1. Нестандартный логин.
Не стоит создавать локальные учётки вида admin, root. По ним в первую очередь брутфорсят.2. Не оставлять доступ по telnet.
Строго ssh.ip domain name domain.local
crypto key generate rsa
ip ssh version 2
vty 0 4
transport input ssh
3. Нестандартный порт SSH:
ip ssh port 922 rotary 1line vty 5 10
exec-timeout 3 0
rotary 1
no exec
transport input ssh
4. Запретить ping снаружи и всё лишнее:
I. Можно использовать стандартный (Standard) тип листа. Примерного вида:
access-list 101 deny icmp any any echo log
access-list 101 deny icmp any any redirect log
access-list 101 deny icmp any any timestamp-request log
access-list 101 deny icmp any any information-request log
access-list 101 deny icmp any any mask-request log
access-list 101 permit ip any any
II. Технология - CBAC - Context Based Access Control (мой выбор)
IT.INGENS.RU - CBAC
5. Time-out сессии установить:
vty 0 4exec-timeout 3 0 (3 минуты и сессия отвалится)
6. Точное время (не критично, но желательно):
clock timezone Moscow 3ntp source FastEthernet0/0
ntp server 85.114.26.194
7. Прописать SYSLOG сервер, для сбора логов:
logging trap 6
8. Logging Успешных и Неуспешних попытках подключения к вашему устройству:
archivelog config
logging enable
notify syslog contenttype plaintext
hidekeys
logging on
logging 192.168.1.1
login block-for 60 attempts 3 within 60
login on-failure log every 1
login on-success log every 1
И тогда получим такого рода информацию:
Комментариев нет:
Отправить комментарий