Cisco安全機制

 

一般Router 是在Internet網路最上層的設備,也是網管人員容易忽略防護的重點,在Router security 中,最單純的就是設定白名單,讓網管人員透過特定ipvpn 才能進入管理介面,在網管人員所在的環境不一定在白名單的網路中時,路由器必須開放給internet,下面是Router可以設定的安全性相關指令。

 

===============針對SSH相關設定===============

wellpower(config)#ip ssh port 2956 rotary 1//修改ssh port

wellpower(config)#ip ssh version 2

wellpower(config)#crypto key generate rsa general-keys modulus 1024    //產生ssh金鑰(hostname:ip domain-name)p.s hostname不能使用預設

 

==============設定ssh存取條件===============

wellpower(config)#ip access-list extended ssh-permit

wellpower(config-ext-nacl)#permit tcp any any eq2956 //允許外來ip2956登入

wellpower(config)#access-class ssh-permit in

wellpower(config-ext-nacl)#permit tcp 107.32.29.0 0.0.0.255 any eq 22   //允許107.32.29.0/24網段可以從22port登入

 

==============vty設定===============

wellpower(config)#line vty 0 4             //ssh啟用 認證

wellpower(config-line)#login local

wellpower(config-line)#rotary 1

wellpower(config-line)#transport input ssh    //允許ssh連線(所有的vty x x都要加)

 

==============基本安全設定===============

wellpower(config)no ip http server           //關閉http服務

wellpower(config)no ip http secure-serve

 

==============登入安全設定===============

wellpower(config)#login delay 7                  //設定登入延遲時間為7

wellpower(config)#login block-for 60 attempts 5 within 30  

//login block-for[設置封鎖登入秒數]  attempts[登入錯誤次數]  within[嘗試登入秒數range]

wellpower(config)#login quiet-mode access-class 50

//ACL清單內的ip可以略過以上兩行設定

 

==============ACL清單設定===============

wellpower(config)#access-list 50 permit 107.32.29.0 0.0.0.255  

 

==============log設定====================

wellpower(config)#login on-success log //將登入成功寫入log

wellpower(config)#login on-failure log  //將登入失敗寫入log

wellpower(config)#logging on //啟動logging

wellpower(config)#logging host IP //接收logging trapserver ip(有需要發送到log server時再做此設定)

wellpower(config)#logging trap 7 //trap發送的等級為debug

wellpower(config)#logging source-interface INTERFACE //要發送trapinterface

wellpower(config)#snmp-server enable traps syslog  //開啟snmp syslog 發送