ルーターの基本構成の基本的なセキュリティ構成ですか?

0

私はまともな基本構成を構築しようとしていますが、IPSやSPIなどの機能を明示的に設定する必要がある場合は少し興味がありますか?このネットワークはユーザーと統合される予定はありませんが、外部のユーザーからのアクセスを阻止しようとしています。誰かが基本的なセキュリティ構成へのアプローチについて議論できれば、それは最もありがたいことです。

!
hostname xxxxxxx
!
!
!
enable password secret xxxxxxxx
!
!
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool LAN
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1
 dns-server 8.8.8.8
!
!
!
username xxxxx privilege 15 password 0 xxxxxxxxxxx
!
!
!
!
!
ip ssh version 1
ip domain-name cisco.com
ip name-server 192.168.1.2
!
!
spanning-tree mode pvst
!
!
!
!
interface FastEthernet0/0
 description ISP connection
 ip address xxx.xxx.xxx.xxx 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface FastEthernet0/1/0
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/1/1
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/1/2
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/1/3
 switchport mode access
 spanning-tree portfast
!
interface Vlan1
 ip address 192.168.1.1 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx
!
!
!
banner motd ^CThis router is private property and may not be accessed without permission of the owner^C
!
!
!
!
line con 0
 exec-timeout 0 0
 password xxxxxxxx
 logging synchronous
 login local
line vty 0 4
 exec-timeout 0 0
 password xxxxxxx
 logging synchronous
 login local
line vty 5 15
 exec-timeout 0 0
 password xxxxxxxxxxx
 logging synchronous
 login local
!
!
!
end
networking  security 
妄想ペンギン
ソース

回答:

1

デフォルトでは、IPS、ACLなどはありません。

設定を確認することにより、適切なルーティングが設定されている場合、ISPインターフェイスf0 / 0の全員がvlan 1に到達できます。とにかく、NATを実行しないため、f0 / 0がISPに直接接続されている場合、プライベートIPアドレス指定のためにVlan1からのトラフィックがドロップされます。

セキュリティは短い列では説明できません、あなたはあまりにも多くのものを失っています(SSH v2、ネイティブVLANの使用を避けるなど)、そしてセキュリティフィールドの外であなたのネームサーバー設定が矛盾しているようで、NATがありません(前述のとおり)。

良い速読があるhttp://www.cisco.com/c/en/us/td/docs/ios/sec_user_services/configuration/guide/15_0s/sec_securing_user_services_15_0S_book/sec_autosecure.htmlかもしれないAutoSecureの機能については、自動的に設定しますルーター。「ip ips」(IPS)を使用したCBAC(SPI)は、掘り下げる必要があるテクノロジーです。

マッテオ
ソース
投稿に時間を割いていただきありがとうございます。過去数日間で構成が変更され、SSH 2、自動セキュア、NATセットアップが含まれるようになりました。ネイティブVLANから変更するというあなたのアイデアが気に入ったので、それを私が行うことに統合します。
妄想
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.