1.5 Чек-лист №1
Первая глава книги подошла к концу и хотелось бы резюмировать вышесказанное. Для этого запишем ключевые мысли предыдущих параграфов в виде чек-листа:
1) Ограничьте физический доступ к вашему сетевому оборудованию, а также кабельной системе. Это снизит риски как случайных, так и целенаправленных вторжений.
2) Закрывайте доступ к консольному порту даже для пользовательского режима.
3) Не используйте enable password даже в связке с service password-encryption. Используйте сложные пароли и enable secret.
4) НИКОГДА не используйте стандартные учетные записи. Придумывайте уникальные имена пользователей.
5) Не создавайте учетные записи с уровнем привилегий 15. Пароль учетной записи и пароль на enable должны быть разными!
6) Для настройки аутентификации используйте aaa new-model.
7) Запретите сброс пароля (no service password-recovery) на коммутаторах уровня доступа к которым возможен физический доступ.
8) Для настройки удаленного доступа используйте aaa new-model.
9) Не используйте Telnet в качестве протокола удаленного подключения.
10) Используйте защищенные протоколы удаленного подключения (например SSHv2).
11) При необходимости организации web-доступа к оборудованию, используйте HTTPS вместо HTTP. Помните об огромном количестве уязвимостей, связанных с HTTP/S.
12) Ограничьте удаленный доступ. Лишь несколько компьютеров должны иметь возможность подключения к оборудованию.
13) Для защиты от подбора паролей (Brute Force) настройте временную блокировку повторной аутентификации.
14) Задавайте имя устройства (hostname) и сообщение после аутентификации (banner exec), чтобы в будущем не “перепутать” оборудование.
15) Если в вашей сети более 10-и устройств, то вы просто обязаны использовать AAA-сервер.
16) Для аутентификации VPN-пользователей и WiFi-клиентов используйте RADIUS. Для аутентификации и авторизации администраторов на сетевом оборудовании - TACACS+.
17) Никогда не настраивайте вход ТОЛЬКО через ААА-сервер. Вы не сможете зайти на устройство, если сервер станет недоступен. Используйте локальную учетную запись, как резервный вариант входа.
18) Для централизованной смены паролей локальных учетных записей используйте менеджеры конфигураций (network configuration manager).
19) Пароли необходимо периодически менять вне зависимости от их сложности.
20) Соблюдайте парольную политику! Если ее нет - разработайте.
21) Не используйте клавиатурные комбинации при создании пароля.
22) Ни в коем случае не оставляйте пароли по умолчанию.
Придерживаясь этих советов, при организации доступа к оборудованию, вы существенно повысите безопасность вашей сети. При этом от вас не требуются какие-либо глубокие познания в области информационной безопасности.
1.6 Пример конфигурации
Для закрепления материала приведем обобщающий пример настройки доступа для роутера с использованием ААА-сервера:
Задаем пароль на enable и создаем пользователя
Router#configure terminal
Router(config)#enable secret cisco
Router(config)#username admin privilege 1 secret cisco
Router(config)#service password-encryption
Router(config)#no service password-recovery
Задаем hostname и банер
Router(config)# hostname R1
R1(config)#banner exec c
Enter TEXT message. End with the character 'c'.
Test banner for NetSkills
c
R1(config)#
Настраиваем SSH
Router(config)#ip domain-name netskills.ru
Router(config)#crypto key generate rsa modulus 1024
Router(config)#ip ssh version 2
Router(config)#ip ssh time-out 15
Router(config)#ip ssh logging events
Router(config)#line vty 0 4
Router(config-line)#transport input ssh
Router(config-line)#exec-timeout 5 0
Router(config-line)#exit
Отключаем HTTP и HTTPS
Router(config)#no ip http secure-server
Router(config)#no ip http server
Ограничиваем доступ для определенных ip-адресов
Router(config)#ip access-list standard SSH-ACCESS
Router(config-std-nacl)#permit host 192.168.2.2
Router(config-std-nacl)#permit host 192.168.2.3
Router(config-std-nacl)#exit
Router(config)#line vty 0 4
Router(config-line)#access-class SSH-ACCESS in
Настраиваем защиту от brute force
Router(config)#login delay 5
Router(config)#login block-for 60 attempts 3 within 30
Настраиваем ААА
R1(config)#aaa new-model
R1(config)#tacacs-server host 192.168.56.101
R1(config)#tacacs-server key cisco123
R1(config)#aaa authentication login default group tacacs+ local
R1(config)#aaa authorization exec default group tacacs+ local
R1(config)#aaa authorization config-command
R1(config)#aaa authorization commands 1 default group tacacs+ local
R1(config)#aaa authorization commands 15 default group tacacs+ local
R1(config)#aaa authorization console
R1(config)#aaa accounting exec default start-stop group tacacs+
R1(config)#aaa accounting commands 1 default start-stop group tacacs+
R1(config)#aaa accounting commands 15 default start-stop group tacacs+
Как было сказано выше, это всего лишь пример и ваши настройки могут конечно же отличаться.
Еще очень важно, на мой взгляд, вырубить CDP в сиська раутерах. Этот протокол вещает клир текстом и говорит он о важном, но не нужном ;)
ОтветитьУдалить