The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

[Cisco] Заметки по увеличению безопасности маршрутизатора Cisco (cisco security howto acl aaa flood password snmp)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: cisco, security, howto, acl, aaa, flood, password, snmp,  (найти похожие документы)
From: opennet.ru Subject: [Cisco] Заметки по увеличению безопасности маршрутизатора Cisco Заметки по увеличению безопасности маршрутизатора Cisco. ---------------------------------------------------------- 1. Правильный выбор пароля (не менее 8 хаотично выбранных символа, использование enable secret). enable secret секретный_пароль service password-encryption username admin privilege 5 password мойпароль aaa new-model aaa authentication username-prompt "login: " aaa authentication login default local aaa authentication login CONSOLE none aaa authorization exec local if-authenticated 2. Ограничение доступа на Cisco (доступ только с IP админов) и защита от сниффинга (использование комутаторов). access-list 105 permit ip host ip_админа any access-list 105 deny ip any any line vty 0 4 access-class 105 in login local exec-timeout 2 0 3. Ограничение доступа по SNMP только с определенных IP (администраторы, мониторинг и биллинг), изменение название community public на что-нибудь бессвязное, например sfvggwz. access-list 15 permit ip host ip_которому_разрешено_snmp access-list 15 deny any snmp-server community sfvggwz RO 104 4. Отключаем все лишние сервисы (cdp - cisco discovery protocol), например: no ntp enable no cdp running no cdp enable no service finger no service tcp-small-servers no service udp-small-servers service tcp-keep-alives-in no ip http server 5. Настраиваем ACL (access lists), минимум что нужно сделать (против спуфинга): (правила просматриваются в порядке следования, срабатывает первое подходящее правило) access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 deny ip 10.0.0.0 0.255.255.255 any access-list 100 deny ip 224.0.0.0 31.255.255.255 any access-list 100 deny ip host 0.0.0.0 any access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 192.168.0.0 0.0.255.255 any access-list 100 deny ip 172.16.0.0 0.0.255.255 any access-list 100 deny ip наша_сеть маска_нашей_сети any access-list 100 deny icmp any any redirect. access-list 100 permit ip any any access-list 101 permit ip наша_сеть маска_нашей_сети any access-list 101 deny ip any any # Затем привязываем ACL к интерфейсу: interface ethernet 0 ip access-group 100 in ip access-group 101 out 6. Защищаемся от флуда (и прочей нечисти), на каждом интерфейсе: # чтобы трафик на несуществующие ip не играл в пинг-понг ip route 0.0.0.0 0.0.0.0 null 0 255 # защита от флуда scheduler interval 500 no ip source-route interface ethernet 0 no ip directed-broadcast no ip proxy-arp no ip redirects no ip unreachables

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Обсуждение [ RSS ]
  • 1, Oleg (?), 12:12, 13/06/2002 [ответить]  
  • +/
    1. Объясните in & out - это какие направления относительно интерфейса?
    2. ip route 0.0.0.0 0.0.0.0 null 0 255 - как с этим быть если у меня:
    ip route 0.0.0.0 0.0.0.0 Dialer1
     
     
  • 2, Nefer (?), 17:05, 27/06/2002 [^] [^^] [^^^] [ответить]  
  • +/
    >1. Объясните in & out - это какие направления относительно интерфейса?
    С аглицким знаком? in входящий, out исходящий.

    >2. ip route 0.0.0.0 0.0.0.0 null 0 255 - как с этим
    >быть если у меня:
    >ip route 0.0.0.0 0.0.0.0 Dialer1
    Я немного иначе у себя делаю. Разрешаю на входящем пакеты только для своей сети. Даю роут для всей своей сети в Null0 а на те адреса что выданы даю свои роуты. Соответственно по умолчанию траффик валится только на мои адреса, а если роутов к ним циска не знает - сливает в нуль.
    А в чистом виде конфиг твой заставляет удивленно чесать репу :)

     

  • 3, Олег (?), 22:04, 06/02/2003 [ответить]  
  • +/
    Нормальные куски конфига, только у меня ACL по сильнее:
    Extended IP access list 101
        deny icmp any any redirect log
        deny icmp any any echo log
        permit icmp any any
        permit tcp any any established
        permit udp any any eq domain
        permit udp any eq domain any
        permit tcp any any eq domain
        permit tcp any eq domain any
        permit tcp any any eq www
        permit tcp any any eq 32000
        permit tcp any any eq ftp-data
        permit tcp any any eq pop3
        permit tcp any any eq smtp
        permit tcp any any eq ident
        deny ip any any log
    :-))))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру