Дерево страниц

Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Зона, из которой идет трафик

Зона, в которую идет трафик

Тип трафика

Действие

Trusted

Untrusted

TCP, UDP, ICMP

разрешен

Trusted

Trusted

TCP, UDP, ICMP

разрешен

Trusted

self

TCP/22 (SSH), ICMP, UDP/67 (DHCP Server), UDP/123 (NTP)

разрешен

Untrusted

self

UDP/68 (DHCP Client)

разрешен


Предупреждение

Для обеспечения возможности конфигурирования устройства при первом включении в конфигурации маршрутизатора создана учётная запись администратора ‘admin’. Пользователю будет предложено изменить пароль администратора при начальном конфигурировании маршрутизатора.


Предупреждение

Для сетевого доступа к управлению маршрутизатором при первом включении в конфигурации задан статический IP-адрес на интерфейсе Bridge 1 – 192.168.1.1/24.

Подключение к интерфейсу командой строки (CLI) маршрутизатора

Подключение по локальной сети Ethernet

Примечание

При первоначальном старте маршрутизатор загружается с заводской конфигурацией. Описание заводской конфигурации приведено в разделе Заводская конфигурация маршрутизатора руководства по эксплуатации.

Шаг 1. Подключите сетевой кабель передачи данных (патч-корд) к любому порту, входящему в зону «Trusted», и к компьютеру, предназначенному для управления.

...

Для защищенного входа в систему необходимо сменить пароль привилегированного пользователя «admin».

Примечание

Учетная запись techsupport необходима для удаленного обслуживания сервисным центром;

Учетная запись remote – аутентификация RADIUS, TACACS+, LDAP;

Удалить пользователей admin, techsupport, remote нельзя. Можно только сменить пароль и уровень привилегий.

В заводской конфигурации по умолчанию создан пользователь «admin» с паролем «password».

Имя пользователя и пароль вводится при входе в систему во время сеансов администрирования устройства.

...

Блок кода
esr(config)# username <name>
esr(config-user)# password <password>
esr(config-user)# privilege <privilege>
esr(config-user)# exit


Примечание

Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства.

Scroll Pagebreak
Пример команд для создания пользователя «fedor» c паролем «12345678» и уровнем привилегий 15 и создания пользователя «ivan» с паролем «password» и уровнем привилегий 1:

Блок кода
esr# configure
esr(config)# username fedor
esr(config-user)# password 12345678
esr(config-user)# privilege 15
esr(config-user)# exit
esr(config)# username ivan
esr(config-user)# password password
esr(config-user)# privilege 1
esr(config-user)# exit


Примечание

Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства.

Пример команд для создания пользователя «fedor» c паролем «12345678» и уровнем привилегий 15 и создания пользователя «ivan» с паролем «password» и уровнем привилегий 1:

...

  • Рекомендуется настроить хранение сообщений о событиях в файл syslog на устройстве и передачу этих событий на внешний syslog-сервер.
  • Рекомендуется ограничивать размер syslog-файла на устройстве.
  • Рекомендуется настраивать ротацию syslog-файлов на устройстве.
  • Рекомендуется включать нумерацию сообщений syslog.
  • Рекомендуется включать добавление меток timestamp msec к syslog-сообщениям на устройствах ESR-1500 и ESR-1511.

...

Настроить хранение сообщений о событиях уровня info и выше в файл syslog на устройстве и настроить передачу этих событий на внешний syslog-сервер. Ограничить файл размером 512 Кбайт. Включить ротацию 3 файлов. Включить нумерацию сообщений syslog.

Решение:

Настраиваем Настройте хранение syslog-сообщений в файле:

Блок кода
esr(config)# syslog file tmpsys:syslog/default info

Настраиваем Настройте ограничение размера и ротацию файлов:

Блок кода
esr(config)# syslog max-files 3
esr(config)# syslog file-size 512

Настраиваем Настройте передачу сообщений на внешний сервер:

Блок кода
esr(config)# syslog host mylog 192.168.1.2 info udp 514

Включаем Включите нумерацию сообщений syslog:

...

  • Настроить парольную политику с обязательным требованием смены пароля по умолчанию, временем действия пароля 1 месяц и запретом на использование 12 последних паролей.
  • Задать минимальную длину пароля 16 символов, максимальную — 64 символа.
  • Пароль должен содержать не менее 3 прописных букв, не менее 5 строчных букв, не менее 4 цифр и не менее 2 спецсимволов. Пароль в обязательном порядке должен содержать все 4 типа символов.

