Сравнение версий

Старая версия 1

changes.mady.by.user Коломиец Ирина Владимировна

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Коломиец Ирина Владимировна

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  • Рекомендуется всегда отключать неиспользуемые физические интерфейсы с помощью команды 
    shutdown. Команда подробно описана в разделе Конфигурирование и мониторинг интерфейсов справочника команд CLI.
  • Рекомендуется всегда настраивать синхронизацию системных часов с доверенными источниками сетевого времени (NTP). Алгоритм настройки NTP приведён в разделе Настройка NTP настоящего руководства. Подробная информация о командах для настройки NTP приведена в разделе Управление системными часами справочника команд CLI.
  • Рекомендуется отключать NTP broadcast client, включённый по умолчанию в заводской конфигурации.
  • Не рекомендуется использовать команду ip firewall disable, отключающую межсетевое экранирование. Следует всегда назначать интерфейсам соответствующие зоны безопасности и настраивать корректные правила межсетевого экрана. Алгоритм настройки межсетевого экрана приведён в разделе Конфигурирование Firewall настоящего руководства. Подробная информация о командах для настройки межсетевого экрана приведена в разделе Управление Firewall справочника команд CLI.
Примечание

Для передачи сигнального (SIP) и , медиа (RTP) трафика, а также обработки сообщений STUN при использовании локального STUN-сервера, не требуется конфигурирование дополнительных правил и зон Firewall. Правила будут созданы автоматически при конфигурировании соответствующих SIP-транспортов, SIP-транков и , абонентских интерфейсов и локальных STUN-серверов. Подробная информация о настройке находится в разделе Управление ESBC.

...

Алгоритмы настройки системы логирования событий приведены в подразделе «Настройка Syslog» раздела Мониторинг настоящего руководства.

Подробная информация о командах для настройки системы логирования событий приведена в разделе Управление SYSLOG справочника команд CLI.

...

  • Данные, хранящиеся в файловой системе tmpsys:syslog, не сохраняются при перезагрузке устройства. Этот тип файловой системы рекомендуется использовать для хранения оперативных логов.
  • Не рекомендуется использовать файловую систему flash:syslog для хранения логов, так как это может привести к преждевременному выходу из строя устройства esbcESBC.

Пример настройки

Задача:

Настроить хранение сообщений о событиях уровня info и выше в файл syslog на устройстве и настроить передачу этих событий на внешний syslog-сервер. Ограничить файл размером 512 Кбайт. Включить ротацию 3 файлов. Включить нумерацию сообщений syslog.

...

Алгоритмы настройки политики ААА приведены в разделе Настройка ААА настоящего руководства.

Подробная информация о командах для настройки политики использования паролей приведена в разделе Настройка AAA справочника команд CLI.

...

Алгоритмы настройки политики ААА приведены в разделе Настройка ААА настоящего руководства.

Подробная информация о командах для настройки политики AAA приведена в разделе Настройка ААА справочника команд CLI.

...

  • Рекомендуется использовать ролевую модель доступа на устройство.
  • Рекомендуется использовать персональные учетные записи для аутентификации на устройстве.
  • Рекомендуется включать логирование вводимых пользователем команд.
  • Рекомендуется использовать несколько методов аутентификации для входа на устройства через консоль, удалённого входа на устройства и повышения привилегий. Оптимальной считается комбинация из аутентификации по одному из протоколов RADIUS/TACACS/LDAP и локальной аутентификации.
  • Рекомендуется понизить уровень привилегий встроенной учётной записи admin до 1 admin.
  • Рекомендуется настроить логирование изменений локальных учётных записей.
  • Рекомендуется настроить логирование изменений политики AAA.

...

  • Встроенную учётную запись admin удалить нельзя, только отключить авторизацию для неё командой no admin login enable.
  • Команда no username admin не удаляет пользователя admin, сбрасывает его конфигурацию в значения по умолчанию. После применения этой команды пользователь admin не будет отображаться в конфигурации.
  • Команда no password для пользователя admin также не удаляет пароль пользователя admin, а сбрасывает его в значение по умолчанию. После применения этой команды пароль пользователя admin перестаёт отображаться в конфигурации и становится ‘password'.
  • Перед установкой пользователю admin пониженных привилегий у вас должен быть настроен пользователь отключением авторизации для пользователя admin в конфигурацию устройства необходимо настроить пользователя с уровнем привилегий 15 или задан задать ENABLE-пароль для уровня привилегий 15.
    Scroll Pagebreak

Пример настройки

...

Блок кода
esbc(config)# enable password $6e5c4r3e2t!

Понижаем привилегии Далее необходимо отключить авторизацию у пользователя admin:

Блок кода
esbc(config)# usernameno admin
esbc(config-user)# privilege 1 
esbc(config-user)# exit login enable

Настраиваем связь с двумя RADIUS-серверами, основным 192.168.1.11 и резервным 192.168.2.12:

...

Алгоритмы настройки механизмов защиты от сетевых атак приведены в разделе Настройка логирования и защиты от сетевых атак.

Подробная информация о командах для настройки политики использования паролей приведена в разделе Управление логированием и защитой от сетевых атак справочника команд CLI.

...