Читаем Политики безопасности компании при работе в Интернет полностью

Определяется максимальное количество получателей для SMTP-соединений для встроенной в IOS функции поддержки факсов. Установка максимального количества, равного 0, означает отключение сервиса:

...

Отключение протокола CDP (Cisco Discovery Protocol), который позволяет обмениваться информацией канального уровня с другими устройствами от компании Cisco:

...

Отключение функций proxy arp на маршрутизаторе. Proxy arp позволяет распространяться ARP-запросам по смежным сетям, что дает злоумышленнику дополнительную возможность узнать о структуре сети:

...

Для того чтобы в сообщениях, отправляемых по syslog, присутствовала временная метка, необходимо выполнить команды:

...

service timestamps log datetime msec localtime showtimezone

Конфигурирование SNMP. Так как мониторинг сетевых устройств осуществляется из сети управления и является критичным аспектом обеспечения высокой доступности, решено использовать SNMP, несмотря на проблемы безопасности, связанные с ним. Для минимизации риска предприняты следующие шаги:

• запрещен SNMP-трафик в Интернет и из Интернета;

• ограничено количество используемых счетчиков.

Используемые команды:

...

snmp-server view NNM-Only ipRouteTable excluded

snmp-server view NNM-Only ipNetToMediaTable excluded

snmp-server view NNM-Only at excluded

Списки контроля доступа сконфигурированы для ограничения доступа только с HP OpenView NNM:

...

и SNMP используется только для чтения:

...

Маршрутизатор также сконфигурирован для отправки trap только к SNMP-серверу:

...

snmp-server enable traps config

snmp-server enable traps envmon

snmp-server enable traps bgp

snmp-server trap-authentication

snmp-server trap-source Fa0/0

Конфигурирование протокола NTP Сконфигурирован список контроля доступа для ограничения получения времени через NTP только с сервера времени:

...

access-list 10 deny any

ntp authentication-key 1 md5 Hn!hj

ntp authenticate

ntp trusted-key 1

ntp access-group peer 10

ntp update-calendar

ntp server 172.16.6.41 key 1

ntp source Fa0/0

Журналирование событий маршрутизатора. Для журналирования событий используется протокол syslog. Журналы собираются на Cisco SIMS:

...

no logging console

logging source-interface Fa0/0

logging trap informational

logging facility local7

logging 172.16.6.25

Настройки безопасности на уровне интерфейса. Для предупреждения использования интерфейса как усилителя при проведении атаки типа «отказ в обслуживании», например smurf, надо отключить маршрутизацию пакетов на broadcast-адpеса. По умолчанию маршрутизатор не пропускает широковещательных сообщений с IP-адресом приемника 255.255.255.255. Для того чтобы ограничить негативное влияние направленных широковещательных сообщений на определенные сети, необходимо использовать эту команду:

...

Чтобы уменьшить для злоумышленника возможности получения информации о сети, надо выполнить следующие команды:

...

no ip mask-reply

no ip redirect

Для уменьшения проблем, вызываемых пакетами с неправильными или подмененными IP-адресами, а также с исходными IP-адресами, которые не могут быть проверены, используется функция Unicast RPF:

...

interface hssi2/0

ip verify unicast reverse-path