...

|| DeviceType | Сервисные маршрутизаторы серии ESR |
|| DeviceName1 |  ESR-10, ESR-12V, ESR-12VF, ESR-15, ESR-15R, ESR-15VF, ESR-20, ESR-21, ESR-30, ESR-31, ESR-100, ESR-200, ESR-1000, ESR-1200, ESR-1500, ESR-1511, ESR-1700, ESR-3100, ESR-3200, ESR-3200L, ESR-3300 |
|| DocTitleAdditional | Руководство по установке и быстрому запуску |
|| fwversion | 1.2324 |

Аннотация

В настоящем руководстве приводится заводская конфигурация устройства и рекомендации по начальной настройке маршрутизаторов серии ESR (далее устройство).

Данное руководство предназначено для технического персонала, выполняющего установку и настройку устройства.

Заводская конфигурация маршрутизатора

При отгрузке устройства потребителю на устройство загружена заводская конфигурация, которая включает минимально необходимые базовые настройки. Заводская конфигурация позволяет использовать маршрутизатор в качестве шлюза с функцией SNAT без необходимости применять дополнительные настройки. Кроме того, заводская конфигурация содержит настройки, позволяющие получить сетевой доступ к устройству для выполнения расширенного конфигурирования.

Описание заводской конфигурации

Для подключения к сетям в конфигурации описаны 2 зоны безопасности с наименованиями «Trusted» для локальной сети и «Untrusted» для публичной сети. Все интерфейсы разделены между двух зон безопасности:

...

Подключение к интерфейсу командой строки (CLI) маршрутизатора

Подключение по локальной сети Ethernet

Шаг 1. Подключите сетевой кабель передачи данных (патч-корд) к любому порту, входящему в зону «Trusted», и к компьютеру, предназначенному для управления.

...

Если IP-адрес не получен по какой-либо причине, то следует назначить адрес интерфейса вручную, используя любой адрес, кроме 192.168.1.1, в подсети 192.168.1.0/24.

Подключение через консольный порт RS-232

Шаг 1. При помощи кабеля RJ-45/DBF9, который входит в комплект поставки устройства, соедините порт «Console» маршрутизатора с портом RS-232 компьютера.

...

Базовая настройка маршрутизатора

Процедура настройки маршрутизатора при первом включении состоит из следующих этапов:

• Изменение пароля пользователя «admin».
• Создание новых пользователей.
• Назначение имени устройства (Hostname).
• Установка параметров подключения к публичной сети в соответствии с требованиями провайдера.
• Настройка удаленного доступа к маршрутизатору.
• Применение базовых настроек.

Изменение пароля пользователя «admin»

Для защищенного входа в систему необходимо сменить пароль привилегированного пользователя «admin».

Имя пользователя и пароль вводится при входе в систему во время сеансов администрирования устройства.

...

esr# configure
esr(config)# username admin
esr(config-user)# password <new-password>
esr(config-user)# exit

Создание новых пользователей

Для создания нового пользователя системы или настройки любого из параметров: имени пользователя, пароля, уровня привилегий, — используются команды:

esr(config)# username <name>
esr(config-user)# password <password>
esr(config-user)# privilege <privilege>
esr(config-user)# exit

esr# configure
esr(config)# username fedor
esr(config-user)# password 12345678
esr(config-user)# privilege 15
esr(config-user)# exit
esr(config)# username ivan
esr(config-user)# password password
esr(config-user)# privilege 1
esr(config-user)# exit

Пример команд для создания пользователя «fedor» c паролем «12345678» и уровнем привилегий 15 и создания пользователя «ivan» с паролем «password» и уровнем привилегий 1:

esr# configure
esr(config)# username fedor
esr(config-user)# password 12345678
esr(config-user)# privilege 15
esr(config-user)# exit
esr(config)# username ivan
esr(config-user)# password password
esr(config-user)# privilege 1
esr(config-user)# exit

Назначение имени устройства

Для назначения имени устройства используются следующие команды:

...

После применения конфигурации приглашение командной строки изменится на значение, заданное параметром <new-name>.

Настройка параметров публичной сети

Для настройки сетевого интерфейса маршрутизатора в публичной сети необходимо назначить устройству параметры, определённые провайдером сети — IP-адрес, маска подсети и адрес шлюза по умолчанию.

...

esr# configure
esr(config)# interface gigabitethernet 1/0/2.150
esr(config-subifif-sub)# ip address 192.168.16.144/24
esr(config-subifif-sub)# exit
esr(config)# ip route 0.0.0.0/0 192.168.16.1

...

esr# show ip interfaces
IP address            Interface                           Type
-------------------   ---------------------------------   -------
192.168.11.5/25       gigabitethernet 1/0/10              DHCP

Настройка удаленного доступа к маршрутизатору

В заводской конфигурации разрешен удаленный доступ к маршрутизатору по протоколам Telnet или SSH из зоны «trusted». Для того чтобы разрешить удаленный доступ к маршрутизатору из других зон, например, из публичной сети, необходимо создать соответствующие правила в firewall.

...

esr# configure
esr(config)# object-group network clients
esr(config-addr-set)# ip address-range 132.16.0.5-132.16.0.10
esr(config-addr-set)# exit
esr(config)# object-group network gateway
esr(config-addr-set)# ip address-range 40.13.1.22
esr(config-addr-set)# exit
esr(config)# object-group service ssh
esr(config-port-set)# port-range 22
esr(config-port-set)# exit
esr(config)# security zone-pair untrusted self
esr(config-zone-pair)# rule 10
esr(config-zone-rule)# action permit
esr(config-zone-rule)# match protocol tcp
esr(config-zone-rule)# match source-address clients
esr(config-zone-rule)# match destination-address gateway
esr(config-zone-rule)# match destination-port ssh
esr(config-zone-rule)# enable
esr(config-zone-rule)# exit
esr(config-zone-pair)# exit

Применение базовых настроек

Для применения выполненных изменений конфигурации маршрутизатора требуется ввести следующие команды из корневого раздела командного интерфейса.

...

Если ввести команду confirm не удастся, то по истечении таймера подтверждения конфигурация устройства вернётся в прежнее состояние, существовавшее до ввода команды commit.

Проверка выполненных настроек

Для проверки правильности настроек попробуйте получить доступ к сайту http://eltex-co.ru из зоны «trusted». Если доступ получен — это значит, что трафик проходит через сервисный маршрутизатор. Если доступ не был получен, убедитесь в правильности произведенных настроек.

Рекомендации по безопасной настройке

Рекомендации по безопасной настройке носят общий характер и подходят для большинства инсталляций. Настоящие рекомендации в значительной степени повышают безопасность эксплуатации устройства, но не являются исчерпывающими. В зависимости от схемы применения устройства необходимо настраивать и другие параметры безопасности. В некоторых специфических случаях выполнение данных рекомендаций может привести к неработоспособности сети. При настройке устройства стоит в первую очередь следовать техническим требованиям и регламентам сетей, в которых будет эксплуатироваться данное устройство.

Общие рекомендации

• Рекомендуется всегда отключать неиспользуемые физические интерфейсы с помощью команды 
  shutdown. Команда подробно описана в разделе Конфигурирование и мониторинг интерфейсов справочника команд CLI.
• Рекомендуется всегда настраивать синхронизацию системных часов с доверенными источниками сетевого времени (NTP). Алгоритм настройки NTP приведён в разделе Настройка NTP руководства по эксплуатации. Подробная информация о командах для настройки NTP приведена в разделе Управление системными часами справочника команд CLI.
• Рекомендуется отключать NTP broadcast client, включённый по умолчанию в заводской конфигурации.
• Не рекомендуется использовать команду ip firewall disable, отключающую межсетевое экранирование. Следует всегда назначать интерфейсам соответствующие зоны безопасности и настраивать корректные правила межсетевого экрана. Алгоритм настройки межсетевого экрана приведён в разделе Конфигурирование Firewall руководства по эксплуатации. Подробная информация о командах для настройки межсетевого экрана приведена в разделе Управление Firewall справочника команд CLI.

Настройка системы логирования событий

Алгоритмы настройки системы логирования событий приведены в подразделе «Настройка Syslog» раздела Мониторинг руководства по эксплуатации.

Подробная информация о командах для настройки системы логирования событий приведена в разделе 
Управление SYSLOG справочника команд CLI.

Рекомендации

• Рекомендуется настроить хранение сообщений о событиях в файл syslog на устройстве и передачу этих событий на внешний syslog-сервер.
• Рекомендуется ограничивать размер syslog-файла на устройстве.
• Рекомендуется настраивать ротацию syslog-файлов на устройстве.
• Рекомендуется включать нумерацию сообщений syslog.
• Рекомендуется включать добавление меток timestamp msec к syslog-сообщениям на устройствах ESR-1500 и ESR-1511.

Предупреждения

• Данные хранящиеся в файловой системе tmpsys:syslog не сохраняются при перезагрузке устройства. Этот тип файловой системы рекомендуется использовать для хранения оперативных логов.
• Не рекомендуется использовать файловую систему flash:syslog для хранения логов, так как это может привести к преждевременному выходу из строя устройства ESR.

Пример настройки

Задача:

Настроить хранение сообщений о событиях уровня info и выше в файл syslog на устройстве и настроить передачу этих событий на внешний syslog-сервер. Ограничить файл размером 512 Кбайт. Включить ротацию 3 -х файлов. Включить нумерацию сообщений syslog.

Решение:

Настраиваем Настройте хранение syslog-сообщений в файле:

esr(config)# syslog file tmpsys:syslog/default info

Настраиваем Настройте ограничение размера и ротацию файлов:

esr(config)# syslog max-files 3
esr(config)# syslog file-size 512

Настраиваем Настройте передачу сообщений на внешний сервер:

esr(config)# syslog host mylog 192.168.1.2 info udp 514

Включаем Включите нумерацию сообщений syslog:

esr(config)# syslog sequence-numbers

Настройка политики использования паролей

Алгоритмы настройки политики использования паролей приведены в разделе Настройка ААА руководства по эксплуатации.

Подробная информация о командах для настройки политики использования паролей приведена в разделе Настройка AAA справочника команд CLI.

Рекомендации

• Рекомендуется всегда включать требования на смену пароля по умолчанию пользователя admin.
• Рекомендуется ограничивать время жизни паролей и запрещать повторно использовать, как минимум, предыдущий пароль.
• Рекомендуется выставлять требования минимальной длины пароля больше 8 символов.
• Рекомендуется выставлять требования на использование строчных и прописных букв, цифр и спецсимволов.

Scroll Pagebreak

Пример настройки

Задача:

• Настроить парольную политику с обязательным требованием смены пароля по умолчанию, временем действия пароля 1 месяц и запретом на использование 12 последних паролей.
• Задать минимальную длину пароля 16 символов, максимальную — 64 символа.
• Пароль должен содержать не менее 3 прописных букв, не менее 5 строчных букв, не менее 4 цифр и не менее 2 спецсимволов. Пароль в обязательном порядке должен содержать все 4 типа символов.

Решение:

Включаем Включите запрос на смену пароля по умолчанию для пользователя admin:

esr(config)# security passwords default-expired

Устанавливаем Установите время жизни пароля 30 дней и запрет на использование предыдущих 12 паролей:

esr(config)# security passwords lifetime 30
esr(config)# security passwords history 12

Устанавливаем Установите ограничения на длину пароля:

esr(config)# security passwords min-length 16
esr(config)# security passwords max-length 64

Устанавливаем Установите ограничения по минимальному количеству символов соответствующих типов:

esr(config)# security passwords upper-case 3
esr(config)# security passwords lower-case 5
esr(config)# security passwords special-case 2
esr(config)# security passwords numeric-count 4
esr(config)# security passwords symbol-types 4

Настройка политики AAA

Алгоритмы настройки политики ААА приведены в разделе Настройка ААА руководства по эксплуатации.

Подробная информация о командах для настройки политики AAA приведена в разделе Настройка ААА справочника команд CLI.

Рекомендации

• Рекомендуется использовать ролевую модель доступа на устройство.
• Рекомендуется использовать персональные учетные записи для аутентификации на устройстве.
• Рекомендуется включать логирование вводимых пользователем команд.
• Рекомендуется использовать несколько методов аутентификации для входа на устройства через консоль, удалённого входа на устройства и повышения привилегий. Оптимальной считается комбинация из аутентификации по одному из протоколов RADIUS/TACACS/LDAP и локальной аутентификации.
• Рекомендуется понизить уровень привилегий встроенной учётной записи admin до 1.

  Scroll Pagebreak

• Рекомендуется настроить логирование изменений локальных учётных записей.
• Рекомендуется настроить логирование изменений политики AAA.

Предупреждения

• Встроенную учётную запись admin удалить нельзя.
• Команда no username admin не удаляет пользователя admin, сбрасывает его конфигурацию в значения по умолчанию. После применения этой команды , пользователь admin не будет отображаться в конфигурации.
• Команда no password для пользователя admin также не удаляет пароль пользователя admin, а сбрасывает его в значение по умолчанию. После применения этой команды пароль пользователя admin перестаёт отображаться в конфигурации и становится ‘password'.
• Важно! Перед установкой пользователю admin пониженных привилегий у вас должен быть настроен пользователь с уровнем привилегий 15 или задан ENABLE-пароль.

Пример настройки

Задача:

Настроить политику AAA:

• Для удалённого входа по протоколу SSH использовать аутентификации через RADIUS.
• Для входа через локальную консоль использовать аутентификации через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальную аутентификацию.
• Использовать ENABLE-пароль заданный через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальный ENABLE-пароль.
• Установить пользователю admin пониженный уровень привилегий.
• Настроить логирование изменений локальных учётных записей.
• Настроить логирование изменений политик ААА.
• Настроить логирование вводимых команд.

Решение:

Создаем Создайте локального пользователя local-operator с уровнем привилегий 8:

esr(config)# username local-operator
esr(config-user)# password Pa$$w0rd1
esr(config-user)# privilege 8 
esr(config-user)# exit

Задаём Задайте локальный ENABLE-пароль:

esr(config)# enable password $6e5c4r3e2t!

Понижаем Понизьте привилегии пользователя admin:

esr(config)# username admin
esr(config-user)# privilege 1 
esr(config-user)# exit

esr(config)# radius-server host 192.168.1.11
esr(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF
esr(config-radius-server)# priority 100 esr(config-radius-server)# exit
esr(config)# radius-server host 192.168.2.12
esr(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF
esr(config-radius-server)# priority 150
esr(config-radius-server)# exit

Настраиваем Настройте политику ААА:

esr(config)# aaa authentication login CONSOLE radius local 
esr(config)# aaa authentication login SSH radius 
esr(config)# aaa authentication enable default radius enable
esr(config)# aaa authentication mode break
esr(config)# line console
esr(config-line-console)# login authentication CONSOLE 
esr(config-line-console)# exit esr(config)# line ssh 
esr(config-line-ssh)# login authentication SSH 
esr(config-line-ssh)# exit

Настраиваем Настройте логирование:

esr(config)# logging userinfo 
esr(config)# logging aaa
esr(config)# syslog cli-commands

Настройка удалённого управления 

Подробная информация о командах настройки удалённого доступа приведена в разделе Настройка доступа SSH, Telnet справочника команд CLI.

Рекомендации

• Рекомендуется отключить удалённое управление по протоколу Telnet.
• Рекомендуется сгенерировать новые криптографические ключи.
• Рекомендуется использовать криптостойкие алгоритмы аутентификации sha2-256, sha2-512 и отключить все остальные.
• Рекомендуется использовать криптостойкие алгоритмы шифрования aes256, aes256ctr и отключить все остальные.
• Рекомендуется использовать криптостойкий алгоритм обмена ключами шифрования dh-group-exchange-sha256 и отключить все остальные.
• Рекомендуется разрешить доступ к удалённому управлению устройством только с определённых IP-адресов.   

Пример настройки

Задача:

Отключить протокол Telnet. Сгенерировать новые ключи шифрования. Использовать криптостойкие алгоритмы.

...

2-5esr(config)# no ip telnet server

Отключаем Отключите устаревшие и не криптостойкие алгоритмы:

esr(config)# ip ssh server
esr(config)# ip ssh authentication algorithm md5 disable
esr(config)# ip ssh authentication algorithm md5-96 disable
esr(config)# ip ssh authentication algorithm ripemd160 disable
esr(config)# ip ssh authentication algorithm sha1 disable
esr(config)# ip ssh authentication algorithm sha1-96 disable
esr(config)# ip ssh encryption algorithm aes128 disable
esr(config)# ip ssh encryption algorithm aes128ctr disable
esr(config)# ip ssh encryption algorithm aes192 disable
esr(config)# ip ssh encryption algorithm aes192ctr disable
esr(config)# ip ssh encryption algorithm arcfour disable
esr(config)# ip ssh encryption algorithm arcfour128 disable
esr(config)# ip ssh encryption algorithm arcfour256 disable
esr(config)# ip ssh encryption algorithm blowfish disable
esr(config)# ip ssh encryption algorithm cast128 disable
esr(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable
esr(config)# ip ssh key-exchange algorithm dh-group1-sha1 disable
esr(config)# ip ssh key-exchange algorithm dh-group14-sha1 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp256 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp384 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp521 disable

Настройка механизмов защиты от сетевых атак

Алгоритмы настройки механизмов защиты от сетевых атак приведены в разделе Настройка логирования и защиты от сетевых атак руководства по эксплуатации.

Подробная информация о командах для настройки политики использования паролей приведена в разделе Управление логированием и защитой от сетевых атак справочника команд CLI.

Рекомендации

• Рекомендуется всегда включать защиту от IP spoofing.
• Рекомендуется всегда включать защиту от TCP-пакетов с неправильно выставленными флагами.
• Рекомендуется всегда включать защиту от фрагментированных TCP-пакетов с выставленным флагом SYN
• Рекомендуется всегда включать защиту от фрагментированных ICMP-пакетов.
• Рекомендуется всегда включать защиту ICMP-пакетов большого размера.
• Рекомендуется всегда включать защиту от незарегистрированных IP-протоколов.
• Рекомендуется включать логирование механизма защиты от сетевых атак.

Пример настройки

Задача:

Настроить механизм защиты от сетевых атак в соответствии с рекомендациями.

Решение:

Включаем Включите защиту от ip spoofing и логирование механизма защиты:

esr(config)# ip firewall screen spy-blocking spoofing
esr(config)# logging firewall screen spy-blocking spoofing

Включаем Включите защиту от TCP-пакетов с неправильно выставленными флагами и логирование механизма защиты:

esr(config)# ip firewall screen spy-blocking syn-fin
esr(config)# logging firewall screen spy-blocking syn-fin
esr(config)# ip firewall screen spy-blocking fin-no-ack
esr(config)# logging firewall screen spy-blocking fin-no-ack
esr(config)# ip firewall screen spy-blocking tcp-no-flag
esr(config)# logging firewall screen spy-blocking tcp-no-flag
esr(config)# ip firewall screen spy-blocking tcp-all-flags
esr(config)# logging firewall screen spy-blocking tcp-all-flags

Включаем Включите защиту от фрагментированных ICMP-пакетов и логирование механизма защиты:

esr(config)# ip firewall screen suspicious-packets icmp-fragment
esr(config)# logging firewall screen suspicious-packets icmp-fragment

Включаем Включите защиту от ICMP-пакетов большого размера и логирование механизма защиты:

esr(config)# ip firewall screen suspicious-packets large-icmp
esr(config)# logging firewall screen suspicious-packets large-icmp

Включаем Включите защиту от незарегистрированных IP-протоколов и логирование механизма защиты:

...