Настройка коммутаторов D-link, Edge-Core и Dell. Часть 2 (Безопасность)

Не люблю я плодить статьи на одну и туже тему, но по другому нельзя, предыдущая статья про D-link, Edge-Core и Dell и так получилась большой, и отпугивать читателя делая её ещё больше и страшней, мне не хочется. Собственно по этой причине настройки безопасности коммутаторов я вынес в отдельную статью.

 И так, зачем вообще нужно настраивать SSH и HTTPS, ведь всё и так работает на Telnet и HTTP. По той причине что протоколы Telnet и HTTP вообще никак не защищены и передают ваши пароли и логины от коммутаторов в открытом виде. Таким образом любой Вася может их перехватить и настраивать вашу железку как душе угодно. Протокол же SSH защищён ключами RSA, DSA, а HTTPS это хоть и обычный HTTP, но работающий через шифрованные транспортные механизмы SSL и TLS. Таким образом настраивая SSH и HTTPS вы защищаете себя от лишних проблем и своё железо от мамкиных хацкеров, не говоря уже о “доброжелатильных” конкурентах.

Настройка SSH и HTTPS на D-Link (на примере DES-3200-26)

Включения SSH:

enable ssh # Включаем поддержку SSH
disable telnet # Выключаем telnet
config ssh authmode password enable # Явно указываем, как мы будем подключаться
# Параметры подключения не более 3 сессий, максимальный timeout для ssh-сессии и 10 попыток авторизации (защита от брутфорса)
config ssh server maxsession 3 contimeout 600 authfail 10 rekey never
#Вносим заранее созданных пользователей в список допущенных для работы с SSH
config ssh user badadmin authmode password
#Явно разрешаем использование RSA для шифрования трафика SSH
config ssh algorithm RSA enable
save # Не забываем сохраниться

Включения HTTPS:

enable ssl # Имейте ввиду http отключится
# Если прошивка старая сертификат пропустит только Internet Explorer если выбрать "Продолжить открытие этого веб-сайта"

# Включение telnet и http если нужно вернуть
enable telnet 23
enable web 80

Дополнительно

Запретить STP на клиентских портах, чтобы пользователи не могли гадить в сеть провайдера BPDU пакетами

config stp version rstp
config stp ports 1-24 fbpdu disable state disable

Настроим loopback detection, от глючных сетевые карт, которые отражают пакеты обратно и отпользователей, создающих в своей квартире кольца:

enable loopdetect
config loopdetect recover_timer 320 # Время на которое отключится порт
config loopdetect interval 10 # Время между отправкой пакетов для обнаружения петли.
config loopdetect ports 1-24 state enable #на каких портах включить
config loopdetect ports 25-26 state disable #на каких портах выключить

Включим STORM Control для борьбы с бродкастовыми и мультикастовыми флудами:

config traffic control 1-24 broadcast enable multicast enable unicast disable action drop threshold 64 countdown 5 time_interval 5

Дополнительно 2 (если нет конкретного задания следующие настроки можно не делать)

Обнаружения и фильтрации вредных DoS пакетов:

config dos_prevention dos_type all action drop state enable
config dos_prevention dos_type tcp_syn_srcport_less_1024 state disable
config dos_prevention trap disable
config dos_prevention log disable
#all=Land Attack, Blat Attack, Smurf Attack, TCP Null Scan, TCP Xmascan, TCP SYNFIN, TCP SYN SrcPort less 1024

Настройка сегментации трафика (запрет хождения между портами):

config traffic_segmentation 1-24 forward_list 25
config traffic_segmentation 25 forward_list all

Настройка SSH и HTTPS на Edge-Core (на примере ES3528M)

Включения SSH:

ip ssh crypto host-key generate # Создадим ключи
ip ssh save host-key
sh public-key # Проверим что создалось, должны быть RSA и DSA

configure
ip ssh server # Включение ssh сервера
no ip ssh server # Отключение ssh, если вдруг решите от него отказаться
no ip telnet server # Отключение Telnet
ip telnet server # Включение Telnet, если вдруг решите к нему вернуться
end
sh ip ssh # Просмотр параметров SSH
show ssh # Просмотр текущих SSH сессий
copy running-config startup-confi # Не забываем сохраниться

Включения HTTPS:

configure
no ip http server # Отключчение http
ip http secure-server # Включения https, хотя работает по умолчанию
# Включения http и отключение https если понадобится вернуть как было
ip http server
no ip http secure-server
end

Теперь мы попадём в веб интерфейс исключительно через https://ip_коммутатора, и добавив сертификат в исключения.

Настройка SSH и HTTPS на Dell (на примере PowerConnect 3424)

Включения SSH:

enable
config # Вход в режим конфигурирования
crypto key generate rsa # Генерация rsa ключа
crypto key generate dsa # Генерация dsa ключа
ip ssh server # Включение ssh сервера
no ip ssh server # Отключение ssh
no ip telnet server # Отключить telnet, в некоторых прошивках не отключается
# но если через него не ходить, ничего страшного и не будет

Включения HTTPS:

crypto certificate 1 generate key # Генерирование закрытого ключа RSA
ip https certificate 1
ip https server # Включения https
no ip http server # Отключчение http
# Включения http и отключение https если понадобится вернуть как было
ip http server
no ip https server
end

Теперь мы попадём в веб интерфейс исключительно через https://ip_коммутатора, и добавив сертификат в исключения.

.