Cisco (защищаем доступ) — различия между версиями

Материал из megapuper
Перейти к: навигация, поиск
Строка 33: Строка 33:
  
  
Установливаем ограничения:
+
Устанавливаем ограничения:
 
  ip http timeout-policy idle 60 life 86400 requests 10000
 
  ip http timeout-policy idle 60 life 86400 requests 10000
  

Версия 17:53, 12 декабря 2013

Входим в режим конфигурирования:

conf t 


Настроим пароль для входа по telnet/ssh и зашифруем его, чтоб был не в открытом виде:

conf t
line vty 0 4
password password
service password-encryption


Установим пароль на доступ через консольный порт:

line console 0
login
password password


Настроим пароль для enable-режима:

enable secret password


Создаём access-list с разрешёнными для доступа сетями или хостами (пишем сети с обратной маской):

access-list 1 permit 192.168.1.0 0.0.0.255 
access-list 1 permit 192.168.2.2 


Отключаем http-сервер:

no ip-http server 


Включаем Secure http-server(если надо):

ip http secure-server


Устанавливаем ограничения:

ip http timeout-policy idle 60 life 86400 requests 10000


Применяем ранее созданный access-list для ограничения доступа по https:

ip http access-class 1 


Включаем локальную авторизацию:

ip http authentication local 


Отключаем доступ по виртуальному терминалу для протокола telnet и применяем ранее созданный access-list для ограничения доступа по ssh:

line vty 0 4 
transport input ssh 
access-class 1 in 
privilege level 15 
login local 


Добавляем watch for login Attacks

login block-for 600 attempts 2 within 30 
login delay 5 
login quiet-mode access-class 1 


Сохраняем конфигурацию

write memory 

p.s.: некоторые из комманд могут быть недоступны (всё зависит от версии IOS)