Mainos / Advertisement:

Cisco reititin tietoturva

Kohteesta Taisto
Versio hetkellä 4. maaliskuuta 2015 kello 09.25 – tehnyt Johannes (keskustelu | muokkaukset)
Siirry navigaatioon Siirry hakuun

Suljetaan ylimääräiset pääsyt, esimerkiksi aux

line aux 0
 no password
 login
 exit

Nyt ei pääse kirjautumaan, koska salasanaa ei ole asetettu.


VTY tietoturva

Kannattaa sulkea ylimääräiset pääsyt, esim telnet.

line vty 0 4
 no transport input
 transport input telnet ssh  #sallii sekä telnet että ssh pääsyn
line vty 0 4
 no transport input
 transport input ssh  #sallii vain ssh pääsyn


Cisco laitteissa on vain tietty määrä vty linejä, yleensä viisi. Jos kaikkiin on pääsy, voi joku ilkkimys ottaa viisi yhteyttä samaan aikaan ja estää pääsyn adminilta, ei siis tarvitse edes päästä kirjautumaan sisään. Jos haluaa olla varma voi konffata yhden linen sallituksi vain adminilta, esimerkiksi acces listalla tietyltä koneelta.

Yksi hyvä keino on konffata tcp-keepalive

line vty 0 4
 exec-timeout 3
 exit
service tcp-keepalives-in

Nyt idle yhteydet pätkäisee kolmen minuutin kuluttua

ssh kannattaa ehdottomasti laittaa. kaikki iossit ei kuitenkaan tue ssh, jos iossin nimessä on k8 tai k9 niin ne tukee.


Ssh kannattaa laittaa timeoutit

ip ssh time-out 15
ip ssh authentication-retries 2


Reitittimissä on paljon featureja, joista joitain kannattaa disabloida. Tässä joitain joiden disabloimista kannattaa harkita:

  • Cisco Discovery Protocol (CDP)
  • TCP small servers
  • UDP small servers
  • Finger
  • HTTP server
  • BOOTP server
  • Configuration autoloading
  • IP source routing
  • Proxy ARP
  • IP directed broadcast
  • Classless routing
  • IP unreachable notifications
  • IP mask reply
  • IP redirects
  • NTP service
  • Simple Network Managment Protocol
  • Domain Name Service
Mainos / Advertisement: