Jak zabezpečit směrovač Cisco: konzola, ROMMON, bannery a omezení přístupu

V dnešní době je zabezpečení síťové infrastruktury kritickým bodem každé organizace. Přestože má Cisco router výkonné možnosti, často jsou podceňovány základní kroky zabezpečení. V tomto článku si ukážeme konkrétní nastavení, která ochrání vaše zařízení před neoprávněným přístupem – od konzole, přes režim ROMMON, až po personalizované výstražné bannery a limity přihlášení.

1. Zabezpečení konzole a AUX portu

Každý Cisco router má konzolový port, který umožňuje přímý přístup do systému. Pokud není chráněn heslem, kdokoli s fyzickým přístupem k zařízení má plnou kontrolu.

1.1 Nastavení hesla pro konzoli

line console 0
 password SilneHeslo123
 login
 exec-timeout 5 0
 logging synchronous

Příkaz exec-timeout nastavuje automatické odhlášení po 5 minutách nečinnosti, což snižuje riziko nechtěného přístupu. logging synchronous zajistí, že systémová hlášení nebudou přerušovat zadávání příkazů.

1.2 Zabezpečení AUX portu

AUX port se často používá pro vzdálenou správu přes modem. Nezapomeňte jej také zabezpečit:

line aux 0
 password ModemHeslo456
 login
 exec-timeout 3 0

2. Zabezpečení režimu ROMMON

ROMMON je režim obnovy, který se spustí při problémech se startem systému. Pokud není zabezpečen, útočník může router restartovat a získat přístup.

2.1 Povolení hesla pro ROMMON

Pro zařízení, která tuto funkci podporují (např. řady ISR), použijte:

confreg 0x2142

nebo moderní řešení:

secure boot-image
secure boot-config

Tyto příkazy chrání image a konfiguraci před změnami mimo běžný režim. Heslo do ROMMON je často součástí globální bezpečnostní strategie a není nastavitelné klasickým způsobem, ale prostřednictvím zajištění bootování.

3. Bannery jako psychologická ochrana

Výstražné bannery nemají technický dopad, ale mají silný právní a psychologický efekt. Informují, že zařízení je monitorováno, a jakýkoli neoprávněný přístup bude trestně stíhán.

3.1 Vytvoření banneru

banner motd #
*** UPOZORNĚNÍ ***
Neoprávněný přístup je zakázán!
Každá aktivita je monitorována.
#

Příkaz banner motd zobrazí zprávu při každém přihlášení. Doporučuje se použít také banner login pro právně jednoznačný souhlas s podmínkami.

4. Omezení počtu pokusů o přihlášení

Útočníci často používají brute-force metody. Cisco router umožňuje definovat limity na počet neúspěšných pokusů o přístup.

4.1 Aktivace blokace po neúspěšných pokusech

login block-for 60 attempts 3 within 60

Tento příkaz znamená: pokud se někdo třikrát pokusí přihlásit během 60 sekund, dalších 60 sekund bude přístup zablokován.

4.2 Nastavení zpoždění při přihlášení

login delay 5

Mezi každým pokusem o přihlášení se přidá 5sekundová pauza, což výrazně ztíží automatizované útoky.

5. Dodatečná doporučení

• Zakázat nepotřebné služby jako CDP, Finger, HTTP Server.
• Aktivovat service password-encryption pro zakódování hesel v konfiguraci.
• Pravidelně zálohovat konfiguraci a uchovávat ji mimo síť.
• Segmentovat správu sítě (např. vyhrazená VLAN pro správu).

Závěr

Zabezpečení Cisco routeru je základním krokem v ochraně celé sítě. Jak jsme viděli, jednoduchá opatření jako hesla, bannery a limity dokážou výrazně snížit riziko. Nejde jen o technickou konfiguraci – jde o přístup. Dobrý admin myslí dopředu.

Chcete se naučit víc? Podívejte se na specializovaný kurz: NP3 – Pokročilá síťová bezpečnost, GRE tunelování, AAA a základy ASA/PIX firewallu

Kurz NA0 - Administrace a návrh LAN/WAN TCP/IP sítí - základní koncepty

Kurz NA1 - Základy administrace sítí LAN/WAN a směrování v TCP/IP sítích

Jak začít programovat?

Úvod do programování pro každého bez předchozích znalostí.

Stáhněte si náš ebook teď výjimečně zdarma!!!

STÁHNOUT TEĎ

Viac informacií preberáme na kurze:

Kurz NP3 - Pokročilá síťová bezpečnost, GRE tunelování, AAA a základy ASA/PIX Firewallu