...
- Рекомендуется всегда отключать неиспользуемые физические интерфейсы с помощью команды
shutdown. Команда подробно описана в разделе Конфигурирование и мониторинг интерфейсов справочника команд CLI. - Рекомендуется всегда настраивать синхронизацию системных часов с доверенными источниками сетевого времени (NTP). Алгоритм настройки NTP приведён в разделе Настройка NTP настоящего руководства. Подробная информация о командах для настройки NTP приведена в разделе Управление системными часами справочника команд CLI.
- Рекомендуется отключать NTP broadcast client, включённый по умолчанию в заводской конфигурации.
- Не рекомендуется использовать команду ip firewall disable, отключающую межсетевое экранирование. Следует всегда назначать интерфейсам соответствующие зоны безопасности и настраивать корректные правила межсетевого экрана. Алгоритм настройки межсетевого экрана приведён в разделе Конфигурирование Firewall настоящего руководства. Подробная информация о командах для настройки межсетевого экрана приведена в разделе Управление Firewall справочника команд CLI.
| Scroll Pagebreak |
|---|
Настройка системы логирования событий
...
| Блок кода |
|---|
esr(config)# syslog max-files 3 esr(config)# syslog file-size 512 |
Scroll Pagebreak
Настраиваем передачу сообщений на внешний сервер:
| Блок кода |
|---|
esr(config)# syslog host mylog esr(config-syslog-host)# remote-address 92.168.1.2 esr(config-syslog-host)# transport udp esr(config-syslog-host)# port 514 esr(config-syslog-host)# severity info esr(config-syslog-host)# exit |
Scroll Pagebreak
Включаем нумерацию сообщений syslog:
...
| Блок кода |
|---|
esr(config)# security passwords min-length 16 esr(config)# security passwords max-length 24 |
| Scroll Pagebreak |
|---|
Устанавливаем ограничения по минимальному количеству символов соответствующих типов:
...
- Встроенную учётную запись admin удалить нельзя.
- Команда no username admin не удаляет пользователя admin, сбрасывает его конфигурацию в значения по умолчанию. После применения этой команды пользователь admin не будет отображаться в конфигурации.
- Команда no password для пользователя admin также не удаляет пароль пользователя admin, а сбрасывает его в значение по умолчанию. После применения этой команды пароль пользователя admin перестаёт отображаться в конфигурации и становится ‘password'.
- Перед установкой пользователю admin пониженных привилегий у вас должен быть настроен пользователь с уровнем привилегий 15 или задан ENABLE-пароль.
Scroll Pagebreak
Пример настройки
Задача:
Настроить политику AAA:
- Для удалённого входа по протоколу SSH использовать аутентификации через RADIUS.
- Для входа через локальную консоль использовать аутентификации через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальную аутентификацию.
- Использовать ENABLE-пароль, заданный через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальный ENABLE-пароль.
- Установить пользователю admin пониженный уровень привилегий.scroll-pagebreak
- Настроить логирование изменений локальных учётных записей.
- Настроить логирование изменений политик ААА.
- Настроить логирование вводимых команд.
...
| Блок кода |
|---|
esr(config)# radius-server host 192.168.1.11 esr(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF esr(config-radius-server)# priority 100 esr(config-radius-server)# exit esr(config)# radius-server host 192.168.2.12 esr(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF esr(config-radius-server)# priority 150 esr(config-radius-server)# exit |
Scroll Pagebreak
Настраиваем политику ААА:
...
| Блок кода |
|---|
esr(config)# logging userinfo esr(config)# logging aaa esr(config)# syslog cli-commands |
| Scroll Pagebreak |
|---|
...
Сгенерировать новые ключи шифрования. Использовать криптостойкие алгоритмы.
...
| Scroll Pagebreak |
|---|
Решение:
Отключаем устаревшие и не криптостойкие алгоритмы:
...