Настройка коммутаторов D-link, Edge-Core и Dell. Часть 2 (Безопасность)
Не люблю я плодить статьи на одну и туже тему, но по другому нельзя, предыдущая статья про D-link, Edge-Core и Dell и так получилась большой, и отпугивать читателя делая её ещё больше и страшней, мне не хочется. Собственно по этой причине настройки безопасности коммутаторов я вынес в отдельную статью.
И так, зачем вообще нужно настраивать SSH и HTTPS, ведь всё и так работает на Telnet и HTTP. По той причине что протоколы Telnet и HTTP вообще никак не защищены и передают ваши пароли и логины от коммутаторов в открытом виде. Таким образом любой Вася может их перехватить и настраивать вашу железку как душе угодно. Протокол же SSH защищён ключами RSA, DSA, а HTTPS это хоть и обычный HTTP, но работающий через шифрованные транспортные механизмы SSL и TLS. Таким образом настраивая SSH и HTTPS вы защищаете себя от лишних проблем и своё железо от мамкиных хацкеров, не говоря уже о “доброжелатильных” конкурентах.
Настройка SSH и HTTPS на D-Link (на примере DES-3200-26)
Включения SSH:
enable ssh # Включаем поддержку SSH disable telnet # Выключаем telnet config ssh authmode password enable # Явно указываем, как мы будем подключаться # Параметры подключения не более 3 сессий, максимальный timeout для ssh-сессии и 10 попыток авторизации (защита от брутфорса) config ssh server maxsession 3 contimeout 600 authfail 10 rekey never #Вносим заранее созданных пользователей в список допущенных для работы с SSH config ssh user badadmin authmode password #Явно разрешаем использование RSA для шифрования трафика SSH config ssh algorithm RSA enable save # Не забываем сохраниться
Включения HTTPS:
enable ssl # Имейте ввиду http отключится # Если прошивка старая сертификат пропустит только Internet Explorer если выбрать "Продолжить открытие этого веб-сайта"
# Включение telnet и http если нужно вернуть enable telnet 23 enable web 80
Дополнительно
Запретить STP на клиентских портах, чтобы пользователи не могли гадить в сеть провайдера BPDU пакетами
config stp version rstp config stp ports 1-24 fbpdu disable state disable
Настроим loopback detection, от глючных сетевые карт, которые отражают пакеты обратно и отпользователей, создающих в своей квартире кольца:
enable loopdetect config loopdetect recover_timer 320 # Время на которое отключится порт config loopdetect interval 10 # Время между отправкой пакетов для обнаружения петли. config loopdetect ports 1-24 state enable #на каких портах включить config loopdetect ports 25-26 state disable #на каких портах выключить
Включим STORM Control для борьбы с бродкастовыми и мультикастовыми флудами:
config traffic control 1-24 broadcast enable multicast enable unicast disable action drop threshold 64 countdown 5 time_interval 5
Дополнительно 2 (если нет конкретного задания следующие настроки можно не делать)
Обнаружения и фильтрации вредных DoS пакетов:
config dos_prevention dos_type all action drop state enable config dos_prevention dos_type tcp_syn_srcport_less_1024 state disable config dos_prevention trap disable config dos_prevention log disable #all=Land Attack, Blat Attack, Smurf Attack, TCP Null Scan, TCP Xmascan, TCP SYNFIN, TCP SYN SrcPort less 1024
Настройка сегментации трафика (запрет хождения между портами):
config traffic_segmentation 1-24 forward_list 25 config traffic_segmentation 25 forward_list all
Настройка SSH и HTTPS на Edge-Core (на примере ES3528M)
Включения SSH:
ip ssh crypto host-key generate # Создадим ключи ip ssh save host-key sh public-key # Проверим что создалось, должны быть RSA и DSA configure ip ssh server # Включение ssh сервера no ip ssh server # Отключение ssh, если вдруг решите от него отказаться no ip telnet server # Отключение Telnet ip telnet server # Включение Telnet, если вдруг решите к нему вернуться end sh ip ssh # Просмотр параметров SSH show ssh # Просмотр текущих SSH сессий copy running-config startup-confi # Не забываем сохраниться
Включения HTTPS:
configure no ip http server # Отключчение http ip http secure-server # Включения https, хотя работает по умолчанию # Включения http и отключение https если понадобится вернуть как было ip http server no ip http secure-server end
Теперь мы попадём в веб интерфейс исключительно через https://ip_коммутатора, и добавив сертификат в исключения.
Настройка SSH и HTTPS на Dell (на примере PowerConnect 3424)
Включения SSH:
enable config # Вход в режим конфигурирования crypto key generate rsa # Генерация rsa ключа crypto key generate dsa # Генерация dsa ключа ip ssh server # Включение ssh сервера no ip ssh server # Отключение ssh no ip telnet server # Отключить telnet, в некоторых прошивках не отключается # но если через него не ходить, ничего страшного и не будет
Включения HTTPS:
crypto certificate 1 generate key # Генерирование закрытого ключа RSA ip https certificate 1 ip https server # Включения https no ip http server # Отключчение http # Включения http и отключение https если понадобится вернуть как было ip http server no ip https server end
Теперь мы попадём в веб интерфейс исключительно через https://ip_коммутатора, и добавив сертификат в исключения.
.
LEAVE YOUR COMMENT