wiki:site:cisco:ccnp:switch:16
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision | ||
|
wiki:site:cisco:ccnp:switch:16 [2018/01/23 10:04] root |
— (current) | ||
|---|---|---|---|
| Line 1: | Line 1: | ||
| - | |||
| - | |||
| - | ====== Prevence Spoofing útoků ====== | ||
| - | Útočníkovým cílem bývá stát se //man in the middle// | ||
| - | |||
| - | |||
| - | |||
| - | |||
| - | ====== Best Practices zabezpečení switchů ====== | ||
| - | ===== Konfigurace bezpečných(šifrovaných) hesel ===== | ||
| - | * Kde to je možné používat **enable secret**, používá silnější šifrování než obyč. enable password. | ||
| - | * Pro centrální správu použít AAA server | ||
| - | * Nakonec použít **service password-encryption** - i když je šifra slabá, je to lepší než nic | ||
| - | ===== Použití systémových bannerů ===== | ||
| - | * Varování nežádoucích osob, že zde nemají co dělat | ||
| - | * Nikdy v baneru zbytečně neprozrazovat informace o síti (prvku) | ||
| - | |||
| - | ===== Zabezpečení WEBového rozhraní ===== | ||
| - | * Ideální je ho vypnout, příkaz **no ip http server** v globálním konf.módu | ||
| - | * Když už ho nechat zaplý, tak alespoň jako HTTPS, příkaz **ip http secure server** namísto obyč. **ip http server** v glob.konf.módu | ||
| - | * Posílit bezpečnost lze pomocí ACL povolujícím jen určité zdrojové adresy | ||
| - | < | ||
| - | Switch(config)# | ||
| - | Switch(config)# | ||
| - | Switch(config)# | ||
| - | </ | ||
| - | |||
| - | ===== Zabezpečení konzole ===== | ||
| - | * I přes to, že je zabezpečena fyzická bezpečnost prvků, je dobré konzolové porty zabezpečit stejně jako VTY linky. | ||
| - | |||
| - | ===== Zabezpečení VTY ===== | ||
| - | * Vždy nastavit authentikaci všem VTY. Výpis všech VTY: **show user all** | ||
| - | * Popř. použít ACL povolující jen určité zdrojové adresy | ||
| - | < | ||
| - | Switch(config)# | ||
| - | Switch(config)# | ||
| - | Switch(config)# | ||
| - | Switch(config-line)# | ||
| - | </ | ||
| - | |||
| - | ===== Použití SSH kde to jde ===== | ||
| - | * Používat SSH kde je to jen možné | ||
| - | * Používat nejvyšší podporovanou verzi, pokud možno SSH v2 (v1 a v1.5 mají jisté nedostatky) | ||
| - | |||
| - | ===== Zabezpečení SNMP přístupu ===== | ||
| - | * Zakázat jakýkoliv Read-Write přístup, tzn. vše kde je příkaz: **snmp-server community** //string// **RW** | ||
| - | * Používat jen RO Read-only přístup | ||
| - | * Omezit přístup pomocí ACL na konkrétní zdroj. adresy | ||
| - | |||
| - | ===== Zabezpečení volných portů ===== | ||
| - | * Ideálně **shutdown** | ||
| - | * Nastavit port **switchport mode access** a popř. jej přiřadit do nějaké " | ||
| - | Použití makra **switchport host**: | ||
| - | < | ||
| - | Switch(config)# | ||
| - | Switch(config-if)# | ||
| - | switchport mode will be set to access | ||
| - | spanning-tree portfast will be enabled | ||
| - | channel group will be disabled | ||
| - | Switch(config-if)# | ||
| - | </ | ||
| - | |||
| - | ===== Zabezpečení STP ===== | ||
| - | * Útočník může posílat falešná BPDU | ||
| - | * Zapnout na access portech **bpdu-guard** | ||
| - | |||
| - | ===== Zabezpečení CDP ===== | ||
| - | * Defaultně se šíří CDP všemi porty switche každých 60s | ||
| - | * CDP zbytečně prozrazuje moc informací | ||
| - | * Na access portech je dobré jej vypnout **no cdp enable** | ||
| - | * POZOR na portech, kde je IP telefon, musí zůstat CDP zapnuté. Z telefonu do PC se už nešíří. | ||
wiki/site/cisco/ccnp/switch/16.1516698253.txt.gz · Last modified: 2018/01/23 10:04 by root
Page Tools
