Стандарт защищенной настройки сетевого оборудования
Назначение документа
Настоящий документ является стандартом и содержит в себе пример конфигурации для Cisco IOS и Cisco ASA/FWSM удовлетворяющей требованиям политики защиты сетевого оборудования.
Распространение документа
Настоящий документ разработан для использования администраторами отделов сетевого управления и перспективных исследований. Его распространение за пределы указанных отделов запрещается.
Основная часть
Большинство приведенных команд могут вводится в устройство через буфер обмена в глобальном режиме конфигурирования устройства.
Перед вводом некоторых команд может потребоваться их дополнение параметрами. Необходимые параметры выделены угловыми скобками: <параметр>.
Приведенные команды обеспечивают выполнение только описанных функций.
Идентификация устройства
Для IOS:
! begin
hostname <имя устройства>
ip domain name
! end
Для ASA/FWSM:
! begin
hostname <имя устройства>
donmain-name
! end
Аутентификация, авторизация и учет администраторов
Для IOS:
! begin
aaa new-model
aaa authentication login default group tacacs+ local-case
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local
aaa accounting delay-start
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
!
ip tacacs source-interface <интерфейс источника сообщений>
tacacs-server host <адрес сервера TACACS+>
tacacs-server key <ключ шифрования в открытой форме>
service password-encryption
!
privilege exec level 0 show configuration
privilege exec level 0 ping
privilege exec level 0 trace
privilege exec level 0 term mon
privilege exec level 0 show environment cooling
! end
Для ASA/FWSM:
! begin
aaa-server <имя группы> protocol tacacs+
aaa-server <имя группы> (<интерфейс>) host <адрес сервера TACACS+> <ключ шифрования в открытой форме>
aaa authentication http console TACACS+
aaa authentication ssh console TACACS+ LOCAL
aaa authentication enable console TACACS+ LOCAL
aaa authorization command TACACS+
! end
Локальное хранение паролей
Для IOS:
! begin
username <имя> privilege <привелегии> secret <пароль в открытой форме>
enable secret <пароль в открытой форме>
service password-encryption
! end
Для ASA/FWSM:
! begin
username <имя> password <пароль в открытой форме> privilege <привелегии>
enable password <пароль в открытой форме>
! end
Предупреждение при соединении
Для IOS:
! begin
banner login #
UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED.
If you are not network administrator, logout immediately.
All activities performed on this device may be logged, and violations
of this policy may result in disciplinary action, and may be reported
to law enforcement.
#
! end
Для ASA/FWSM:
! begin
clear configure banner
banner login UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED.
If you are not network administrator, logout immediately.
All activities performed on this device may be logged, and violations
of this policy may result in disciplinary action, and may be reported
to law enforcement.
! end
Использование SNMP
Для IOS:
! begin
snmp-server community <пароль для чтения> RO
snmp-server community <пароль для чтения и записи> RW
snmp-server location <местоположение устройства>
snmp-server contact <контактная информация>
! end
Для ASA/FWSM:
! begin
snmp-server community <пароль для чтения>
snmp-server location <местоположение устройства>
snmp-server contact <контактная информация>
! end
Управление устройством
Для IOS:
! begin
hostname <имя устройства>
ip domain name domainname
crypto key zeroize rsa
crypto key generate rsa general-keys modulus 1024
line vty 0 5
transport input ssh
! end
Для ASA/FWSM:
! begin
ssh <адрес сети/хоста> <маска сети> <интерфейс управления>
! end
Контроль доступа с помощью ACL
Для IOS:
! begin
access-list <номер ACL> permit host <разрешенный хост>
access-list <номер ACL> permit <разрешенная сеть>
!
snmp-server community <пароль для чтения> RO <номер ACL>
snmp-server community <пароль для чтения и записи> RW <номер ACL>
!
line vty 0 5
access-class <номер ACL> in
! end
Для ASA/FWSM:
! begin
ssh <адрес сети/хоста> <маска сети> <интерфейс управления>
snmp-server host <интерфейс управления> <адрес хоста>
! end
Отключение неиспользуемых сервисов
Для IOS:
! begin
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
service tcp-keepalives-in
service tcp-keepalives-out
no ip bootp server
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
no ip identd
service sequence-numbers
!
int <Интерфейс>
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
! end
Для ASA/FWSM:
нет необходимости
Журналирование
Для IOS:
! begin
logging buffered 192000 debugging
no logging console
logging event link-status default
logging trap debugging
logging facility local6
logging source-interface <интерфейс>
logging
! end
! begin
ntp authenticate
ntp authentication-key <№ ключа> md5 <пароль в открытой форме>
ntp trusted-key <№ ключа>
ntp server <сервер> key <№ ключа> source <интерфейс>
! end
Для ASA/FWSM:
! begin
ntp authentication
ntp authentication-key <№ ключа> md5 <пароль в открытой форме>
ntp trusted-key <№ ключа>
ntp server <сервер> key <№ ключа> source <интерфейс>
! end
Пример настройки
Для IOS:
Исходные данные:
Название устройства: router1
Интерфейс устройства: Loopback0, 172.17.0.1/32
TACACS+: 172.17.0.2
TACACS ключ шифрования: tacacskey1
Локальные пользователи: user1/pass1, user2/pass2
Enable пароль: enablepass
SNMP community RO: ROUTER1_COMM_RO
SNMP community RO: ROUTER1_COMM_RW
SNMP местоположение: mesto
SNMP контактная информация: e-mail
Сети допущенные к управлению устройством: 192.168.9.0/24, 10.128.0.1
SYSLOG сервер: 172.17.0.3
NTP сервер: 172.17.0.4
NTP ключ №: 11
NTP ключ: ntpkey1
! begin
hostname router1
ip domain name domainname
!
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
service tcp-keepalives-in
service tcp-keepalives-out
no ip bootp server
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
no ip identd
service sequence-numbers
!
aaa new-model
aaa authentication login default group tacacs+ local-case
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local
aaa accounting delay-start
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
!
username user1 privilege 15 secret pass1
username user2 privilege 15 secret pass2
enable secret enablepass
!
interface Loopback 0
ip address 172.17.0.1 255.255.255.255
!
int FastEthernet 0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
!
int FastEthernet 0/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
exit
!
ip tacacs source-interface Loopback 0
tacacs-server host 172.17.0.2
tacacs-server key tacacskey1
service password-encryption
!
privilege exec level 0 show configuration
privilege exec level 0 ping
privilege exec level 0 trace
privilege exec level 0 term mon
privilege exec level 0 show environment cooling
!
banner login #
UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED.
If you are not network administrator, logout immediately.
All activities performed on this device may be logged, and violations
of this policy may result in disciplinary action, and may be reported
to law enforcement.
#
!
logging buffered 192000 debugging
no logging console
logging trap debugging
logging facility local6
logging source-interface Loopback 0
logging 172.17.0.3
!
crypto key zeroize rsa
crypto key generate rsa general-keys modulus 1024
!
access-list 10 permit host 10.128.0.1
access-list 10 permit 192.168.9.0 0.0.0.255
!
snmp-server community ROUTER_COMM_RO RO 10
snmp-server community ROUTER_COMM_RW RW 10
snmp-server location mesto
snmp-server contact email
!
ntp authenticate
ntp authentication-key 11 md5 ntpkey1
ntp trusted-key 11
ntp server 172.17.0.4 key 11 source Loopback 0
!
line vty 0 5
access-class 10 in
! end
Для ASA/FWSM:
Название устройства: asa1
TACACS+: 172.17.0.2
TACACS+ ключ шифрования: tacacskey1
TACACS+ интерфейс взаимодействия: outside
Локальные пользователи: user1/pass1, user2/pass2
Enable пароль: enablepass
SNMP community RO: ASA1_COMM_RO
SNMP местоположение: mesto
SNMP контактная информация: email
SNMP хост: 172.17.0.10 на интерфейсе inside
Сети допущенные к управлению устройством: 192.168.9.0/24, 10.128.0.1, интерфейс inside
SYSLOG сервер: 172.17.0.3, интерфейс outside
NTP сервер: 172.17.0.4, интерфейс outside
NTP ключ №: 11
NTP ключ: ntpkey1
! begin
hostname asa1
donmain-name domainname
!
aaa-server TACACS+ protocol tacacs+
exit
aaa-server TACACS+ (outside) host 172.17.0.2 tacacskey1
exit
aaa authentication http console TACACS+
aaa authentication ssh console TACACS+ LOCAL
aaa authentication enable console TACACS+ LOCAL
aaa authorization command TACACS+
!
username user1 password pass1 privilege 15
username user2 password pass2 privilege 15
enable password enablepass
!
clear configure banner
banner login UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED.
If you are not network administrator, logout immediately.
All activities performed on this device may be logged, and violations
of this policy may result in disciplinary action, and may be reported
to law enforcement.
!
snmp-server community ASA1_COMM_RO
snmp-server location mesto
snmp-server contact email
snmp-server host inside 172.17.0.10
!
ssh 192.168.9.0 255.255.255.0 inside
ssh 10.128.0.1 255.255.255.255 inside
!
! begin
logging enable
logging buffer-size 16384
logging monitor debugging
logging buffered debugging
logging trap debugging
logging facility 21
logging timestamp
logging host outside 172.17.0.3
!
ntp authentication
ntp authentication-key 11 md5 ntpkey1
ntp trusted-key 11
ntp server 172.17.0.4 key 11 source outside
! end
Ответственность за нарушение политики информационной безопасности
Нарушение положений установленных политикой информационной безопасности может наказываться вплоть до увольнения служащих компании. А также преследоваться согласно законам РФ.