Решение:

Включаем Включите запрос на смену пароля по умолчанию для пользователя admin:

Блок кода
esr(config)# security passwords default-expired

Устанавливаем Установите время жизни пароля 30 дней и запрет на использование предыдущих 12 паролей:

Блок кода
esr(config)# security passwords lifetime 30
esr(config)# security passwords history 12

Устанавливаем Установите ограничения на длину пароля:

Блок кода
esr(config)# security passwords min-length 16
esr(config)# security passwords max-length 64

Устанавливаем Установите ограничения по минимальному количеству символов соответствующих типов:

...

  • Встроенную учётную запись admin удалить нельзя.
  • Команда no username admin не удаляет пользователя admin, сбрасывает его конфигурацию в значения по умолчанию. После применения этой команды , пользователь admin не будет отображаться в конфигурации.
  • Команда no password для пользователя admin также не удаляет пароль пользователя admin, а сбрасывает его в значение по умолчанию. После применения этой команды пароль пользователя admin перестаёт отображаться в конфигурации и становится ‘password'.
  • Важно! Перед установкой пользователю admin пониженных привилегий у вас должен быть настроен пользователь с уровнем привилегий 15 или задан ENABLE-пароль.

...

  • Для удалённого входа по протоколу SSH использовать аутентификации через RADIUS.
  • Для входа через локальную консоль использовать аутентификации через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальную аутентификацию.
  • Использовать ENABLE-пароль заданный через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальный ENABLE-пароль.
  • Установить пользователю admin пониженный уровень привилегий.
  • Настроить логирование изменений локальных учётных записей.
  • Настроить логирование изменений политик ААА.
  • Настроить логирование вводимых команд.

Решение:

Создаем Создайте локального пользователя local-operator с уровнем привилегий 8:

Блок кода
esr(config)# username local-operator
esr(config-user)# password Pa$$w0rd1
esr(config-user)# privilege 8 
esr(config-user)# exit

Задаём Задайте локальный ENABLE-пароль:

Блок кода
esr(config)# enable password $6e5c4r3e2t!

Понижаем Понизьте привилегии пользователя admin:

Блок кода
esr(config)# username admin
esr(config-user)# privilege 1 
esr(config-user)# exit

Scroll Pagebreak
Настраиваем Настройте связь с двумя RADIUS-серверами, основным 192.168.1.11 и резервным 192.168.2.12:

Блок кода
esr(config)# radius-server host 192.168.1.11
esr(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF
esr(config-radius-server)# priority 100 esr(config-radius-server)# exit
esr(config)# radius-server host 192.168.2.12
esr(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF
esr(config-radius-server)# priority 150
esr(config-radius-server)# exit

Настраиваем Настройте политику ААА:

Блок кода
esr(config)# aaa authentication login CONSOLE radius local 
esr(config)# aaa authentication login SSH radius 
esr(config)# aaa authentication enable default radius enable
esr(config)# aaa authentication mode break
esr(config)# line console
esr(config-line-console)# login authentication CONSOLE 
esr(config-line-console)# exit esr(config)# line ssh 
esr(config-line-ssh)# login authentication SSH 
esr(config-line-ssh)# exit

Настраиваем Настройте логирование:

Блок кода
esr(config)# logging userinfo 
esr(config)# logging aaa
esr(config)# syslog cli-commands

...

Блок кода
2-5esr(config)# no ip telnet server

Отключаем Отключите устаревшие и не криптостойкие алгоритмы:

...

Настроить механизм защиты от сетевых атак в соответствии с рекомендациями.

Решение:

Включаем Включите защиту от ip spoofing и логирование механизма защиты:

Блок кода
esr(config)# ip firewall screen spy-blocking spoofing
esr(config)# logging firewall screen spy-blocking spoofing

Включаем Включите защиту от TCP-пакетов с неправильно выставленными флагами и логирование механизма защиты:

Блок кода
esr(config)# ip firewall screen spy-blocking syn-fin
esr(config)# logging firewall screen spy-blocking syn-fin
esr(config)# ip firewall screen spy-blocking fin-no-ack
esr(config)# logging firewall screen spy-blocking fin-no-ack
esr(config)# ip firewall screen spy-blocking tcp-no-flag
esr(config)# logging firewall screen spy-blocking tcp-no-flag
esr(config)# ip firewall screen spy-blocking tcp-all-flags
esr(config)# logging firewall screen spy-blocking tcp-all-flags

Включаем Включите защиту от фрагментированных ICMP-пакетов и логирование механизма защиты:

Блок кода
esr(config)# ip firewall screen suspicious-packets icmp-fragment
esr(config)# logging firewall screen suspicious-packets icmp-fragment

Включаем Включите защиту от ICMP-пакетов большого размера и логирование механизма защиты:

Блок кода
esr(config)# ip firewall screen suspicious-packets large-icmp
esr(config)# logging firewall screen suspicious-packets large-icmp

Включаем Включите защиту от незарегистрированных IP-протоколов и логирование механизма защиты:

...