Mainos / Advertisement:

Difference between revisions of "Cisco reititin tietoturva"

From Taisto
Jump to navigation Jump to search
(Ak: Uusi sivu: Suljetaan ylimääräiset pääsyt, esimerkiksi aux line aux 0 no password login exit Nyt ei pääse kirjautumaan, koska salasanaa ei ole asetettu. VTY tietoturva Kannat...)
 
Line 33: Line 33:
  
 
ssh kannattaa ehdottomasti laittaa. kaikki iossit ei kuitenkaan tue ssh, jos iossin nimessä on k8 tai k9 niin ne tukee.
 
ssh kannattaa ehdottomasti laittaa. kaikki iossit ei kuitenkaan tue ssh, jos iossin nimessä on k8 tai k9 niin ne tukee.
 +
 +
 +
Ssh kannattaa laittaa timeoutit
 +
 +
ip ssh time-out 15
 +
ip ssh authentication-retries 2

Revision as of 12:10, 4 March 2015

Suljetaan ylimääräiset pääsyt, esimerkiksi aux

line aux 0
 no password
 login
 exit

Nyt ei pääse kirjautumaan, koska salasanaa ei ole asetettu.


VTY tietoturva

Kannattaa sulkea ylimääräiset pääsyt, esim telnet.

line vty 0 4
 no transport input
 transport input telnet ssh  #sallii sekä telnet että ssh pääsyn
line vty 0 4
 no transport input
 transport input ssh  #sallii vain ssh pääsyn


Cisco laitteissa on vain tietty määrä vty linejä, yleensä viisi. Jos kaikkiin on pääsy, voi joku ilkkimys ottaa viisi yhteyttä samaan aikaan ja estää pääsyn adminilta, ei siis tarvitse edes päästä kirjautumaan sisään. Jos haluaa olla varma voi konffata yhden linen sallituksi vain adminilta, esimerkiksi acces listalla tietyltä koneelta.

Yksi hyvä keino on konffata tcp-keepalive

line vty 0 4
 exec-timeout 3
 exit
service tcp-keepalives-in

Nyt idle yhteydet pätkäisee kolmen minuutin kuluttua

ssh kannattaa ehdottomasti laittaa. kaikki iossit ei kuitenkaan tue ssh, jos iossin nimessä on k8 tai k9 niin ne tukee.


Ssh kannattaa laittaa timeoutit

ip ssh time-out 15
ip ssh authentication-retries 2
Mainos / Advertisement: