Рекомендации по безопасной настройке носят общий характер и подходят для большинства инсталляций. Настоящие рекомендации в значительной степени повышают безопасность эксплуатации устройства, но не являются исчерпывающими. В зависимости от схемы применения устройства необходимо настраивать и другие параметры безопасности. В некоторых специфических случаях выполнение данных рекомендаций может привести к неработоспособности сети. При настройке устройства стоит в первую очередь следовать техническим требованиям и регламентам сетей, в которых будет эксплуатироваться данное устройство.
Алгоритмы настройки системы логирования событий приведены в подразделе «Настройка Syslog» раздела Мониторинг настоящего руководства.
Подробная информация о командах для настройки системы логирования событий приведена в разделе Управление SYSLOG справочника команд CLI.
Задача:
Настроить хранение сообщений о событиях уровня info и выше в файл syslog на устройстве и настроить передачу этих событий на внешний syslog-сервер. Ограничить файл размером 512 Кбайт. Включить ротацию 3-х файлов. Включить нумерацию сообщений syslog.
Решение:
Настраиваем хранение syslog-сообщений в файле:
esr(config)# syslog file tmpsys:syslog/default info |
Настраиваем ограничение размера и ротацию файлов:
esr(config)# syslog max-files 3 esr(config)# syslog file-size 512 |
Настраиваем передачу сообщений на внешний сервер:
esr(config)# syslog host mylog 192.168.1.2 info udp 514 |
Включаем нумерацию сообщений syslog:
esr(config)# syslog sequence-numbers |
Алгоритмы настройки политики использования паролей приведены в разделе Настройка ААА настоящего руководства.
Подробная информация о командах для настройки политики использования паролей приведена в разделе Настройка AAA справочника команд CLI.
Задача:
Решение:
Включаем запрос на смену пароля по умолчанию для пользователя admin:
esr(config)# security passwords default-expered |
Устанавливаем время жизни пароля 30 дней и запрет на использование предыдущих 12 паролей:
esr(config)# security passwords lifetime 30 esr(config)# security passwords history 12 |
Устанавливаем ограничения на длину пароля:
esr(config)# security passwords min-length 16 esr(config)# security passwords max-length 64 |
Устанавливаем ограничения по минимальному количеству символов соответствующих типов:
esr(config)# security passwords upper-case 3 esr(config)# security passwords lower-case 5 esr(config)# security passwords special-case 2 esr(config)# security passwords numeric-count 4 esr(config)# security passwords symbol-types 4 |
Алгоритмы настройки политики ААА приведены в разделе Настройка ААА настоящего руководства.
Подробная информация о командах для настройки политики AAA приведена в разделе Настройка ААА справочника команд CLI.
Задача:
Настроить политику AAA:
Решение:
Создаем локального пользователя local-operator с уровнем привилегий 8:
esr(config)# username local-operator esr(config-user)# password Pa$$w0rd1 esr(config-user)# privilege 8 esr(config-user)# exit |
Задаём локальный ENABLE-пароль:
esr(config)# enable password $6e5c4r3e2t! |
Понижаем привилегии пользователя admin:
esr(config)# username admin esr(config-user)# privilege 1 esr(config-user)# exit |
Настраиваем связь с двумя RADIUS-серверами, основным 192.168.1.11 и резервным 192.168.2.12:
esr(config)# radius-server host 192.168.1.11 esr(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF esr(config-radius-server)# priority 100 esr(config-radius-server)# exit esr(config)# radius-server host 192.168.2.12 esr(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF esr(config-radius-server)# priority 150 esr(config-radius-server)# exit |
Настраиваем политику ААА:
esr(config)# aaa authentication login CONSOLE radius local esr(config)# aaa authentication login SSH radius esr(config)# aaa authentication enable default radius enable esr(config)# aaa authentication mode break esr(config)# line console esr(config-line-console)# login authentication CONSOLE esr(config-line-console)# exit esr(config)# line ssh esr(config-line-ssh)# login authentication SSH esr(config-line-ssh)# exit |
Настраиваем логирование:
esr(config)# logging userinfo esr(config)# logging aaa esr(config)# syslog cli-commands |
Подробная информация о командах настройки удалённого доступа приведена в разделе Настройка доступа SSH, Telnet справочника команд CLI.
