Cisco (защищаем доступ) — различия между версиями
Root (обсуждение | вклад) |
Root (обсуждение | вклад) |
||
| Строка 6: | Строка 6: | ||
access-list 1 permit 192.168.2.2 | access-list 1 permit 192.168.2.2 | ||
| − | 3. Отключить http сервер: | + | 3. Отключить http-сервер: |
no ip-http server | no ip-http server | ||
| − | 4. Включить | + | 4. Включить Secure http-server(если надо): |
| − | ip http | + | ip http secure-server |
| − | 5. | + | 5. Установить ограничения: |
| − | ip http | + | ip http timeout-policy idle 60 life 86400 requests 10000 |
| − | 6. | + | 6. Применить ранее созданный access-list для ограничения доступа по https: |
| − | ip http | + | ip http access-class 1 |
| − | 7. | + | 7. Включить локальную авторизацию: |
| − | ip http | + | ip http authentication local |
8. Отключить доступ по виртуальному терминалу для протокола telnet и применить ранее созданный access-list для ограничения доступа по ssh: | 8. Отключить доступ по виртуальному терминалу для протокола telnet и применить ранее созданный access-list для ограничения доступа по ssh: | ||
| Строка 27: | Строка 27: | ||
privilege level 15 | privilege level 15 | ||
login local | login local | ||
| − | |||
9. Добавить watch for login Attacks | 9. Добавить watch for login Attacks | ||
Версия 19:47, 4 декабря 2013
1. Войти в режим конфигурирования:
conf t
2. Создать access-list с разрешёнными для доступа сетями или хостами (пишем сети с обратной маской):
access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.2
3. Отключить http-сервер:
no ip-http server
4. Включить Secure http-server(если надо):
ip http secure-server
5. Установить ограничения:
ip http timeout-policy idle 60 life 86400 requests 10000
6. Применить ранее созданный access-list для ограничения доступа по https:
ip http access-class 1
7. Включить локальную авторизацию:
ip http authentication local
8. Отключить доступ по виртуальному терминалу для протокола telnet и применить ранее созданный access-list для ограничения доступа по ssh:
line vty 0 4 transport input ssh access-class 1 in privilege level 15 login local
9. Добавить watch for login Attacks
login block-for 600 attempts 2 within 30 login delay 5 login quiet-mode access-class 1 exit
10. Сохранить конфигурацию
write memory
p.s.: некоторые из комманд могут быть недоступны (всё зависит от версии IOS)
