Acest document oferă câteva elemente pentru armonizarea modelului de rețea enterprise de tip campus cu cele mai bune practici din ghidurile Cisco Validated Design. De asemenea, vă ajută să securizați sistemele Cisco IOS®, pentru a spori securitatea întregii rețele. Recomandăm ferm implementarea cel puțin a caracteristicilor prezentate în acest document. Pentru mai multe detalii, vă recomandăm să accesați ghidurile complete la adresele:
- https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html
- https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6800-series-switches/guide-c07-733457.html
N.B.: Pentru o mai mare ușurință în procesul de configurare a fost păstrată versiunea în limba engleză a acestui ghid. Vă rugăm să parcurgeți etapele descrise mai jos.
General Network Device Hardening:
- Implement Password Management with Enhanced Password Security
- Implement EXEC Timeout
- Disable Unused Services
- Configure Memory Threshold Notifications and CPU Thresholding Notification
- Configure Network Time Protocol
- Encrypt Management Sessions and implement SSHv2
- Restrict access to Console, AUX Ports, vty and tty lines and implement Warning Banners
- Configure Management Plane Protection
- Implement Authentication, Authorization, and Accounting
- Fortify the Simple Network Management Protocol
- Configure Logging
- Limit CPU Impact of Control Plane Traffic using CoPP
- Disable IP ICMP Redirects, ICMP Unreachables and Proxy ARP if they are not required for network operation
- Secure BGP and Secure Interior Gateway Protocols
- Deploy VTP in Transparent Mode
- Leave Dynamic Trunking Protocol at default values, Configure trunk encapsulation statically
- Permit only selected vlans on trunks and manually set the default VLAN
- Spanning-Tree: Enable Rapid-PVST and always designate the root-bridge according to network design.
- Enable Anti-Spoofing Protections by implementing Unicast RPF, IP Source Guard, Port Security, Dynamic ARP Inspection, Anti-Spoofing ACLs
- Implement UniDirectional-Link Detection protocol
Authors
Lăsați un comentariu