Базовые настройки безопасности Cisco
При настройке сетевого оборудования важно помнить о настройке базовых параметров безопасности оборудования, так как именно они предотвращают большую часть угроз безопасности. Встроенный функционал защиты обеспечивает базовый и необходимый уровень безопасности, который предотвращает распространённые виды атак злоумышленников. Сетевые администраторы не забывают это делать, но простые системные администраторы часто пренебрегают данными настройками и оставляют настройки без изменений.
В данной статье приведена таблица базовых настроек c пояснением и примером для настройки базовых параметров безопасности Cisco.
| Рекомендация | Пояснение | Пример на оборудовании Cisco |
| Назначьте имя коммутатору | Коммутатор должен быть идентифицирован | router(config)#hostname R0 |
| Включите и настройте ssh v2, Включите ssh только на нужных vty | ssh v2 сетевой протокол прикладного уровня, позволяющий производить удалённое управление, безопасен | Подключение по telnet или ssh называется виртуальным терминалом (vty) R0(config)#ip domain-name cisco-dmnR0(config)#crypto key generate rsaR0(config)#line vty 0 4R0(config-line)#transport input sshR0(config-line)#password ciscoR0(config-line)#login |
| Отключите telnet | telnet сетевой протокол для реализации текстового терминального интерфейса по сети, он не безопасен | |
| Ограничьте паролем доступ через консольный порт | Консольный порт – это локальный порт | R0(config)#line console 0 R0(config-line)#login R0 (config-line)#password cisco |
| Создайте баннер на коммутаторе | Хорошая практика включения приветствия на сетевом оборудовании, которое уведомляет «постороннее лицо», о том что оборудование к которому производиться подключение частное, и подключаться к нему можно только полномочному лицу. | R0 (config)# banner motd # text # R0 (config)# banner login # text #R0 (config)# banner exec # text #R0 (config)# banner incoming # text # |
| Включить запись истории изменения конфигурации | R0 (config)# archiveR0 (config-archive)# log configR0 (config-archive-log-cfg)# logging onR0 (config-archive-log-cfg)# hidekeys | |
| Переименуйте или заблокируйте административную учетную запись созданную по умолчанию. | Часто атаки совершаются именно на учетную запись, созданную по умолчанию, так как её название общедоступно. | |
| Создайте пользовательский и административный аккаунт | Не все действия и процедуры на сетевом оборудовании требуют административные права доступа. | R0 (config)#username cisco priv 15 secret cisco |
| Настройте минимальную длину пароля согласно принятой политики. | Базовая политика безопасности. | R0 (config)# security passwords min-length length |
| Сгенерируйте RSA ключ длиной не менее 1024 бит. | Ключ RSA длиной менее 1024 бит – не стойкий и взламываемый. | R0 (config)#ip domain-name comp.localR0 (config)#crypto key generate rsa general modul 1024 |
| Сконфигурируйте версию, таймаут, журналирование и количество попыток авторизации | Базовая политика безопасности. | R0 (config)#ip ssh version 2R0 (config)#ip ssh time-out 60R0 (config)#ip ssh logging eventsR0 (config)#ip ssh authentication-retries 3 Логирование удачных и неудачных попыток авторизации: R0 (config)#login on-failure log every {num}R0 (config)#login on-success log every {num} |
| Настройте время, через которое администратор будет «отключен» через заданное время неактивности | Базовая политика безопасности. | R0 (config-line)# session-timeout <minutes>R0 (config-line)# exec-timeout <minutes> [seconds] |
| Настройте количество одновременно активных сессий ssh v2 | Базовая политика безопасности. | |
| Настройте списки доступа | Ограничьте субъектов доступа на уровне mac и ip адресов. | access-list <xACL#> deny ip any any log-input!line vty 0 4access-class <ACL#> in |
| Настройте частоту попыток авторизации | Базовая политика безопасности. | R0 (config)# login delay <seconds> |
| Используйте функции защиты Dynamic ARP Inspection, DHCP Snooping и IP Source Guard | Dynamic ARP Inspection (Protection) функция коммутатора, предназначенная для защиты от атак с использованием протокола ARP.DHCP snooping — функция коммутатора, предназначенная для защиты от атак с использованием протокола DHCP.IP Source Guard (Dynamic IP Lockdown) — функция коммутатора, которая ограничивает IP-трафик на интерфейсах 2-го уровня. | Включение DAI в VLAN:Sw (config)# ip arp inspection vlan 1Настройка доверенного порта: Sw(config)# interface gigabitethernet1/0/1Sw(config-if)# ip arp inspection trust Включить DHCP snooping: sw(config)# ip dhcp snooping Включить DHCP snooping в VLAN, которые должны быть защищены с его помощью: sw(config)# ip dhcp snooping vlan 10 |