Сдам Сам
Главная | Контакты | FAQ

ПОЛЕЗНОЕ
Как развить коммуникабельность Почему могут возникнуть ссоры между супругами, в то время как их отношения кажутся прочными Почему появляется страх? Как стать богатым и отойти от дел молодым Советы от доктора Айболита «Как быть здоровым» Как сделать приглашение правильно Точка зрения. Как сделать сотрудника вовлеченным? Лень и как с ней бороться. Психологические аспекты Способов заработать с помощью internet Лекции по Основам предпринимательства Последнее добавление


КАТЕГОРИИ
АвтоматизацияАрхитектураАстрономияАудит Биология Бухгалтерия Генетика География Геология Изобретательство Информатика Искусство История Компьютеры Литература Логика Маркетинг МатематикаМашиностроение Медицина Менеджмент Металлы и Сварка Механика Образование Педагогика Политика ПравоотношениеПроизводство Психология РазноеРелигия Социология Спорт Технологии Торговля Физика Философия Финансы Химия Экология Экономика







Базовые настройки безопасности Cisco





При настройке сетевого оборудования Cisco углубляюсь в процессы коммутации и маршрузтизации администраторы часто забывают доконфигурировать параметры безопасности. Однако, этот встроенный функционал весьма полезен и обеспечивает хоть и базовый но все таки необходимый уровень безопасности. Сегодня в публикации мы кратко опишем встроенные команды и общие советы по управлению безопасностью.

И так, давай начнем с удаленного доступа, а именно подключение по SSH.
Никогда не используйте устаревший протокол Telnet

 

Включить-настроить ssh, отключить телнет

  • Войдите в режим конфигурации
 
  router>enable router#configure terminal Enter configuration commands, one per line. End with CNTL/Z.
 
  • Назначьте имя конфигурируемому устройству
 
  router(config)#hostname SSH_ROUTER
 
  • Создайте хотя бы один пользоватльский и/или администраторский аккаунт
 
  SSH_ROUTER(config)#username cisco priv 15 secret cisco
 
  • Назначьте устройству имя доменной группы
 
  SSH_ROUTER(config)#ip domain-name company.local
 
  • Сгенерируйте RSA ключ
 
  SSH_ROUTER(config)#crypto key generate rsa general modul 1024 The name for the keys will be: SSH_ROUTER.company.local % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] SSH_ROUTER(config)# *Mar 1 00:02:20.251: %SSH-5-ENABLED: SSH 1.99 has been enabled
 
  • Сконфигурируйте версию, таймаут, логирование и кол-во попыток авторизации
 
  SSH_ROUTER(config)#ip ssh version 2 SSH_ROUTER(config)#ip ssh time-out 60 SSH_ROUTER(config)#ip ssh logging events SSH_ROUTER(config)#ip ssh authentication-retries 3
 
  • Включите SSH на нужных VTY
 
  SSH_ROUTER(config)#line vty 0 4 SSH_ROUTER(config-line)#transport input ssh
 

 

Вторым шагом можно обеспечить определенный уровень безопасности на vty, auxiliary и console lines выполнив следующие рекомендации:

 

Timeout (session, exec) - время, через которое администратор будет "выкинут" через заданное время неактивности. На Console такое таймаут по умолчанию выключен, - это небезопасно. В большинстве случаев 10-15 минут - это вполне приемлимое значение для этого параметра.

 

 
  Router(config-line)# session-timeout <minutes> Router(config-line)# exec-timeout <minutes> [seconds]
 

 

Port Speed - скорость консольного порта (т.н. baud rate) может быть увеличена до максимального поддерживаемого значения, по умолчанию значение равно 9600bps и может быть увеличено до 115200bps.

 
  Router(config-line)# speed 115200
 

 

Hung session - зависшие сессии можно система может выявить и и закрыть с помощью сервиса

 
  Router(config)# service tcp-keepalives-in
 

 

Session Limit - определяет как много sshv2, telnet (или обоих) сессий может быть активно одновременно. По умолчанию этот параметр равен 32, и может быть уменьшен до более практичного с точки зрения безопасности значения 5-10.

