|| DeviceType | Сервисные маршрутизаторы серии ESR |
|| DeviceName1 |  ESR-10, ESR-12V, ESR-12VF, ESR-15, ESR-15R, ESR-15VF, ESR-20, ESR-21, ESR-30, ESR-31, ESR-100, ESR-200, ESR-1000, ESR-1200, ESR-1500, ESR-1511, ESR-1511 rev.B, ESR-1700, ESR-3100, ESR-3200, ESR-3200L, ESR-3300 |
|| DocTitleAdditional | Руководство по установке и быстрому запуску |
|| fwversion | 1.2834 |

Аннотация

В настоящем руководстве приводится заводская конфигурация устройства и рекомендации по начальной настройке маршрутизаторов серии ESR (далее устройство).

Данное руководство предназначено для технического персонала, выполняющего установку и настройку устройства.

Заводская конфигурация маршрутизатора ESR

При отгрузке устройства потребителю на маршрутизатор загружена заводская конфигурация, которая включает минимально необходимые базовые настройки. Заводская конфигурация позволяет использовать маршрутизатор в качестве шлюза с функцией SNAT без необходимости применять дополнительные настройки. Кроме того, заводская конфигурация содержит настройки, позволяющие получить сетевой доступ к устройству для выполнения расширенного конфигурирования.

Описание заводской конфигурации

Для подключения к сетям в конфигурации описаны 2 зоны безопасности с наименованиями «Trusted» для локальной сети и «Untrusted» для публичной сети. Все интерфейсы разделены между двух зон безопасности:

...

Подключение и конфигурирование маршрутизатора

Маршрутизаторы серии ESR предназначены для выполнения функций пограничного шлюза и обеспечения безопасности сети пользователя при подключении ее к публичным сетям передачи данных.

...

Расширенные настройки зависят от требований конкретной схемы применения устройства и легко могут быть добавлены или изменены с помощью имеющихся интерфейсов управления.

Подключение к маршрутизатору

Предусмотрены следующие способы подключения к устройству:

Подключение по локальной сети Ethernet

Подключите сетевой кабель передачи данных (патч-корд) к любому порту, входящему в зону «Trusted», и к компьютеру, предназначенному для управления.

...

Если IP-адрес не получен по какой-либо причине, то следует назначить адрес интерфейса вручную, используя любой адрес, кроме 192.168.1.1, в подсети 192.168.1.0/24.

Подключение через консольный порт RS-232

При помощи кабеля RJ-45/DBF9, который входит в комплект поставки устройства, соедините порт «Console» маршрутизатора с портом RS-232 компьютера.

...

Применение изменения конфигурации

Любые изменения, внесенные в конфигурацию, вступят в действие только после применения команды:

...

• <TIME> – интервал времени ожидания подтверждения конфигурации, принимает значение в секундах [120..86400].

Базовая настройка маршрутизатора

Процедура настройки маршрутизатора при первом включении состоит из следующих этапов:

• Изменение пароля пользователя «admin».
• Создание новых пользователей.
• Назначение имени устройства (Hostname).
• Установка параметров подключения к публичной сети в соответствии с требованиями провайдера.
• Настройка удаленного доступа к маршрутизатору.
• Применение базовых настроек.

Изменение пароля пользователя «admin»

Для защищенного входа в систему необходимо сменить пароль привилегированного пользователя «admin».

...

esr# configure
esr(config)# username admin
esr(config-user)# password <new-password>
esr(config-user)# exit

Создание новых пользователей

Для создания нового пользователя системы или настройки любого из параметров: имени пользователя, пароля, уровня привилегий, – используются команды:

...

esr# configure
esr(config)# username fedor
esr(config-user)# password 12345678
esr(config-user)# privilege 15
esr(config-user)# exit
esr(config)# username ivan
esr(config-user)# password password
esr(config-user)# privilege 1
esr(config-user)# exit

Назначение имени устройства

Для назначения имени устройства используются следующие команды:

...

После применения конфигурации приглашение командной строки изменится на значение, заданное параметром <new-name>.

Настройка параметров публичной сети

Для настройки сетевого интерфейса маршрутизатора в публичной сети необходимо назначить устройству параметры, определённые провайдером сети – IP-адрес, маска подсети и адрес шлюза по умолчанию.

...

esr# show ip interfaces
IP address                                            Interface              Admin   Link    Type      Precedence    
---------------------------------------------------   --------------------   -----   -----   -------   -----------       
192.168.11.5/25                                       gi1/0/10               Up      Up      DHCP      -- 

Настройка удаленного доступа к маршрутизатору

В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам Telnet или SSH из зоны «trusted». Для того чтобы разрешить удаленный доступ к маршрутизатору из других зон, например, из публичной сети, необходимо создать соответствующие правила в firewall.

...

esr# configure
esr(config)# object-group network clients
esr(config-addr-set)# ip address-range 132.16.0.5-132.16.0.10
esr(config-addr-set)# exit
esr(config)# object-group network gateway
esr(config-addr-set)# ip address-range 40.13.1.22
esr(config-addr-set)# exit
esr(config)# object-group service ssh
esr(config-port-set)# port-range 22
esr(config-port-set)# exit
esr(config)# security zone-pair untrusted self
esr(config-zone-pair)# rule 10
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol tcp
esr(config-zone-rule)# match source-address clients
esr(config-zone-rule)# match destination-address gateway
esr(config-zone-rule)# match destination-port object-group ssh
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

Рекомендации по безопасной настройке

Рекомендации по безопасной настройке носят общий характер и подходят для большинства инсталляций. Настоящие рекомендации в значительной степени повышают безопасность эксплуатации устройства, но не являются исчерпывающими. В зависимости от схемы применения устройства необходимо настраивать и другие параметры безопасности. В некоторых специфических случаях выполнение данных рекомендаций может привести к неработоспособности сети. При настройке устройства стоит в первую очередь следовать техническим требованиям и регламентам сетей, в которых будет эксплуатироваться данное устройство.

Общие рекомендации

• Рекомендуется всегда отключать неиспользуемые физические интерфейсы с помощью команды 
  shutdown. Команда подробно описана в разделе Конфигурирование и мониторинг интерфейсов справочника команд CLI.
• Рекомендуется всегда настраивать синхронизацию системных часов с доверенными источниками сетевого времени (NTP). Алгоритм настройки NTP приведён в разделе Настройка NTP руководства по эксплуатации. Подробная информация о командах для настройки NTP приведена в разделе Управление системными часами справочника команд CLI.
• Рекомендуется отключать NTP broadcast client, включённый по умолчанию в заводской конфигурации.
• Не рекомендуется использовать команду ip firewall disable, отключающую межсетевое экранирование. Следует всегда назначать интерфейсам соответствующие зоны безопасности и настраивать корректные правила межсетевого экрана. Алгоритм настройки межсетевого экрана приведён в разделе Конфигурирование Firewall руководства по эксплуатации. Подробная информация о командах для настройки межсетевого экрана приведена в разделе Управление Firewall справочника команд CLI.

Настройка системы логирования событий

Алгоритмы настройки системы логирования событий приведены в подразделе «Настройка Syslog» раздела Мониторинг руководства по эксплуатации.

Подробная информация о командах для настройки системы логирования событий приведена в разделе 
Управление SYSLOG справочника команд CLI.

Рекомендации

• Рекомендуется настроить хранение сообщений о событиях в файл syslog на устройстве и передачу этих событий на внешний syslog-сервер.
• Рекомендуется ограничивать размер syslog-файла на устройстве.
• Рекомендуется настраивать ротацию syslog-файлов на устройстве.
• Рекомендуется включать нумерацию сообщений syslog.
• Рекомендуется включать добавление меток timestamp msec к syslog-сообщениям на устройствах ESR-1500 и ESR-1511.

Предупреждения

• Данные, хранящиеся в файловой системе tmpsys:syslog, не сохраняются при перезагрузке устройства. Этот тип файловой системы рекомендуется использовать для хранения оперативных логов.
• Не рекомендуется использовать файловую систему flash:syslog для хранения логов, так как это может привести к преждевременному выходу из строя устройства ESR.

Пример настройки

Задача:

Настроить хранение сообщений о событиях уровня info и выше в файл syslog на устройстве и настроить передачу этих событий на внешний syslog-сервер. Ограничить файл размером 512 Кбайт. Включить ротацию 3 файлов. Включить нумерацию сообщений syslog.

Решение:

Настройте хранение syslog-сообщений в файле:

...

esr(config)# syslog sequence-numbers

Настройка политики использования паролей

Алгоритмы настройки политики использования паролей приведены в разделе Настройка ААА руководства по эксплуатации.

Подробная информация о командах для настройки политики использования паролей приведена в разделе Настройка AAA справочника команд CLI.

Рекомендации

• Рекомендуется всегда включать требования на смену пароля по умолчанию пользователя admin.
• Рекомендуется ограничивать время жизни паролей и запрещать повторно использовать, как минимум, предыдущий пароль.
• Рекомендуется выставлять требования минимальной длины пароля больше 8 символов.
• Рекомендуется выставлять требования на использование строчных и прописных букв, цифр и спецсимволов.

Пример настройки

Задача:

• Настроить парольную политику с обязательным требованием смены пароля по умолчанию, временем действия пароля 1 месяц и запретом на использование 12 последних паролей.
• Задать минимальную длину пароля 16 символов, максимальную — 64 символа.
• Пароль должен содержать не менее 3 прописных букв, не менее 5 строчных букв, не менее 4 цифр и не менее 2 спецсимволов. Пароль в обязательном порядке должен содержать все 4 типа символов.

Решение:

Включите запрос на смену пароля по умолчанию для пользователя admin:

...

esr(config)# security passwords upper-case 3
esr(config)# security passwords lower-case 5
esr(config)# security passwords special-case 2
esr(config)# security passwords numeric-count 4
esr(config)# security passwords symbol-types 4

Настройка политики AAA

Алгоритмы настройки политики ААА приведены в разделе Настройка ААА руководства по эксплуатации.

Подробная информация о командах для настройки политики AAA приведена в разделе Настройка ААА справочника команд CLI.

Рекомендации

• Рекомендуется использовать ролевую модель доступа на устройство.
• Рекомендуется использовать персональные учетные записи для аутентификации на устройстве.
• Рекомендуется включать логирование вводимых пользователем команд.
• Рекомендуется использовать несколько методов аутентификации для входа на устройства через консоль, удалённого входа на устройства и повышения привилегий. Оптимальной считается комбинация из аутентификации по одному из протоколов RADIUS/TACACS/LDAP и локальной аутентификации.
• Рекомендуется понизить уровень привилегий встроенной учётной записи admin до 1.
• Рекомендуется настроить логирование изменений локальных учётных записей.
• Рекомендуется настроить логирование изменений политики AAA.

Предупреждения

• Встроенную учётную запись admin удалить нельзя.
• Команда no username admin не удаляет пользователя admin, сбрасывает его конфигурацию в значения по умолчанию. После применения этой команды пользователь admin не будет отображаться в конфигурации.
• Команда no password для пользователя admin также не удаляет пароль пользователя admin, а сбрасывает его в значение по умолчанию. После применения этой команды пароль пользователя admin перестаёт отображаться в конфигурации и становится ‘password'.
• Перед установкой пользователю admin пониженных привилегий у вас должен быть настроен пользователь с уровнем привилегий 15 или задан ENABLE-пароль.

Пример настройки

Задача:

Настроить политику AAA:

• Для удалённого входа по протоколу SSH использовать аутентификации через RADIUS.
• Для входа через локальную консоль использовать аутентификации через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальную аутентификацию.
• Использовать ENABLE-пароль, заданный через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальный ENABLE-пароль.
• Установить пользователю admin пониженный уровень привилегий.
• Настроить логирование изменений локальных учётных записей.
• Настроить логирование изменений политик ААА.
• Настроить логирование вводимых команд.

Решение:

Создайте локального пользователя local-operator с уровнем привилегий 8:

...

esr(config)# logging userinfo 
esr(config)# logging aaa
esr(config)# syslog cli-commands

Настройка удалённого управления 

Подробная информация о командах настройки удалённого доступа приведена в разделе Настройка доступа SSH, Telnet справочника команд CLI.

Рекомендации

• Не рекомендуется включать удалённое управление по протоколу Telnet.
• Рекомендуется использовать криптостойкие алгоритмы аутентификации sha2-512 и отключить все остальные.
• Рекомендуется использовать криптостойкие алгоритмы шифрования aes256ctr и отключить все остальные.
• Рекомендуется использовать криптостойкий алгоритм обмена ключами шифрования dh-group-exchange-sha256 и отключить все остальные.
• Рекомендуется использовать криптостойкий алгоритм верификации Host-Key для SSH rsa и отключить все остальные.
• Рекомендуется разрешить доступ к удалённому управлению устройством только с определённых IP-адресов.   
• Перед началом эксплуатации рекомендуется перегенерировать ключи шифрования.

Пример настройки

Задача:

Сгенерировать новые ключи шифрования. Использовать криптостойкие алгоритмы.

Решение:

Отключите устаревшие и не криптостойкие алгоритмы:

...

esr# update ssh-host-key rsa 2048

Настройка механизмов защиты от сетевых атак

Алгоритмы настройки механизмов защиты от сетевых атак приведены в разделе Настройка логирования и защиты от сетевых руководства по эксплуатации.

Подробная информация о командах для настройки политики использования паролей приведена в разделе Управление логированием и защитой от сетевых атак справочника команд CLI.

Рекомендации

• Рекомендуется всегда включать защиту от ip spoofing.
• Рекомендуется всегда включать защиту от TCP-пакетов с неправильно выставленными флагами.
• Рекомендуется всегда включать защиту от фрагментированных TCP-пакетов с выставленным флагом SYN.
• Рекомендуется всегда включать защиту от фрагментированных ICMP-пакетов.
• Рекомендуется всегда включать защиту ICMP-пакетов большого размера.
• Рекомендуется всегда включать защиту от незарегистрированных IP-протоколов.
• Рекомендуется включать логирование механизма защиты от сетевых атак.

Пример настройки

Задача:

Настроить механизм защиты от сетевых атак в соответствии с рекомендациями.

Решение:

Включите защиту от ip spoofing и логирование механизма защиты:

...