Cisco (защищаем доступ) — различия между версиями
Root (обсуждение | вклад) |
Root (обсуждение | вклад) |
||
| Строка 1: | Строка 1: | ||
Войти в режим конфигурирования: | Войти в режим конфигурирования: | ||
conf t | conf t | ||
| + | |||
| + | |||
| + | Настроим пароль для enable-режима: | ||
| + | enable secret <font color=blue>password</font> | ||
| + | |||
Создать access-list с разрешёнными для доступа сетями или хостами (пишем сети с обратной маской): | Создать access-list с разрешёнными для доступа сетями или хостами (пишем сети с обратной маской): | ||
access-list 1 permit 192.168.1.0 0.0.0.255 | access-list 1 permit 192.168.1.0 0.0.0.255 | ||
access-list 1 permit 192.168.2.2 | access-list 1 permit 192.168.2.2 | ||
| + | |||
Отключить http-сервер: | Отключить http-сервер: | ||
no ip-http server | no ip-http server | ||
| + | |||
Включить Secure http-server(если надо): | Включить Secure http-server(если надо): | ||
ip http secure-server | ip http secure-server | ||
| + | |||
Установить ограничения: | Установить ограничения: | ||
ip http timeout-policy idle 60 life 86400 requests 10000 | ip http timeout-policy idle 60 life 86400 requests 10000 | ||
| + | |||
Применить ранее созданный access-list для ограничения доступа по https: | Применить ранее созданный access-list для ограничения доступа по https: | ||
ip http access-class 1 | ip http access-class 1 | ||
| + | |||
Включить локальную авторизацию: | Включить локальную авторизацию: | ||
ip http authentication local | ip http authentication local | ||
| + | |||
Отключить доступ по виртуальному терминалу для протокола telnet и применить ранее созданный access-list для ограничения доступа по ssh: | Отключить доступ по виртуальному терминалу для протокола telnet и применить ранее созданный access-list для ограничения доступа по ssh: | ||
| Строка 27: | Строка 38: | ||
privilege level 15 | privilege level 15 | ||
login local | login local | ||
| + | |||
Добавить watch for login Attacks | Добавить watch for login Attacks | ||
| Строка 32: | Строка 44: | ||
login delay 5 | login delay 5 | ||
login quiet-mode access-class 1 | login quiet-mode access-class 1 | ||
| + | |||
Сохранить конфигурацию | Сохранить конфигурацию | ||
Версия 17:04, 12 декабря 2013
Войти в режим конфигурирования:
conf t
Настроим пароль для enable-режима:
enable secret password
Создать access-list с разрешёнными для доступа сетями или хостами (пишем сети с обратной маской):
access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.2
Отключить http-сервер:
no ip-http server
Включить Secure http-server(если надо):
ip http secure-server
Установить ограничения:
ip http timeout-policy idle 60 life 86400 requests 10000
Применить ранее созданный access-list для ограничения доступа по https:
ip http access-class 1
Включить локальную авторизацию:
ip http authentication local
Отключить доступ по виртуальному терминалу для протокола telnet и применить ранее созданный access-list для ограничения доступа по ssh:
line vty 0 4 transport input ssh access-class 1 in privilege level 15 login local
Добавить watch for login Attacks
login block-for 600 attempts 2 within 30 login delay 5 login quiet-mode access-class 1
Сохранить конфигурацию
write memory
p.s.: некоторые из комманд могут быть недоступны (всё зависит от версии IOS)
