan namun NTP v3 adalah standar Internet.

• Layanan NTP diaktifkan pada semua interface secara default. – Untuk menonaktifkan NTP pada interface tertentu, menggunakan

perintah ntp disable dalam modus konfigurasi antarmuka. command in the interface configuration mode.

Mengkonfigurasi Sebuah NTP Master dan Client

• Untuk mengkonfigurasi router sebagai sumber otoritatif waktu, gunakan perintah ntp master dalam modus konfigurasi global.

• Untuk mengkonfigurasi router sebagai klien NTP, baik:– Buat asosiasi ke server menggunakan server perintah ntp server command.

– Mengkonfigurasi router untuk mendengarkan siaran paket NTP menggunakan siaran perintah ntp broadcast client .

Mengidentifikasi NTP Server

• Meskipun router dapat dikonfigurasi dengan baik rekan atau server asosiasi, klien NTP biasanya dikonfigurasi dengan asosiasi Server (berarti bahwa hanya sistem ini akan melakukan sinkronisasi ke sistem lain, dan bukan sebaliknya versa).

• Untuk memungkinkan jam perangkat lunak yang akan disinkronisasi dengan server waktu NTP, gunakan perintah ntp server dalam mode konfigurasi global.

ntp server {ip-address | hostname} [version number] [key keyid] [source interface] [prefer]

Router(config)#

• NTP broadcast client:

– Di samping atau bukannya menciptakan unicast NTP asosiasi, sistem dapat dikonfigurasi untuk mendengarkan siaran paket pada basis antarmuka-ke-antarmuka.

• Untuk melakukan ini, gunakan perintah ntp broadcast client dalam mode konfigurasi antarmuka.

Konfigurasi Asosiasi NTP

ntp broadcast client

Router(config-if)#

• Waktu yang mesin jaga adalah sumber daya yang penting, sehingga fitur keamanan NTP harus digunakan untuk menghindari pengaturan disengaja atau pengaturan berbahaya pada waktu yang salah.

• Dua mekanisme yang tersedia:

– Skema pembatasan berbasis ACL– Otentikasi terenkripsi

Keamanan NTP

Perintah Otentikasi NTP

• Mengaktifkan fitur otentikasi.

• Tentukan kunci otentikasi yang akan digunakan untuk kedua rekan dan Server asosiasi.

• Menentukan kunci yang bisa dipercaya.

Mengkonfigurasi Otentikasi NTP

Router(config)#

ntp authentication-key key-number md5 value

Router(config)#

ntp trusted-key key-number

Router(config)#

ntp authentication

Contoh Konfigurasi NTP

R1(config)# ntp master 5R1(config)# ntp authentication-key 1 md5 R1-SECRETR1(config)# ntp peer 209.165.200.225 key 1

R2(config)# ntp authentication-key 1 md5 R1-SECRETR2(config)# ntp authentication-key 2 md5 R2-SECRETR2(config)# ntp trusted-key 1R2(config)# ntp server 209.165.201.1R2(config)# interface Fastethernet0/0R2(config-if)# ntp broadcast

R3(config)# ntp authentication-key 1 md5 R2-SECRETR3(config)# ntp trusted-key 1R3(config)# interface Fastethernet0/1R3(config-if)# ntp broadcast client

R1 R2 R3

209.165.200.225Internet

209.165.201.1 Fa0/0 Fa0/1

© 2012 Cisco and/or its affiliates. All rights reserved. 12

Menonaktifkan Cisco Router

tidak digunakan Network

Services dan Antarmuka

Services Router Rentan

• Ukuran Menengah dan jaringan besar biasanya menggunakan alat firewall (PIX / ASA) di belakang router perimeter, yang menambahkan fitur keamanan dan melakukan otentikasi pengguna dan packet filtering lebih maju.

• Instalasi firewall juga memfasilitasi penciptaan Zona Demiliterisasi (DMZs), di mana host firewall 'tempat' yang biasa diakses dari Internet.

Services Router Rentan

• Sebagai alternatif, Cisco IOS software dapat menggabungkan banyak fitur firewall dalam router perimeter. – Opsi ini hanya berlaku untuk persyaratan

keamanan perimeter usaha kecil-menengah. • Namun, router Cisco IOS menjalankan

berbagai layanan yang menciptakan kerentanan potensial. – Untuk mengamankan jaringan perusahaan,

semua layanan yang tidak diperlukan dan router interface harus dinonaktifkan.

Unnecessary Services

Unnecessary Services

Commonly Configured Management Services

Path Integrity Mechanisms

Probe and Scan Features

Terminal Access Security

ARP Service

IP Directed Broadcasts

Disable Unneeded Services•Router(config)# no ip bootp server•Router(config)# no cdp run•Router(config)# no ip source-route•Router(config)# no ip classless•Router(config)# no service tcp-small-servers•Router(config)# no service udp-small-servers•Router(config)# no ip finger•Router(config)# no service finger•Router(config)# no ip http server•Router(config)# no ip name-server•Router(config)# no boot network•Router(config)# no service config

IP Classless Routing

• Secara default, router Cisco akan membuat upaya untuk rute hampir semua paket IP. – Jika sebuah paket ysng ditujukan ke subnet dari

jaringan tanpa jaringan rute default, maka IOS akan menggunakan IP Routing tanpa kelas untuk meneruskan paket sepanjang rute terbaik yang tersedia.

• Fitur ini sering tidak diperlukan karena pada router mana IP tanpa kelas routing tidak diperlukan. Nonaktifkan dengan menggunakan no ip classless

Protecting Routing Table Integrity

• Gunakan hanya rute statis: – Bekerja dengan baik dalam jaringan kecil.– Tidak cocok untuk jaringan besar.

• Otentikasi update tabel rute: – Konfigurasi routing yang otentikasi.– Update router dikonfirmasi memastikan

bahwa pesan-pesan pembaruan berasal dari sumber yang sah.

Passive Interfaces

• Mengkonfigurasi perintah passive-interface untuk mencegah hacker dari belajar tentang keberadaan rute tertentu atau protokol routing yang digunakan

Router Hardening Considerations

• Penyerang dapat memanfaatkan layanan router yang tidak terpakai dan interface.

• Administrator tidak perlu tahu bagaimana memanfaatkan layanan, tetapi mereka harus tahu bagaimana untuk menonaktifkan mereka.

• Hal ini membosankan untuk menonaktifkan layanan individual.

• Sebuah metode otomatis diperlukan untuk mempercepat proses pengerasan.

Locking Down Routers with AutoSecure

• Fitur AutoSecure dirilis pada Cisco IOS Release 12,3..

• AutoSecure adalah program privileged EXEC tunggal yang memungkinkan penghapusan banyak ancaman keamanan potensial dengan cepat dan mudah. – AutoSecure membantu untuk membuat Anda lebih efisien

dalam mengamankan router Cisco.• AutoSecure memungkinkan dua mode operasi:

– Interactive mode: Anjuran untuk memilih cara yang Anda ingin mengkonfigurasi router layanan dan fitur keamanan lain.

– Noninteractive mode: fitur keamanan terkait Configures pada router Anda berdasarkan satu set default Cisco.

• Management plane services and functions:– Finger, PAD, UDP and TCP small servers, password encryption,

TCP keepalives, CDP, BOOTP, HTTP, source routing, gratuitous ARP, proxy ARP, ICMP (redirects, mask-replies), directed broadcast, MOP, banner

– password security and SSH access• Forwarding plane services and functions:

– CEF, traffic filtering with ACLs• Firewall services and functions:

– Cisco IOS Firewall inspection for common protocols• Login functions:

– Password security• NTP protocol

• SSH access

• TCP Intercept services

AutoSecure Can Lockdown Planes

• If AutoSecure fails to complete its operation, the running configuration may be corrupt:

– In Cisco IOS Release 12.3(8)T and later releases a pre-AutoSecure configuration snapshot is stored in the flash under filename pre_autosec.cfg.

– Rollback reverts the router to the router’s pre-autosecure configuration using the configure replace flash:pre_autosec.cfg command.

– If the router is using software prior to Cisco IOS Release 12.3(8)T, the running configuration should be saved before running AutoSecure.

AutoSecure Failure Rollback Feature

C Langkah-langkah Cisco AutoSecure Interaktif :

•Langkah 1 - Identifikasi interface luar.

•Langkah 2 - Amankan bidang manajemen.

•Langkah 3 - Membuat banner keamanan.

•Langkah 4 - password Configure, AAA, dan SSH.

•Langkah 5 - Amankan forwarding plane.

AutoSecure Process Overview

auto secure [management | forwarding] [no-interact | full] [ntp | login | ssh | firewall | tcp-intercept]

Router#

Auto Secure Parameters

Router# auto secure--- AutoSecure Configuration ---

*** AutoSecure configuration enhances the security of the router but it will not make router absolutely secure from all security attacks ***All the configuration done as part of AutoSecure will be shown here. For more details of why and how this configuration is useful, and any possible side effects, please refer to Cisco documentation of AutoSecure.At any prompt you may enter '?' for help.Use ctrl-c to abort this session at any prompt.Gathering information about the router for AutoSecure

Is this router connected to internet? [no]: yEnter the number of interfaces facing internet [1]: 1Interface IP-Address OK? Method Status ProtocolEthernet0/0 10.0.2.2 YES NVRAM up upEthernet0/1 172.30.2.2 YES NVRAM up up

Enter the interface name that is facing internet: Ethernet0/1

Step 1: Identify Outside Interfaces(Identifikasi Antarmuka luar)

