web-dev-qa-db-ja.com

Ciscoルーターでhttpsを有効にすると、かなりのセキュリティリスクが発生しますか?

Ciscoのネットワークアシスタントを使用してCiscoルーターを管理したいと思います(これには他の解決策があることはわかっていますが、今のところCNAを使用することにしました)。管理対象のルーターでHTTPまたはHTTPSサービスを実行する必要があります。私が働いている場所では、ルーターでHTTP/HTTPSを有効にすることはセキュリティ上のリスクがあるため、おそらくこれを実装することは許可されないとすでに言われています。

しかし、HTTPSを有効にしてデフォルトのポート番号を変更する限り、それは本当にセキュリティホールですか?このようにすることは完全に安全であると自信を持って言えるようにしたいと思います。もちろん、「完全に」安全なものはなく、ポートスキャナーは開いているポートを見つけることができますが、IOSで実行されているHTTPサービスは、ハッキング可能ではありませんか?

最後に、セキュリティフォーラムでこの質問をする必要がありますか?

securityciscorouterhttps
4
red888

情報保証(IA)の原則として、デバイス上で実行される不要なサービスが少ないほど、攻撃対象領域は低くなります。問題を軽減するには、適切な構成とパッチ適用レベルが重要です。ポートの変更は、潜在的なセキュリティリスクを軽減するために実行できる多くの要素の1つです。

シスコには、HTTP/HTTPSサービスを適切に実装するための優れたガイドがここにあります (HTTPまたはHTTPSを使用したアプリケーションの選択的有効化)

5
Fergus

HTTPSの潜在的な問題の1つは、怠惰な人々(私のような)がデバイスにKerberos証明書を設定して、デバイスへの接続が安全であることを確認できない可能性があることです。証明書は3つのソースのいずれかから取得する必要があります:Verisign(高価)のような商用認証局、WindowsまたはLinuxサーバーを使用して独自のCAをセットアップする(それほど難しくはありませんが、時間がかかります)、3番目のオプションは自己を使用することです-ここで説明するように、署名された証明書:

https://security.stackexchange.com/questions/38589/can-https-server-configured-without-a-server-certificate

デバイスに証明書がない場合でも、接続は暗号化する必要があり、カジュアルなwiresharkユーザーにとってはより困難になりますが、意味のある意味で「安全」というわけではありません。接続がman-in-the-middle攻撃の影響を受けないという保証はありません。それに加えて、あなた(またはリソースによってはユーザー)は、アンチウイルスを持っているのと同じように、誤った安心感を持っているかもしれませんが、それを更新していません。

リスニングポートを変更することは基本的な予防策ですが、ポートスキャンでデバイスが見つかると、興味のある人は誰でも基本的なサービスを試すことができます。そのサービスに適切なクライアントを使用してHTTP、HTTPS、SSH、またはSMTPを実行し、有効な応答が得られるかどうかを確認します。これはスクリプト化できます。 HTTP/Sの場合はcURL、smtpの場合はmutt、SSHの場合はssh ...を使用します。リスニングポートがインターネットに面している必要がある場合の最善の防御策は、OSとサービスにパッチを適用し、ACL(アクセス制御リスト)を使用して、信頼できるIPアドレスまたは範囲のみにアクセスを制限することです。

3
Haggisbreath

HTTPSを有効にしてポート番号を変更することは、実際には非常に一般的な方法です。ログインに安全なパスワードを使用すると、セキュリティも向上します。

もちろん、常にHTTPS overHTTPを使用する必要があります。

しかし、最終的にあなたの質問に答えるために、それは安全ではありません。 Web管理インターフェイスは、設定を構成するためのユーザーフレンドリーな方法ですが、誰かがルーターにアクセスしたい場合(そして、彼らが何をしているかを知っている場合)、Webインターフェイスを使用しません。あなたは大丈夫なはずです。

2
Chris

確かに、デバイスまたはサーバーで開いているポートはすべて、攻撃対象領域を増やします。とはいえ、HTTPSを有効にすると、TelnetやHTTPなどの暗号化されていないプロトコルを有効にするよりも安全になります。

ポート番号の変更についておっしゃっています。これに注意してください。CiscoNetworkAssistantがデバイスを検出/管理できない可能性があります。 (CNAではカスタムポート番号を指定できますか?)

使用している管理サービスが何であれ、適切なセキュリティロックダウンが実施されていることを確認してください。可能な限り多くの次を実装します。

  1. 管理には暗号化されたプロトコル(HTTPSおよびSSH)のみを使用してください。
  2. 管理ポートをパブリックインターネットまたはゲストネットワーク(訪問者のWiFiなど)に公開しないでください。
  3. 管理インターフェイスのアイドルセッションタイムアウト。これらはHTTP、SSH、シリアルコンソール用に個別に構成されている可能性があるため、すべてのベースがカバーされていることを確認してください。
  4. ブルートフォース攻撃を軽減するために、レート制限と一時的アカウントロックアウトを実装します。
  5. 長くて複雑で一意のパスワードを使用する
  6. スイッチの管理者アカウントは、admin、administrator、rootのような「よく知られている」ものであってはなりません。 (自動化されたスクリプトが侵入に使用しようとするもの。)
  7. パスワード/タイムアウト/ロックアウトがシリアルコンソールにも適用されていることを確認してください。 (シリアルコンソールにパスワードが設定されていない、またはタイムアウトにならないデバイスをたくさん見ました。シリアルケーブルを接続して、数か月前に開かれたアクティブなセッションに参加できます。)
  8. システムにバックドアを残すSNMPに注意してください。
  9. パスワードと権限の集中管理を可能にするために、AAAとRADIUSを検討してください。
  10. 誰がいつデバイスにログインしたかを追跡するようにロギングが構成されていることを確認してください。
  11. NTPを使用して、ログで正しい時刻/日付を取得します(証明書の有効性にとっても重要です)。
  12. デバイスがクラッシュ/再起動した場合にログがクリアされない場所にログを保存します。ファイルシステム、または理想的には独立したsyslogサーバーにログインします。
  13. 構成を定期的にバックアップします。
  14. デバイスに保存されているパスワードは、利用可能な最も強力な暗号化を使用して暗号化する必要があります。 (設定のバックアップに遭遇した場合、誰かがパスワードを取得できないはずです。)
  15. デバイスに影響を与えるセキュリティ情報を常に把握し、IOSを定期的に更新してください。
  16. 独自の内部証明書権限を使用して適切なHTTPS証明書を実装します。
  17. 管理ポートにアクセスできるIP範囲を制限します(例:CNAがインストールされているPCのみ)
  18. 管理インターフェイスを特定のVLANまたは通常のユーザーがアクセスできないネットワークポート)に制限します。
  19. 複数の人がデバイスを管理する場合は、アクセスレベルが異なる複数の管理アカウントを検討してください。
1
myron-semack