Есть вещи, о которых вы можете не знать, но это не означает, что безопасностью можно пренебрегать.
1. Задействуйте Reverse Path Forwarding
Когда вы задействуете Reverse Path Forwarding (RPF) на интерфейсе, маршрутизатор сверяется с таблицей FIB/CEF, для проверки существования обратного пути исходного адреса на интерфейсе, который получил пакет. Это позволяет избежать спуфинга пакетов.
Reverse path forwarding можно конфигурировать следующим образом:
Router#configure terminal
Router(config)#interface GigabitEthernet 2/1
Router(config-if)#ip verify unicast reverse-path
2. Заставьте порты «молчать»
В большинстве сетей утечка информации происходит на switchports, но это можно исправить, отключив следующие опции:
Switch#configure terminal
Switch(config)#interface GigabitEthernet0/14
Switch(config-if)#no cdp enable
Switch(config-if)#spanning-tree bpdufilter enable
Switch(config-if)#no keepalive
Данными командами мы отключаем CDP(http://en.wikipedia.org/wiki/Cisco_Discovery_Protocol),spanning-tree bpdu и ethernet keepalives на интерфейсе.
3. Настраивайте AAA и ACL для безопасного доступа по VTY
VTY используются к примеру при подключения по telnet на Cisco, безопасность которых настраивается следующим образом:
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#access-list 10 permit 10.0.1.0 0.0.0.255
Switch(config)#access-list 10 permit 192.168.1.0 0.0.255.255
Switch(config)#line vty 0 14
Switch(config-line)#access-class 10 in
Switch(config-line)#end
Switch#
Данными командами мы ограничиваем доступ на VTY подсетям 10.0.1.0/8 и 192.168.1.0/16. Если у вас есть трудности с определением wildcard для сетевых масок Cisco, то вы можете ознакомиться с следующей статьёй http://www.opennet.ru/base/cisco/mk_nets.txt.html
Если вы хотите разграничивать доступ по определённым логинам, то нужно задействовать AAA:
Switch#configure terminal
Switch(config)#username cisco secret mypassword
Switch(config)#aaa new-model
Switch(config)#aaa authentication login default local
Switch(config)#line vty 0 15
Switch(config-line)#login authentication default
Switch(config-line)#^Z
Switch#
4. Шифруйте пароли в конфигурации.
Что покажет вам следующая команда?
Switch#show run | include ^username
username admin password 0 faqciscosecret
Для включения шифрования паролей в конфигурации выполните следующие команды:
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#service password-encryption
Switch(config)#end
*Mar 31 14:27:12.227: %SYS-5-CONFIG_I: Configured from console by console
Switch#show run | include ^username
username admin password 7 060B1632494D1B1C11
Последняя команда показывает, что пароль, в конфигурации Cisco зашифрован. Так же не рекомендуется использовать распространённые пароли, такие как secret или password.
5. Используйте команду passive-interface default для большей безопасности протокол маршрутизации
Пассивный интерфейс – это интерфейс, который не передаёт и не принимает информацию роутинга. Команда passive-interface default поддерживается всеми протоколами маршрутизации, а её настройка не вызывает каких-либо трудностей:
router routing-protocol
passive-interface default
no passive-interface interface
Команда passive-interface default устанавливает все интерфейсы пассивными, в то время как команда no passive-interface активирует один интерфейс. Рассмотрим пример:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#router ospf 1
Router(config-router)#passive-interface default
Router(config-router)#no passive-interface fastEthernet 0/2
Router(config-router)#^Z
Router#
*Mar 31 14:47:32.812: %SYS-5-CONFIG_I: Configured from console by console
Данной командой мы ограничили обмен OSPF трафика только на интерфейсе fastEthernet 0/3.
искать
советов по обеспечению безопасности Cisco на сайте
автор: Gozar