...
- Рекомендуется всегда отключать неиспользуемые физические интерфейсы с помощью команды
shutdown. Команда подробно описана в разделе Конфигурирование и мониторинг интерфейсов справочника команд CLI. - Рекомендуется всегда настраивать синхронизацию системных часов с доверенными источниками сетевого времени (NTP). Алгоритм настройки NTP приведён в разделе Настройка NTP настоящего руководства. Подробная информация о командах для настройки NTP приведена в разделе Управление системными часами справочника команд CLI.
- Рекомендуется отключать NTP broadcast client, включённый по умолчанию в заводской конфигурации.
- Не рекомендуется использовать команду ip firewall disable, отключающую межсетевое экранирование. Следует всегда назначать интерфейсам соответствующие зоны безопасности и настраивать корректные правила межсетевого экрана. Алгоритм настройки межсетевого экрана приведён в разделе Конфигурирование Firewall настоящего руководства. Подробная информация о командах для настройки межсетевого экрана приведена в разделе Управление Firewall справочника команд CLI.
Scroll Pagebreak |
---|
...
Подробная информация о командах для настройки системы логирования событий приведена в разделе
Управление SYSLOG справочника команд CLI.
Рекомендации
...
- Данные хранящиеся в файловой системе tmpsys:syslog не сохраняются при перезагрузке устройства. Этот тип файловой системы рекомендуется использовать для хранения оперативных логов.
- Не рекомендуется использовать файловую систему flash:syslog для хранения логов, так как это может привести к преждевременному выходу из строя устройства ESR.
Пример настройки
Задача:
Настроить хранение сообщений о событиях уровня info и выше в файл syslog на устройстве и настроить передачу этих событий на внешний syslog-сервер. Ограничить файл размером 512 Кбайт. Включить ротацию 3 файлов. Включить нумерацию сообщений syslog.
...
Подробная информация о командах для настройки политики использования паролей приведена в разделе Настройка AAA справочника команд CLI.
Рекомендации
...
Блок кода |
---|
esr(config)# security passwords upper-case 3 esr(config)# security passwords lower-case 5 esr(config)# security passwords special-case 2 esr(config)# security passwords numeric-count 4 esr(config)# security passwords symbol-types 4 |
Scroll Pagebreak
Настройка политики AAA
Алгоритмы настройки политики ААА приведены в разделе Настройка ААА настоящего руководства.
Подробная информация о командах для настройки политики AAA приведена в разделе Настройка ААА справочника команд CLI.
Рекомендации
...
Подробная информация о командах настройки удалённого доступа приведена в разделе Настройка доступа SSH, Telnet справочника команд CLI.
Рекомендации
- Рекомендуется отключить удалённое управление по протоколу telnet.
- Рекомендуется использовать криптостойкие алгоритмы аутентификации sha2-512 и отключить все остальные.
- Рекомендуется использовать криптостойкие алгоритмы шифрования aes256ctr и отключить все остальные.
- Рекомендуется использовать криптостойкий алгоритм обмена ключами шифрования dh-group-exchange-sha256 и отключить все остальные.
- Рекомендуется использовать криптостойкий алгоритм верификации Host-Key для SSH rsa и отключить все остальные.
- Рекомендуется разрешить доступ к удалённому управлению устройством только с определённых ipIP-адресов.
- Перед началом эксплуатации рекомендуется перегенерировать ключи шифрования.
...
Подробная информация о командах для настройки политики использования паролей приведена в разделе Управление логированием и защитой от сетевых атак справочника команд CLI.
Рекомендации
- Рекомендуется всегда включать защиту от ip spoofing.
- Рекомендуется всегда включать защиту от TCP-пакетов с неправильно выставленными флагами.
- Рекомендуется всегда включать защиту от фрагментированных TCP-пакетов с выставленным флагом SYN.
- Рекомендуется всегда включать защиту от фрагментированных ICMP-пакетов.
- Рекомендуется всегда включать защиту ICMP-пакетов большого размера.
- Рекомендуется всегда включать защиту от незарегистрированных ip-протоколов.
- Рекомендуется включать логирование механизма защиты от сетевых атак.
Scroll Pagebreak |
---|
Задача:
Настроить механизм защиты от сетевых атак в соответствии с рекомендациями.
...
Включаем защиту от незарегистрированных ipIP-протоколов и логирование механизма защиты:
...