...
- Рекомендуется всегда отключать неиспользуемые физические интерфейсы с помощью команды
shutdown. Команда подробно описана в разделе Конфигурирование и мониторинг интерфейсов справочника команд CLI. - Рекомендуется всегда настраивать синхронизацию системных часов с доверенными источниками сетевого времени (NTP). Алгоритм настройки NTP приведён в разделе Настройка NTP настоящего руководства. Подробная информация о командах для настройки NTP приведена в разделе Управление системными часами справочника команд CLI.
- Рекомендуется отключать NTP broadcast client, включённый по умолчанию в заводской конфигурации.
- Не рекомендуется использовать команду ip firewall disable, отключающую межсетевое экранирование. Следует всегда назначать интерфейсам соответствующие зоны безопасности и настраивать корректные правила межсетевого экрана. Алгоритм настройки межсетевого экрана приведён в разделе Конфигурирование Firewall настоящего руководства. Подробная информация о командах для настройки межсетевого экрана приведена в разделе Управление Firewall справочника команд CLI.
| Примечание |
|---|
Для предачи сигнального (SIP) и медиа (RTP) трафика не требуется конфигурирование дополнительных правил и зон Firewal. Правила будут созданы автоматически при конфигурировании SIP-транспортов, SIP-транков и абонентских интерфейсов. Подробная информация о настройке находится в разделе Управление ESBC. |
| Scroll Pagebreak |
|---|
Настройка системы логирования событий
Алгоритмы настройки системы логирования событий приведены в подразделе «Настройка Syslog» раздела Мониторинг настоящего руководства.
Подробная информация о командах для настройки системы логирования событий приведена в разделе
Управление SYSLOG справочника команд CLI.
...
- Рекомендуется настроить хранение сообщений о событиях в файл syslog на устройстве и передачу этих событий на внешний syslog-сервер.
- Рекомендуется ограничивать размер syslog-файла на устройстве.
- Рекомендуется настраивать ротацию syslog-файлов на устройстве.
- Рекомендуется включать нумерацию сообщений syslog.
- .
- Рекомендуется включать нумерацию сообщений syslogРекомендуется включать добавление меток timestamp msec к syslog-сообщениям на устройствах ESR-1500 и ESR-1511.
Предупреждения
- Данные, хранящиеся в файловой системе tmpsys:syslog, не сохраняются при перезагрузке устройства. Этот тип файловой системы рекомендуется использовать для хранения оперативных логов.
- Не рекомендуется использовать файловую систему flash:syslog для хранения логов, так как это может привести к преждевременному выходу из строя устройства ESResbc.
Пример настройки
Задача:
Настроить хранение сообщений о событиях уровня info и выше в файл syslog на устройстве и настроить передачу этих событий на внешний syslog-сервер. Ограничить файл размером 512 Кбайт. Включить ротацию 3 файлов. Включить нумерацию сообщений syslog.
...
Настраиваем хранение syslog-сообщений в файле:
| Блок кода |
|---|
esresbc(config)# syslog file tmpsys:syslog/default esresbc((config-syslog-file)# severity info esresbc((config-syslog-file)# exit |
Настраиваем ограничение размера и ротацию файлов:
| Блок кода |
|---|
esresbc(config)# syslog max-files 3 esresbc(config)# syslog file-size 512 |
...
Настраиваем передачу сообщений на внешний сервер:
| Блок кода |
|---|
esresbc(config)# syslog host mylog esresbc(config-syslog-host)# remote-address 92.168.1.2 esresbc(config-syslog-host)# transport udp esresbc(config-syslog-host)# port 514 esresbc(config-syslog-host)# severity info esresbc(config-syslog-host)# exit |
Включаем нумерацию сообщений syslog:
| Блок кода |
|---|
esresbc(config)# syslog sequence-numbers |
...
Алгоритмы настройки политики использования паролей ААА приведены в разделе разделе Настройка ААА настоящего настоящего руководства.
Подробная информация о командах для настройки политики использования паролей приведена в разделе Настройка AAA справочника команд CLI.
...
- Настроить парольную политику с обязательным требованием смены пароля по умолчанию, временем действия пароля 1 месяц и запретом на использование 12 последних паролей.
- Задать минимальную длину пароля 16 символов, максимальную — 64 24 символа.
- Пароль должен содержать не менее 3 прописных букв, не менее 5 строчных букв, не менее 4 цифр и не менее 2 спецсимволов. Пароль в обязательном порядке должен содержать все 4 типа символов.
...
Включаем запрос на смену пароля по умолчанию для пользователя admin:
| Блок кода |
|---|
esresbc(config)# security passwords default-expired |
Устанавливаем время жизни пароля 30 дней и запрет на использование предыдущих 12 паролей:
| Блок кода |
|---|
esresbc(config)# security passwords lifetime 30 esresbc(config)# security passwords history 12 |
Устанавливаем ограничения на длину пароля:
| Блок кода |
|---|
esresbc(config)# security passwords min-length 16 esresbc(config)# security passwords max-length 24 |
Устанавливаем ограничения по минимальному количеству символов соответствующих типов:
| Блок кода |
|---|
esresbc(config)# security passwords upper-case 3 esresbc(config)# security passwords lower-case 5 esresbc(config)# security passwords special-case 2 esresbc(config)# security passwords numeric-count 4 esresbc(config)# security passwords symbol-types 4 |
...
Алгоритмы настройки политики ААА приведены в разделе Настройка ААА настоящего руководства.
Подробная информация о командах для настройки политики AAA приведена в разделе Настройка ААА справочника команд CLI.
...
