Многие начинающие сисадмины, особенно в мелких фирмах, не уделяют должного внимания настройке доступа к коммутаторам и маршрутизаторам Cisco. А зря, базовые настройки безопасности должны обязательно присутствовать. Это не только «правило хорошего тона» но и базовые меры обеспечения информационной безопасности.
1. Установка пароля на доступ через консольный порт:
line console 0 login password password
2. Создание access-list с разрешёнными для доступа сетями или хостами:
access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255
Обратите внимание, что в аксесс-листе указывается обратная маска!
3. Отключение доступа к виртуальному терминалу через telnet, а так же применяем созданный выше access-list, чтобы для ограничить доступа по ssh, сделав его доступным только из разрешённых сетей:
line vty 0 4 transport input ssh access-class 1 in privilege level 15 login local
4. Включаем базовую защиту от перебора пароля:
login block-for 600 attempts 2 within 30 login delay 5 login quiet-mode access-class 1