| Оглавление | ||
|---|---|---|
|
Рекомендации по безопасной настройке носят общий характер и подходят для большинства инсталляций. Настоящие рекомендации в значительной степени повышают безопасность эксплуатации устройства, но не являются исчерпывающими. В зависимости от схемы применения устройства необходимо настраивать и другие параметры безопасности. В некоторых специфических случаях выполнение данных рекомендаций может привести к неработоспособности сети. При настройке устройства стоит в первую очередь следовать техническим требованиям и регламентам сетей, в которых будет эксплуатироваться данное устройство.
Общие рекомендации
- Рекомендуется всегда отключать неиспользуемые физические интерфейсы с помощью команды shutdown. Команда подробно описана в разделе Конфигурирование и мониторинг интерфейсов справочника команд CLI.
- Рекомендуется всегда настраивать синхронизацию системных часов с доверенными источниками сетевого времени (NTP). Алгоритм Алгоритм настройки NTP приведен в разделе разделе Настройка NTP настоящего настоящего руководства. Подробная информация о командах для настройки NTP приведена в разделе Управление системными часами справочника команд CLI.
- Рекомендуется отключать NTP broadcast client, включенный по умолчанию в заводской конфигурации.
- Рекомендуется использовать ACL для ограничения доступа к консольному серверу и устройствам, непосредственно подключенным к устройству. Алгоритм настройки списков доступа приведён в разделе Управление безопасностью настоящего руководства.
| Scroll Pagebreak |
|---|
...
Подробная информация о командах для настройки системы логирования событий приведена в разделе Управление SYSLOG справочника команд CLI.
Рекомендации
- Рекомендуется настроить хранение сообщений о событиях в файл syslog на устройстве и передачу этих событий на внешний syslog-сервер.
- Рекомендуется ограничивать размер syslog-файла на устройстве.
- Рекомендуется настраивать ротацию syslog-файлов на устройстве.
- Рекомендуется включать нумерацию сообщений syslog.
Предупреждения
- Данные, хранящиеся в файловой системе tmpsys:syslog, не сохраняются при перезагрузке устройства. Этот тип файловой системы рекомендуется использовать для хранения оперативных логов.
- Не рекомендуется использовать файловую систему flash:syslog для хранения логов, так как это может привести к преждевременному выходу из строя устройства.
Пример настройки
Задача:
Настроить хранение сообщений о событиях уровня info и выше в файл syslog на устройстве и настроить передачу этих событий на внешний syslog-сервер. Ограничить файл размером 512 кБ. Включить ротацию 3 файлов. Включить нумерацию сообщений syslog.
Решение:
Настраиваем хранение syslog-сообщений в файле:
| Блок кода |
|---|
scs(config)# syslog file tmpsys:syslog/default scs((config-syslog-file)# severity info scs((config-syslog-file)# exit |
Настраиваем ограничение размера и ротацию файлов:
| Блок кода |
|---|
scs(config)# syslog max-files 3 scs(config)# syslog file-size 512 |
Scroll Pagebreak
Настраиваем передачу сообщений на внешний сервер:
| Блок кода |
|---|
scs(config)# syslog host mylog scs(config-syslog-host)# remote-address 92192.1680.12.2 scs(config-syslog-host)# transport udp scs(config-syslog-host)# port 514 scs(config-syslog-host)# severity info scs(config-syslog-host)# exit |
Включаем нумерацию сообщений syslog:
| Блок кода |
|---|
scs(config)# syslog sequence-numbers |
Настройка политики использования паролей
Алгоритмы настройки политики использования паролей приведены в разделе Настройка ААА настоящего руководства.
Подробная информация о командах для настройки политики использования паролей приведена в разделе Настройка AAA справочника команд CLI.
Рекомендации
- Рекомендуется всегда включать требования на смену пароля по умолчанию пользователя admin.
- Рекомендуется ограничивать время жизни паролей и запрещать повторно использовать как минимум предыдущий пароль.
- Рекомендуется выставлять требования минимальной длины пароля больше 8 символов.
- Рекомендуется выставлять требования на использование строчных и прописных букв, цифр и спецсимволов.
Пример настройки
Задача:
- Настроить парольную политику с обязательным требованием смены пароля по умолчанию, временем действия пароля 1 месяц и запретом на использование 12 последних паролей.
- Задать минимальную длину пароля 16 символов, максимальную — 64 символа.
- Пароль должен содержать не менее 3 прописных букв, не менее 5 строчных букв, не менее 4 цифр и не менее 2 спецсимволов. Пароль в обязательном порядке должен содержать все 4 типа символов.
Решение:
Включаем запрос на смену пароля по умолчанию для пользователя admin:
| Блок кода |
|---|
scs(config)# security passwords default-expired |
Устанавливаем время жизни пароля 30 дней и запрет на использование предыдущих 12 паролей:
| Блок кода |
|---|
scs(config)# security passwords lifetime 30 scs(config)# security passwords history 12 |
Устанавливаем ограничения на длину пароля:
| Блок кода |
|---|
scs(config)# security passwords min-length 16 scs(config)# security passwords max-length 24 |
Устанавливаем ограничения по минимальному количеству символов соответствующих типов:
| Блок кода |
|---|
scs(config)# security passwords upper-case 3 scs(config)# security passwords lower-case 5 scs(config)# security passwords special-case 2 scs(config)# security passwords numeric-count 4 scs(config)# security passwords symbol-types 4 |
Настройка политики AAA
Алгоритмы настройки политики ААА приведены в разделе Настройка ААА настоящего руководства.
Подробная информация о командах для настройки политики AAA приведена в разделе Настройка ААА справочника команд CLI.
Рекомендации
- Рекомендуется использовать ролевую модель доступа на устройство.
- Рекомендуется использовать персональные учетные записи для аутентификации на устройстве.
- Рекомендуется включать логирование вводимых пользователем команд.
- Рекомендуется использовать несколько методов аутентификации для входа на устройства через консоль, удалённого входа на устройства и повышения привилегий. Оптимальной считается комбинация из аутентификации по одному из протоколов RADIUS/TACACS/LDAP и локальной аутентификации.
- Рекомендуется отключить встроенную учётную запись admin.
- Рекомендуется настроить логирование изменений локальных учётных записей.
- Рекомендуется настроить логирование изменений политики AAA.
Предупреждения
- Встроенную учётную запись admin удалить нельзя, только отключить авторизацию для неё командой no admin login enable.
- Команда no username admin не удаляет пользователя admin, сбрасывает его конфигурацию в значения по умолчанию. После применения этой команды пользователь admin не будет отображаться в конфигурации.
- Команда no password для
- password для пользователя admin также не удаляет пароль пользователя admin, а сбрасывает его в значение по умолчанию. После применения этой команды пароль пользователя admin перестает отображаться в конфигурации и становится ‘password'.
- Перед отключением авторизации для пользователя admin в конфигурацию устройства необходимо настроить пользователя с уровнем привилегий 15 или задать ENABLE-пароль для уровня привилегий 15.
Scroll Pagebreak
Пример настройки
Задача:
Настроить политику AAA:
- Для удаленного входа по протоколу SSH использовать аутентификации через RADIUS.
- Для входа через локальную консоль использовать аутентификации через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальную аутентификацию.
- Использовать ENABLE-пароль, заданный через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальный ENABLE-пароль.
- Установить пользователю admin пониженный уровень привилегий.
- Настроить логирование изменений локальных учетных записей.
- Настроить логирование изменений политик ААА.
- Настроить логирование вводимых команд.
Решение:
Создаем локального пользователя localпользователя local-operator с уровнем привилегий 8:
| Блок кода |
|---|
scs(config)# username local-operator scs(config-user)# password Pa$$w0rd1 scs(config-user)# privilege 8 scs(config-user)# exit |
Задаём локальный ENABLE-пароль:
| Блок кода |
|---|
scs(config)# enable password $6e5c4r3e2t! |
Далее необходимо отключить авторизацию у пользователя admin:
| Блок кода |
|---|
scs(config)# no admin login enable |
Настраиваем связь с двумя RADIUS-серверами, основным 192.168.1.11 и резервным 192.168.2.12:
| Блок кода |
|---|
scs(config)# radius-server host 192.168.1.11 scs(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF scs(config-radius-server)# priority 100 scs(config-radius-server)# exit scs(config)# radius-server host 192.168.2.12 scs(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF scs(config-radius-server)# priority 150 scs(config-radius-server)# exit |
Scroll Pagebreak
Настраиваем политику ААА:
| Блок кода |
|---|
scs(config)# aaa authentication login CONSOLE radius local scs(config)# aaa authentication login SSH radius scs(config)# aaa authentication enable default radius enable scs(config)# aaa authentication mode break scs(config)# line console scs(config-line-console)# login authentication CONSOLE scs(config-line-console)# exit scs(config)# line ssh scs(config-line-ssh)# login authentication SSH scs(config-line-ssh)# exit |
Настраиваем логирование:
| Блок кода |
|---|
scs(config)# logging userinfo scs(config)# logging aaa scs(config)# syslog cli-commands |
Настройка удаленного управления
Подробная информация о командах настройки удаленного доступа приведена в разделе Настройка доступа SSH, Telnet справочника команд CLI.
Рекомендации
- Не рекомендуется включать удаленное управление по протоколу Telnet.
- Рекомендуется использовать криптостойкие алгоритмы аутентификации sha2-512 и отключить все остальные.
- Рекомендуется использовать криптостойкие алгоритмы шифрования aes256ctr и отключить все остальные.
- Рекомендуется использовать криптостойкий алгоритм обмена ключами шифрования dh-group-exchange-sha256 и отключить все остальные.
- Рекомендуется использовать криптостойкий алгоритм верификации Host-Key для SSH rsa и отключить все остальные.
- Рекомендуется разрешить доступ к удаленному управлению устройством только с определенных IP-адресов.
- Перед началом эксплуатации рекомендуется перегенерировать ключи шифрования.
Пример настройки
Задача:
Сгенерировать новые ключи шифрования. Использовать криптостойкие алгоритмы.
| Scroll Pagebreak |
|---|
Решение:
Отключаем устаревшие и не криптостойкие алгоритмы:
| Блок кода |
|---|
scs(config)# ip ssh server scs(config)# ip ssh authentication algorithm md5 disable scs(config)# ip ssh authentication algorithm md5-96 disable scs(config)# ip ssh authentication algorithm ripemd160 disable scs(config)# ip ssh authentication algorithm sha1 disable scs(config)# ip ssh authentication algorithm sha1-96 disable scs(config)# ip ssh authentication algorithm sha2-256 disable scs(config)# ip ssh encryption algorithm 3des disable scs(config)# ip ssh encryption algorithm aes128 disable scs(config)# ip ssh encryption algorithm aes128ctr disable scs(config)# ip ssh encryption algorithm aes192 disable scs(config)# ip ssh encryption algorithm aes192ctr disable scs(config)# ip ssh encryption algorithm aes256 disable scs(config)# ip ssh encryption algorithm arcfour disable scs(config)# ip ssh encryption algorithm arcfour128 disable scs(config)# ip ssh encryption algorithm arcfour256 disable scs(config)# ip ssh encryption algorithm blowfish disable scs(config)# ip ssh encryption algorithm cast128 disable scs(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable scs(config)# ip ssh key-exchange algorithm dh-group1-sha1 disable scs(config)# ip ssh key-exchange algorithm dh-group14-sha1 disable scs(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp256 disable scs(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp384 disable scs(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp521 disable scs(config)# ip ssh host-key algorithm dsa disable scs(config)# ip ssh host-key algorithm ecdsa256 disable scs(config)# ip ssh host-key algorithm ecdsa384 disable scs(config)# ip ssh host-key algorithm ecdsa521 disable scs(config)# ip ssh host-key algorithm ed25519 disable |
Генерируем новые ключи шифрования:
| Блок кода |
|---|
scs# update ssh-host-key rsa 2048 |