Mainos / Advertisement:

Ero sivun ”Cisco reititin tietoturva” versioiden välillä

Kohteesta Taisto
Siirry navigaatioon Siirry hakuun
(Ak: Uusi sivu: Suljetaan ylimääräiset pääsyt, esimerkiksi aux line aux 0 no password login exit Nyt ei pääse kirjautumaan, koska salasanaa ei ole asetettu. VTY tietoturva Kannat...)
 
Rivi 33: Rivi 33:
  
 
ssh kannattaa ehdottomasti laittaa. kaikki iossit ei kuitenkaan tue ssh, jos iossin nimessä on k8 tai k9 niin ne tukee.
 
ssh kannattaa ehdottomasti laittaa. kaikki iossit ei kuitenkaan tue ssh, jos iossin nimessä on k8 tai k9 niin ne tukee.
 +
 +
 +
Ssh kannattaa laittaa timeoutit
 +
 +
ip ssh time-out 15
 +
ip ssh authentication-retries 2

Versio 4. maaliskuuta 2015 kello 09.10

Suljetaan ylimääräiset pääsyt, esimerkiksi aux

line aux 0
 no password
 login
 exit

Nyt ei pääse kirjautumaan, koska salasanaa ei ole asetettu.


VTY tietoturva

Kannattaa sulkea ylimääräiset pääsyt, esim telnet.

line vty 0 4
 no transport input
 transport input telnet ssh  #sallii sekä telnet että ssh pääsyn
line vty 0 4
 no transport input
 transport input ssh  #sallii vain ssh pääsyn


Cisco laitteissa on vain tietty määrä vty linejä, yleensä viisi. Jos kaikkiin on pääsy, voi joku ilkkimys ottaa viisi yhteyttä samaan aikaan ja estää pääsyn adminilta, ei siis tarvitse edes päästä kirjautumaan sisään. Jos haluaa olla varma voi konffata yhden linen sallituksi vain adminilta, esimerkiksi acces listalla tietyltä koneelta.

Yksi hyvä keino on konffata tcp-keepalive

line vty 0 4
 exec-timeout 3
 exit
service tcp-keepalives-in

Nyt idle yhteydet pätkäisee kolmen minuutin kuluttua

ssh kannattaa ehdottomasti laittaa. kaikki iossit ei kuitenkaan tue ssh, jos iossin nimessä on k8 tai k9 niin ne tukee.


Ssh kannattaa laittaa timeoutit

ip ssh time-out 15
ip ssh authentication-retries 2
Mainos / Advertisement: