Cisco (защищаем доступ) — различия между версиями
Root (обсуждение | вклад) |
Root (обсуждение | вклад) |
||
| Строка 22: | Строка 22: | ||
Создаём access-list с разрешёнными для доступа сетями или хостами (пишем сети с обратной маской): | Создаём access-list с разрешёнными для доступа сетями или хостами (пишем сети с обратной маской): | ||
access-list 1 permit 192.168.1.0 0.0.0.255 | access-list 1 permit 192.168.1.0 0.0.0.255 | ||
| − | access-list 1 permit 192.168.2. | + | access-list 1 permit 192.168.2.0 0.0.0.255 |
Версия 17:52, 9 января 2014
Входим в режим конфигурирования:
conf t
Настроим пароль для входа по telnet/ssh и зашифруем его, чтоб был не в открытом виде:
conf t line vty 0 4 password password service password-encryption
Установим пароль на доступ через консольный порт:
line console 0 login password password
Настроим пароль для enable-режима:
enable secret password
Создаём access-list с разрешёнными для доступа сетями или хостами (пишем сети с обратной маской):
access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255
Отключаем http-сервер:
no ip-http server
Включаем Secure http-server(если надо):
ip http secure-server
Устанавливаем ограничения:
ip http timeout-policy idle 60 life 86400 requests 10000
Применяем ранее созданный access-list для ограничения доступа по https:
ip http access-class 1
Включаем локальную авторизацию:
ip http authentication local
Отключаем доступ по виртуальному терминалу для протокола telnet и применяем ранее созданный access-list для ограничения доступа по ssh:
line vty 0 4 transport input ssh access-class 1 in privilege level 15 login local
Добавляем watch for login Attacks
login block-for 600 attempts 2 within 30 login delay 5 login quiet-mode access-class 1
Сохраняем конфигурацию
write memory
p.s.: некоторые из комманд могут быть недоступны (всё зависит от версии IOS)
