Ключевые слова:cisco, security, howto, acl, aaa, flood, password, snmp, (найти похожие документы)
From: opennet.ru
Subject: [Cisco] Заметки по увеличению безопасности маршрутизатора Cisco
Заметки по увеличению безопасности маршрутизатора Cisco.
----------------------------------------------------------
1. Правильный выбор пароля (не менее 8 хаотично выбранных символа,
использование enable secret).
enable secret секретный_пароль
service password-encryption
username admin privilege 5 password мойпароль
aaa new-model
aaa authentication username-prompt "login: "
aaa authentication login default local
aaa authentication login CONSOLE none
aaa authorization exec local if-authenticated
2. Ограничение доступа на Cisco (доступ только с IP админов) и защита от
сниффинга (использование комутаторов).
access-list 105 permit ip host ip_админа any
access-list 105 deny ip any any
line vty 0 4
access-class 105 in
login local
exec-timeout 2 0
3. Ограничение доступа по SNMP только с определенных IP (администраторы,
мониторинг и биллинг), изменение название community public на что-нибудь
бессвязное, например sfvggwz.
access-list 15 permit ip host ip_которому_разрешено_snmp
access-list 15 deny any
snmp-server community sfvggwz RO 104
4. Отключаем все лишние сервисы (cdp - cisco discovery protocol), например:
no ntp enable
no cdp running
no cdp enable
no service finger
no service tcp-small-servers
no service udp-small-servers
service tcp-keep-alives-in
no ip http server
5. Настраиваем ACL (access lists), минимум что нужно сделать (против спуфинга):
(правила просматриваются в порядке следования, срабатывает первое подходящее
правило)
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 deny ip 10.0.0.0 0.255.255.255 any
access-list 100 deny ip 224.0.0.0 31.255.255.255 any
access-list 100 deny ip host 0.0.0.0 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 192.168.0.0 0.0.255.255 any
access-list 100 deny ip 172.16.0.0 0.0.255.255 any
access-list 100 deny ip наша_сеть маска_нашей_сети any
access-list 100 deny icmp any any redirect.
access-list 100 permit ip any any
access-list 101 permit ip наша_сеть маска_нашей_сети any
access-list 101 deny ip any any
# Затем привязываем ACL к интерфейсу:
interface ethernet 0
ip access-group 100 in
ip access-group 101 out
6. Защищаемся от флуда (и прочей нечисти), на каждом интерфейсе:
# чтобы трафик на несуществующие ip не играл в пинг-понг
ip route 0.0.0.0 0.0.0.0 null 0 255
# защита от флуда
scheduler interval 500
no ip source-route
interface ethernet 0
no ip directed-broadcast
no ip proxy-arp
no ip redirects
no ip unreachables
1. Объясните in & out - это какие направления относительно интерфейса?
2. ip route 0.0.0.0 0.0.0.0 null 0 255 - как с этим быть если у меня:
ip route 0.0.0.0 0.0.0.0 Dialer1
>1. Объясните in & out - это какие направления относительно интерфейса?
С аглицким знаком? in входящий, out исходящий.
>2. ip route 0.0.0.0 0.0.0.0 null 0 255 - как с этим
>быть если у меня:
>ip route 0.0.0.0 0.0.0.0 Dialer1
Я немного иначе у себя делаю. Разрешаю на входящем пакеты только для своей сети. Даю роут для всей своей сети в Null0 а на те адреса что выданы даю свои роуты. Соответственно по умолчанию траффик валится только на мои адреса, а если роутов к ним циска не знает - сливает в нуль.
А в чистом виде конфиг твой заставляет удивленно чесать репу :)
Нормальные куски конфига, только у меня ACL по сильнее:
Extended IP access list 101
deny icmp any any redirect log
deny icmp any any echo log
permit icmp any any
permit tcp any any established
permit udp any any eq domain
permit udp any eq domain any
permit tcp any any eq domain
permit tcp any eq domain any
permit tcp any any eq www
permit tcp any any eq 32000
permit tcp any any eq ftp-data
permit tcp any any eq pop3
permit tcp any any eq smtp
permit tcp any any eq ident
deny ip any any log
:-))))
