Cisco (защищаем доступ) — различия между версиями

Материал из megapuper
Перейти к: навигация, поиск
 
(не показаны 2 промежуточные версии этого же участника)
Строка 1: Строка 1:
Входим в режим конфигурирования:
 
conf t
 
 
 
Настроим пароль для входа по telnet/ssh и зашифруем его, чтоб был не в открытом виде:
 
conf t
 
line vty 0 4
 
password <font color=blue>password</font>
 
service password-encryption
 
 
  
 
Установим пароль на доступ через консольный порт:
 
Установим пароль на доступ через консольный порт:
Строка 14: Строка 4:
 
  login
 
  login
 
  password <font color=blue>password</font>
 
  password <font color=blue>password</font>
 
 
Настроим пароль для enable-режима:
 
enable secret <font color=blue>password</font>
 
  
  
 
Создаём access-list с разрешёнными для доступа сетями или хостами (пишем сети с обратной маской):  
 
Создаём access-list с разрешёнными для доступа сетями или хостами (пишем сети с обратной маской):  
 
  access-list 1 permit 192.168.1.0 0.0.0.255  
 
  access-list 1 permit 192.168.1.0 0.0.0.255  
  access-list 1 permit 192.168.2.2
+
  access-list 1 permit 192.168.2.0 0.0.0.255
 
 
 
 
Отключаем http-сервер:
 
no ip-http server
 
 
 
 
 
Включаем Secure http-server(если надо):
 
ip http secure-server
 
 
 
 
 
Установливаем ограничения:
 
ip http timeout-policy idle 60 life 86400 requests 10000
 
 
 
 
 
Применяем ранее созданный access-list для ограничения доступа по https:
 
ip http access-class 1
 
 
 
 
 
Включаем локальную авторизацию:
 
ip http authentication local
 
  
  
Строка 58: Строка 24:
 
  login quiet-mode access-class 1  
 
  login quiet-mode access-class 1  
  
 
Сохраняем конфигурацию
 
write memory
 
  
 
p.s.: некоторые из комманд могут быть недоступны (всё зависит от версии IOS)
 
p.s.: некоторые из комманд могут быть недоступны (всё зависит от версии IOS)

Текущая версия на 17:14, 30 сентября 2019

Установим пароль на доступ через консольный порт:

line console 0
login
password password


Создаём access-list с разрешёнными для доступа сетями или хостами (пишем сети с обратной маской):

access-list 1 permit 192.168.1.0 0.0.0.255 
access-list 1 permit 192.168.2.0 0.0.0.255


Отключаем доступ по виртуальному терминалу для протокола telnet и применяем ранее созданный access-list для ограничения доступа по ssh:

line vty 0 4 
transport input ssh 
access-class 1 in 
privilege level 15 
login local 


Добавляем watch for login Attacks

login block-for 600 attempts 2 within 30 
login delay 5 
login quiet-mode access-class 1 


p.s.: некоторые из комманд могут быть недоступны (всё зависит от версии IOS)