...
Зона, из которой идет трафик | Зона, в которую идет трафик | Тип трафика | Действие | ||
|---|---|---|---|---|---|
Trusted | Untrusted | TCP, UDP, ICMP | разрешен | ||
Trusted | Trusted | TCP, UDP, ICMP | разрешен | ||
Trusted | self | TCP/22 (SSH), ICMP, UDP/67 (DHCP Server), UDP/123 (NTP) | разрешен | ||
Untrusted | self | UDP/68 (DHCP Client) | разрешен | ||
| Предупреждение |
|---|
Для обеспечения возможности конфигурирования устройства при первом включении в конфигурации маршрутизатора создана учётная запись администратора ‘admin’. Пользователю будет предложено изменить пароль администратора при начальном конфигурировании маршрутизатора. |
| Предупреждение |
|---|
Для сетевого доступа к управлению маршрутизатором при первом включении в конфигурации задан статический IP-адрес на интерфейсе Bridge 1 – 192.168.1.1/24. |
Подключение к интерфейсу командой строки (CLI) маршрутизатора
Подключение по локальной сети Ethernet
| Примечание |
|---|
При первоначальном старте маршрутизатор загружается с заводской конфигурацией. Описание заводской конфигурации приведено в разделе Заводская конфигурация маршрутизатора руководства по эксплуатации. |
Шаг 1. Подключите сетевой кабель передачи данных (патч-корд) к любому порту, входящему в зону «Trusted», и к компьютеру, предназначенному для управления.
...
Для защищенного входа в систему необходимо сменить пароль привилегированного пользователя «admin».
| Примечание |
|---|
Учетная запись techsupport необходима для удаленного обслуживания сервисным центром; Учетная запись remote – аутентификация RADIUS, TACACS+, LDAP; Удалить пользователей admin, techsupport, remote нельзя. Можно только сменить пароль и уровень привилегий. В заводской конфигурации по умолчанию создан пользователь «admin» с паролем «password». |
Имя пользователя и пароль вводится при входе в систему во время сеансов администрирования устройства.
...
| Блок кода |
|---|
esr(config)# username <name> esr(config-user)# password <password> esr(config-user)# privilege <privilege> esr(config-user)# exit |
| Примечание |
|---|
Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства. |
| Scroll Pagebreak |
|---|
| Блок кода |
|---|
esr# configure esr(config)# username fedor esr(config-user)# password 12345678 esr(config-user)# privilege 15 esr(config-user)# exit esr(config)# username ivan esr(config-user)# password password esr(config-user)# privilege 1 esr(config-user)# exit |
| Примечание |
|---|
Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства. |
Пример команд для создания пользователя «fedor» c паролем «12345678» и уровнем привилегий 15 и создания пользователя «ivan» с паролем «password» и уровнем привилегий 1:
...
| Блок кода |
|---|
esr# configure esr(config)# interface gigabitethernet 1/0/2.150 esr(config-subifif-sub)# ip address 192.168.16.144/24 esr(config-subifif-sub)# exit esr(config)# ip route 0.0.0.0/0 192.168.16.1 |
...
- Рекомендуется настроить хранение сообщений о событиях в файл syslog на устройстве и передачу этих событий на внешний syslog-сервер.
- Рекомендуется ограничивать размер syslog-файла на устройстве.
- Рекомендуется настраивать ротацию syslog-файлов на устройстве.
- Рекомендуется включать нумерацию сообщений syslog.
- Рекомендуется включать добавление меток timestamp msec к syslog-сообщениям на устройствах ESR-1500 и ESR-1511.
...
Настроить хранение сообщений о событиях уровня info и выше в файл syslog на устройстве и настроить передачу этих событий на внешний syslog-сервер. Ограничить файл размером 512 Кбайт. Включить ротацию 3 -х файлов. Включить нумерацию сообщений syslog.
Решение:
Настраиваем Настройте хранение syslog-сообщений в файле:
| Блок кода |
|---|
esr(config)# syslog file tmpsys:syslog/default info |
Настраиваем Настройте ограничение размера и ротацию файлов:
| Блок кода |
|---|
esr(config)# syslog max-files 3 esr(config)# syslog file-size 512 |
Настраиваем Настройте передачу сообщений на внешний сервер:
| Блок кода |
|---|
esr(config)# syslog host mylog 192.168.1.2 info udp 514 |
Включаем Включите нумерацию сообщений syslog:
...
- Настроить парольную политику с обязательным требованием смены пароля по умолчанию, временем действия пароля 1 месяц и запретом на использование 12 последних паролей.
- Задать минимальную длину пароля 16 символов, максимальную — 64 символа.
- Пароль должен содержать не менее 3 прописных букв, не менее 5 строчных букв, не менее 4 цифр и не менее 2 спецсимволов. Пароль в обязательном порядке должен содержать все 4 типа символов.
Решение:
Включаем Включите запрос на смену пароля по умолчанию для пользователя admin:
| Блок кода |
|---|
esr(config)# security passwords default-expired |
Устанавливаем Установите время жизни пароля 30 дней и запрет на использование предыдущих 12 паролей:
| Блок кода |
|---|
esr(config)# security passwords lifetime 30 esr(config)# security passwords history 12 |
Устанавливаем Установите ограничения на длину пароля:
| Блок кода |
|---|
esr(config)# security passwords min-length 16 esr(config)# security passwords max-length 64 |
Устанавливаем Установите ограничения по минимальному количеству символов соответствующих типов:
...
- Встроенную учётную запись admin удалить нельзя.
- Команда no username admin не удаляет пользователя admin, сбрасывает его конфигурацию в значения по умолчанию. После применения этой команды , пользователь admin не будет отображаться в конфигурации.
- Команда no password для пользователя admin также не удаляет пароль пользователя admin, а сбрасывает его в значение по умолчанию. После применения этой команды пароль пользователя admin перестаёт отображаться в конфигурации и становится ‘password'.
- Важно! Перед установкой пользователю admin пониженных привилегий у вас должен быть настроен пользователь с уровнем привилегий 15 или задан ENABLE-пароль.
...
- Для удалённого входа по протоколу SSH использовать аутентификации через RADIUS.
- Для входа через локальную консоль использовать аутентификации через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальную аутентификацию.
- Использовать ENABLE-пароль заданный через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальный ENABLE-пароль.
- Установить пользователю admin пониженный уровень привилегий.
- Настроить логирование изменений локальных учётных записей.
- Настроить логирование изменений политик ААА.
- Настроить логирование вводимых команд.
Решение:
Создаем Создайте локального пользователя local-operator с уровнем привилегий 8:
| Блок кода |
|---|
esr(config)# username local-operator esr(config-user)# password Pa$$w0rd1 esr(config-user)# privilege 8 esr(config-user)# exit |
Задаём Задайте локальный ENABLE-пароль:
| Блок кода |
|---|
esr(config)# enable password $6e5c4r3e2t! |
Понижаем Понизьте привилегии пользователя admin:
| Блок кода |
|---|
esr(config)# username admin esr(config-user)# privilege 1 esr(config-user)# exit |
| Scroll Pagebreak |
|---|
| Блок кода |
|---|
esr(config)# radius-server host 192.168.1.11 esr(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF esr(config-radius-server)# priority 100 esr(config-radius-server)# exit esr(config)# radius-server host 192.168.2.12 esr(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF esr(config-radius-server)# priority 150 esr(config-radius-server)# exit |
Настраиваем Настройте политику ААА:
| Блок кода |
|---|
esr(config)# aaa authentication login CONSOLE radius local esr(config)# aaa authentication login SSH radius esr(config)# aaa authentication enable default radius enable esr(config)# aaa authentication mode break esr(config)# line console esr(config-line-console)# login authentication CONSOLE esr(config-line-console)# exit esr(config)# line ssh esr(config-line-ssh)# login authentication SSH esr(config-line-ssh)# exit |
Настраиваем Настройте логирование:
| Блок кода |
|---|
esr(config)# logging userinfo esr(config)# logging aaa esr(config)# syslog cli-commands |
...
| Блок кода |
|---|
2-5esr(config)# no ip telnet server |
Отключаем Отключите устаревшие и не криптостойкие алгоритмы:
...
Настроить механизм защиты от сетевых атак в соответствии с рекомендациями.
| Scroll Pagebreak |
|---|
Решение:
Включаем Включите защиту от ip spoofing и логирование механизма защиты:
| Блок кода |
|---|
esr(config)# ip firewall screen spy-blocking spoofing esr(config)# logging firewall screen spy-blocking spoofing |
Включаем Включите защиту от TCP-пакетов с неправильно выставленными флагами и логирование механизма защиты:
| Блок кода |
|---|
esr(config)# ip firewall screen spy-blocking syn-fin esr(config)# logging firewall screen spy-blocking syn-fin esr(config)# ip firewall screen spy-blocking fin-no-ack esr(config)# logging firewall screen spy-blocking fin-no-ack esr(config)# ip firewall screen spy-blocking tcp-no-flag esr(config)# logging firewall screen spy-blocking tcp-no-flag esr(config)# ip firewall screen spy-blocking tcp-all-flags esr(config)# logging firewall screen spy-blocking tcp-all-flags |
Включаем Включите защиту от фрагментированных ICMP-пакетов и логирование механизма защиты:
| Блок кода |
|---|
esr(config)# ip firewall screen suspicious-packets icmp-fragment esr(config)# logging firewall screen suspicious-packets icmp-fragment |
Включаем Включите защиту от ICMP-пакетов большого размера и логирование механизма защиты:
| Блок кода |
|---|
esr(config)# ip firewall screen suspicious-packets large-icmp esr(config)# logging firewall screen suspicious-packets large-icmp |
Включаем Включите защиту от незарегистрированных IP-протоколов и логирование механизма защиты:
...