ESR-series Documentation 1.20.0
Дерево страниц

Сравнение версий

Старая версия 4

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление
maxLevel3

Рекомендации по безопасной настройке носят общий характер и подходят для большинства инсталляций. Настоящие рекомендации в значительной степени повышают безопасность эксплуатации устройства, но не являются исчерпывающими. В зависимости от схемы применения устройства необходимо настраивать и другие параметры безопасности. В некоторых специфических случаях выполнение данных рекомендаций может привести к неработоспособности сети. При настройке устройства стоит в первую очередь следовать техническим требованиям и регламентам сетей, в которых будет эксплуатироваться данное устройство.

...

  • Рекомендуется всегда отключать неиспользуемые физические интерфейсы с помощью команды 
    shutdown. Команда подробно описана в разделе Конфигурирование и мониторинг интерфейсов справочника команд CLI.
  • Рекомендуется всегда настраивать синхронизацию системных часов с доверенными источниками сетевого времени (NTP). Алгоритм настройки NTP приведён в разделе Настройка NTP настоящего руководства. Подробная информация о командах для настройки NTP приведена в разделе Управление системными часами справочника команд CLI.
  • Рекомендуется отключать NTP broadcast client, включённый по умолчанию в заводской конфигурации.
  • Не рекомендуется использовать команду ip firewall disable, отключающую межсетевое экранирование. Следует всегда назначать интерфейсам соответствующие зоны безопасности и настраивать корректные правила межсетевого экрана. Алгоритм настройки межсетевого экрана приведён в разделе Конфигурирование Firewall настоящего руководства. Подробная информация о командах для настройки межсетевого экрана приведена в разделе Управление Firewall справочника команд CLI.

Scroll Pagebreak
Настройка системы логирования событий

...

Подробная информация о командах для настройки системы логирования событий приведена в разделе 
Управление SYSLOG справочника команд CLI.

Рекомендации

...

  • Данные, хранящиеся в файловой системе tmpsys:syslog, не сохраняются при перезагрузке устройства. Этот тип файловой системы рекомендуется использовать для хранения оперативных логов.
  • Не рекомендуется использовать файловую систему flash:syslog для хранения логов, так как это может привести к преждевременному выходу из строя устройства ESR.

Пример настройки

Задача:

Настроить хранение сообщений о событиях уровня info и выше в файл syslog на устройстве и настроить передачу этих событий на внешний syslog-сервер. Ограничить файл размером 512 Кбайт. Включить ротацию 3 файлов. Включить нумерацию сообщений syslog.

Решение:

Настраиваем хранение syslog-сообщений в файле:

...

Блок кода
esr(config)# syslog host mylog 192.168.1.2 info udp 514

Scroll Pagebreak

Включаем нумерацию сообщений syslog:

Блок кода
esr(config)# syslog sequence-numbers

Scroll Pagebreak
Настройка политики использования паролей

...

Подробная информация о командах для настройки политики использования паролей приведена в разделе Настройка AAA справочника команд CLI.

Рекомендации

  • Рекомендуется всегда включать требования на смену пароля по умолчанию пользователя admin.
  • Рекомендуется ограничивать время жизни паролей и запрещать повторно использовать, как минимум, предыдущий пароль.
  • Рекомендуется выставлять требования минимальной длины пароля больше 8 символов.
  • Рекомендуется выставлять требования на использование строчных и прописных букв, цифр и спецсимволов.

Пример настройки

Задача:
  • Настроить парольную политику с обязательным требованием смены пароля по умолчанию, временем действия пароля 1 месяц и запретом на использование 12 последних паролей.
  • Задать минимальную длину пароля 16 символов, максимальную — 64 символа.
  • Пароль должен содержать не менее 3 прописных букв, не менее 5 строчных букв, не менее 4 цифр и не менее 2 спецсимволов. Пароль в обязательном порядке должен содержать все 4 типа символов.
Решение:

Включаем запрос на смену пароля по умолчанию для пользователя admin:

Блок кода
esr(config)# security passwords default-experedexpired

Устанавливаем время жизни пароля 30 дней и запрет на использование предыдущих 12 паролей:

...

Блок кода
esr(config)# security passwords min-length 16
esr(config)# security passwords max-length 6424

Scroll Pagebreak

Устанавливаем ограничения по минимальному количеству символов соответствующих типов:

...

Подробная информация о командах для настройки политики AAA приведена в разделе Настройка ААА справочника команд CLI.

Рекомендации

...

  • Встроенную учётную запись admin удалить нельзя.
  • Команда no username admin не удаляет пользователя admin, сбрасывает его конфигурацию в значения по умолчанию. После применения этой команды пользователь admin не будет отображаться в конфигурации.
  • Команда no password для пользователя admin также не удаляет пароль пользователя admin, а сбрасывает его в значение по умолчанию. После применения этой команды пароль пользователя admin перестаёт отображаться в конфигурации и становится ‘password'.
  • Перед установкой пользователю admin пониженных привилегий у вас должен быть настроен пользователь с уровнем привилегий 15 или задан ENABLE-пароль.

Пример настройки

Задача:

Настроить политику AAA:

  • Для удалённого входа по протоколу SSH использовать аутентификации через RADIUS.
  • Для входа через локальную консоль использовать аутентификации через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальную аутентификацию.
  • Использовать ENABLE-пароль, заданный через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальный ENABLE-пароль.
  • Установить пользователю admin пониженный уровень привилегий.
    Scroll Pagebreak
  • Настроить логирование изменений локальных учётных записей.
  • Настроить логирование изменений политик ААА.
  • Настроить логирование вводимых команд.
Scroll Pagebreak
Решение:

Создаем локального пользователя local-operator с уровнем привилегий 8:

...

Подробная информация о командах настройки удалённого доступа приведена в разделе Настройка доступа SSH, Telnet справочника команд CLI.

Рекомендации

  • Рекомендуется отключить удалённое управление по протоколу Telnet.
  • Рекомендуется использовать криптостойкие алгоритмы аутентификации sha2-512 и отключить все остальные.
  • Рекомендуется использовать криптостойкие алгоритмы шифрования aes256ctr и отключить все остальные.
  • Рекомендуется использовать криптостойкий алгоритм обмена ключами шифрования dh-group-exchange-sha256 и отключить все остальные.
  • Рекомендуется использовать криптостойкий алгоритм верификации Host-Key для SSH rsa и отключить все остальные.
  • Рекомендуется разрешить доступ к удалённому управлению устройством только с определённых IP-адресов.   
  • Перед началом эксплуатации рекомендуется перегенерировать ключи шифрования.

Пример настройки

Задача:

Отключить протокол Telnet. Сгенерировать новые ключи шифрования. Использовать криптостойкие алгоритмы.

Решение:

Отключаем удаленное управление по протоколу Telnet:

...

Подробная информация о командах для настройки политики использования паролей приведена в разделе Управление логированием и защитой от сетевых атак справочника команд CLI.

Рекомендации

  • Рекомендуется всегда включать защиту от ip spoofing.
  • Рекомендуется всегда включать защиту от TCP-пакетов с неправильно выставленными флагами.
  • Рекомендуется всегда включать защиту от фрагментированных TCP-пакетов с выставленным флагом SYN.
  • Рекомендуется всегда включать защиту от фрагментированных ICMP-пакетов.
  • Рекомендуется всегда включать защиту ICMP-пакетов большого размера.
  • Рекомендуется всегда включать защиту от незарегистрированных IP-протоколов.
  • Рекомендуется включать логирование механизма защиты от сетевых атак.

Пример настройки

Задача:

Настроить механизм защиты от сетевых атак в соответствии с рекомендациями.

Решение:

Включаем защиту от ip spoofing и логирование механизма защиты:

...