wiki.lkaplan.cz

User Tools

Site Tools

Trace: switch-security
wiki:site:cisco:switch-security

Table of Contents

Best Practices zabezpečení switchů

Konfigurace bezpečných(šifrovaných) hesel

  • Kde to je možné používat enable secret, používá silnější šifrování než obyč. enable password.
  • Pro centrální správu použít AAA server
  • Nakonec použít service password-encryption - i když je šifra slabá, je to lepší než nic

Použití systémových bannerů

  • Varování nežádoucích osob, že zde nemají co dělat
  • Nikdy v baneru zbytečně neprozrazovat informace o síti (prvku)

Zabezpečení WEBového rozhraní

  • Ideální je ho vypnout, příkaz no ip http server v globálním konf.módu
  • Když už ho nechat zaplý, tak alespoň jako HTTPS, příkaz ip http secure server namísto obyč. ip http server v glob.konf.módu
  • Posílit bezpečnost lze pomocí ACL povolujícím jen určité zdrojové adresy
Switch(config)# ip http secure server
Switch(config)# access-list 1 permit 10.100.50.0 0.0.0.255
Switch(config)# ip http access-class 1

Zabezpečení konzole

  • I přes to, že je zabezpečena fyzická bezpečnost prvků, je dobré konzolové porty zabezpečit stejně jako VTY linky.

Zabezpečení VTY

  • Vždy nastavit authentikaci všem VTY. Výpis všech VTY: show user all
  • Popř. použít ACL povolující jen určité zdrojové adresy
Switch(config)# access-list 10 permit 192.168.199.10
Switch(config)# access-list 10 permit 192.168.201.100
Switch(config)# line vty 0 15
Switch(config-line)# access-class 10 in

Použití SSH kde to jde

  • Používat SSH kde je to jen možné
  • Používat nejvyšší podporovanou verzi, pokud možno SSH v2 (v1 a v1.5 mají jisté nedostatky)

Zabezpečení SNMP přístupu

  • Zakázat jakýkoliv Read-Write přístup, tzn. vše kde je příkaz: snmp-server community string RW
  • Používat jen RO Read-only přístup
  • Omezit přístup pomocí ACL na konkrétní zdroj. adresy

Zabezpečení volných portů

  • Ideálně shutdown
  • Nastavit port switchport mode access a popř. jej přiřadit do nějaké “nesmyslné” VLANy

Použití makra switchport host: 

Switch(config)# interface fastethernet 1/0/1
Switch(config-if)# switchport host
switchport mode will be set to access
spanning-tree portfast will be enabled
channel group will be disabled
Switch(config-if)#

Zabezpečení STP

  • Útočník může posílat falešná BPDU
  • Zapnout na access portech bpdu-guard

Zabezpečení CDP

  • Defaultně se šíří CDP všemi porty switche každých 60s
  • CDP zbytečně prozrazuje moc informací
  • Na access portech je dobré jej vypnout no cdp enable
  • POZOR na portech, kde je IP telefon, musí zůstat CDP zapnuté. Z telefonu do PC se už nešíří.
wiki/site/cisco/switch-security.txt · Last modified: 2018/01/23 10:13 by root

Page Tools

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki