Cisco (защищаем доступ)

Материал из megapuper
Перейти к: навигация, поиск

Входим в режим конфигурирования: 

conf t


Настроим пароль для входа по telnet/ssh и зашифруем его, чтоб был не в открытом виде: 

conf t
line vty 0 4
password password
service password-encryption


Установим пароль на доступ через консольный порт: 

line console 0
login
password password


Настроим пароль для enable-режима: 

enable secret password


Создаём access-list с разрешёнными для доступа сетями или хостами (пишем сети с обратной маской): 

access-list 1 permit 192.168.1.0 0.0.0.255 
access-list 1 permit 192.168.2.0 0.0.0.255


Отключаем http-сервер: 

no ip-http server


Включаем Secure http-server(если надо): 

ip http secure-server


Устанавливаем ограничения: 

ip http timeout-policy idle 60 life 86400 requests 10000


Применяем ранее созданный access-list для ограничения доступа по https: 

ip http access-class 1


Включаем локальную авторизацию: 

ip http authentication local


Отключаем доступ по виртуальному терминалу для протокола telnet и применяем ранее созданный access-list для ограничения доступа по ssh: 

line vty 0 4 
transport input ssh 
access-class 1 in 
privilege level 15 
login local


Добавляем watch for login Attacks 

login block-for 600 attempts 2 within 30 
login delay 5 
login quiet-mode access-class 1


Сохраняем конфигурацию 

write memory

p.s.: некоторые из комманд могут быть недоступны (всё зависит от версии IOS)

Источник — «http://megapuper.ru/index.php?title=Cisco_(защищаем_доступ)&oldid=325»