Политики безопасности компании при работе в Интернет
Шрифт:
Включение списков контроля доступа:
access-group AdminDMZ-ACL in interface AdminDMZ
access-group WebDMZ-ACL in interface WebDMZ
access-group ServiceDMZ-ACL in interface ServiceDMZ
access-group SecureData-ACL in interface SecureData
access-group Management-ACL in interface Management
access-group Internal-ACL in interface Internal
Настройка TACACS+. TACACS+ используется для централизованного управления аутентификацией и авторизацией доступа к межсетевым экранам. Определяем IP-адрес сервера TACACS+ и пароль для аутентификации:
aaa-server TACACS+ (Management) host 172.16.6.21 F$!19Ty timeout 5
Используемый метод аутентификации применяется для консольного доступа:
ааа authentication serial console TACACS+
Предупреждающий баннер:
banner login «This is a private computer system for authorized use only.
All access is logged and monitored. Violators could be prosecuted».
«Ежедневное» сообщение, выводимое в первую очередь при попытке получения доступа к межсетевому экрану:
banner motd «This is a private computer system for authorized use only.
All access is logged and monitored. Violators could be prosecuted».
Сообщение, выводимое при входе в непривилегированный (EXEC) режим:
banner exec «Any unauthorized access will be vigorously prosecuted».
Настройка встроенной системы IDS. Cisco PIX имеет встроенную систему обнаружения вторжений. Хотя по количеству сигнатур система уступает устройствам серии Cisco IDS 4200, все же имеет смысл сконфигурировать ее для отсылки сообщений в случае атак:
ip audit info action alarm
ip audit attack action alarm
Защита системы аутентификации. Для защиты от атак на переполнение системы аутентификации используется следующая опция:
floodguard enable
Защита от атак с подменой адреса. Для защиты от атак с подменой адреса используется возможность проверки правильности адреса отправителя uRPF:
ip verify reverse-path interface AdminDmz
ip verify reverse-path interface WebDMZ
ip verify reverse-path interface ServiceDMZ
ip verify reverse-path interface SecureData
ip verify reverse-path interface Management
ip verify reverse-path interface Internal
Конфигурирование межсетевых экранов PIX для работы в режиме горячего резервирования. Настройка осуществляется следующим образом:
1. Выключить резервный межсетевой экран.
2. Синхронизировать время на обоих межсетевых экранах:
ntp authentication-key 1 md5 For$Ntp
ntp authenticate
ntp trusted-key 1
ntp server 172.16.6.41 key 1 source Management
3. Подключить failover-кабель к обоим межсетевым экранам.
4. Необходимо сконфигурировать только основной межсетевой экран.
5. В отличие от VRRP или HSRP Cisco PIX не требует дополнительного IP-адреса для режима failover.
6. Включить режим failover:
failover
failover link State
7. Определить IP-адреса для интерфейсов:
failover ip address AdminDMZ 172.16.1.2
failover ip address WebDMZ 172.16.3.2
failover ip address ServiceDMZ 172.16.4.2
failover ip address SecureData 172.16.5.2
failover ip address Management 172.16.6.2
failover ip address Internal 172.16.9.2
failover ip address State 172.16.1.66
8. Включить резервный межсетевой экран. Проверить функционирование.
Дополнительные настройки безопасности. С целью ограничения доступа и использования защищенного протокола для управления сконфигурирован SSH. Для этого сначала создается пара ключей:
са generate rsa key 1024
са save all
Далее отключается Telnet:
ssh 172.16.6.0 255.255.255.0 Management
ssh timeout 15
no telnet
Журналирование событий межсетевого экрана. Журналирование событий межсетевого экрана является критически важным для надежного функционирования сети. Межсетевые экраны сконфигурированы для отправки сообщений на сервер Cisco SIMS:
logging buffered warnings
logging host Management 172.16.6.25
logging trap informational
logging timestamp
logging on
Конфигурирование SNMP. Межсетевой экран конфигурируется для отправки trap только к SNMP-серверу:
snmp-server community TopoE6?%HU
snmp-server host 172.16.6.33 Management trap
snmp-server enable traps
logging on