Настройка безопасности маршрутизаторов cisco

Информационная безопасность

При настройке сетевого оборудования Cisco углубляюсь в процессы коммутации и маршрузтизации администраторы часто забывают доконфигурировать параметры безопасности. Однако, этот встроенный функционал весьма полезен и обеспечивает хоть и базовый но все таки необходимый уровень безопасности. Сегодня в публикации мы кратко опишем встроенные команды и общие советы по управлению безопасностью.

И так, давай начнем с удаленного доступа, а именно подключение по SSH.
!Никогда не используйте устаревший протокол Telnet

Вторым шагом можно обеспечить определенный уровень безопасности на vty, auxiliary и console lines выполнив следующие рекомендации:

Timeout (session, exec) — время, через которое администратор будет «выкинут» через заданное время неактивности. На Console такое таймаут по умолчанию выключен, — это небезопасно. В большинстве случаев 10-15 минут — это вполне приемлимое значение для этого параметра.

Port Speed — скорость консольного порта (т.н. baud rate) может быть увеличена до максимального поддерживаемого значения, по умолчанию значение равно 9600bps и может быть увеличено до 115200bps.

Session Limit — определяет как много sshv2, telnet (или обоих) сессий может быть активно одновременно. По умолчанию этот параметр равен 32, и может быть уменьшен до более практичного с точки зрения безопасности значения 5-10.

Access-List — списки доступа должны быть применены на vty, aux и con порты для обеспечения безопасности путем органичения доступа по таким условиям как отправитель или получатель, административно авторизованные к управлению или настройке устройства. Также хорошей идеей было бы включить логирование подобного доступа в соответствующих списках доступа с помощью ключевого слова log.

Временная блокировка после определенного кол-ва неудачных попыток авторизации с белым листом — полностью выключает возможность авторизации на устройстве на заданное кол-во времени после определенного кол-ва неудачных попыток в течение взятого промежутка времени , ip адреса обозначенные в соответствующем списке доступа 10 — в «белом листе» и имеют право авторизации даже при блокировке.

Читайте также:  Ts 4022 роутер ростелеком настройка

Directed Broadcast — пакет ip directed broadcast имеет своим destination валидный broadcast адрес. когда подобный пакет приходит на роутер, последний (если соответственно сконфигурирован и имеет в своих подключенных сетях (directly connected) сеть назначения) может перенаправлять подобные пакеты по назначению, в отличие от стандартного поведения, когда интерфейс роутера оконечивает домен широковещательных сообщений.

  • Ограничьте зоны широковещательных доменов
  • Используйте функции защиты Dynamic ARP Inspection, DHCP Snooping и IP Source Guard
  • Используйте функции защиты STP (фильтры и гарды)
  • Ограничьте круг возможных участников процесса маршрутизации
  • Используйте авторизацию
  • Используйте встроенные методы безопасности протоколов, т.к. BGP TTL
  • Security Check
  • Маршрутизацию включайте только на нужных интерфейсах
  • Не включайте маршрутизацию на «пользовательских» интерфейсах
  • Контролируйте распространяемые маршруты
  • Логируйте статусы » соседей » (log-neighbor-changes)

Предотвратить злоумышленное использование малых служб для проведения различных сетевых атак, включая DoS-атаки.

Предотвратить предоставление информации о маршрутизаторе устройствам, которые напрямую подключены к этому маршрутизатору.

Указать, какие протоколы могут использоваться удаленными пользователями для установления интерактивного подключения к терминалу VTY или к портам TTY на маршрутизаторе.

Указать, какие IP-адреса могут использоваться для подключения к портам TTY или VTY. Зарезервировать один порт VTY для доступа с управляющей рабочей станции.

Сохранить регистрационную информацию в RAM-буфере маршрутизатора. В последних версиях программного обеспечения после размера буфера можно указать порог важности.

Сбросить сфальсифицированные IP-пакеты в сетях с симметричной маршрутизацией и только при использование режима CEF.

Включить регистрацию пакетов, которые совпадают с критериями, указанными в данном списке доступа. Используйте команду log-input, если таковая имеется в вашем ПО.

Включить протокол SNMP версии 1, настроить аутентификацию и ограничить доступ к определенным IP-адресам. Протокол SNMP версии 1 следует использовать только в случае, если недоступна версия 2, при этом нужно принять меры защиты от анализаторов пакетов. Включайте протокол SNMP, только если он нужен в вашей сети. Включайте доступ с правами чтение-запись, только если это действительно необходимо.

Читайте также:  Vpn сеть между роутерами keenetic

Настроить процедуру аутентификации для протокола SNMP версии 2, использующего алгоритм аутентификации MD5. Включайте протокол SNMP, только если это действительно необходимо в данной сети.

Осуществлять дальнейший контроль за HTTP-доступом, ограничив его определенными адресами узлов (если HTTP включен на маршрутизаторе).

Установить предупредительный баннер, который будет демонстрироваться пользователям, пытающимся зарегистрироваться на маршрутизаторе.

Источник

Оцените статью
Adblock
detector