Настройка оборудования Cisco

CBAC -  Context Based Access List технология инспектирующая сеансы связи и создающая временные разрешения во входном списке доступа. Суть в следующем: На внешний интерфейс вешается список доступа запрещающий все на вход При инициализации содинения изнутри наружу, во входном списке доступа, временно создается правило, разрешающее входящие пакеты, предназначенные для этого соединения. Теперь собственно к делу. Создаем список протоколов, которые подвергнутся инспекции, можно например сделать только www и т.д. или полностью tcp. Для примера приведен список с tcp, udp и icmp ip inspect name FIREWALL tcp ip inspect name FIREWALL udp ip inspect name FIREWALL icmp Теперь нам нужен запрещающий список доступа, но не забываем разрешить например ssh, иначе снаружи не попадем на маршрутизатор. ip access-list extended FIREWALL_ACL  permit object-group IPSEC_VPN_OGS any any  permit tcp any any eq 22  permit icmp any any  deny   ip any a...

Чтобы в конфигурационном файле, пароли не лежали в открытом виде, требуется включить их шифрование: service password-encryption А чтобы зашифровать pre-shared ключи, требуется ввести: key config-key password-encrypt password encryption aes  

Для предотвращения атак на все что внутри вашей сети и на сам маршрутизатор, неплохо включить списки доступа на внешнем интерфейсе Cisco. Вот примерный шаблон: Список на вход: ip access-list extended GLOBAL_ACL_IN  deny   ip host 92.4.155.148 any log Hackers_IP  deny   ip host 109.230.246.53 any log Hackers_IP  deny   ip host 65.182.110.230 any log Hackers_IP  deny   ip host 175.208.161.80 any log Hackers_IP  deny   ip host 108.171.179.137 any log Hackers_IP  deny   ip host 115.170.65.64 any log Hackers_IP  deny   ip host 199.195.212.30 any log Hackers_IP  deny   ip host 95.211.37.229 any log Hackers_IP  deny   ip host 88.249.123.221 any log Hackers_IP  deny   ip host 85.105.182.240 any log Hackers_IP  deny   ip host 115.168.71.84 any log Hackers_IP  deny   ip host 122.116.192.196 any log Hackers_IP  deny   ip host 190.247.207.25 any log ...

чтобы в логах на Cisco было корректное время, нужно ввести следующую строку service timestamps log datetime localtime Ну и заодно в режиме отладки service timestamps debug datetime localtime

Недавно у меня возникла задача, на коммутаторе Catalyst 6500 отфильтровать трафик с многочисленных VLAN в один важный VLAN. На коммутаторе, на каждый VLAN был свой SVI интерфейс. Немного подумав, было решено использовать VACL. Нужен один разрешающий лист access-list 12 permit 10.0.1.1 access-list 12 permit 10.0.1.2 access-list 12 permit 192.168.0.0 0.0.0.255 access-list 12 deny   any и еще вот такой access-list 13 permit any Теперь создаем карту доступа vlan access-map VACL_10 10  match ip address 12  action forward vlan access-map VACL_10 20  match ip address 13  action drop И включаем фильтрацию на нужном нам VLAN'е (можно указывать сразу несколько VLAN) vlan filter VACL_10 vlan-list  10 В итоге, трафик с хостов  10.0.1.1 и  10.0.1.1 и со всей сети  192.168.0.0/24 будет проходить в VLAN 10, а весь остальной трафик, не будет проходить в наш десятый VLAN.