 

 
  Router(config-line)#session-limit 10
 

 

Access-List - списки доступа должны быть применены на vty, aux и con порты для обеспечения безопасности путем органичения доступа по таким условиям как отправитель или получатель, административно авторизованные к управлению или настройке устройства. Также хорошей идеей было бы включить логирование подобного доступа в соответствующих списках доступа с помощью ключевого слова log.

 
  access-list <xACL#> deny ip any any log-input ! line vty 0 4 access-class <ACL#> in
 

 

Общая безопасность

Cisco IOS предлагает ряд функций по улучшению общего уровня безопасности устройства:

 

Минимальная длина пароля:

 
  Router(config)# security passwords min-length length
 

Частота попыток авторизации - задает интервал между попытками авторизации в секундах {sec}.

 
  Router(config)# login delay <seconds>
 

Временная блокировка после определенного кол-ва неудачных попыток авторизации с белым листом - полностью выключает возможность авторизации на устройстве на заданное кол-во времени {sec1} после определенного кол-ва {num} неудачных попыток в течение взятого промежутка времени {sec2}, ip адреса обозначенные в соответствующем списке доступа 10 - в "белом листе" и имеют право авторизации даже при блокировке.

 
  Router(config)# access-list 10 permit host 172.26.150.206 Router(config)# login block-for 100 attempts 15 within 100 Router(config)# login quiet-mode access-class 10
 

 

Логирование удачных и неудачных попыток авторизации:

 
  Router(config)#login on-failure log every {num} Router(config)#login on-success log every {num}
 

 

Отключаем не нужные Сервисы

 

Подумайте, нужны ли вам сервисы, работающие на устройстве такие как:

Cisco Discovery Protocol (CDP) - думаю, объяснять, что такое CDP не нужно.

Выключить глобально:

 
  no cdp run
 

Выключить на интерфейсе:

 
  interface X/X no cdp enable
 

 

Directed Broadcast - пакет ip directed broadcast имеет своим destination валидный broadcast адрес. когда подобный пакет приходит на роутер, последний (если соответственно сконфигурирован и имеет в своих подключенных сетях (directly connected) сеть назначения) может перенаправлять подобные пакеты по назначению, в отличие от стандартного поведения, когда интерфейс роутера оконечивает домен широковещательных сообщений.

Отменить поведение можно с помощью команды уровня интерфейса:

 

 
  no ip directed-broadcast
 

и другие...

 

Finger

 
  no ip finger
 

 

Maintenance Operations Protocol (MOP)

 
  no mop enabled
 

 

IP BOOTP Server

 
  no ip bootp server
 

 

IP Redirects

 
  no ip redirects
 

 

IP Source Routing

 
  no ip source-route
 

 

Gratuitous arps

 
  no ip gratuitous-arps
 

 

PAD

 
  no service pad
 

 

Nagle

 
  service nagle
 

 

Proxy ARP

 
  no ip proxy-arp
 

 

Ident

 
  no ip identd
 

 

TCP and UDP Small Servers

 
  no service tcp-small-servers no service udp-small-servers
 

 

TCP Keepalives

 
  service tcp-keepalives-in service tcp-keepalives-out
 

 

DHCP service

 
  no service dhcp
 

 

IP HTTP Server

 
  no ip http server
 

 

Timestamps - сервис датирует сообщения сислога

 
  service timestamps debug datetime localtime show-timezone msec service timestamps log datetime localtime show-timezone msec service sequence-numbers
 

 

Безопасность коммутации

  • Ограничьте зоны широковещательных доменов
  • Используйте функции защиты Dynamic ARP Inspection, DHCP Snooping и IP Source Guard
  • Используйте функции защиты STP (фильтры и гарды)

Безопасность маршрутизации

  • Ограничьте круг возможных участников процесса маршрутизации
  • Используйте авторизацию
  • Используйте встроенные методы безопасности протоколов, т.к. BGP TTL
  • Security Check
  • Маршрутизацию включайте только на нужных интерфейсах
  • Не включайте маршрутизацию на "пользовательских" интерфейсах
  • Контролируйте распространяемые маршруты
  • Логируйте статусы "соседей" (log-neighbor-changes)

Список команд

 

