• Быстрый переход
  • Рубрики
  • Свежие записи
  • Метки
  • Архивы
  • Реклама 1
  • Реклама 2
  • Рейтинг@Mail.ru

    Список команд безопасности маршрутизаторов Cisco


    Конфигурационные команды, для улучшения безопасности на маршрутизаторах Cisco, сведены в таблицу для более удобного запоминания. Всегда внимательно читайте документацию по каждой команде, прежде чем применять ее.

    Используйте команду Чтобы
    enable secret Настроить пароль для привилегированного доступа к маршрутизатору.
    service password-encryption Обеспечить минимальную защиту для настроенных паролей.
    no service tcp-small-serversno service udp-small-servers Предотвратить злоумышленное использование малых служб для проведения различных сетевых атак, включая DoS-атаки.
    no service finger Предотвратить предоставление пользовательской информации потенциальным злоумышленникам.
    no cdp runningno cdp enable Предотвратить предоставление информации о маршрутизаторе устройствам, которые напрямую подключены к этому маршрутизатору.
    ntp disable Предотвратить атаки против службы NTP.
    no ip directedbroadcast Помешать нападающим использовать маршрутизатор в качестве "усилителя" smurf-атаки.
    transport input Указать, какие протоколы могут использоваться удаленными пользователями для установления интерактивного подключения к терминалу VTY или к портам TTY на маршрутизаторе.
    ip access-class Указать, какие IP-адреса могут использоваться для подключения к портам TTY или VTY. Зарезервировать один порт VTY для доступа с управляющей рабочей станции.
    exec-timeout Запретить "пустым" сеансам связи занимать VTY на неопределенно долгое время.
    service tcp-keepalives-in Выявить и закрыть нерабочие интерактивные сеансы, которые необоснованно занимают VTY.
    logging buffered buffer-size Сохранить регистрационную информацию в RAM-буфере маршрутизатора. В последних версиях программного обеспечения после размера буфера можно указать порог важности.
    ip access-group list in Отбросить сфальсифицированные IP-пакеты. Сбросить входящие перенаправления ICMP.
    ip verify unicast rpf Сбросить сфальсифицированные IP-пакеты в сетях с симметричной маршрутизацией и только при использование режима CEF.
    no ip source-route Предотвратить использование функций IP-маршрутизации от источника в целях фальсификации трафика.
    access-list number action criteria log access-list number action criteria loginput Включить регистрацию пакетов, которые совпадают с критериями, указанными в данном списке доступа. Используйте команду log-input, если таковая имеется в вашем ПО.
    scheduler-interval scheduler allocate Предотвратить отключение важных процессов при лавинном трафике.
    ip route 0.0.0.00.0.0.0 null 0 244 Включить быстрый сброс пакетов, имеющих недействительный конечный адрес.
    distribute-list list in Фильтровать данные о маршрутизации, чтобы предотвратить использование недействительных маршрутов.
    snmp-server communitysomething-inobvious ro list snmp-server community something- inobvious rw list  Включить протокол SNMP версии 1, настроить аутентификацию и ограничить доступ к определенным IP- адресам. Протокол SNMP версии 1 следует использовать только в случае, если недоступна версия 2, при этом нужно принять меры защиты от анализаторов пакетов. Включайте протокол SNMP, только если он нужен в вашей сети. Включайте доступ с правами чтение-запись, только если это действительно необходимо.
    snmp-server party...authentication md5 secret ... Настроить процедуру аутентификации для протокола SNMP версии 2, использующего алгоритм аутентификации MD5. Включайте протокол SNMP, только если это действительно необходимо в данной сети.
    ip http authentication method Проводить аутентификацию запросов на HTTP-соединения(если HTTP включен на маршрутизаторе).
    ip http access-class list Осуществлять дальнейший контроль за HTTP-доступом, ограничив его определенными адресами узлов (если http включен на маршрутизаторе).
    banner login Установить предупредительный баннер, который будет демонстрироваться пользователям, пытающимся зарегистрироваться на маршрутизаторе.
    Автор: admin, 3 июля 2013
    Рубрики: Cisco Systems
    Метки: , ,

    Написать комментарий

    Последние статьи