вторник, 14 мая 2013 г.

Безопасность Cisco / Securing Cisco

1. Нестандартный логин.

    Не стоит создавать локальные учётки вида admin, root. По ним в первую очередь брутфорсят.

2. Не оставлять доступ по telnet.

    Строго ssh.
           ip domain name domain.local
           crypto key generate rsa
           ip ssh version 2
           vty 0 4
                 transport input ssh

3. Нестандартный порт SSH:

           ip ssh port 922 rotary 1
           line vty 5 10                
                 exec-timeout 3 0
                 rotary 1
                 no exec
                 transport input ssh


4. Запретить ping снаружи и всё лишнее:

     Для этого повесить на внешний интерфейс роутера (что в сторону провайдера смотрит) Access-List запрещающий сие добро.

     I. Можно использовать стандартный (Standard) тип листа. Примерного вида:

                access-list 101 deny icmp any any echo log
                access-list 101 deny icmp any any redirect log
                access-list 101 deny icmp any any timestamp-request log
                access-list 101 deny icmp any any information-request log
                access-list 101 deny icmp any any mask-request log
                access-list 101 permit ip any any

     II. Технология - CBAC - Context Based Access Control (мой выбор)

               IT.INGENS.RU - CBAC

5. Time-out сессии установить:

               vty 0 4
                     exec-timeout 3 0 (3 минуты и сессия отвалится)

6. Точное время (не критично,  но желательно):

            clock timezone Moscow 3
            ntp source FastEthernet0/0
            ntp server 85.114.26.194

7. Прописать SYSLOG сервер, для сбора логов:

            logging 192.168.1.20
            logging trap 6

8. Logging Успешных и Неуспешних попытках подключения к вашему устройству:

archive
log config
  logging enable
  notify syslog contenttype plaintext
  hidekeys
logging on
logging 192.168.1.1
login block-for 60 attempts 3 within 60
login on-failure log every 1
login on-success log every 1

И тогда получим такого рода информацию:



Комментариев нет:

Отправить комментарий