Дерево страниц

Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

A Shared Block
hiddentrue


Metadata list
hiddentrue
|| DeviceType | Сервисные маршрутизаторы серии ESR |
|| DeviceName1 |  ESR-10, ESR-12V, ESR-12VF, ESR-15, ESR-15R, ESR-15VF, ESR-20, ESR-21, ESR-30, ESR-31, ESR-100, ESR-200, ESR-1000, ESR-1200, ESR-1500, ESR-1511, ESR-1700, ESR-3100, ESR-3200, ESR-3200L, ESR-3300 |
|| DocTitleAdditional | Руководство по установке и быстрому запуску |
|| fwversion | 1.2324 |


Оглавление
printablefalse

Аннотация

В настоящем руководстве приводится заводская конфигурация устройства и рекомендации по начальной настройке маршрутизаторов серии ESR (далее устройство).

Данное руководство предназначено для технического персонала, выполняющего установку и настройку устройства.

Заводская конфигурация маршрутизатора

При отгрузке устройства потребителю на устройство загружена заводская конфигурация, которая включает минимально необходимые базовые настройки. Заводская конфигурация позволяет использовать маршрутизатор в качестве шлюза с функцией SNAT без необходимости применять дополнительные настройки. Кроме того, заводская конфигурация содержит настройки, позволяющие получить сетевой доступ к устройству для выполнения расширенного конфигурирования.

Описание заводской конфигурации

Для подключения к сетям в конфигурации описаны 2 зоны безопасности с наименованиями «Trusted» для локальной сети и «Untrusted» для публичной сети. Все интерфейсы разделены между двух зон безопасности:

...

Предупреждение

Для сетевого доступа к управлению маршрутизатором при первом включении в конфигурации задан статический IP-адрес на интерфейсе Bridge 1 – 192.168.1.1/24.

Подключение к интерфейсу командой строки (CLI) маршрутизатора

Подключение по локальной сети Ethernet

Примечание

При первоначальном старте маршрутизатор загружается с заводской конфигурацией. Описание заводской конфигурации приведено в разделе ESR-Series. Quick guide. Версия 1.23Заводская конфигурация маршрутизатора руководства по эксплуатации.

...

Если IP-адрес не получен по какой-либо причине, то следует назначить адрес интерфейса вручную, используя любой адрес, кроме 192.168.1.1, в подсети 192.168.1.0/24.

Подключение через консольный порт RS-232

Шаг 1. При помощи кабеля RJ-45/DBF9, который входит в комплект поставки устройства, соедините порт «Console» маршрутизатора с портом RS-232 компьютера.

...

панель
Скорость: 115200 бит/с
Биты данных: 8 бит
Четность: нет
Стоповые биты: 1
Управление потоком: нет

Базовая настройка маршрутизатора

Процедура настройки маршрутизатора при первом включении состоит из следующих этапов:

  • Изменение пароля пользователя «admin».
  • Создание новых пользователей.
  • Назначение имени устройства (Hostname).
  • Установка параметров подключения к публичной сети в соответствии с требованиями провайдера.
  • Настройка удаленного доступа к маршрутизатору.
  • Применение базовых настроек.

Изменение пароля пользователя «admin»

Для защищенного входа в систему необходимо сменить пароль привилегированного пользователя «admin».

...

Блок кода
esr# configure
esr(config)# username admin
esr(config-user)# password <new-password>
esr(config-user)# exit

Создание новых пользователей

Для создания нового пользователя системы или настройки любого из параметров: имени пользователя, пароля, уровня привилегий, — используются команды:

...

Блок кода
esr# configure
esr(config)# username fedor
esr(config-user)# password 12345678
esr(config-user)# privilege 15
esr(config-user)# exit
esr(config)# username ivan
esr(config-user)# password password
esr(config-user)# privilege 1
esr(config-user)# exit

Назначение имени устройства

Для назначения имени устройства используются следующие команды:

...

После применения конфигурации приглашение командной строки изменится на значение, заданное параметром <new-name>.

Настройка параметров публичной сети

Для настройки сетевого интерфейса маршрутизатора в публичной сети необходимо назначить устройству параметры, определённые провайдером сети — IP-адрес, маска подсети и адрес шлюза по умолчанию.

...

Блок кода
esr# show ip interfaces
IP address            Interface                           Type
-------------------   ---------------------------------   -------
192.168.11.5/25       gigabitethernet 1/0/10              DHCP

Настройка удаленного доступа к маршрутизатору

В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам Telnet или SSH из зоны «trusted». Для того чтобы разрешить удаленный доступ к маршрутизатору из других зон, например, из публичной сети, необходимо создать соответствующие правила в firewall.

...

Блок кода
esr# configure
esr(config)# object-group network clients
esr(config-addr-set)# ip address-range 132.16.0.5-132.16.0.10
esr(config-addr-set)# exit
esr(config)# object-group network gateway
esr(config-addr-set)# ip address-range 40.13.1.22
esr(config-addr-set)# exit
esr(config)# object-group service ssh
esr(config-port-set)# port-range 22
esr(config-port-set)# exit
esr(config)# security zone-pair untrusted self
esr(config-zone-pair)# rule 10
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol tcp
esr(config-zone-rule)# match source-address clients
esr(config-zone-rule)# match destination-address gateway
esr(config-zone-rule)# match destination-port ssh
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

Применение базовых настроек

Для применения выполненных изменений конфигурации маршрутизатора требуется ввести следующие команды из корневого раздела командного интерфейса.

...

Если ввести команду confirm не удастся, то по истечении таймера подтверждения конфигурация устройства вернётся в прежнее состояние, существовавшее до ввода команды commit.

Проверка выполненных настроек

Для проверки правильности настроек попробуйте получить доступ к сайту http://eltex-co.ru из зоны «trusted». Если доступ получен — это значит, что трафик проходит через сервисный маршрутизатор. Если доступ не был получен, убедитесь в правильности произведенных настроек.

Рекомендации по безопасной настройке

Рекомендации по безопасной настройке носят общий характер и подходят для большинства инсталляций. Настоящие рекомендации в значительной степени повышают безопасность эксплуатации устройства, но не являются исчерпывающими. В зависимости от схемы применения устройства необходимо настраивать и другие параметры безопасности. В некоторых специфических случаях выполнение данных рекомендаций может привести к неработоспособности сети. При настройке устройства стоит в первую очередь следовать техническим требованиям и регламентам сетей, в которых будет эксплуатироваться данное устройство.

Общие рекомендации

  • Рекомендуется всегда отключать неиспользуемые физические интерфейсы с помощью команды 
    shutdown. Команда подробно описана в разделе Конфигурирование и мониторинг интерфейсов справочника команд CLI.
  • Рекомендуется всегда настраивать синхронизацию системных часов с доверенными источниками сетевого времени (NTP). Алгоритм настройки NTP приведён в разделе Настройка NTP руководства по эксплуатации. Подробная информация о командах для настройки NTP приведена в разделе Управление системными часами справочника команд CLI.
  • Рекомендуется отключать NTP broadcast client, включённый по умолчанию в заводской конфигурации.
  • Не рекомендуется использовать команду ip firewall disable, отключающую межсетевое экранирование. Следует всегда назначать интерфейсам соответствующие зоны безопасности и настраивать корректные правила межсетевого экрана. Алгоритм настройки межсетевого экрана приведён в разделе Конфигурирование Firewall руководства по эксплуатации. Подробная информация о командах для настройки межсетевого экрана приведена в разделе Управление Firewall справочника команд CLI.

Настройка системы логирования событий

Алгоритмы настройки системы логирования событий приведены в подразделе «Настройка Syslog» раздела Мониторинг руководства по эксплуатации.

Подробная информация о командах для настройки системы логирования событий приведена в разделе 
Управление SYSLOG справочника команд CLI.

Рекомендации

  • Рекомендуется настроить хранение сообщений о событиях в файл syslog на устройстве и передачу этих событий на внешний syslog-сервер.
  • Рекомендуется ограничивать размер syslog-файла на устройстве.
  • Рекомендуется настраивать ротацию syslog-файлов на устройстве.
  • Рекомендуется включать нумерацию сообщений syslog.
  • Рекомендуется включать добавление меток timestamp msec к syslog сообщениям на устройствах ESR-1500 и ESR-1511.

Предупреждения

  • Данные хранящиеся в файловой системе tmpsys:syslog не сохраняются при перезагрузке устройства. Этот тип файловой системы рекомендуется использовать для хранения оперативных логов.
  • Не рекомендуется использовать файловую систему flash:syslog для хранения логов, так как это может привести к преждевременному выходу из строя устройства ESR.

Пример настройки

Задача:

Настроить хранение сообщений о событиях уровня info и выше в файл syslog на устройстве и настроить передачу этих событий на внешний syslog-сервер. Ограничить файл размером 512 Кбайт. Включить ротацию 3-х файлов. Включить нумерацию сообщений syslog.

...

Блок кода
esr(config)# syslog sequence-numbers

Настройка политики использования паролей

Алгоритмы настройки политики использования паролей приведены в разделе Настройка ААА руководства по эксплуатации.

Подробная информация о командах для настройки политики использования паролей приведена в разделе Настройка AAA справочника команд CLI.

Рекомендации

  • Рекомендуется всегда включать требования на смену пароля по умолчанию пользователя admin.
  • Рекомендуется ограничивать время жизни паролей и запрещать повторно использовать, как минимум, предыдущий пароль.
  • Рекомендуется выставлять требования минимальной длины пароля больше 8 символов.
  • Рекомендуется выставлять требования на использование строчных и прописных букв, цифр и спецсимволов.

Scroll Pagebreak
Пример настройки

Задача:

  • Настроить парольную политику с обязательным требованием смены пароля по умолчанию, временем действия пароля 1 месяц и запретом на использование 12 последних паролей.
  • Задать минимальную длину пароля 16 символов, максимальную — 64 символа.
  • Пароль должен содержать не менее 3 прописных букв, не менее 5 строчных букв, не менее 4 цифр и не менее 2 спецсимволов. Пароль в обязательном порядке должен содержать все 4 типа символов.

...

Блок кода
esr(config)# security passwords upper-case 3
esr(config)# security passwords lower-case 5
esr(config)# security passwords special-case 2
esr(config)# security passwords numeric-count 4
esr(config)# security passwords symbol-types 4

Настройка политики AAA

Алгоритмы настройки политики ААА приведены в разделе Настройка ААА руководства по эксплуатации.

Подробная информация о командах для настройки политики AAA приведена в разделе Настройка ААА справочника команд CLI.

Рекомендации

  • Рекомендуется использовать ролевую модель доступа на устройство.
  • Рекомендуется использовать персональные учетные записи для аутентификации на устройстве.
  • Рекомендуется включать логирование вводимых пользователем команд.
  • Рекомендуется использовать несколько методов аутентификации для входа на устройства через консоль, удалённого входа на устройства и повышения привилегий. Оптимальной считается комбинация из аутентификации по одному из протоколов RADIUS/TACACS/LDAP и локальной аутентификации.
  • Рекомендуется понизить уровень привилегий встроенной учётной записи admin до 1.
    Scroll Pagebreak
  • Рекомендуется настроить логирование изменений локальных учётных записей.
  • Рекомендуется настроить логирование изменений политики AAA.

Предупреждения

  • Встроенную учётную запись admin удалить нельзя.
  • Команда no username admin не удаляет пользователя admin, сбрасывает его конфигурацию в значения по умолчанию. После применения этой команды, пользователь admin не будет отображаться в конфигурации.
  • Команда no password для пользователя admin также не удаляет пароль пользователя admin, а сбрасывает его в значение по умолчанию. После применения этой команды пароль пользователя admin перестаёт отображаться в конфигурации и становится ‘password'.
  • Важно! Перед установкой пользователю admin пониженных привилегий у вас должен быть настроен пользователь с уровнем привилегий 15 или задан ENABLE-пароль.

Пример настройки

Задача:

Настроить политику AAA:

...

Блок кода
esr(config)# logging userinfo 
esr(config)# logging aaa
esr(config)# syslog cli-commands

Настройка удалённого управления 

Подробная информация о командах настройки удалённого доступа приведена в разделе Настройка доступа SSH, Telnet справочника команд CLI.

Рекомендации

  • Рекомендуется отключить удалённое управление по протоколу Telnet.
  • Рекомендуется сгенерировать новые криптографические ключи.
  • Рекомендуется использовать криптостойкие алгоритмы аутентификации sha2-256, sha2-512 и отключить все остальные.
  • Рекомендуется использовать криптостойкие алгоритмы шифрования aes256, aes256ctr и отключить все остальные.
  • Рекомендуется использовать криптостойкий алгоритм обмена ключами шифрования dh-group-exchange-sha256 и отключить все остальные.
  • Рекомендуется разрешить доступ к удалённому управлению устройством только с определённых IP-адресов.   

Пример настройки

Задача:

Отключить протокол Telnet. Сгенерировать новые ключи шифрования. Использовать криптостойкие алгоритмы.

...

Блок кода
esr(config)# ip ssh server
esr(config)# ip ssh authentication algorithm md5 disable
esr(config)# ip ssh authentication algorithm md5-96 disable
esr(config)# ip ssh authentication algorithm ripemd160 disable
esr(config)# ip ssh authentication algorithm sha1 disable
esr(config)# ip ssh authentication algorithm sha1-96 disable
esr(config)# ip ssh encryption algorithm aes128 disable
esr(config)# ip ssh encryption algorithm aes128ctr disable
esr(config)# ip ssh encryption algorithm aes192 disable
esr(config)# ip ssh encryption algorithm aes192ctr disable
esr(config)# ip ssh encryption algorithm arcfour disable
esr(config)# ip ssh encryption algorithm arcfour128 disable
esr(config)# ip ssh encryption algorithm arcfour256 disable
esr(config)# ip ssh encryption algorithm blowfish disable
esr(config)# ip ssh encryption algorithm cast128 disable
esr(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable
esr(config)# ip ssh key-exchange algorithm dh-group1-sha1 disable
esr(config)# ip ssh key-exchange algorithm dh-group14-sha1 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp256 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp384 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp521 disable

Настройка механизмов защиты от сетевых атак

Алгоритмы настройки механизмов защиты от сетевых атак приведены в разделе Настройка логирования и защиты от сетевых атак руководства по эксплуатации.

Подробная информация о командах для настройки политики использования паролей приведена в разделе Управление логированием и защитой от сетевых атак справочника команд CLI.

Рекомендации

  • Рекомендуется всегда включать защиту от IP spoofing.
  • Рекомендуется всегда включать защиту от TCP-пакетов с неправильно выставленными флагами.
  • Рекомендуется всегда включать защиту от фрагментированных TCP-пакетов с выставленным флагом SYN
  • Рекомендуется всегда включать защиту от фрагментированных ICMP-пакетов.
  • Рекомендуется всегда включать защиту ICMP-пакетов большого размера.
  • Рекомендуется всегда включать защиту от незарегистрированных IP-протоколов.
  • Рекомендуется включать логирование механизма защиты от сетевых атак.

Пример настройки

Задача:

Настроить механизм защиты от сетевых атак в соответствии с рекомендациями.

...