Используйте команду Чтобы
enable secret Настроить пароль для привилегированного доступа к маршрутизатору.
service password-encryption Обеспечить минимальную защиту для настроенных паролей.
no service tcp-small-servers no service udp-small-servers Предотвратить злоумышленное использование малых служб для проведения различных сетевых атак, включая DoS-атаки.
no service finger Предотвратить предоставление пользовательской информации потенциальным злоумышленникам.
no cdp running no cdp enable Предотвратить предоставление информации о маршрутизаторе устройствам, которые напрямую подключены к этому маршрутизатору.
ntp disable Предотвратить атаки против службы NTP.
no ip directed-broadcast Помешать нападающим использовать маршрутизатор в качестве "усилителя" smurf-атаки.
transport input Указать, какие протоколы могут использоваться удаленными пользователями для установления интерактивного подключения к терминалу VTY или к портам TTY на маршрутизаторе.
ip access-class Указать, какие IP-адреса могут использоваться для подключения к портам TTY или VTY. Зарезервировать один порт VTY для доступа с управляющей рабочей станции.
exec-timeout Запретить "пустым" сеансам связи занимать VTY на неопределенно долгое время.
service tcp-keepalives-in Выявить и закрыть нерабочие интерактивные сеансы, которые необоснованно занимают VTY.
logging buffered buffer-size Сохранить регистрационную информацию в RAM-буфере маршрутизатора. В последних версиях программного обеспечения после размера буфера можно указать порог важности.
ip access-group list in Отбросить сфальсифицированные IP-пакеты. Сбросить входящие перенаправления ICMP.
ip verify unicast rpf Сбросить сфальсифицированные IP-пакеты в сетях с симметричной маршрутизацией и только при использование режима CEF.
no ip source-route Предотвратить использование функций IP-маршрутизации от источника в целях фальсификации трафика.
access-list number action criteria log access-list number action criteria log-input Включить регистрацию пакетов, которые совпадают с критериями, указанными в данном списке доступа. Используйте команду log-input, если таковая имеется в вашем ПО.
scheduler-interval scheduler allocate Предотвратить отключение важных процессов при лавинном трафике.
ip route 0.0.0.0 0.0.0.0 null 0 244 Включить быстрый сброс пакетов, имеющих недействительный конечный адрес.
distribute-list list in Фильтровать данные о маршрутизации, чтобы предотвратить использование недействительных маршрутов.
snmp-server community something-inobvious ro list snmp-server community something-inobvious rw list Включить протокол SNMP версии 1, настроить аутентификацию и ограничить доступ к определенным IP-адресам. Протокол SNMP версии 1 следует использовать только в случае, если недоступна версия 2, при этом нужно принять меры защиты от анализаторов пакетов. Включайте протокол SNMP, только если он нужен в вашей сети. Включайте доступ с правами чтение-запись, только если это действительно необходимо.
snmp-server party... authentication md5 secret... Настроить процедуру аутентификации для протокола SNMP версии 2, использующего алгоритм аутентификации MD5. Включайте протокол SNMP, только если это действительно необходимо в данной сети.
ip http authentication method Проводить аутентификацию запросов на HTTP-соединения (если HTTP включен на маршрутизаторе).
ip http access-class list Осуществлять дальнейший контроль за HTTP-доступом, ограничив его определенными адресами узлов (если HTTP включен на маршрутизаторе).
banner login Установить предупредительный баннер, который будет демонстрироваться пользователям, пытающимся зарегистрироваться на маршрутизаторе.
     

 

 

Контрольные вопросы:

1) Что представляет собой STP?

2) Что такое DHCP Snooping?

3) Каковы основные правила безопасной маршрутизации?

4)

 

 

Практическая работа №31

Тема: « Настройка GRE-туннелей »

Цели:

1. Закрепить теоретический материал,

2. Приобрести навыки настройки GPE-туннелей,

3. Описать процесс конфигурирования.

 

Задачи:

1. Ознакомиться с теоретическим материалом,

2. Описать процесс настройки,

3. Ответить на контрольные вопросы,

4. Сформулировать вывод.

 

Теоретический материал:

 

Generic Routing Encapsulation (GRE) - протокол туннелирования сетевых пакетов, разработанный фирмой Cisco. Этот протокол используется для передачи пакетов одной сети, через другую сеть. GRE туннель представляет собой соединение точка - точка, его можно считать одной из разновидностей VPN туннеля, без шифрования. Основное достоинство GRE это возможность передавать широковещательный трафик, что позволяет пропускать через такой туннель протоколы маршрутизациииспользующие его, IPSec туннели в чистом виде этого не могут. Так что причин для организации GRE туннеля может быть множество от банальной необходимости пробросить свою сеть через чужое IP пространство до использования протоколов OSPF, RIPv2, EGRP совместно с IPSec. Так же GRE может помочь пробросить немаршрутизируюмые протоколы, такие как NetBios, IPX, AppleTalk.

 

При использовании публичных сетей необходимо совместно с GRE применять

IPSec для реализации защищенных VPN соединений.