Задача:
Отключить протокол telnet. Сгенерировать новые ключи шифрования. Использовать криптостойкие алгоритмы.
Решение:
Отключаем удаленное управление по протоколу telnet:
esr(config)# no ip telnet server |
Отключаем устаревшие и не криптостойкие алгоритмы:
esr(config)# ip ssh server esr(config)# ip ssh authentication algorithm md5 disable esr(config)# ip ssh authentication algorithm md5-96 disable esr(config)# ip ssh authentication algorithm ripemd160 disable esr(config)# ip ssh authentication algorithm sha1 disable esr(config)# ip ssh authentication algorithm sha1-96 disable esr(config)# ip ssh authentication algorithm sha2-256 disable esr(config)# ip ssh encryption algorithm 3des disable esr(config)# ip ssh encryption algorithm aes128 disable esr(config)# ip ssh encryption algorithm aes128ctr disable esr(config)# ip ssh encryption algorithm aes192 disable esr(config)# ip ssh encryption algorithm aes192ctr disable esr(config)# ip ssh encryption algorithm aes256 disable esr(config)# ip ssh encryption algorithm arcfour disable esr(config)# ip ssh encryption algorithm arcfour128 disable esr(config)# ip ssh encryption algorithm arcfour256 disable esr(config)# ip ssh encryption algorithm blowfish disable esr(config)# ip ssh encryption algorithm cast128 disable esr(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable esr(config)# ip ssh key-exchange algorithm dh-group1-sha1 disable esr(config)# ip ssh key-exchange algorithm dh-group14-sha1 disable esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp256 disable esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp384 disable esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp521 disable |
Генерируем новые ключи шифрования:
esr# update ssh-host-key dsa esr# update ssh-host-key ecdsa 256 esr# update ssh-host-key ecdsa 384 esr# update ssh-host-key ecdsa 521 esr# update ssh-host-key ed25519 esr# update ssh-host-key rsa esr# update ssh-host-key rsa 2048 |
Алгоритмы настройки механизмов защиты от сетевых атак приведены в разделе Настройка логирования и защиты от сетевых настоящего руководства.
Подробная информация о командах для настройки политики использования паролей приведена в разделе Управление логированием и защитой от сетевых атак справочника команд CLI.
Задача:
Настроить механизм защиты от сетевых атак в соответствии с рекомендациями.
Решение:
Включаем защиту от ip spoofing и логирование механизма защиты:
esr(config)# ip firewall screen spy-blocking spoofing esr(config)# logging firewall screen spy-blocking spoofing |
Включаем защиту от TCP-пакетов с неправильно выставленными флагами и логирование механизма защиты:
esr(config)# ip firewall screen spy-blocking syn-fin esr(config)# logging firewall screen spy-blocking syn-fin esr(config)# ip firewall screen spy-blocking fin-no-ack esr(config)# logging firewall screen spy-blocking fin-no-ack esr(config)# ip firewall screen spy-blocking tcp-no-flag esr(config)# logging firewall screen spy-blocking tcp-no-flag esr(config)# ip firewall screen spy-blocking tcp-all-flags esr(config)# logging firewall screen spy-blocking tcp-all-flags |
Включаем защиту от фрагментированных ICMP-пакетов и логирование механизма защиты:
esr(config)# ip firewall screen suspicious-packets icmp-fragment esr(config)# logging firewall screen suspicious-packets icmp-fragment |
Включаем защиту от ICMP-пакетов большого размера и логирование механизма защиты:
esr(config)# ip firewall screen suspicious-packets large-icmp esr(config)# logging firewall screen suspicious-packets large-icmp |
Включаем защиту от незарегистрированных ip-протоколов и логирование механизма защиты:
esr(config)# ip firewall screen suspicious-packets unknown-protocols esr(config)# logging firewall screen suspicious-packets unknown-protocols |