|
Базовые настройки безопасности CiscoПри настройке сетевого оборудования Cisco углубляюсь в процессы коммутации и маршрузтизации администраторы часто забывают доконфигурировать параметры безопасности. Однако, этот встроенный функционал весьма полезен и обеспечивает хоть и базовый но все таки необходимый уровень безопасности. Сегодня в публикации мы кратко опишем встроенные команды и общие советы по управлению безопасностью. И так, давай начнем с удаленного доступа, а именно подключение по SSH.
Включить-настроить ssh, отключить телнет
Вторым шагом можно обеспечить определенный уровень безопасности на vty, auxiliary и console lines выполнив следующие рекомендации:
Timeout (session, exec) - время, через которое администратор будет "выкинут" через заданное время неактивности. На Console такое таймаут по умолчанию выключен, - это небезопасно. В большинстве случаев 10-15 минут - это вполне приемлимое значение для этого параметра.
Port Speed - скорость консольного порта (т.н. baud rate) может быть увеличена до максимального поддерживаемого значения, по умолчанию значение равно 9600bps и может быть увеличено до 115200bps.
Hung session - зависшие сессии можно система может выявить и и закрыть с помощью сервиса
Session Limit - определяет как много sshv2, telnet (или обоих) сессий может быть активно одновременно. По умолчанию этот параметр равен 32, и может быть уменьшен до более практичного с точки зрения безопасности значения 5-10.
Access-List - списки доступа должны быть применены на vty, aux и con порты для обеспечения безопасности путем органичения доступа по таким условиям как отправитель или получатель, административно авторизованные к управлению или настройке устройства. Также хорошей идеей было бы включить логирование подобного доступа в соответствующих списках доступа с помощью ключевого слова log.
Общая безопасность Cisco IOS предлагает ряд функций по улучшению общего уровня безопасности устройства:
Минимальная длина пароля:
Частота попыток авторизации - задает интервал между попытками авторизации в секундах {sec}.
Временная блокировка после определенного кол-ва неудачных попыток авторизации с белым листом - полностью выключает возможность авторизации на устройстве на заданное кол-во времени {sec1} после определенного кол-ва {num} неудачных попыток в течение взятого промежутка времени {sec2}, ip адреса обозначенные в соответствующем списке доступа 10 - в "белом листе" и имеют право авторизации даже при блокировке.
Логирование удачных и неудачных попыток авторизации:
Отключаем не нужные Сервисы
Подумайте, нужны ли вам сервисы, работающие на устройстве такие как: Cisco Discovery Protocol (CDP) - думаю, объяснять, что такое CDP не нужно. Выключить глобально:
Выключить на интерфейсе:
Directed Broadcast - пакет ip directed broadcast имеет своим destination валидный broadcast адрес. когда подобный пакет приходит на роутер, последний (если соответственно сконфигурирован и имеет в своих подключенных сетях (directly connected) сеть назначения) может перенаправлять подобные пакеты по назначению, в отличие от стандартного поведения, когда интерфейс роутера оконечивает домен широковещательных сообщений. Отменить поведение можно с помощью команды уровня интерфейса:
и другие...
Finger
Maintenance Operations Protocol (MOP)
IP BOOTP Server
IP Redirects
IP Source Routing
Gratuitous arps
PAD
Nagle
Proxy ARP
Ident
TCP and UDP Small Servers
TCP Keepalives
DHCP service
IP HTTP Server
Timestamps - сервис датирует сообщения сислога
Безопасность коммутации
Безопасность маршрутизации
Список команд
Контрольные вопросы: 1) Что представляет собой STP? 2) Что такое DHCP Snooping? 3) Каковы основные правила безопасной маршрутизации? 4)
Практическая работа №31 Тема: « Настройка GRE-туннелей » Цели: 1. Закрепить теоретический материал, 2. Приобрести навыки настройки GPE-туннелей, 3. Описать процесс конфигурирования.
Задачи: 1. Ознакомиться с теоретическим материалом, 2. Описать процесс настройки, 3. Ответить на контрольные вопросы, 4. Сформулировать вывод.
Теоретический материал:
Generic Routing Encapsulation (GRE) - протокол туннелирования сетевых пакетов, разработанный фирмой Cisco. Этот протокол используется для передачи пакетов одной сети, через другую сеть. GRE туннель представляет собой соединение точка - точка, его можно считать одной из разновидностей VPN туннеля, без шифрования. Основное достоинство GRE это возможность передавать широковещательный трафик, что позволяет пропускать через такой туннель протоколы маршрутизациииспользующие его, IPSec туннели в чистом виде этого не могут. Так что причин для организации GRE туннеля может быть множество от банальной необходимости пробросить свою сеть через чужое IP пространство до использования протоколов OSPF, RIPv2, EGRP совместно с IPSec. Так же GRE может помочь пробросить немаршрутизируюмые протоколы, такие как NetBios, IPX, AppleTalk.