Создаем локального пользователя local-operator с уровнем привилегий 8:
| Блок кода |
|---|
esresbc(config)# username local-operator esresbc(config-user)# password Pa$$w0rd1 esresbc(config-user)# privilege 8 esresbc(config-user)# exit |
Задаём локальный ENABLE-пароль:
| Блок кода |
|---|
esresbc(config)# enable password $6e5c4r3e2t! |
Понижаем привилегии пользователя admin:
| Блок кода |
|---|
esresbc(config)# username admin esresbc(config-user)# privilege 1 esresbc(config-user)# exit |
Настраиваем связь с двумя RADIUS-серверами, основным 192.168.1.11 и резервным 192.168.2.12:
| Блок кода |
|---|
esresbc(config)# radius-server host 192.168.1.11 esresbc(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF esresbc(config-radius-server)# priority 100 esr esbc(config-radius-server)# exit esresbc(config)# radius-server host 192.168.2.12 esresbc(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF esresbc(config-radius-server)# priority 150 esresbc(config-radius-server)# exit |
...
Настраиваем политику ААА:
| Блок кода |
|---|
esresbc(config)# aaa authentication login CONSOLE radius local esresbc(config)# aaa authentication login SSH radius esresbc(config)# aaa authentication enable default radius enable esresbc(config)# aaa authentication mode break esresbc(config)# line console esresbc(config-line-console)# login authentication CONSOLE esresbc(config-line-console)# exit esr esbc(config)# line ssh esresbc(config-line-ssh)# login authentication SSH esresbc(config-line-ssh)# exit |
Настраиваем логирование:
| Блок кода |
|---|
esresbc(config)# logging userinfo esresbc(config)# logging aaa esresbc(config)# syslog cli-commands |
...
Отключаем устаревшие и не криптостойкие алгоритмы:
| Блок кода |
|---|
esresbc(config)# ip ssh server esresbc(config)# ip ssh authentication algorithm md5 disable esresbc(config)# ip ssh authentication algorithm md5-96 disable esresbc(config)# ip ssh authentication algorithm ripemd160 disable esresbc(config)# ip ssh authentication algorithm sha1 disable esresbc(config)# ip ssh authentication algorithm sha1-96 disable esresbc(config)# ip ssh authentication algorithm sha2-256 disable esresbc(config)# ip ssh encryption algorithm 3des disable esresbc(config)# ip ssh encryption algorithm aes128 disable esresbc(config)# ip ssh encryption algorithm aes128ctr disable esresbc(config)# ip ssh encryption algorithm aes192 disable esresbc(config)# ip ssh encryption algorithm aes192ctr disable esresbc(config)# ip ssh encryption algorithm aes256 disable esresbc(config)# ip ssh encryption algorithm arcfour disable esresbc(config)# ip ssh encryption algorithm arcfour128 disable esresbc(config)# ip ssh encryption algorithm arcfour256 disable esresbc(config)# ip ssh encryption algorithm blowfish disable esresbc(config)# ip ssh encryption algorithm cast128 disable esresbc(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable esresbc(config)# ip ssh key-exchange algorithm dh-group1-sha1 disable esresbc(config)# ip ssh key-exchange algorithm dh-group14-sha1 disable esresbc(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp256 disable esresbc(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp384 disable esresbc(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp521 disable esresbc(config)# ip ssh host-key algorithm dsa disable esresbc(config)# ip ssh host-key algorithm ecdsa256 disable esresbc(config)# ip ssh host-key algorithm ecdsa384 disable esresbc(config)# ip ssh host-key algorithm ecdsa521 disable esresbc(config)# ip ssh host-key algorithm ed25519 disable |
Генерируем новые ключи шифрования:
| Блок кода |
|---|
esr#esbc# update ssh-host-key rsa 2048 |
...
Алгоритмы настройки механизмов защиты от сетевых атак приведены в разделе Настройка логирования и защиты от сетевых настоящего руководстваатак.
Подробная информация о командах для настройки политики использования паролей приведена в разделе Управление логированием и защитой от сетевых атак справочника команд CLI.
...
Включаем защиту от ip spoofing и логирование механизма защиты:
| Блок кода |
|---|
esresbc(config)# ip firewall screen spy-blocking spoofing esresbc(config)# logging firewall screen spy-blocking spoofing |
Включаем защиту от TCP-пакетов с неправильно выставленными флагами и логирование механизма защиты:
| Блок кода |
|---|
esresbc(config)# ip firewall screen spy-blocking syn-fin esresbc(config)# logging firewall screen spy-blocking syn-fin esresbc(config)# ip firewall screen spy-blocking fin-no-ack esresbc(config)# logging firewall screen spy-blocking fin-no-ack esresbc(config)# ip firewall screen spy-blocking tcp-no-flag esresbc(config)# logging firewall screen spy-blocking tcp-no-flag esresbc(config)# ip firewall screen spy-blocking tcp-all-flags esresbc(config)# logging firewall screen spy-blocking tcp-all-flags |
Включаем защиту от фрагментированных ICMP-пакетов и логирование механизма защиты:
| Блок кода |
|---|
esresbc(config)# ip firewall screen suspicious-packets icmp-fragment esresbc(config)# logging firewall screen suspicious-packets icmp-fragment |
Включаем защиту от ICMP-пакетов большого размера и логирование механизма защиты:
| Блок кода |
|---|
esresbc(config)# ip firewall screen suspicious-packets large-icmp esresbc(config)# logging firewall screen suspicious-packets large-icmp |
Включаем защиту от незарегистрированных IP-протоколов и логирование механизма защиты:
| Блок кода |
|---|
esresbc(config)# ip firewall screen suspicious-packets unknown-protocols esresbc(config)# logging firewall screen suspicious-packets unknown-protocols |
| Scroll Pagebreak |
|---|