Базовые настройки безопасности в Cisco
Базовые настройки безопасности Cisco
При настройке сетевого оборудования важно помнить о настройке базовых параметров безопасности оборудования, так как именно они предотвращают большую часть угроз безопасности. Встроенный функционал защиты обеспечивает базовый и необходимый уровень безопасности, который предотвращает распространённые виды атак злоумышленников. Сетевые администраторы не забывают это делать, но простые системные администраторы часто пренебрегают данными настройками и оставляют настройки без изменений.
В данной статье приведена таблица базовых настроек c пояснением и примером для настройки базовых параметров безопасности Cisco.
| Рекомендация | Пояснение | Пример на оборудовании Cisco |
| Назначьте имя коммутатору | Коммутатор должен быть идентифицирован | router(config)#hostname R0
|
| Включите и настройте ssh v2, Включите ssh только на нужных vty | ssh v2 сетевой протокол прикладного уровня, позволяющий производить удалённое управление, безопасен | Подключение по telnet или ssh называется виртуальным терминалом (vty)
R0(config)#ip domain-name cisco-dmn R0(config)#crypto key generate rsa R0(config)#line vty 0 4 R0(config-line)#transport input ssh R0(config-line)#password cisco R0(config-line)#login
|
| Отключите telnet | telnet сетевой протокол для реализации текстового терминального интерфейса по сети, он не безопасен | |
| Ограничьте паролем доступ через консольный порт | Консольный порт – это локальный порт | R0(config)#line console 0 R0(config-line)#login R0 (config-line)#password cisco |
| Создайте баннер на коммутаторе | Хорошая практика включения приветствия на сетевом оборудовании, которое уведомляет «постороннее лицо», о том что оборудование к которому производиться подключение частное, и подключаться к нему можно только полномочному лицу. | R0 (config)# banner motd # text # R0 (config)# banner login # text #
R0 (config)# banner exec # text # R0 (config)# banner incoming # text #
|
| Включить запись истории изменения конфигурации
|
R0 (config)# archive
R0 (config-archive)# log config R0 (config-archive-log-cfg)# logging on R0 (config-archive-log-cfg)# hidekeys
|
|
| Переименуйте или заблокируйте административную учетную запись созданную по умолчанию. | Часто атаки совершаются именно на учетную запись, созданную по умолчанию, так как её название общедоступно. | |
| Создайте пользовательский и административный аккаунт | Не все действия и процедуры на сетевом оборудовании требуют административные права доступа. | R0 (config)#username cisco priv 15 secret cisco
|
| Настройте минимальную длину пароля согласно принятой политики. | Базовая политика безопасности. | R0 (config)# security passwords min-length length
|
| Сгенерируйте RSA ключ длиной не менее 1024 бит. | Ключ RSA длиной менее 1024 бит – не стойкий и взламываемый. | R0 (config)#ip domain-name comp.local
R0 (config)#crypto key generate rsa general modul 1024 |
| Сконфигурируйте версию, таймаут, журналирование и количество попыток авторизации | Базовая политика безопасности. | R0 (config)#ip ssh version 2
R0 (config)#ip ssh time-out 60 R0 (config)#ip ssh logging events R0 (config)#ip ssh authentication-retries 3
Логирование удачных и неудачных попыток авторизации:
R0 (config)#login on-failure log every {num} R0 (config)#login on-success log every {num} |
| Настройте время, через которое администратор будет «отключен» через заданное время неактивности | Базовая политика безопасности. | R0 (config-line)# session-timeout <minutes>
R0 (config-line)# exec-timeout <minutes> [seconds]
|
| Настройте количество одновременно активных сессий ssh v2 | Базовая политика безопасности. | |
| Настройте списки доступа | Ограничьте субъектов доступа на уровне mac и ip адресов. | access-list <xACL#> deny ip any any log-input
! line vty 0 4 access-class <ACL#> in |
| Настройте частоту попыток авторизации | Базовая политика безопасности. | R0 (config)# login delay <seconds>
|
| Используйте функции защиты Dynamic ARP Inspection, DHCP Snooping и IP Source Guard | Dynamic ARP Inspection (Protection) функция коммутатора, предназначенная для защиты от атак с использованием протокола ARP.
DHCP snooping — функция коммутатора, предназначенная для защиты от атак с использованием протокола DHCP. IP Source Guard (Dynamic IP Lockdown) — функция коммутатора, которая ограничивает IP-трафик на интерфейсах 2-го уровня. |
Включение DAI в VLAN:
Sw (config)# ip arp inspection vlan 1 Настройка доверенного порта:
Sw(config)# interface gigabitethernet1/0/1 Sw(config-if)# ip arp inspection trust
Включить DHCP snooping:
sw(config)# ip dhcp snooping
Включить DHCP snooping в VLAN, которые должны быть защищены с его помощью:
sw(config)# ip dhcp snooping vlan 10 |
0