Меры по обеспечению безопасности сети

Методы защиты устройств

При внедрении устройств важно следовать всем инструкциям по безопасности, действующим в организации. К таким инструкциям относится присвоение имён устройствам таким образом, которое обеспечивает их простое и удобное документирование и отслеживание, однако обеспечивает при этом определённую степень безопасности. Не стоит сообщать в имени узла излишнюю информацию об использовании устройства. Также необходимо принять дополнительные основные меры безопасности.

Расширенная защита пароля

Самые надёжные пароли полезны ровно до тех пор, пока они никому не известны. Существует ряд действий, которые можно выполнить, чтобы обеспечить сохранность пароля в тайне. Использование команды глобальной конфигурации service password-encryption предотвращает несанкционированный доступ для просмотра паролей в виде обычного текста в файле конфигурации, как показано на рисунке. Эта команда выполняет шифрование всех незашифрованных паролей.

Кроме того, чтобы все настроенные пароли имели длину не менее заданного значения, следует использовать команду security passwords min-length в режиме глобальной конфигурации.

Другой способ получения злоумышленниками паролей — простая атака методом грубой силы, то есть подбор паролей до тех пор, пока один из них не подойдёт. Для предотвращения атак такого типа можно заблокировать попытки входа на устройство после определённого количества неудачных попыток в заданный период времени.

Router(config)# login block-for 120 attempts 3 within 60

Эта команда блокирует попытки входа на 120 секунд, если в течение 60 секунд выполнено три неудачные попытки входа.

Баннеры

Сообщение баннера аналогично знаку «проход запрещён». Такие сообщения важны в рамках подачи иска в суд в отношении любого, кто осуществил неправомерный доступ в систему. Убедитесь в том, что сообщения баннера соответствуют политикам безопасности организации.

Router(config)# banner motd #message#

Тайм-аут по выполнению

Также рекомендуется задать значения тайм-аута по выполнению. Настроив тайм-аут по выполнению, вы тем самым сообщаете устройству Cisco о необходимости отключения пользователей с линии, если они неактивны в течение периода, заданного значением тайм-аута по выполнению. Значения тайм-аута по выполнению можно настроить на портах консоли, VTY и AUX.

Router(config)# line vty 0 4

Router(config-vty)# exec-timeout 10

Эта команда отключает пользователей по истечении 10 минут.