Сравнение версий

Старая версия 3

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  • Рекомендуется всегда отключать неиспользуемые физические интерфейсы с помощью команды 
    команды shutdown. Команда подробно описана в разделе Конфигурирование и мониторинг интерфейсов справочника команд CLI.
  • Рекомендуется всегда настраивать синхронизацию системных часов с доверенными источниками сетевого времени (NTP).Алгоритм  Алгоритм настройки NTP приведён приведен в разделе разделе Настройка NTP настоящего  настоящего руководства. Подробная информация о командах для настройки NTP приведена в разделе разделе Управление системными часами справочника команд CLI.
  • Рекомендуется отключать NTP broadcast client, включённый включенный по умолчанию в заводской конфигурации.
  • Рекомендуется использовать ACL для органичения ограничения доступа к консольному серверу и устройствам, непосредственно подключенным к нему. Не рекомендуется использовать команду ip firewall disable, отключающую межсетевое экранирование. Следует всегда назначать интерфейсам соответствующие зоны безопасности и настраивать корректные правила межсетевого экрана. Алгоритм настройки межсетевого экрана приведён в разделе Конфигурирование Firewall настоящего руководства. Подробная информация о командах для настройки межсетевого экрана приведена в разделе Управление Firewall (ДЛЯ УДАЛЕНИЯ) справочника команд CLIустройству. Алгоритм настройки списков доступа приведён в разделе Управление безопасностью настоящего руководства.

Scroll Pagebreak

Настройка системы логирования событий

...

Подробная информация о командах для настройки системы логирования событий приведена в разделе 
разделе Управление SYSLOG справочника команд CLI.

...

  • Рекомендуется настроить хранение сообщений о событиях в файл syslog на устройстве и передачу этих событий на внешний syslog-сервер.
  • Рекомендуется ограничивать размер syslog-файла на устройстве.
  • Рекомендуется настраивать ротацию syslog-файлов на устройстве.
  • Рекомендуется включать нумерацию сообщений syslog.Рекомендуется включать добавление меток timestamp msec к syslog-сообщениям на устройствах ESR-1500 и ESR-1511.

Предупреждения

  • Данные, хранящиеся в файловой системе tmpsys:syslog, не сохраняются при перезагрузке устройства. Этот тип файловой системы рекомендуется использовать для хранения оперативных логов.
  • Не рекомендуется использовать файловую систему flash:syslog для хранения логов, так как это может привести к преждевременному выходу из строя устройства.

...

Настроить хранение сообщений о событиях уровня info и выше в файл syslog на устройстве и настроить передачу этих событий на внешний syslog-сервер. Ограничить файл размером 512 КбайткБ. Включить ротацию 3 файлов. Включить нумерацию сообщений syslog.

...

Настраиваем хранение syslog-сообщений в файле:

Блок кода
esrscs(config)# syslog file tmpsys:syslog/default
esrscs((config-syslog-file)# severity info
esrscs((config-syslog-file)# exit

Настраиваем ограничение размера и ротацию файлов:

Блок кода
esrscs(config)# syslog max-files 3
esrscs(config)# syslog file-size 512

Scroll Pagebreak

Настраиваем передачу сообщений на внешний сервер:

Блок кода
esrscs(config)# syslog host mylog 
esrscs(config-syslog-host)# remote-address 92192.1680.12.2
esrscs(config-syslog-host)# transport udp
esrscs(config-syslog-host)# port 514
esrscs(config-syslog-host)# severity info
esrscs(config-syslog-host)# exit

Включаем нумерацию сообщений syslog:

Блок кода
esrscs(config)# syslog sequence-numbers

...

  • Рекомендуется всегда включать требования на смену пароля по умолчанию пользователя admin.
  • Рекомендуется ограничивать время жизни паролей и запрещать повторно использовать , как минимум , предыдущий пароль.
  • Рекомендуется выставлять требования минимальной длины пароля больше 8 символов.
  • Рекомендуется выставлять требования на использование строчных и прописных букв, цифр и спецсимволов.

...

Включаем запрос на смену пароля по умолчанию для пользователя admin:

Блок кода
esrscs(config)# security passwords default-expired

Устанавливаем время жизни пароля 30 дней и запрет на использование предыдущих 12 паролей:

Блок кода
esrscs(config)# security passwords lifetime 30
esrscs(config)# security passwords history 12

Устанавливаем ограничения на длину пароля:

Блок кода
esrscs(config)# security passwords min-length 16
esrscs(config)# security passwords max-length 24

Устанавливаем ограничения по минимальному количеству символов соответствующих типов:

Блок кода
esrscs(config)# security passwords upper-case 3
esrscs(config)# security passwords lower-case 5
esrscs(config)# security passwords special-case 2
esrscs(config)# security passwords numeric-count 4
esrscs(config)# security passwords symbol-types 4

Настройка политики AAA

Алгоритмы настройки политики ААА приведены в разделе Настройка ААА настоящего руководства.

...

  • Встроенную учётную запись admin удалить нельзя, только отключить авторизацию для неё командой no admin login enable.
  • Команда no username admin не удаляет пользователя admin, сбрасывает его конфигурацию в значения по умолчанию. После применения этой команды пользователь admin не будет отображаться в конфигурации.
  • Команда no password для password для пользователя admin также не удаляет пароль пользователя admin, а сбрасывает его в значение по умолчанию. После применения этой команды пароль пользователя admin  перестаёт перестает отображаться в конфигурации и становится ‘password'.
  • Перед отключением авторизации для пользователя admin в конфигурацию устройства необходимо настроить пользователя с уровнем привилегий 15 или задать ENABLE-пароль для уровня привилегий 15.
    Scroll Pagebreak

...

Настроить политику AAA:

  • Для удалённого удаленного входа по протоколу SSH использовать аутентификации через RADIUS.
  • Для входа через локальную консоль использовать аутентификации через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальную аутентификацию.
  • Использовать ENABLE-пароль, заданный через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальный ENABLE-пароль.
  • Установить пользователю admin пониженный уровень привилегий.
  • Настроить логирование изменений локальных учётных учетных записей.
  • Настроить логирование изменений политик ААА.
  • Настроить логирование вводимых команд.
Решение:

Создаем локального пользователя localпользователя local-operator с уровнем привилегий 8:

Блок кода
esrscs(config)# username local-operator
esrscs(config-user)# password Pa$$w0rd1
esrscs(config-user)# privilege 8 
esrscs(config-user)# exit

Задаём локальный ENABLE-пароль:

Блок кода
esrscs(config)# enable password $6e5c4r3e2t!

Далее необходимо отключить авторизацию у пользователя admin:

Блок кода
esrscs(config)# no admin login enable

Настраиваем связь с двумя RADIUS-серверами, основным 192.168.1.11 и резервным 192.168.2.12:

Блок кода
esrscs(config)# radius-server host 192.168.1.11
esrscs(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF
esrscs(config-radius-server)# priority 100 esrscs(config-radius-server)# exit
esrscs(config)# radius-server host 192.168.2.12
esrscs(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF
esrscs(config-radius-server)# priority 150
esrscs(config-radius-server)# exit

Scroll Pagebreak

Настраиваем политику ААА:

Блок кода
esrscs(config)# aaa authentication login CONSOLE radius local 
esrscs(config)# aaa authentication login SSH radius 
esrscs(config)# aaa authentication enable default radius enable
esrscs(config)# aaa authentication mode break
esrscs(config)# line console
esrscs(config-line-console)# login authentication CONSOLE 
esrscs(config-line-console)# exit esrscs(config)# line ssh 
esrscs(config-line-ssh)# login authentication SSH 
esrscs(config-line-ssh)# exit

Настраиваем логирование:

Блок кода
esrscs(config)# logging userinfo 
esrscs(config)# logging aaa
esrscs(config)# syslog cli-commands

Настройка

...

удаленного управления

Подробная информация о командах настройки удалённого удаленного доступа приведена в разделе Настройка доступа SSH, Telnet справочника команд CLI.

...

  • Не рекомендуется включать удалённое удаленное управление по протоколу Telnet.
  • Рекомендуется использовать криптостойкие алгоритмы аутентификации sha2-512 и отключить все остальные.
  • Рекомендуется использовать криптостойкие алгоритмы шифрования aes256ctr и отключить все остальные.
  • Рекомендуется использовать криптостойкий алгоритм обмена ключами шифрования dh-group-exchange-sha256 и отключить все остальные.
  • Рекомендуется использовать криптостойкий алгоритм верификации Host-Key для SSH rsa и отключить все остальные.
  • Рекомендуется разрешить доступ к удалённому удаленному управлению устройством только с определённых определенных IP-адресов.   
  • Перед началом эксплуатации рекомендуется перегенерировать ключи шифрования.

...

Отключаем устаревшие и не криптостойкие алгоритмы:

Блок кода
esrscs(config)# ip ssh server
esrscs(config)# ip ssh authentication algorithm md5 disable
esrscs(config)# ip ssh authentication algorithm md5-96 disable
esrscs(config)# ip ssh authentication algorithm ripemd160 disable
esrscs(config)# ip ssh authentication algorithm sha1 disable
esrscs(config)# ip ssh authentication algorithm sha1-96 disable
esrscs(config)# ip ssh authentication algorithm sha2-256 disable
esrscs(config)# ip ssh encryption algorithm 3des disable
esrscs(config)# ip ssh encryption algorithm aes128 disable
esrscs(config)# ip ssh encryption algorithm aes128ctr disable
esrscs(config)# ip ssh encryption algorithm aes192 disable
esrscs(config)# ip ssh encryption algorithm aes192ctr disable
esrscs(config)# ip ssh encryption algorithm aes256 disable
esrscs(config)# ip ssh encryption algorithm arcfour disable
esrscs(config)# ip ssh encryption algorithm arcfour128 disable
esrscs(config)# ip ssh encryption algorithm arcfour256 disable
esrscs(config)# ip ssh encryption algorithm blowfish disable
esrscs(config)# ip ssh encryption algorithm cast128 disable
esrscs(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable
esrscs(config)# ip ssh key-exchange algorithm dh-group1-sha1 disable
esrscs(config)# ip ssh key-exchange algorithm dh-group14-sha1 disable
esrscs(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp256 disable
esrscs(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp384 disable
esrscs(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp521 disable
esrscs(config)# ip ssh host-key algorithm dsa disable
esrscs(config)# ip ssh host-key algorithm ecdsa256 disable
esrscs(config)# ip ssh host-key algorithm ecdsa384 disable
esrscs(config)# ip ssh host-key algorithm ecdsa521 disable
esrscs(config)# ip ssh host-key algorithm ed25519 disable

Генерируем новые ключи шифрования:

Блок кода
esr#scs# update ssh-host-key rsa 2048