2. Ограничение доступа на Cisco (доступ только с IP админов) и защита от
сниффинга (использование комутаторов).
access-list 105 permit ip host ip_админа any
access-list 105 deny ip any any
line vty 0 4
access-class 105 in
login local
exec-timeout 2 0
3. Ограничение доступа по SNMP только с определенных IP (администраторы,
мониторинг и биллинг), изменение название community public на что-нибудь
бессвязное, например sfvggwz.
access-list 15 permit ip host ip_которому_разрешено_snmp
access-list 15 deny any
snmp-server community sfvggwz RO 104
4. Отключаем все лишние сервисы (cdp - cisco discovery protocol), например:
no ntp enable
no cdp running
no cdp enable
no service finger
no service tcp-small-servers
no service udp-small-servers
service tcp-keep-alives-in
no ip http server
5. Настраиваем ACL (access lists), минимум что нужно сделать (против спуфинга):
(правила просматриваются в порядке следования, срабатывает первое подходящее
правило)
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 deny ip 10.0.0.0 0.255.255.255 any
access-list 100 deny ip 224.0.0.0 31.255.255.255 any
access-list 100 deny ip host 0.0.0.0 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 192.168.0.0 0.0.255.255 any
access-list 100 deny ip 172.16.0.0 0.0.255.255 any
access-list 100 deny ip наша_сеть маска_нашей_сети any
access-list 100 deny icmp any any redirect.
access-list 100 permit ip any any
access-list 101 permit ip наша_сеть маска_нашей_сети any
access-list 101 deny ip any any
# Затем привязываем ACL к интерфейсу:
interface ethernet 0
ip access-group 100 in
ip access-group 101 out
6. Защищаемся от флуда (и прочей нечисти), на каждом интерфейсе:
# чтобы трафик на несуществующие ip не играл в пинг-понг
ip route 0.0.0.0 0.0.0.0 null 0 255
# защита от флуда
scheduler interval 500
no ip source-route
interface ethernet 0
no ip directed-broadcast
no ip proxy-arp
no ip redirects
no ip unreachables
Vova
