Сравнение версий

Старая версия 10

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия 11

changes.mady.by.user Филатов Илья Олегович

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  • Рекомендуется всегда отключать неиспользуемые физические интерфейсы с помощью команды 
    команды shutdown. Команда подробно описана в разделе Конфигурирование и мониторинг интерфейсов справочника команд CLI.
  • Рекомендуется всегда настраивать синхронизацию системных часов с доверенными источниками сетевого времени (NTP). Алгоритм настройки NTP приведён приведен в разделе Настройка NTP настоящего руководства. Подробная информация о командах для настройки NTP приведена в разделе разделе Управление системными часами справочника команд CLI.
  • Рекомендуется отключать NTP broadcast client, включённый включенный по умолчанию в заводской конфигурации.
  • Рекомендуется использовать ACL для органичения ограничения доступа к консольному серверу и устройствам, непостредственно непосредственно подключенным к устройству.   Алгоритм настройки  настройки списков доступа приведён в разделе  разделе Управление безопасностью настоящего руководства.

...

Подробная информация о командах для настройки системы логирования событий приведена в разделе 
разделе Управление SYSLOG справочника команд CLI.

...

Настроить хранение сообщений о событиях уровня info и выше в файл syslog на устройстве и настроить передачу этих событий на внешний syslog-сервер. Ограничить файл размером 512 Кбайт кБ. Включить ротацию 3 файлов. Включить нумерацию сообщений syslog.

...

  • Рекомендуется всегда включать требования на смену пароля по умолчанию пользователя admin.
  • Рекомендуется ограничивать время жизни паролей и запрещать повторно использовать , как минимум , предыдущий пароль.
  • Рекомендуется выставлять требования минимальной длины пароля больше 8 символов.
  • Рекомендуется выставлять требования на использование строчных и прописных букв, цифр и спецсимволов.

...

  • Встроенную учётную запись admin удалить нельзя, только отключить авторизацию для неё командой no admin login enable.
  • Команда no username admin не удаляет пользователя admin, сбрасывает его конфигурацию в значения по умолчанию. После применения этой команды пользователь admin не будет отображаться в конфигурации.
  • Команда no password для пользователя admin также не удаляет пароль пользователя admin, а сбрасывает его в значение по умолчанию. После применения этой команды пароль пользователя admin перестаёт перестает отображаться в конфигурации и становится ‘password'.
  • Перед отключением авторизации для пользователя admin в конфигурацию устройства необходимо настроить пользователя с уровнем привилегий 15 или задать ENABLE-пароль для уровня привилегий 15.
    Scroll Pagebreak

...

Настроить политику AAA:

  • Для удалённого удаленного входа по протоколу SSH использовать аутентификации через RADIUS.
  • Для входа через локальную консоль использовать аутентификации через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальную аутентификацию.
  • Использовать ENABLE-пароль, заданный через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальный ENABLE-пароль.
  • Установить пользователю admin пониженный уровень привилегий.
  • Настроить логирование изменений локальных учётных учетных записей.
  • Настроить логирование изменений политик ААА.
  • Настроить логирование вводимых команд.

...

Блок кода
scs(config)# logging userinfo 
scs(config)# logging aaa
scs(config)# syslog cli-commands

Настройка

...

удаленного управления

Подробная информация о командах настройки удалённого удаленного доступа приведена в разделе Настройка доступа SSH, Telnet справочника команд CLI.

...

  • Не рекомендуется включать удалённое удаленное управление по протоколу Telnet.
  • Рекомендуется использовать криптостойкие алгоритмы аутентификации sha2-512 и отключить все остальные.
  • Рекомендуется использовать криптостойкие алгоритмы шифрования aes256ctr и отключить все остальные.
  • Рекомендуется использовать криптостойкий алгоритм обмена ключами шифрования dh-group-exchange-sha256 и отключить все остальные.
  • Рекомендуется использовать криптостойкий алгоритм верификации Host-Key для SSH rsa и отключить все остальные.
  • Рекомендуется разрешить доступ к удалённому удаленному управлению устройством только с определённых определенных IP-адресов.   
  • Перед началом эксплуатации рекомендуется перегенерировать ключи шифрования.

...