Cisco (защищаем доступ) — различия между версиями

Материал из megapuper
Перейти к: навигация, поиск
 
(не показано 11 промежуточных версий этого же участника)
Строка 1: Строка 1:
1. Войти в режим конфигурирования:
 
conf t
 
  
2. Создать access-list с разрешёнными для доступа сетями или хостами (пишем сети с обратной маской):  
+
Установим пароль на доступ через консольный порт:
  access-list 1 permit 192.168.1.0 0.0.0.255
+
  line console 0
  access-list 1 permit 192.168.2.2
+
  login
 +
password <font color=blue>password</font>
  
3. Отключить http сервер:
 
no ip-http server
 
  
4. Включить локальную авторизацию:
+
Создаём access-list с разрешёнными для доступа сетями или хостами (пишем сети с обратной маской):
  ip http authentication local
+
access-list 1 permit 192.168.1.0 0.0.0.255
 +
  access-list 1 permit 192.168.2.0 0.0.0.255
  
5. Включить Secure http server:
 
ip http secure-server
 
  
6. Установить ограничения:
+
Отключаем доступ по виртуальному терминалу для протокола telnet и применяем ранее созданный access-list для ограничения доступа по ssh:  
ip http timeout-policy idle 60 life 86400 requests 10000:
 
 
 
7. Применить ранее созданный access-list для ограничения доступа по https:
 
ip http access-class 1
 
 
 
8. Отключить доступ по виртуальному терминалу для протокола telnet и применить ранее созданный access-list для ограничения доступа по ssh:  
 
 
  line vty 0 4  
 
  line vty 0 4  
 
  transport input ssh  
 
  transport input ssh  
Строка 27: Строка 17:
 
  privilege level 15  
 
  privilege level 15  
 
  login local  
 
  login local  
exit
 
  
9. Добавить watch for login Attacks  
+
 
 +
Добавляем watch for login Attacks  
 
  login block-for 600 attempts 2 within 30  
 
  login block-for 600 attempts 2 within 30  
 
  login delay 5  
 
  login delay 5  
 
  login quiet-mode access-class 1  
 
  login quiet-mode access-class 1  
 
exit
 
  
10. Сохранить конфигурацию
 
write memory
 
  
 
p.s.: некоторые из комманд могут быть недоступны (всё зависит от версии IOS)
 
p.s.: некоторые из комманд могут быть недоступны (всё зависит от версии IOS)

Текущая версия на 17:14, 30 сентября 2019

Установим пароль на доступ через консольный порт: 

line console 0
login
password password


Создаём access-list с разрешёнными для доступа сетями или хостами (пишем сети с обратной маской): 

access-list 1 permit 192.168.1.0 0.0.0.255 
access-list 1 permit 192.168.2.0 0.0.0.255


Отключаем доступ по виртуальному терминалу для протокола telnet и применяем ранее созданный access-list для ограничения доступа по ssh: 

line vty 0 4 
transport input ssh 
access-class 1 in 
privilege level 15 
login local


Добавляем watch for login Attacks 

login block-for 600 attempts 2 within 30 
login delay 5 
login quiet-mode access-class 1


p.s.: некоторые из комманд могут быть недоступны (всё зависит от версии IOS)

Источник — «http://megapuper.ru/index.php?title=Cisco_(защищаем_доступ)&oldid=158823»