Configuração básica de segurança para configuração da base do roteador?

Navegue suas respostas
0

Eu estou tentando construir uma configuração de base decente e estou curioso para saber se recursos como IPS e SPI precisam ser configurados explicitamente? Essa rede não será integrada aos nossos usuários, mas ainda estou tentando impedir o acesso de qualquer pessoa do lado de fora. Se alguém pudesse discutir sua abordagem para uma configuração básica de segurança, seria muito apreciado. 

!
hostname xxxxxxx
!
!
!
enable password secret xxxxxxxx
!
!
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool LAN
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1
 dns-server 8.8.8.8
!
!
!
username xxxxx privilege 15 password 0 xxxxxxxxxxx
!
!
!
!
!
ip ssh version 1
ip domain-name cisco.com
ip name-server 192.168.1.2
!
!
spanning-tree mode pvst
!
!
!
!
interface FastEthernet0/0
 description ISP connection
 ip address xxx.xxx.xxx.xxx 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface FastEthernet0/1/0
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/1/1
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/1/2
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/1/3
 switchport mode access
 spanning-tree portfast
!
interface Vlan1
 ip address 192.168.1.1 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx
!
!
!
banner motd ^CThis router is private property and may not be accessed without permission of the owner^C
!
!
!
!
line con 0
 exec-timeout 0 0
 password xxxxxxxx
 logging synchronous
 login local
line vty 0 4
 exec-timeout 0 0
 password xxxxxxx
 logging synchronous
 login local
line vty 5 15
 exec-timeout 0 0
 password xxxxxxxxxxx
 logging synchronous
 login local
!
!
!
end
    
por ParanoidPenguin 14.08.2015 / 20:05

1 resposta

1

Não há IPS, ACL etc., por padrão.

Olhando sua configuração, todos da interface ISP f0 / 0 podem alcançar a vlan 1 se o roteamento adequado estiver configurado. De qualquer forma, como você não realiza nenhum NAT, se f0 / 0 estiver conectado diretamente a um ISP, seu tráfego de Vlan1 será descartado devido ao endereçamento IP privado.

A segurança não pode ser explicada em uma coluna curta, você está perdendo muitas coisas (SSH v2, evita o uso de VLAN nativa, etc.), e também fora do campo de segurança sua configuração do servidor de nomes parece inconsistente e há não é NAT (como dito antes).

Uma boa leitura rápida é link , sobre o recurso autosecure que pode ser configurado automaticamente em seu roteador. O CBAC (SPI) com "ip ips" (IPS) é a tecnologia de que você precisará se aprofundar.

    
por 25.08.2015 / 13:52

Tags

Como saber quais cartões SDHC são otimizados para acessos aleatórios curtos? Como colorir linhas com base em uma caixa de seleção - Open Office