Pull to refresh
237
0
Сергей Фёдоров @Fedia

User

Send message
Хм… Странно.

А куда вешаете правило инспектирования?
Да, про опцию 82.

ЗЫ Сорри, что в разных ответах — тороплюсь
Да, кривовато написал: когда продлеваем аренду.

А если вдруг свой сервер не доступен, то тогда откатываем до DISCOVER и шлем широковещательный запрос.
Немного позанудствую: насколько я знаю, DHCPDISCOVERY всегда имеет адрес источника 0.0.0.0 и назначения 255.255.255.255

А если у клиента уже есть адрес, то для перезапроса аренды он сразу шлет
DHCPREQUEST, где ставит свой адрес источника и своего сервера в качестве адреса назначения

ЗЫ Хорошо, что вы упомянули про пинг. Часто бывает, что персональный МСЭ закрывает эхо-запросы и адрес выглядит чистым, сервер отдает адрес, а клиент его не принимает, т.к. АРП-запрос проходит. Это бывает сбивает с толку.

ЗЗЫ Когда будете писать про ip helper-address не доверяйте литературе — проверяйте сами :) Мы столкнулись с удивительной особенностью :)

ЗЗЗЫ И ещё имеет смысл осветить вставляние допопций на лету (коммутаторы с dot1x и маршрутизаторы с DHCP-Relay)
А теперь представим, что мы в процессе настройки написали

ip nat inside source static {LOC_IP} {GLOB_IP}

и в тот же миг откроется доступ на хост LOC_IP по ssh
Упс… Мой косяк: мне казалось, что я у вас углядел эту команду. Спать надо больше, сорри :)

Я не люблю делать
privilege 15
на терминальных линиях. Т.к. в этом случае любой входящий сразу становится суперюзером.
А если я хочу кому-то дать доступ к уровню 15, а кому-то обрезать?
Да. Мало того, можно ещё сузить, указав (не во всех ИОСах)
permit tcp any int f0/0 eq 22


deny нижний как вы понимаете писать не обязательно.
Верю. Но откуда-то вы эти команды взяли? От старших товарищей, с сайта циско.ком…

А там тоже ничего нового не придумали :)

Если интересно, задайте, скажем, в GNS эту команду и посмотрите, что она делает.

Первые минимум 10 строк точно такие же как в Вашем шаблоне :)

ЗЫ Я вовсе не наезжаю и не пытаюсь в чем-то обвинять
0 — это когда вы сами вколачиваете пароль (можно 0 не вводить вовсе)

а если вам надо в конфиг вколотить пароль, который зашифрован и вы его не знаете, но хотите перенести, то тогда пишете
user USER pass 7 {шифр пароля}

Впрочем, эта 7 настолько не стойкая, что считать её за защиту нельзя.
Тогда уж лучше писать
user USER secret {пароль}
На маршрутизаторе это не совсем Ваш шаблон :)

Это часть шаблона, которую делает команда
autosecurity


Это не говорит о том, что это плохие команды, просто хотел уточнить, откуда они :) Так циска рекомендует.
Не, вот против этой команды
aaa authentication login default local

я ничего не имею.

Я имел ввиду тут
line vty 0 4
login local

последняя строчка не нужна

А про авторизацию: вы не перепутали
aaa authorization default local
Да, так было раньше. Теперь можно.

Еще разглядел:
если используете
aaa new-model

то не нужно писать
login local

Эта команда нужна для доступа без aaa new-model. А так по умолчанию стоит правило
aaa authentication default local

Если надо поменять
line vty 0 4
login authen {AAARULE}


Еще логично, если делаете пользователя 15 уровня привилегий, эти привилегии проверять:
aaa author exec default local


и ещё не забыть дать в конце команду
wr


:))
Коллега, не хотелось бы огульно критиковать, но есть много «НО»…

Если бы вы тихонько использовали бы свои конфиги я бы об этом не узнал :) Но вывесив их на обозрение вы рискуете ввести в заблуждение.

1. Самое мне не понятно: зачем столько фаеволинга? Зачем делать INSPECT_IN? В вашем конфиге он абсолютно бессмысленен. Он будет нужен только если на внутреннем интерфейсе тоже есть ACL, а также анонсирован какой-нить сложный протокол типа ftp.

2. Категорически не согласен с ip source-routing: он то вам зачем? Его везде рекомендую выключать

3. Зачем telnet? Если есть возможность ssh. Впрочем, здесь на вкус и цвет

4. Далеко не обязательно делать DNS. Хотя удобно, спору нет

5. Зачем разрешать ssh,ntp,dns везде? Для внутреннего трафика отработает INSPECT_OUT, а для а для трафика рутера достаточно разрешить только ответы на адрес его интерфейса. Опять же, часто можно написать
ip inspect INSPECT_OUT router
и тогда трафик рутера тоже будет инспектироваться

Есть такая штука — SMARTnet. Оно стоит денег и дает некие блага.
В рамках контракта ты можешь обновить IOS в том же фича-сете и той же major версии. Minor апдейты даже не всегда официально доступны.

Но вы правы: имея ССО логин есть доступ ко многим ИОСам. Тут то и кроется хитрость: скачать их можно, влить себе — тоже, но поддержки циски не будет.
… и вы сразу подпадете под определение «шифрование» с требованиями по сертификации ФСБ.

Если вы не дай Бог начнете защищать персданные таким способом, то выговором дело не обойдется :(

Определение шифрования у ФСБшников настолько расплывчато, что туда даже MD5 и любой шифр подмены (Виженер, например) попадает…

Хорошо ещё 56битное вывели. Для повседеневных задач хватит — поставить lifetime 20 минут. Кому надо и так сломают, а все подряд — нет.
Я с вами согласен.
Мне тоже не понятна мышиная велирокосскошовинистская возня.

Похожая ситуация: в Китае, в Казахстане (ну ещё бы), в Индии. Может где-то ещё.

Со стороны наша ситуация кажется дикой, однако жизнь в России многим вообще кажжется невозможной :)

Прорвемся. Но «преподавателя надо знать в лицо, а перед экзаменом по имени-отчеству».
Кто предупрежден, тот вооружен.
Паранойя: они боятся, что враги легко декриптуют AES, а мы — нет, так как не мы разрабатывали.
А про ГОСТ (разрабатывали мы) все ровно наоборот, мол, может мы и не декриптуем, но и враги — тоже

То, что терморектальный криптоанализ рулит я в курсе. В нашей стране особенно: достаточно ребятам в удобных бронежилетах зайти в офис и вежливо попросить, как AES-256 превращается в шифр Сцитала :)

Обновить ИОС официально можно только купив его. Со всеми вытекающими (это продукт, который везут на диске и растамаживают). Если неофициально, то можно налететь на цискино регулирование (судя по существующей практике это никого не беспокоит). А теперь можно ещё и на наше законодательство.

Наверно ко всем подряд сразу приходить не будут.

Но есть замечательный закон ФЗ-152, по которому теперь можно зайти в к ЛЮБОЙ организации и вежливо спросить, а как ВЫ защищаете перс.данные? И начать проверять… Со всеми вытекающими.

Я уж не говорю про госсектор и госрегулируемый сектор. Там все ещё строже.
Функция шифрования не является неотъемлемой частью ИОС. А вот у Виндов — является, как ни странно
И в ближайшее время все версии ОС Виндовз будут поданы на нотификацию (по словам Миши)
Можно. Если делать официально, ты получаешь разрешение на ввоз софта (ИОС со строгим шифрованием), получаешь лицензию на обслугу (иди договор на ТО) и вперед.

Только ФСБ теперь по идее в курсе, кто ты, чем занимаешься, зачем шифруешься… А иначе, если им чего не понравится — не дадут :)

И придётся, для выполнения того же ФЗ-152 шифровать ГОСТом.

Я повторюсь: сейчас пока боль-мень понятно со ввозом. С проверкой, чего ты тут используешь — пока полная муть

Ну и до кучи: зальешь «левый» ИОС — нарушил правила циски (на это всем, включая похоже саму циску, в-общем… не обращают внимание :)), но теперь ещё можешь влететь под наши законы, где и административка и уголовка… