Enhetssäkerhet

Enhetssäkerhet handlar om att skydda själva nätverksenheterna – till exempel routrar och switchar – från obehörig åtkomst och felaktig konfiguration.
Till skillnad från ”endpoint security”, som fokuserar på användarnas datorer och mobiler, handlar enhetssäkerhet om att säkra den nätverksinfrastruktur som utgör grunden för hela nätet. En sårbar eller felkonfigurerad router kan ge angripare direkt tillgång till nätverket. Därför är det viktigt att varje nätverksenhet är härdad (hardened) enligt beprövade säkerhetsrutiner.

Ett starkt lösenordsskydd är grunden för all enhetssäkerhet. Lösenord ska vara unika, komplexa som innehåller stora och små bokstäver, siffror och specialtecken. Det är det som tas upp i denna avsnitt.

Cisco AutoSecure

När ett nytt operativsystem installeras på en nätverksenhet är säkerhets inställningarna oftast satta till standardvärden, vilket innebär ett mycket lågt grundskydd.
För att snabbt höja säkerhetsnivån erbjuder Cisco funktionen Cisco AutoSecure.

Cisco AutoSecure är ett kommando baserat verktyg som automatiskt konfigurerar en rad rekommenderade säkerhets inställningar på routrar. Det bygger på Ciscos bästa praxis för enhets härdning (device hardening) och syftar till att minimera enhetens sårbarhet genom att:

  • inaktivera osäkra eller oanvända tjänster (till exempel Telnet, HTTP-server, finger och CDP),
  • aktivera säkra alternativ som SSH för fjärradministration,
  • ställa in lösenordsskydd och aktivera kryptering,
  • konfigurera loggning och varningar,
  • och säkerställa att routern uppfyller grundläggande säkerhetskrav.

Syftet med AutoSecure är att ge nätverksadministratören ett snabbt och effektivt sätt att säkerställa en säker basnivå på enheten, redan vid första installationen – innan den tas i drift i nätverket.

Router# auto secure
--- AutoSecure Configuration ---
*** AutoSecure configuration enhances the security of
the router but it will not make router absolutely secure
from all security attacks ***

Cisco AutoSecure är ett interaktivt konfigurations verktyg som automatiskt stärker säkerheten på en Cisco-router. Det hjälper administratören att snabbt skapa en säker grundkonfiguration utan att behöva gå igenom varje inställning manuellt.

AutoSecure gör bland annat följande:

  • Stänger av onödiga och osäkra tjänster som kan utnyttjas av angripare.
  • Aktiverar grundläggande säkerhetsfunktioner, som lösenordsskydd, SSH och loggning.
  • Skyddar systemet mot kända attacker genom att minska antalet öppna portar och begränsa åtkomsten till administrativa gränssnitt.

Utöver AutoSecure bör du alltid genomföra följande grundläggande säkerhetsåtgärder:

  • Ändra standard användarnamn och lösenord omedelbart.
  • Begränsa åtkomst till systemresurser så att endast behöriga användare har tillgång.
  • Avinstallera eller inaktivera tjänster som inte behövs för driften.
  • Installera alltid senaste uppdateringar och säkerhetspatchar innan enheten tas i bruk.

Starka lösenord är avgörande för att skydda nätverksenheter mot obehörig åtkomst. Ett svagt lösenord kan göra även den mest avancerade säkerhetskonfiguration meningslös.

Följ dessa riktlinjer för säkra lösenord:

  • Använd minst 8 tecken, helst 10 eller fler.
  • Blanda stora och små bokstäver, siffror, symboler och gärna mellanslag.
  • Undvik lösenord baserade på vanliga ord eller personlig information (som namn, födelsedatum eller ID-nummer).
  • Skriv gärna lösenordet fel med avsikt, t.ex. Security som 5ecur1ty!.
  • Byt lösenord regelbundet och vid misstanke om intrång.
  • Förvara lösenord på ett säkert sätt – aldrig på lappar, i e-post eller synliga dokument.

Exempel:

Typ Exempel Kommentar
Svagt lösenord admin123 Lätt att gissa, vanligt förekommande.
Svagt lösenord password Standardlösenord som ofta testas först.
Starkt lösenord 5ecur1ty!2025 Blandning av tecken och symboler, svår att gissa.
Starkt lösenord Routers är 5äkra? Innehåller mellanslag och en unik formulering.

Ett starkt lösenord bör vara enkelt att minnas men svårt att gissa – gärna utformat som en menings liknande fras med oväntade variationer.

På Cisco-enheter ignoreras mellanslag i början av ett lösenord, men mellanslag mitt i fungerar utmärkt.
Ett bra knep är därför att skapa en lösenfras (passphrase) – flera ord i följd som bildar en enkel mening.
En lösenfras är längre, svårare att knäcka och samtidigt lättare att komma ihåg än ett traditionellt lösenord. Till exempel: Routrar är 5äkrare än switchar!

Ytterligare lösenords säkerhet

Ett starkt lösenord är bara effektivt om det hålls hemligt och skyddas mot exponering i systemet.
Cisco-enheter erbjuder flera kommandon för att förstärka lösenordssäkerheten ytterligare:

Åtgärd Kommando Funktion
Kryptera lösenord i klartext service password-encryption Förhindrar att lösenord visas i klartext i konfigurationsfilen.
Exempel: password cisco visas som  03095A0F034F
Ställ in minsta lösenordslängd security passwords min-length 8 Säkerställer att alla nya lösenord innehåller minst 8 tecken.
Skydda mot brute-force-attacker login block-for 120 attempts 3 within 60 Blockerar inloggningsförsök i 120 sekunder efter 3 misslyckade försök inom 60 sekunder.
Automatisk utloggning vid inaktivitet exec-timeout 5 30 Loggar ut användaren automatiskt efter 5 minuter och 30 sekunders inaktivitet.

Exempel på nämnda konfigurationer

R1(config)# service password-encryption
R1(config)# security passwords min-length 8
R1(config)# login block-for 120 attempts 3 within 60
R1(config)# line vty 0 4
R1(config-line)# password cisco123
R1(config-line)# exec-timeout 5 30
R1(config-line)# transport input ssh
R1(config-line)# end

Denna konfiguration skyddar enheten genom att:

  1. kryptera alla lösenord,
  2. tvinga fram starka lösenord, minst åtta alfanumeriska tecken
  3. begränsa upprepade inloggningsförsök, anger högst tre misslyckade inloggningsförsök inom 60 sekunder och blockerar inloggningsförsök i 120 sekunder efter 3 misslyckade försök inom 60 sekunder.
  4. och logga ut inaktiva användare automatiskt (loggar ut användaren efter 5 minuter och 30 sekunders inaktivitet).

Resultatet blir en betydligt säkrare Cisco-enhet, där åtkomsten är både kontrollerad och övervakad.

Aktivera SSH för säker fjärråtkomst

Telnet möjliggör fjärradministration av enheter men skickar all information, inklusive användarnamn och lösenord, i klartext. Det gör Telnet osäkert att använda i moderna nätverk.

SSH (Secure Shell) däremot erbjuder krypterad kommunikation, vilket skyddar inloggningar och kommandon mot avlyssning och manipulation. Därför bör SSH alltid användas i stället för Telnet för fjärradministration av Cisco-enheter.

Steg för steg: Aktivera SSH på en Cisco-router

  1. Konfigurera ett unikt värdnamn
    • Router(config)# hostname R1
  2. Ange domännamn
    • R1(config)# ip domain name diginto.se
  3. Generera RSA-nyckel
    • R1(config)# crypto key generate rsa general-keys modulus 1024
    • Nyckeln används för att kryptera SSH-trafiken.
    • Minst 1024 bitar rekommenderas (större nycklar ger starkare säkerhet).
  4. Skapa en lokal användare med lösenord
    • R1(config)# username grr secret solGP@55
    • secret lagrar lösenordet krypterat i konfigurationen.
  5. Aktivera lokal autentisering på VTY-linjerna
    • R1(config-line)# login local
  6. Tillåt endast SSH-trafik (inaktivera Telnet)
    • R1(config-line)# transport input ssh

Routern accepterar nu endast säkra SSH-sessioner för fjärradministration, vilket innebär det att all trafik mellan administratören och enheten krypteras, vilket skyddar både autentiserings uppgifter och kommandon från obehörig insyn.

Inaktivera oanvända tjänster

Cisco-enheter levereras ofta med flera förinstallerade och aktiva tjänster. Vissa av dessa används i moderna nätverk, medan andra är föråldrade eller sällan nödvändiga. Att låta oanvända tjänster vara aktiva innebär en säkerhetsrisk, eftersom varje tjänst kan utgöra en potentiell angreppspunkt.
Dessutom förbrukar de onödigt CPU- och minnesutrymme.

För att minska risken för attacker och frigöra resurser bör du därför inaktivera alla tjänster som inte behövs.

På Cisco IOS-XE kan du kontrollera vilka portar och tjänster som är aktiva med kommandot:

Router# show ip ports all
Proto Local Address               Foreign Address             State       PID/Program Name
TCB       Local Address               Foreign Address             (state)
tcp   :::443                     :::*                        LISTEN      309/[IOS]HTTP CORE
tcp   *:443                      *:*                         LISTEN      309/[IOS]HTTP CORE
udp   *:67                        0.0.0.0:0                               387/[IOS]DHCPD Receive
Router#

I detta exempel är endast HTTPS (port 443) och DHCP aktiva – vilket är normalt i många nätverksmiljöer.

På äldre IOS-versioner används istället kommandot:

Router# show control-plane host open-ports
Active internet connections (servers and established)
Prot        Local Address      Foreign Address                  Service    State
tcp                 *:23                  *:0                   Telnet   LISTEN
tcp                 *:80                  *:0                HTTP CORE   LISTEN
udp                 *:67                  *:0            DHCPD Receive   LISTEN

Inaktivera osäkra tjänster

Om du upptäcker att Telnet, HTTP, eller andra osäkra protokoll är aktiverade på routern, bör de omedelbart stängas av. Telnet skickar lösenord i klartext, och det inbyggda HTTP-gränssnittet kan ge oönskad åtkomst till konfigurationen.

Exempel:

Router(config)# no ip http server
Router(config)# no ip http secure-server
Router(config)# line vty 0 15
Router(config-line)# transport input ssh
Router(config-line)# end

Dessa kommandon:

  • stänger av både HTTP och HTTPS administrationsgränssnittet,
  • tillåter endast krypterade SSH-anslutningar via VTY-linjer,

Att minimera antalet aktiva tjänster är en av de mest effektiva metoderna för att härda en Cisco-enhet och minska dess sårbarheter.