Базовые настройки безопасности в Cisco

Автор Itworkroom

Базовые настройки безопасности Cisco

При настройке сетевого оборудования важно помнить о настройке базовых параметров безопасности оборудования, так как именно они предотвращают большую часть угроз безопасности. Встроенный функционал защиты обеспечивает базовый и необходимый уровень безопасности, который предотвращает распространённые виды атак злоумышленников. Сетевые администраторы не забывают это делать, но простые системные администраторы часто пренебрегают данными настройками и оставляют настройки без изменений.
В данной статье приведена таблица базовых настроек c пояснением и примером для настройки базовых параметров безопасности Cisco.

Рекомендация Пояснение Пример на оборудовании Cisco
Назначьте имя коммутатору Коммутатор должен быть идентифицирован router(config)#hostname R0

 

Включите и настройте ssh v2, Включите ssh только на нужных vty ssh v2 сетевой протокол прикладного уровня, позволяющий производить удалённое управление, безопасен Подключение по telnet или ssh называется виртуальным терминалом (vty)

 

R0(config)#ip domain-name cisco-dmn

R0(config)#crypto key generate rsa

R0(config)#line vty 0 4

R0(config-line)#transport input ssh

R0(config-line)#password cisco

R0(config-line)#login

 

Отключите telnet telnet сетевой протокол для реализации текстового терминального интерфейса по сети, он не безопасен
Ограничьте паролем доступ через консольный порт Консольный порт – это локальный порт R0(config)#line console 0
R0(config-line)#login
R0 (config-line)#password cisco
Создайте баннер на коммутаторе Хорошая практика включения приветствия на сетевом оборудовании, которое уведомляет «постороннее лицо», о том что оборудование к которому производиться подключение частное, и подключаться к нему можно только полномочному лицу. R0 (config)# banner motd # text # R0 (config)# banner login # text #

R0 (config)# banner exec # text #

R0 (config)# banner incoming # text #

 

Включить запись истории изменения конфигурации

 

R0 (config)# archive

R0 (config-archive)# log config

R0 (config-archive-log-cfg)# logging on

R0 (config-archive-log-cfg)# hidekeys

 

Переименуйте или заблокируйте административную учетную запись созданную по умолчанию. Часто атаки совершаются именно на учетную запись, созданную по умолчанию, так как её название общедоступно.
Создайте пользовательский и административный аккаунт Не все действия и процедуры на сетевом оборудовании требуют административные права доступа. R0 (config)#username cisco priv 15 secret cisco

 

Настройте минимальную длину пароля согласно принятой политики. Базовая политика безопасности. R0 (config)# security passwords min-length length

 

Сгенерируйте RSA ключ длиной не менее 1024 бит. Ключ RSA длиной менее 1024 бит – не стойкий и взламываемый. R0 (config)#ip domain-name comp.local

R0 (config)#crypto key generate rsa general modul 1024

Сконфигурируйте версию, таймаут, журналирование и количество попыток авторизации Базовая политика безопасности. R0 (config)#ip ssh version 2

R0 (config)#ip ssh time-out 60

R0 (config)#ip ssh logging events

R0 (config)#ip ssh authentication-retries 3

 

Логирование удачных и неудачных попыток авторизации:

 

R0 (config)#login on-failure log every {num}

R0 (config)#login on-success log every {num}

Настройте время, через которое администратор будет «отключен» через заданное время неактивности Базовая политика безопасности. R0 (config-line)# session-timeout <minutes>

R0 (config-line)# exec-timeout <minutes> [seconds]

 

Настройте количество одновременно активных сессий ssh v2 Базовая политика безопасности.
Настройте списки доступа Ограничьте субъектов доступа на уровне mac и ip адресов. access-list <xACL#> deny ip any any log-input

!

line vty 0 4

access-class <ACL#> in

Настройте частоту попыток авторизации Базовая политика безопасности. R0 (config)# login delay <seconds>

 

Используйте функции защиты Dynamic ARP Inspection, DHCP Snooping и IP Source Guard Dynamic ARP Inspection (Protection) функция коммутатора, предназначенная для защиты от атак с использованием протокола ARP.

DHCP snooping — функция коммутатора, предназначенная для защиты от атак с использованием протокола DHCP.

IP Source Guard (Dynamic IP Lockdown) — функция коммутатора, которая ограничивает IP-трафик на интерфейсах 2-го уровня.

Включение DAI в VLAN:

Sw (config)# ip arp inspection vlan 1

Настройка доверенного порта:

 

Sw(config)# interface gigabitethernet1/0/1

Sw(config-if)# ip arp inspection trust

 

Включить DHCP snooping:

 

sw(config)# ip dhcp snooping

 

Включить DHCP snooping в VLAN, которые должны быть защищены с его помощью:

 

sw(config)# ip dhcp snooping vlan 10

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *