Ako zabezpečiť Cisco smerovač: konzola, ROMMON, banery a prístupové limity

V dnešnej dobe je zabezpečenie sieťovej infraštruktúry kritickým bodom každej organizácie. Hoci má Cisco router výkonné možnosti, často bývajú podcenené základné kroky zabezpečenia. V tomto článku si ukážeme konkrétne nastavenia, ktoré ochránia vaše zariadenie pred neoprávneným prístupom – od konzoly, cez režim ROMMON, až po personalizované výstražné banery a limity prihlásení.

1. Zabezpečenie konzoly a AUX portu

Každý Cisco router má konzolový port, ktorý umožňuje priamy prístup do systému. Ak nie je chránený heslom, ktokoľvek s fyzickým prístupom k zariadeniu má plnú kontrolu.

1.1 Nastavenie hesla pre konzolu

line console 0
 password SilneHeslo123
 login
 exec-timeout 5 0
 logging synchronous

Príkaz exec-timeout nastavuje automatické odhlásenie po 5 minútach nečinnosti, čo znižuje riziko nechceného prístupu. logging synchronous zabezpečí, že systémové hlásenia nebudú prerušovať zadávanie príkazov.

1.2 Zabezpečenie AUX portu

AUX port sa často využíva na vzdialenú správu cez modem. Nezabudnite ho tiež zabezpečiť:

line aux 0
 password ModemHeslo456
 login
 exec-timeout 3 0

2. Zabezpečenie ROMMON módu

ROMMON je režim obnovy, ktorý sa spustí pri problémoch so štartovaním systému. Ak nie je zabezpečený, útočník môže router reštartovať a získať prístup.

2.1 Povolenie hesla pre ROMMON

Pre zariadenia, ktoré podporujú túto funkciu (napr. ISR rady), použite:

confreg 0x2142

alebo moderné riešenie:

secure boot-image
secure boot-config

Tieto príkazy ochránia obraz a konfiguráciu pred zmenami mimo bežného režimu. ROMMON heslo je často súčasťou globálnej bezpečnostnej stratégie a nie je priamo nastaviteľné cez klasické heslo, ale cez zabezpečenie zavádzania.

Networking Vás výzýva!

Chcete zažiariť? Za 5 dní nadobudnete skvelé základy administrácie TCP/IP sietí, ktoré vám dajú networking skills na celý život. Stačí konať a prijať Networking výzvu a rezervovať si tento kurz

Prvá hodina zadarmo!

Ovládnite VLANy a Switche

Počítač môžete využiť aj inak ako na hry a zábavu. Poďte zarábať ako králi. Iba týždeň Vám stačí a máš skvelé základy TCP/IP networkingu nato, aby ste si napr. našli job ako jr. Networking engineer. Stačí prijať Networking výzvu

Prvá hodina zadarmo!

3. Banery ako psychologická ochrana

Výstražné banery nemajú technický dopad, ale majú silný právny a psychologický efekt. Informujú, že zariadenie je monitorované, a akýkoľvek neoprávnený prístup bude trestne stíhaný.

3.1 Vytvorenie baneru

banner motd #
*** UPOZORNENIE ***
Neoprávnený prístup je zakázaný!
Každá aktivita je monitorovaná.
#

Príkaz banner motd zobrazí správu pri každom prihlásení. Odporúča sa použiť aj banner login pre právne zreteľný súhlas s podmienkami.

4. Obmedzenie počtu pokusov o prihlásenie

Útočníci často používajú brute-force metódy. Cisco router umožňuje definovať limity na počet neúspešných pokusov o prístup.

4.1 Aktivácia blokovania po neúspešných pokusoch

login block-for 60 attempts 3 within 60

Tento príkaz znamená: ak sa niekto pokúsi trikrát prihlásiť počas 60 sekúnd, ďalších 60 sekúnd bude prístup blokovaný.

4.2 Nastavenie oneskorenia pri prihlásení

login delay 5

Medzi každým pokusom o prihlásenie sa pridá 5 sekundová pauza, čo značne zneefektívni automatizované útoky.

5. Dodatočné odporúčania

Zakázať nepotrebné služby ako CDP, Finger, HTTP Server.
Aktivovať service password-encryption pre zakódovanie hesiel v konfigurácii.
Pravidelne zálohovať konfiguráciu a uchovávať ju mimo siete.
Segmentovať správu siete (napr. vyhradené VLAN pre správu).

Záver

Zabezpečenie Cisco routera je základným krokom v ochrane celej siete. Ako sme videli, jednoduché opatrenia ako heslá, bannery a limity dokážu výrazne znížiť riziko. Nejde len o technickú konfiguráciu – ide o mindset. Dobrý admin myslí dopredu.

Chcete sa naučiť viac? Pozrite si špecializovaný kurz: NP3 – Pokročilá sieťová bezpečnosť, GRE tunelovanie, AAA a základy ASA/PIX firewallu

Kurz NA0 - Administrácia LAN/WAN a návrh TCP/IP sietí - základné koncepty