вторник, 8 сентября 2015 г.

Cisco безопастность

Оригинал

Там ещё много чего кроме команд

Список команд

В этом разделе собраны все команды для напоминания о возможных способах защиты Cisco маршрутизаторов. Всегда читайте документацию по каждой команде перед ее использованием.
ИспользуйтеЧтобы
enable secretЗадать пароль для привилегированного доступа.
service password-encryptionОбеспечить минимальную защиту для паролей в конфигурации.
no service tcp-small-serversno service udp-small-serversИзбегать использования простых сервисов для DoS и других атак.
no service fingerИзбегать распространения информации о пользователях.
no cdp running
no cdp enable
Избегать распространения информации об этом маршрутизаторе на соседние устройства.
ntp disableПредотвратить атаки на сервис NTP.
no ip directed-broadcastПомешать атакующим использовать маршрутизатор для smurf атак.
transport inputУказать какие протоколы могут быть использованы удаленными пользователями чтобы войти через VTY или получить доступ к его TTY портам.
ip access-class
Указать с каких IP адресов пользователи могут подключаться к TTYs или VTYs. Зарезервировать один VTY для доступа с рабочей станции администратора.
exec-timeout
Не занимать VTY бесконечно долго бездействующей сессией.
service tcp-keepalives-in
Обнаруживать и удалять "зависшие" сесии, освобождая используемые VTY.
logging buffered buffer-size
Сохранять логируемые данные в буфере оперативной памяти маршрутизатора. В последних версиях IOS этот размер может идти совместно с параметром urgency threshold.
ip access-group list in

Отбрасывать пакеты с поддельным IP адресом. Отбрасывать входящие ICMP redirects.
ip verify unicast rpf

Отбрасывать IP пакеты в с поддельным адресом источника в случае симметричной маршрутизации на маршуризаторах поддерживающих CISCO Express Forwarding (CEF). Данная проверка известна как reverse path forwarding (RPF).
no ip source-route

Отбрасывать IP пакеты, в которых включена опция source routing. Таким образом злоумышленник не получит обратно ответ на посланный пакет, если он использовал поддельный IP адрес.
access-list number action criteria logaccess-list number action criteria log-inputВключить логирование пакетов удовлетворяющих определенному условию из access-list. Используйте log-input если это возможно в версии вашего IOS.
scheduler-interval
scheduler allocate
Защититься от флуда и позволить работать важным процессам.
ip route 0.0.0.0 0.0.0.0 null 0 255Быстро удалять пакеты посланные на несуществующие адреса.
distribute-list list inФильтровать получаемую информацию о маршрутах чтобы предовратить использование неверных маршрутов.
snmp-server community something-inobvious ro list
snmp-server community something-inobvious rw list
Включить SNMP версии 1, настроить аутентификацию и разрешить доступ только с некорых IP адресов. Используйте SNMP версии 1 только, если версия 2 недоступна. Следите за наличием снифферов в сети. Включите SNMP только если он нужен в вашей сети. Не настраивайте доступ на запись, если он вам не нужен.
snmp-server party...
authentication md5 secret ...
Сконфигурировать аутентификацию посредством MD5 для SNMP версии 2. Включайте SNMP только, если он нужен в вашей сети.
ip http authentication methodПроизводить аутентификацию соединений по HTTP (если вы включили HTTP сервер на вашем маршрутизаторе).
ip http access-class listДальнейшее управление доступом к HTTP серверу, разрешая его только с некоторых хостов (если вы включили HTTP сервер на вашем маршрутизаторе).
banner loginУстановить предупреждающее сообщение для показа всем пользователям, кто пытается залогиниться на маршрутизатор.

Комментариев нет:

Отправить комментарий