 

В нашем случае построим простой GRE туннель через доверенную сеть, без

шифрования. В примере мы уже имеем арендованный канал в удаленный офис,

протокол маршрутизации OSPF, нужно организовать резервный канал к этому

офису используя чужую IP сеть.

 

Схема рассматриваемого примера изображена на рисунке:

 

 

В примере участвуют два маршрутизатора, Cisco 2811 в главном офисе и

Cisco 1841 в удаленном офисе. Между офисами имеется уже действующий

асинхронный выделенный канал связи (10.10.255.0/30), так же в главном и

удаленном офисе присутствуют каналы из "дружественной" сети

10.44.0.0 В нашем случае это Ethernet каналы, сеть 10.44.0.0 не против

пустить наш трафик, осталось поднять GRE туннель и получить еще один

канал связи между офисами.

 

Организация GRE туннеля на Cisco довольно проста, ниже приведена

выдержка из конфигурации двух участвующих маршрутизаторов. В простейшем

случае нужно поднять на каждом из них виртуальный интерфейс Tunnel0

(номер интерфейса может быть другим) и провести простейшую его

настройку. Назначить Tunnel0 ip адрес, указать интерфейс через который

подымать туннель и ip адрес интерфейса удаленного маршрутизатора

используемого для создания туннеля.

 

Cisco 1841 удаленный офис:

 

interface Tunnel0

description GRE tunnel to main office

ip address 10.10.255.6 255.255.255.252

ip tcp adjust-mss 1436

tunnel source FastEthernet0/1

tunnel destination 10.44.2.1

 

interface FastEthernet0/0

description Lokalniy ethernet

ip address 10.10.2.1 255.255.255.0

duplex auto

speed auto

 

interface FastEthernet0/1

description Network 10.44.0.0

ip address 10.44.3.2 255.255.255.0

duplex auto

speed auto

 

 

Cisco 2811 главный офис:

 

interface Tunnel0

description GRE tunnel na office 1

ip address 10.10.255.5 255.255.255.252

ip tcp adjust-mss 1436

tunnel source FastEthernet0/1

tunnel destination 10.44.3.2

 

interface FastEthernet0/0

description Lokalniy ethernet

ip address 10.10.1.1 255.255.255.0

duplex auto

speed auto

 

interface FastEthernet0/1

description Network 10.44.0.0

ip address 10.44.2.1 255.255.255.0

duplex auto

speed auto

 

 

При работе с GRE туннелями могут возникнуть проблемы с MTU пакетов пересылаемых

через туннель, так называемая проблема бита DF.

Параметром ip tcp adjust-mss 1436 я решил проблемы с пакетами имеющими бит DF,

правда это поможет только для TCP сессий.

 

Для отслеживания состояния GRE туннеля можно использовать опцию keepalive на Tunnel0

интерфейсе.

Проверяем результаты нашего труда, командами sh interfaces tunnel 0, sh ip interface brief, sh ip ro ospf. Должен появится активный интерфейс Tunnel0 на обоих маршрутизаторах и новый маршрут в таблице OSPF.

 

Таким образом мы получили еще один канал в удаленный офис с работающим

через него OSPF используя чужую IP сеть. Этот простой пример не

охватывает всех тонкостей работы с GRE туннелями, но позволит на простом

примере быстро их настроить.

 

Контрольные вопросы:

1) Ы

 

 

Практическая работа №32

Тема: « Подключениек мини-АТС Panasonic KX-HTS824RU для программирования и настройки »

Цели:

1. Закрепить теоретический материал,

2. Приобрести навыки подключения АТС KX-HTS824,

3. Описать процесс подключения.

 

Задачи:

1) Ознакомиться с теоретическим материалом,

2) Описать процесс подключения АТС,

3) Ответить на контрольные вопросы,

4) Сформулировать вывод.

 

Теоретический материал:







Живите по правилу: МАЛО ЛИ ЧТО НА СВЕТЕ СУЩЕСТВУЕТ? Я неслучайно подчеркиваю, что место в голове ограничено, а информации вокруг много, и что ваше право...

Что способствует осуществлению желаний? Стопроцентная, непоколебимая уверенность в своем...

Конфликты в семейной жизни. Как это изменить? Редкий брак и взаимоотношения существуют без конфликтов и напряженности. Через это проходят все...

Что делать, если нет взаимности? А теперь спустимся с небес на землю. Приземлились? Продолжаем разговор...




Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте:

©2015- 2024 zdamsam.ru Размещенные материалы защищены законодательством РФ.