WLC-15, WLC-30, WLC-3200 Документация для ТОРП
Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия 2

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  • Рекомендуется всегда отключать неиспользуемые физические интерфейсы с помощью команды 
    shutdown. Команда подробно описана в разделе Конфигурирование и мониторинг интерфейсов справочника команд CLI.
  • Рекомендуется всегда настраивать синхронизацию системных часов с доверенными источниками сетевого времени (NTP). Алгоритм настройки NTP приведён в разделе Настройка NTP настоящего руководства. Подробная информация о командах для настройки NTP приведена в разделе Управление системными часами справочника команд CLI. 
  • Рекомендуется отключать NTP broadcast client, включённый по умолчанию в заводской конфигурации.
  • Не рекомендуется использовать команду ip firewall disable, отключающую межсетевое экранирование. Следует всегда назначать интерфейсам соответствующие зоны безопасности и настраивать корректные правила межсетевого экрана. Алгоритм настройки межсетевого экрана приведён в разделе Конфигурирование Firewall настоящего руководства. Подробная информация о командах для настройки межсетевого экрана приведена в разделе Управление Firewall справочника команд CLI. 

Scroll Pagebreak
Настройка системы логирования событий

Алгоритмы настройки системы логирования событий приведены в подразделе «Настройка Syslog» раздела Мониторинг настоящего руководства.

Подробная информация о командах для настройки системы логирования событий приведена в разделе 
Управление SYSLOG справочника команд CLI.

Рекомендации

  • Рекомендуется настроить хранение сообщений о событиях в файл syslog на устройстве и передачу этих событий на внешний syslog-сервер.
  • Рекомендуется ограничивать размер syslog-файла на устройстве.
  • Рекомендуется настраивать ротацию syslog-файлов на устройстве.
  • Рекомендуется включать нумерацию сообщений syslog.
  • Рекомендуется включать добавление меток timestamp msec к syslog-сообщениям на устройствах ESR-1500 и ESR-1511.

...

Алгоритмы настройки политики использования паролей приведены в разделе Настройка ААА настоящего руководства.

Подробная информация о командах для настройки политики использования паролей приведена в разделе Настройка AAA справочника команд CLI.

Рекомендации

  • Рекомендуется всегда включать требования на смену пароля по умолчанию пользователя admin.
  • Рекомендуется ограничивать время жизни паролей и запрещать повторно использовать, как минимум, предыдущий пароль.
  • Рекомендуется выставлять требования минимальной длины пароля больше 8 символов.
  • Рекомендуется выставлять требования на использование строчных и прописных букв, цифр и спецсимволов.

...

Алгоритмы настройки политики ААА приведены в разделе Настройка ААА настоящего руководства.

Подробная информация о командах для настройки политики AAA приведена в разделе Настройка ААА справочника команд CLI.

Рекомендации

  • Рекомендуется использовать ролевую модель доступа на устройство.
  • Рекомендуется использовать персональные учетные записи для аутентификации на устройстве.
  • Рекомендуется включать логирование вводимых пользователем команд.
  • Рекомендуется использовать несколько методов аутентификации для входа на устройства через консоль, удалённого входа на устройства и повышения привилегий. Оптимальной считается комбинация из аутентификации по одному из протоколов RADIUS/TACACS/LDAP и локальной аутентификации.
  • Рекомендуется понизить уровень привилегий встроенной учётной записи admin до 1.
  • Рекомендуется настроить логирование изменений локальных учётных записей.
  • Рекомендуется настроить логирование изменений политики AAA.

...

Scroll Pagebreak
Настройка удалённого управления 

Подробная информация о командах настройки удалённого доступа приведена в разделе Настройка доступа SSH, Telnet справочника команд CLI.

Рекомендации

  • Рекомендуется отключить удалённое управление по протоколу telnet.
  • Рекомендуется использовать криптостойкие алгоритмы аутентификации sha2-512 и отключить все остальные.
  • Рекомендуется использовать криптостойкие алгоритмы шифрования aes256ctr и отключить все остальные.
  • Рекомендуется использовать криптостойкий алгоритм обмена ключами шифрования dh-group-exchange-sha256 и отключить все остальные.
  • Рекомендуется использовать криптостойкий алгоритм верификации Host-Key для SSH rsa и отключить все остальные.
  • Рекомендуется разрешить доступ к удалённому управлению устройством только с определённых IP-адресов.   
  • Перед началом эксплуатации рекомендуется перегенерировать ключи шифрования.

...

Алгоритмы настройки механизмов защиты от сетевых атак приведены в разделе Настройка логирования и защиты от сетевых настоящего руководства.

Подробная информация о командах для настройки политики использования паролей приведена в разделе Управление логированием и защитой от сетевых атак справочника команд CLI.

Рекомендации

  • Рекомендуется всегда включать защиту от ip spoofing.
  • Рекомендуется всегда включать защиту от TCP-пакетов с неправильно выставленными флагами.
  • Рекомендуется всегда включать защиту от фрагментированных TCP-пакетов с выставленным флагом SYN.
  • Рекомендуется всегда включать защиту от фрагментированных ICMP-пакетов.
  • Рекомендуется всегда включать защиту ICMP-пакетов большого размера.
  • Рекомендуется всегда включать защиту от незарегистрированных ip-протоколов.
  • Рекомендуется включать логирование механизма защиты от сетевых атак.

...