Оригинал
Там ещё много чего кроме команд
Там ещё много чего кроме команд
Список команд
В этом разделе собраны все команды для напоминания о возможных способах защиты Cisco маршрутизаторов. Всегда читайте документацию по каждой команде перед ее использованием.
| Используйте | Чтобы |
|---|---|
| enable secret | Задать пароль для привилегированного доступа. |
| service password-encryption | Обеспечить минимальную защиту для паролей в конфигурации. |
| no service tcp-small-serversno service udp-small-servers | Избегать использования простых сервисов для DoS и других атак. |
| no service finger | Избегать распространения информации о пользователях. |
| no cdp running no cdp enable | Избегать распространения информации об этом маршрутизаторе на соседние устройства. |
| ntp disable | Предотвратить атаки на сервис NTP. |
| no ip directed-broadcast | Помешать атакующим использовать маршрутизатор для smurf атак. |
| transport input | Указать какие протоколы могут быть использованы удаленными пользователями чтобы войти через VTY или получить доступ к его TTY портам. |
ip access-class
| Указать с каких IP адресов пользователи могут подключаться к TTYs или VTYs. Зарезервировать один VTY для доступа с рабочей станции администратора. |
exec-timeout
| Не занимать VTY бесконечно долго бездействующей сессией. |
service tcp-keepalives-in
| Обнаруживать и удалять "зависшие" сесии, освобождая используемые VTY. |
logging buffered buffer-size
| Сохранять логируемые данные в буфере оперативной памяти маршрутизатора. В последних версиях IOS этот размер может идти совместно с параметром urgency threshold. |
ip access-group list in
| Отбрасывать пакеты с поддельным IP адресом. Отбрасывать входящие ICMP redirects. |
ip verify unicast rpf
| Отбрасывать IP пакеты в с поддельным адресом источника в случае симметричной маршрутизации на маршуризаторах поддерживающих CISCO Express Forwarding (CEF). Данная проверка известна как reverse path forwarding (RPF). |
no ip source-route
| Отбрасывать IP пакеты, в которых включена опция source routing. Таким образом злоумышленник не получит обратно ответ на посланный пакет, если он использовал поддельный IP адрес. |
| access-list number action criteria logaccess-list number action criteria log-input | Включить логирование пакетов удовлетворяющих определенному условию из access-list. Используйте log-input если это возможно в версии вашего IOS. |
| scheduler-interval scheduler allocate | Защититься от флуда и позволить работать важным процессам. |
| ip route 0.0.0.0 0.0.0.0 null 0 255 | Быстро удалять пакеты посланные на несуществующие адреса. |
| distribute-list list in | Фильтровать получаемую информацию о маршрутах чтобы предовратить использование неверных маршрутов. |
| snmp-server community something-inobvious ro list snmp-server community something-inobvious rw list | Включить SNMP версии 1, настроить аутентификацию и разрешить доступ только с некорых IP адресов. Используйте SNMP версии 1 только, если версия 2 недоступна. Следите за наличием снифферов в сети. Включите SNMP только если он нужен в вашей сети. Не настраивайте доступ на запись, если он вам не нужен. |
| snmp-server party... authentication md5 secret ... | Сконфигурировать аутентификацию посредством MD5 для SNMP версии 2. Включайте SNMP только, если он нужен в вашей сети. |
| ip http authentication method | Производить аутентификацию соединений по HTTP (если вы включили HTTP сервер на вашем маршрутизаторе). |
| ip http access-class list | Дальнейшее управление доступом к HTTP серверу, разрешая его только с некоторых хостов (если вы включили HTTP сервер на вашем маршрутизаторе). |
| banner login | Установить предупреждающее сообщение для показа всем пользователям, кто пытается залогиниться на маршрутизатор. |
Комментариев нет:
Отправить комментарий