Il
primo passo per la prevenzione è abilitare il sistema di log per tenere
traccia di tutti gli eventi "interessanti". (È inutile dire
che il server sul quale viene registrato il file di log deve essere adeguatamente
protetto; è consigliabile inoltre adottare meccanismi automatici di allarme).
service timestamps log datetime
logging trap debugging
logging facility <LOG FILE>
logging <LOG SERVER>
Per eliminare la possibilità che un router sia utilizzato come "ponte"
per connessioni illecite, è consigliabile disabilitare la possibilità
di fare telnet dal router,
pur lasciando un account non privilegiato per diagnostica: la connessione inoltre
dovrà essere possibile solo da alcuni host prestabiliti (ad es.: dalla
rete interna e dal router del PoP).
! account di servizio (non puo' fare telnet)
!
username <ACCOUNT SERVIZIO> access-class 1 nopassword
access-list 1 deny any log
....
access-list 2 permit <ROUTER POP> 0.0.0.0
access-list 2 permit <RETE INTERNA> 0.0.0.255
!
line vty 0 4
....
access-class 2 in
login local
I file di configurazione dei router vengono tipicamente salvati su un tftp
server e sono quindi accessibili, in linea di principio, a tutti: è
consigliabile permettere l'accesso al tftp
server ai soli nodi interessati.
La
criptazione della password di accesso al router non è sufficiente: è
infatti diffuso un "tool" che permette di decriptare la password di
enable dei router CISCO, a partire dal file di configurazione, in quanto l'algoritmo
di criptazione è reversibile. E` fortemente consigliato quindi sostituire
la password di enable con il "secret" che usa un algoritmo di criptazione
non reversibile.
! abilita la criptazione delle password
!
service password-encryption
!
! inserimento password di tipo secret
!
enable secret SECRET1