menu główne
Artykuły
Polecamy
artykuły
Powrót do listy artykułów

Temat artykułu: Chciałbym upewnić się, że mój router nie jest łatwym celem dla włamywaczy. Podstawowy hardening.
Tekst napisał Cisco_FAQ dnia 07-03-2006

W zasadzie najlepiej najpierw dużo poczytać. Większość zaleceń sprowadza się jednak do: a) wyłącz niepotrzebne usługi, b) upewnij się, że routerowi nic nie przeszkadza.

Poniżej lista podstawowych poleceń, które warto wykonać. Jednak UWAGA: po pierwsze możesz coś zepsuć(!), po drugie takie pójście na skróty powinno być dopiero początkiem do dalszej dogłębnej analizy konfiguracji!

W konfiguracji globalnej wykonaj:

router(config)# no service udp-small-servers
router(config)# no service tcp-small-servers
router(config)# no service finger
router(config)# no service dhcp
router(config)# no service config
router(config)# no service pad

router(config)# no ip domain-lookup
router(config)# no ip finger
router(config)# no ip http server
router(config)# no ip http secure-server
router(config)# no ip bootp server
router(config)# no ip source-route

router(config)# no snmp-server
router(config)# no cdp run
 ! teraz trochę rzeczy włączymy:
router(config)# ip cef
router(config)# service tcp-keepalives-in
router(config)# service tcp-keepalives-out
router(config)# service password-encryption

router(config)# ip tcp path-mtu-discovery
router(config)# ip tcp selective-ack
router(config)# ip tcp timestamp
router(config)# service timestamps debug datetime localtime msec
router(config)# service timestamps log datetime localtime msec
router(config)# logging buffered 64000

 ! ustaw zegar i strefę czasową
router# clock set HH:MM:SS DD MIE ROK
router(config)# clock timezone MST 1
router(config)# clock summer-time MET recurring last Sun Mar 2:00 last Sun Oct 3:00
 ! usuń hasło enable szyfrowane słabym algorytmem:
router(config)# no enable password
 ! ...i ustaw hasło enable kodowane jednostronną funkcją mieszającą
router(config)# enable secret jakieś_trudne_hasło

W konfiguracji poszczególnych (pod)interfejsów:

router(config-if)# no ip redirects
router(config-if)# no ip directed-broadcast
router(config-if)# no ip mask-reply
router(config-if)# no ip proxy-arp

router(config-if)# ip verify unicast reverse-path

Na koniec zapisz konfigurację:

router# copy running-config startup-config