WLC-Series Documentation 1.26
Дерево страниц

Сравнение версий

Старая версия 4

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Включаем запрос на смену пароля по умолчанию для пользователя admin:

Оглавление

Рекомендации по безопасной настройке носят общий характер и подходят для большинства инсталляций. Настоящие рекомендации в значительной степени повышают безопасность эксплуатации устройства, но не являются исчерпывающими. В зависимости от схемы применения устройства необходимо настраивать и другие параметры безопасности. В некоторых специфических случаях выполнение данных рекомендаций может привести к неработоспособности сети. При настройке устройства стоит в первую очередь следовать техническим требованиям и регламентам сетей, в которых будет эксплуатироваться данное устройство.

...

Блок кода
wlc(config)# syslog max-files 3
wlc(config)# syslog file-size 512

Scroll Pagebreak


Настраиваем передачу сообщений на внешний сервер:

...

Блок кода
wlc(config)# security passwords min-length 16
wlc(config)# security passwords max-length 24

Scroll Pagebreak


Устанавливаем ограничения по минимальному количеству символов соответствующих типов:

...

  • Для удалённого входа по протоколу SSH использовать аутентификации через RADIUS.
  • Для входа через локальную консоль использовать аутентификации через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальную аутентификацию.
  • Использовать ENABLE-пароль заданный через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальный ENABLE-пароль.
  • Установить пользователю admin пониженный уровень привилегий.
  • Настроить логирование изменений локальных учётных записей.
  • Настроить логирование изменений политик ААА.
  • Настроить логирование вводимых команд.

Scroll Pagebreak


Решение:

Создаем локального пользователя local-operator с уровнем привилегий 8:

...

Блок кода
wlc(config)# enable password $6e5c4r3e2t!

Scroll Pagebreak
Понижаем привилегии пользователя admin:

...

Блок кода
wlc(config)# logging userinfo 
wlc(config)# logging aaa
wlc(config)# syslog cli-commands

Scroll Pagebreak

Настройка удалённого управления 

...

Блок кода
wlc(config)# no ip telnet server

Scroll Pagebreak

Отключаем устаревшие и не криптостойкие алгоритмы:

...

Блок кода
wlc# update ssh-host-key rsa
wlc# update ssh-host-key rsa 2048

Scroll Pagebreak

Настройка механизмов защиты от сетевых атак

...

  • Рекомендуется всегда включать защиту от ip spoofing.
  • Рекомендуется всегда включать защиту от TCP-пакетов с неправильно выставленными флагами.
  • Рекомендуется всегда включать защиту от фрагментированных TCP-пакетов с выставленным флагом SYN.
  • Рекомендуется всегда включать защиту от фрагментированных ICMP-пакетов.
  • Рекомендуется всегда включать защиту ICMP-пакетов большого размера.
  • Рекомендуется всегда включать защиту от незарегистрированных ipIP-протоколов.
  • Рекомендуется включать логирование механизма защиты от сетевых атак.

...

Блок кода
wlc(config)# ip firewall screen suspicious-packets icmp-fragment
wlc(config)# logging firewall screen suspicious-packets icmp-fragment

Scroll Pagebreak
Включаем защиту от ICMP-пакетов большого размера и логирование механизма защиты:

...

Блок кода
wlc(config)# ip firewall screen suspicious-packets unknown-protocols
wlc(config)# logging firewall screen suspicious-packets unknown-protocols

Scroll Pagebreak