При использовании публичных сетей необходимо совместно с GRE применять IPSec для реализации защищенных VPN соединений.
В нашем случае построим простой GRE туннель через доверенную сеть, без шифрования. В примере мы уже имеем арендованный канал в удаленный офис, протокол маршрутизации OSPF, нужно организовать резервный канал к этому офису используя чужую IP сеть.
Схема рассматриваемого примера изображена на рисунке:
В примере участвуют два маршрутизатора, Cisco 2811 в главном офисе и Cisco 1841 в удаленном офисе. Между офисами имеется уже действующий асинхронный выделенный канал связи (10.10.255.0/30), так же в главном и удаленном офисе присутствуют каналы из "дружественной" сети 10.44.0.0 В нашем случае это Ethernet каналы, сеть 10.44.0.0 не против пустить наш трафик, осталось поднять GRE туннель и получить еще один канал связи между офисами.
Организация GRE туннеля на Cisco довольно проста, ниже приведена выдержка из конфигурации двух участвующих маршрутизаторов. В простейшем случае нужно поднять на каждом из них виртуальный интерфейс Tunnel0 (номер интерфейса может быть другим) и провести простейшую его настройку. Назначить Tunnel0 ip адрес, указать интерфейс через который подымать туннель и ip адрес интерфейса удаленного маршрутизатора используемого для создания туннеля.
Cisco 1841 удаленный офис:
interface Tunnel0 description GRE tunnel to main office ip address 10.10.255.6 255.255.255.252 ip tcp adjust-mss 1436 tunnel source FastEthernet0/1 tunnel destination 10.44.2.1
interface FastEthernet0/0 description Lokalniy ethernet ip address 10.10.2.1 255.255.255.0 duplex auto speed auto
interface FastEthernet0/1 description Network 10.44.0.0 ip address 10.44.3.2 255.255.255.0 duplex auto speed auto
Cisco 2811 главный офис:
interface Tunnel0 description GRE tunnel na office 1 ip address 10.10.255.5 255.255.255.252 ip tcp adjust-mss 1436 tunnel source FastEthernet0/1 tunnel destination 10.44.3.2
interface FastEthernet0/0 description Lokalniy ethernet ip address 10.10.1.1 255.255.255.0 duplex auto speed auto
interface FastEthernet0/1 description Network 10.44.0.0 ip address 10.44.2.1 255.255.255.0 duplex auto speed auto
При работе с GRE туннелями могут возникнуть проблемы с MTU пакетов пересылаемых через туннель, так называемая проблема бита DF. Параметром ip tcp adjust-mss 1436 я решил проблемы с пакетами имеющими бит DF, правда это поможет только для TCP сессий.
Для отслеживания состояния GRE туннеля можно использовать опцию keepalive на Tunnel0 интерфейсе. Проверяем результаты нашего труда, командами sh interfaces tunnel 0, sh ip interface brief, sh ip ro ospf. Должен появится активный интерфейс Tunnel0 на обоих маршрутизаторах и новый маршрут в таблице OSPF.
Таким образом мы получили еще один канал в удаленный офис с работающим через него OSPF используя чужую IP сеть. Этот простой пример не охватывает всех тонкостей работы с GRE туннелями, но позволит на простом примере быстро их настроить.
Контрольные вопросы: 1) Ы
Практическая работа №32 Тема: « Подключениек мини-АТС Panasonic KX-HTS824RU для программирования и настройки » Цели: 1. Закрепить теоретический материал, 2. Приобрести навыки подключения АТС KX-HTS824, 3. Описать процесс подключения.
Задачи: 1) Ознакомиться с теоретическим материалом, 2) Описать процесс подключения АТС, 3) Ответить на контрольные вопросы, 4) Сформулировать вывод.
Теоретический материал: Что вызывает тренды на фондовых и товарных рынках Объяснение теории грузового поезда Первые 17 лет моих рыночных исследований сводились к попыткам вычислить, когда этот... ЧТО ПРОИСХОДИТ ВО ВЗРОСЛОЙ ЖИЗНИ? Если вы все еще «неправильно» связаны с матерью, вы избегаете отделения и независимого взрослого существования... Что делает отдел по эксплуатации и сопровождению ИС? Отвечает за сохранность данных (расписания копирования, копирование и пр.)... Что способствует осуществлению желаний? Стопроцентная, непоколебимая уверенность в своем... Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте:
|