Базовая конфигурация безопасности для базовой конфигурации маршрутизатора?

Question

Я пытаюсь создать приличную базовую конфигурацию, и мне просто любопытно, нужно ли явно настраивать такие функции, как IPS и SPI? Эта сеть не будет интегрирована с нашими пользователями, но я все еще пытаюсь запретить доступ кому-либо извне. Если бы кто-то мог обсудить свой подход к базовой конфигурации безопасности, это было бы очень ценно.

!
hostname xxxxxxx
!
!
!
enable password secret xxxxxxxx
!
!
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool LAN
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1
 dns-server 8.8.8.8
!
!
!
username xxxxx privilege 15 password 0 xxxxxxxxxxx
!
!
!
!
!
ip ssh version 1
ip domain-name cisco.com
ip name-server 192.168.1.2
!
!
spanning-tree mode pvst
!
!
!
!
interface FastEthernet0/0
 description ISP connection
 ip address xxx.xxx.xxx.xxx 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface FastEthernet0/1/0
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/1/1
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/1/2
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/1/3
 switchport mode access
 spanning-tree portfast
!
interface Vlan1
 ip address 192.168.1.1 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx
!
!
!
banner motd ^CThis router is private property and may not be accessed without permission of the owner^C
!
!
!
!
line con 0
 exec-timeout 0 0
 password xxxxxxxx
 logging synchronous
 login local
line vty 0 4
 exec-timeout 0 0
 password xxxxxxx
 logging synchronous
 login local
line vty 5 15
 exec-timeout 0 0
 password xxxxxxxxxxx
 logging synchronous
 login local
!
!
!
end

Answer 1

По умолчанию нет IPS, ACL и т.д.

Посмотрев вашу конфигурацию, каждый из интерфейса ISP f0/0 может достичь vlan 1, если настроена правильная маршрутизация. В любом случае, поскольку вы не выполняете NAT, если f0/0 подключен к провайдеру напрямую, ваш трафик из Vlan1 будет отброшен из-за частной IP-адресации.

Безопасность не может быть объяснена в коротком столбце, вы упускаете слишком много вещей (SSH v2, избегаете использования собственной VLAN и т.д.), А также из поля безопасности ваши настройки сервера имен кажутся непоследовательными и отсутствует NAT (как указано ранее).

Хорошее быстрое чтение http://www.cisco.com/c/en/us/td/docs/ios/sec_user_services/configuration/guide/15_0s/sec_securing_user_services_15_0S_book/sec_autosecure.html об автоматической защите, которая может автоматически настраиваться твой роутер. CBAC (SPI) с "ip ips" (IPS) - это технология, в которую вы должны вникнуть.