Mainos / Advertisement:

Cisco reititin tietoturva

Kohteesta Taisto
Versio hetkellä 4. maaliskuuta 2015 kello 09.10 – tehnyt Johannes (keskustelu | muokkaukset)
Siirry navigaatioon Siirry hakuun

Suljetaan ylimääräiset pääsyt, esimerkiksi aux

line aux 0
 no password
 login
 exit

Nyt ei pääse kirjautumaan, koska salasanaa ei ole asetettu.


VTY tietoturva

Kannattaa sulkea ylimääräiset pääsyt, esim telnet.

line vty 0 4
 no transport input
 transport input telnet ssh  #sallii sekä telnet että ssh pääsyn
line vty 0 4
 no transport input
 transport input ssh  #sallii vain ssh pääsyn


Cisco laitteissa on vain tietty määrä vty linejä, yleensä viisi. Jos kaikkiin on pääsy, voi joku ilkkimys ottaa viisi yhteyttä samaan aikaan ja estää pääsyn adminilta, ei siis tarvitse edes päästä kirjautumaan sisään. Jos haluaa olla varma voi konffata yhden linen sallituksi vain adminilta, esimerkiksi acces listalla tietyltä koneelta.

Yksi hyvä keino on konffata tcp-keepalive

line vty 0 4
 exec-timeout 3
 exit
service tcp-keepalives-in

Nyt idle yhteydet pätkäisee kolmen minuutin kuluttua

ssh kannattaa ehdottomasti laittaa. kaikki iossit ei kuitenkaan tue ssh, jos iossin nimessä on k8 tai k9 niin ne tukee.


Ssh kannattaa laittaa timeoutit

ip ssh time-out 15
ip ssh authentication-retries 2
Mainos / Advertisement: