понедельник, 28 января 2013 г.

Cisco SDM prepare

R1(config)#enable secret <password>
Настройка интерфейса для доступа SDM
R1(config)#interface fastethernet 0
R1(config-if)#ip address 192.168.0.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit



Включение http и https серверов 
R1(config)# ip http server
R1(config)# ip http secure-server
R1(config)# ip http authentication local


Добавим пользователя
R1(config)# username <username> privilege 15 secret <password>

И обозначим авторизацию
R1(config)# line vty 0 4
R1(config-line)# login local
 

R1(config-line)# transport input telnet 
R1(config-line)# transport input telnet ssh
 

тут сами решайте, что вам по вкусу

R1(config-line)# exit

Securing the Cisco IOS and configuration files

R1(config)# secure boot-image

R1(config)# secure boot-config 

R1(config)# no service password recovery

Создаёт неудаляемую копию IOS'a и конфигурационного файла
И перекрывает доступ в ROMMON для особо страждущих ручек)

Restore procedures:
1. R1# reload 

2. Find filenames of saved IOS and configuration file:

a) In ROMmon mode use: dir
b) R1#show secure bootset

3.
R1# boot <filename saved ios>
 

4. R1(config)# secure boot-config restore <filename configuration file>

четверг, 24 января 2013 г.

Role-Based CLI Access

R1(config)#aaa new-model 
R1(config)#enable secret cisco
R1#enable view
 Password:
R1#%PARSER-6-VIEW_SWITCH: successfully set to view 'root'.


R1#conf t
R1(config)#parser view SHOWVIEW
 
R1(config-view)#%PARSER-6-VIEW_CREATED: view 'SHOWVIEW' successfully created.
R1(config-view)#secret ciscoshowview
R1(config-view)#commands exec include all show
R1(config-view)#exit


R1(config)#parser view RELOADPINGVIEW
R1(config-view)#%PARSER-6-VIEW_CREATED: view 'RELOADPINGVIEW' successfully created.
R1(config-view)#secret pingreloadcisco
R1(config-view)#commands exec include all ping
R1(config-view)#commands exec include all reload
R1(config-view)#exit


R1(config)#parser view USERSHOW superview
R1(config-view)#secret ciscoshowsuperview
R1(config-view)#view SHOWVIEW
R1(config-view)#exit



R1(config)#parser view USERPINGRELOAD superview
R1(config-view)#secret ciscoreloadsuperview
R1(config-view)#view
RELOADPINGVIEW 

R1(config-view)#exit

 
R1(config)#username adminshow view USERSHOW secret cisco1
R1(config)#username adminpingreload view
RELOADPINGVIEW secret cisco2
R1(config)#aaa authentication login default local
R1(config)#aaa authorization exec default local
R1(config)#aaa authorization console
R1(config)#exit

Configure privilege levels (Конфигурирование уровня привиллегий)

R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#username admin privilege 1 password cisco
 

R1(config)#privilege exec level 5 ping
R1(config)#enable secret level 5 cisco5
R1(config)#username admin5 privilege 5 secret cisco5
 

R1(config)#privilege exec level 10 reload
R1(config)#enable secret level 10 cisco10
R1(config)#username admin10 privilege 10 secret cisco10
 

R1(config)#username admintotal privilege 15 secret ciscototal
R1(config)#exit

вторник, 22 января 2013 г.

Защита авторизации, логирование авторизации

R1(config)#login block-for 15 attempts 5 within 60
R1(config)#ip access-list standart PERMIT-ADMIN
  • R1(config-std-nacl)#remark Permit only Administrative hosts
  • R1(config-std-nacl)#permit 192.168.10.10
  • R1(config-std-nacl)#permit 192.168.11.10 
  • R1(config-std-nacl)#exit 
R1(config)#login quiet-mode access-class PERMIT-ADMIN 
R1(config)#login delay 10
R1(config)#login on-success log
R1(config)#login on-failure log