Сравнение версий

Старая версия 1

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  • Рекомендуется всегда отключать неиспользуемые физические интерфейсы с помощью команды 
    shutdown. Команда подробно описана в разделе Конфигурирование и мониторинг интерфейсов справочника команд CLI.
  • Рекомендуется всегда настраивать синхронизацию системных часов с доверенными источниками сетевого времени (NTP). Алгоритм настройки NTP приведён в разделе Настройка NTP настоящего руководства. Подробная информация о командах для настройки NTP приведена в разделе Управление системными часами справочника команд CLI.
  • Рекомендуется отключать NTP broadcast client, включённый по умолчанию в заводской конфигурации.
  • Не рекомендуется использовать команду ip firewall disable, отключающую межсетевое экранирование. Следует всегда назначать интерфейсам соответствующие зоны безопасности и настраивать корректные правила межсетевого экрана. Алгоритм настройки межсетевого экрана приведён в разделе Конфигурирование Firewall настоящего руководства. Подробная информация о командах для настройки межсетевого экрана приведена в разделе Управление Firewall справочника команд CLI.

Scroll Pagebreak

Настройка системы логирования событий

...

Блок кода
esr(config)# syslog file tmpsys:syslog/default
esr((config-syslog-file)# severity info
esr((config-syslog-file)# exit

Настраиваем ограничение размера и ротацию файлов:

Блок кода
esr(config)# syslog max-files 3
esr(config)# syslog file-size 512

Scroll Pagebreak

Настраиваем передачу сообщений на внешний сервер:

Блок кода
esr(config)# syslog host mylog 
esr(config-syslog-host mylog 192)# remote-address 92.168.1.2 info udp 514

...


esr(config-syslog-host)# transport udp
esr(config-syslog-host)# port 514
esr(config-syslog-host)# severity info
esr(config-syslog-host)# exit

Включаем нумерацию сообщений syslog:

...

Блок кода
esr(config)# security passwords min-length 16
esr(config)# security passwords max-length 24

Scroll Pagebreak

Устанавливаем ограничения по минимальному количеству символов соответствующих типов:

...

  • Встроенную учётную запись admin удалить нельзя.
  • Команда no username admin не удаляет пользователя admin, сбрасывает его конфигурацию в значения по умолчанию. После применения этой команды пользователь admin не будет отображаться в конфигурации.
  • Команда no password для пользователя admin также не удаляет пароль пользователя admin, а сбрасывает его в значение по умолчанию. После применения этой команды пароль пользователя admin перестаёт отображаться в конфигурации и становится ‘password'.
  • Перед установкой пользователю admin пониженных привилегий у вас должен быть настроен пользователь с уровнем привилегий 15 или задан ENABLE-пароль.
    Scroll Pagebreak

Пример настройки

Задача:

Настроить политику AAA:

  • Для удалённого входа по протоколу SSH использовать аутентификации через RADIUS.
  • Для входа через локальную консоль использовать аутентификации через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальную аутентификацию.
  • Использовать ENABLE-пароль, заданный через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальный ENABLE-пароль.
  • Установить пользователю admin пониженный уровень привилегий.scroll-pagebreak
  • Настроить логирование изменений локальных учётных записей.
  • Настроить логирование изменений политик ААА.
  • Настроить логирование вводимых команд.

...

Блок кода
esr(config)# radius-server host 192.168.1.11
esr(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF
esr(config-radius-server)# priority 100 esr(config-radius-server)# exit
esr(config)# radius-server host 192.168.2.12
esr(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF
esr(config-radius-server)# priority 150
esr(config-radius-server)# exit

Scroll Pagebreak

Настраиваем политику ААА:

...

Блок кода
esr(config)# logging userinfo 
esr(config)# logging aaa
esr(config)# syslog cli-commands

...

Настройка удалённого управления 
Подробная информация о командах настройки удалённого доступа приведена в разделе Настройка доступа SSH, Telnet справочника команд CLI.
Рекомендации
  • Рекомендуется отключить Не рекомендуется включать удалённое управление по протоколу Telnet.
  • Рекомендуется использовать криптостойкие алгоритмы аутентификации sha2-512 и отключить все остальные.
  • Рекомендуется использовать криптостойкие алгоритмы шифрования aes256ctr и отключить все остальные.
  • Рекомендуется использовать криптостойкий алгоритм обмена ключами шифрования dh-group-exchange-sha256 и отключить все остальные.
  • Рекомендуется использовать криптостойкий алгоритм верификации Host-Key для SSH rsa и отключить все остальные.
  • Рекомендуется разрешить доступ к удалённому управлению устройством только с определённых IP-адресов.   
  • Перед началом эксплуатации рекомендуется перегенерировать ключи шифрования.
Пример настройки
Задача:
Отключить протокол Telnet. Сгенерировать новые ключи шифрования. Использовать криптостойкие алгоритмы.
Решение:
Отключаем удаленное управление по протоколу Telnet:
 Блок  кода
esr(config)# no ip telnet server
 Scroll Pagebreak
Решение:
Отключаем устаревшие и не криптостойкие алгоритмы:
...
 Блок  кода
esr# update ssh-host-key rsa
esr# update ssh-host-key rsa 2048

Настройка механизмов защиты от сетевых атак
...