...
- Рекомендуется всегда отключать неиспользуемые физические интерфейсы с помощью команды shutdown. Команда подробно описана в разделе Конфигурирование и мониторинг интерфейсов справочника команд CLI.
- Рекомендуется всегда настраивать синхронизацию системных часов с доверенными источниками сетевого времени (NTP). Алгоритм настройки NTP приведён в разделе Настройка NTP настоящего руководства. Подробная информация о командах для настройки NTP приведена в разделе Управление системными часами справочника команд CLI.
- Рекомендуется отключать NTP broadcast client, включённый по умолчанию в заводской конфигурации.
- Не рекомендуется использовать команду ip firewall disable, отключающую межсетевое экранирование. Следует всегда назначать интерфейсам соответствующие зоны безопасности и настраивать корректные правила межсетевого экрана. Алгоритм настройки межсетевого экрана приведён в разделе Конфигурирование Firewall настоящего руководства. Подробная информация о командах для настройки межсетевого экрана приведена в разделе Управление Firewall справочника команд CLI.
Scroll Pagebreak |
---|
...
Подробная информация о командах для настройки системы логирования событий приведена в разделе
Управление SYSLOG справочника команд CLI.
Рекомендации
- Рекомендуется настроить хранение сообщений о событиях в файл syslog на устройстве и передачу этих событий на внешний syslog-сервер.
- Рекомендуется ограничивать размер syslog-файла на устройстве.
- Рекомендуется настраивать ротацию syslog-файлов на устройстве.
- Рекомендуется включать нумерацию сообщений syslog.
- Рекомендуется включать добавление меток timestamp msec к syslog-сообщениям на устройствах ESR-1500 и ESR-1511.
...
Блок кода |
---|
esr(config)# syslog sequence-numbers |
Scroll Pagebreak |
---|
...
Подробная информация о командах для настройки политики использования паролей приведена в разделе Настройка AAA справочника команд CLI.
Рекомендации
...
Подробная информация о командах для настройки политики AAA приведена в разделе Настройка ААА справочника команд CLI.
Рекомендации
...
- Встроенную учётную запись admin удалить нельзя.
- Команда no username admin не удаляет пользователя admin, сбрасывает его конфигурацию в значения по умолчанию. После применения этой команды , пользователь admin не будет отображаться в конфигурации.
- Команда no password для пользователя admin также не удаляет пароль пользователя admin, а сбрасывает его в значение по умолчанию. После применения этой команды пароль пользователя admin перестаёт отображаться в конфигурации и становится ‘password'.
- Важно! Перед установкой пользователю admin пониженных привилегий у вас должен быть настроен пользователь с уровнем привилегий 15 или задан ENABLE-пароль.
...
- Для удалённого входа по протоколу SSH использовать аутентификации через RADIUS.
- Для входа через локальную консоль использовать аутентификации через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальную аутентификацию.
- Использовать ENABLE-пароль заданный через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальный ENABLE-пароль.
- Установить пользователю admin пониженный уровень привилегий.
- Настроить логирование изменений локальных учётных записей.
- Настроить логирование изменений политик ААА.
- Настроить логирование вводимых команд.
Решение: Scroll Pagebreak
Создаем локального пользователя local-operator с уровнем привилегий 8:
...
Блок кода |
---|
esr(config)# logging userinfo esr(config)# logging aaa esr(config)# syslog cli-commands |
Scroll Pagebreak |
---|
Подробная информация о командах настройки удалённого доступа приведена в разделе Настройка доступа SSH, Telnet справочника команд CLI.
Рекомендации
- Рекомендуется отключить удалённое управление по протоколу telnet.
- Рекомендуется использовать криптостойкие алгоритмы аутентификации sha2-512 и отключить все остальные.
- Рекомендуется использовать криптостойкие алгоритмы шифрования aes256ctr и отключить все остальные.
- Рекомендуется использовать криптостойкий алгоритм обмена ключами шифрования dh-group-exchange-sha256 и отключить все остальные.
- Рекомендуется использовать криптостойкий алгоритм верификации Host-Key для SSH rsa и отключить все остальные.
- Рекомендуется разрешить доступ к удалённому управлению устройством только с определённых ip-адресов.
- Перед началом эксплуатации рекомендуется перегенерировать ключи шифрования.
...
Блок кода |
---|
esr(config)# no ip telnet server |
Scroll Pagebreak |
---|
Блок кода |
---|
esr(config)# ip ssh server esr(config)# ip ssh authentication algorithm md5 disable esr(config)# ip ssh authentication algorithm md5-96 disable esr(config)# ip ssh authentication algorithm ripemd160 disable esr(config)# ip ssh authentication algorithm sha1 disable esr(config)# ip ssh authentication algorithm sha1-96 disable esr(config)# ip ssh authentication algorithm sha2-256 disable esr(config)# ip ssh encryption algorithm 3des disable esr(config)# ip ssh encryption algorithm aes128 disable esr(config)# ip ssh encryption algorithm aes128ctr disable esr(config)# ip ssh encryption algorithm aes192 disable esr(config)# ip ssh encryption algorithm aes192ctr disable esr(config)# ip ssh encryption algorithm aes256 disable esr(config)# ip ssh encryption algorithm arcfour disable esr(config)# ip ssh encryption algorithm arcfour128 disable esr(config)# ip ssh encryption algorithm arcfour256 disable esr(config)# ip ssh encryption algorithm blowfish disable esr(config)# ip ssh encryption algorithm cast128 disable esr(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable esr(config)# ip ssh key-exchange algorithm dh-group1-sha1 disable esr(config)# ip ssh key-exchange algorithm dh-group14-sha1 disable esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp256 disable esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp384 disable esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp521 disable |
Генерируем новые ключи шифрования:
Блок кода |
---|
esr# update ssh- esr(config)# ip ssh host-key algorithm dsa esr# update ssh-disable esr(config)# ip ssh host-key ecdsaalgorithm 256ecdsa256 esr# update ssh-disable esr(config)# ip ssh host-key ecdsaalgorithm 384ecdsa384 esr# update ssh-disable esr(config)# ip ssh host-key ecdsaalgorithm 521ecdsa521 esr# update ssh-disable esr(config)# ip ssh host-key algorithm ed25519 disable |
Генерируем новые ключи шифрования:
Блок кода |
---|
esr# update ssh-host-key rsa
esr# update ssh-host-key rsa 2048
|
Настройка механизмов защиты от сетевых атак
...
- Рекомендуется всегда включать защиту от ip spoofing.
- Рекомендуется всегда включать защиту от TCP-пакетов с неправильно выставленными флагами.
- Рекомендуется всегда включать защиту от фрагментированных TCP-пакетов с выставленным флагом SYN.
- Рекомендуется всегда включать защиту от фрагментированных ICMP-пакетов.
- Рекомендуется всегда включать защиту ICMP-пакетов большого размера.
- Рекомендуется всегда включать защиту от незарегистрированных ip-протоколов.
- Рекомендуется включать логирование механизма защиты от сетевых атак.
...