Сравнение версий

Старая версия 2

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия 3

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Блок кода
esr# update ssh-host-key rsa 2048

Настройка механизмов защиты от сетевых атак

Алгоритмы настройки механизмов защиты от сетевых атак приведены в разделе Настройка логирования и защиты от сетевых настоящего руководства.

Подробная информация о командах для настройки политики использования паролей приведена в разделе Управление логированием и защитой от сетевых атак (ДЛЯ УДАЛЕНИЯ) справочника команд CLI.

Рекомендации

  • Рекомендуется всегда включать защиту от ip spoofing.
  • Рекомендуется всегда включать защиту от TCP-пакетов с неправильно выставленными флагами.
  • Рекомендуется всегда включать защиту от фрагментированных TCP-пакетов с выставленным флагом SYN.
  • Рекомендуется всегда включать защиту от фрагментированных ICMP-пакетов.
  • Рекомендуется всегда включать защиту ICMP-пакетов большого размера.
  • Рекомендуется всегда включать защиту от незарегистрированных IP-протоколов.
  • Рекомендуется включать логирование механизма защиты от сетевых атак.

Пример настройки

Задача:

Настроить механизм защиты от сетевых атак в соответствии с рекомендациями.

Решение:

Включаем защиту от ip spoofing и логирование механизма защиты:

Блок кода
esr(config)# ip firewall screen spy-blocking spoofing
esr(config)# logging firewall screen spy-blocking spoofing

Включаем защиту от TCP-пакетов с неправильно выставленными флагами и логирование механизма защиты:

Блок кода
esr(config)# ip firewall screen spy-blocking syn-fin
esr(config)# logging firewall screen spy-blocking syn-fin
esr(config)# ip firewall screen spy-blocking fin-no-ack
esr(config)# logging firewall screen spy-blocking fin-no-ack
esr(config)# ip firewall screen spy-blocking tcp-no-flag
esr(config)# logging firewall screen spy-blocking tcp-no-flag
esr(config)# ip firewall screen spy-blocking tcp-all-flags
esr(config)# logging firewall screen spy-blocking tcp-all-flags

Включаем защиту от фрагментированных ICMP-пакетов и логирование механизма защиты:

Блок кода
esr(config)# ip firewall screen suspicious-packets icmp-fragment
esr(config)# logging firewall screen suspicious-packets icmp-fragment

Включаем защиту от ICMP-пакетов большого размера и логирование механизма защиты:

Блок кода
esr(config)# ip firewall screen suspicious-packets large-icmp
esr(config)# logging firewall screen suspicious-packets large-icmp

Включаем защиту от незарегистрированных IP-протоколов и логирование механизма защиты:

Блок кода
esr(config)# ip firewall screen suspicious-packets unknown-protocols
esr(config)# logging firewall screen suspicious-packets unknown-protocols