Step 2: Secure Management PlaneSecuring Management plane services..Disabling service fingerDisabling service padDisabling udp & tcp small serversEnabling service password encryptionEnabling service tcp-keepalives-inEnabling service tcp-keepalives-outDisabling the cdp protocolDisabling the bootp serverDisabling the http serverDisabling the finger serviceDisabling source routingDisabling gratuitous arp

Step 3: Create Security BannerHere is a sample Security Banner to be shown at every access to device. Modify it to suit your enterprise requirements.Authorised Access only This system is the property of Woolloomooloo Pty Ltd. UNAUTHORISED ACCESS TO THIS DEVICE IS PROHIBITED. You must have explicit permission to access this device. All activities performed on this device are logged and violations of of this policy result in disciplinary action.Enter the security banner {Put the banner betweenk and k, where k is any character}:%This system is the property of Cisco Systems, Inc.UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.%

Step 4: Passwords, AAA and Login Blocking

Enable secret is either not configured or is same as enable passwordEnter the new enable secret: Curium96Configuration of local user databaseEnter the username: student1Enter the password: student1Configuring aaa local authenticationConfiguring console, Aux and vty lines forlocal authentication, exec-timeout, transportSecuring device against Login AttacksConfigure the following parametersBlocking Period when Login Attack detected: 300Maximum Login failures with the device: 3Maximum time period for crossing the failed login attempts: 60

Step 5: SSH and Interface-SpecificsConfigure SSH server? [yes]: yEnter the hostname: R2Enter the domain-name: cisco.com

Configuring interface specific AutoSecure servicesDisabling the following ip services on all interfaces: no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-replyDisabling mop on Ethernet interfaces

Step 6: Forwarding Plane and Firewall

Securing Forwarding plane services..Enabling CEF (This might impact the memory requirements for your platform)Enabling unicast rpf on all interfaces connectedto internetConfigure CBAC Firewall feature? [yes/no]: yes This is the configuration generated:

no service fingerno service padno service udp-small-serversno service tcp-small-serversservice password-encryption..Apply this configuration to running-config? [yes]: y

• CCP simplifies router and security configuration through smart wizards that help to quickly and easily deploy, configure, and monitor a Cisco router without requiring knowledge of the CLI.

• CCP simplifies firewall and IOS software configuration without requiring expertise about security or IOS software.

• CCP contains a Security Audit wizard that performs a comprehensive router security audit.

Locking Down Routers with Cisco CCP

• menggunakan konfigurasi keamanan yang direkomendasikan oleh Cisco Technical Assistance Center (TAC) dan International Computer Security Association (ICSA) sebagai dasar untuk perbandingan dan pengaturan default.

• Keamanan Audit Wizard menilai kerentanan router yang ada dan memberikan kepatuhan cepat untuk kebijakan keamanan praktek terbaik.

• CCP bisa menerapkan hampir semua konfigurasi yang menawarkan AutoSecure dengan fitur Lockdown One-Step.

Locking Down Routers with Cisco CCP

• Security Audit membandingkan konfigurasi router terhadap pengaturan yang direkomendasikan..

• Contoh audit meliputi:

– Matikan server tidak dibutuhkan.– Nonaktifkan layanan yang tidak diperlukan.– Terapkan firewall ke luar interface.– Menonaktifkan atau mengeras SNMP.– Matikan interface yang tidak terpakai.– Periksa kekuatan password.– Menegakkan penggunaan ACL.

CCP Security Audit Overview

CCP Security Audit: Main Window

CCP Security Audit Wizard

CCP Security Audit Configuration

CCP Security Audit

CCP Security Audit

CCP Security Audit: Summary

CCP One-Step Lockdown

CCP One-Step Lockdown Wizard

• Part 1: Basic Network Device Configuration

• Part 2: Control Administrative Access for Routers

– Configure and encrypt all passwords.– Configure a login warning banner.– Configure enhanced username password security.– Configure enhanced virtual login security.– Configure an SSH server on a router.– Configure an SSH client and verify connectivity.

• Part 3: Configure Administrative Roles

– Create multiple role views and grant varying privileges.– Verify and contrast views.

• Part 4: Configure Cisco IOS Resilience and Management Reporting

– Secure the Cisco IOS image and configuration files.– Configure a router as a synchronized time source for other devices using NTP.– Configure Syslog support on a router.– Install a Syslog server on a PC and enable it.– Configure trap reporting on a router using SNMP.– Make changes to the router and monitor syslog results on the PC.

• Part 5: Configure Automated Security Features

– Lock down a router using AutoSecure and verify the configuration.– Use the CCP Security Audit tool to identify vulnerabilities and to lock down services.– Contrast the AutoSecure configuration with CCP.

Lab 2A: Securing the Router for Administrative Access

© 2012 Cisco and/or its affiliates. All rights reserved. 51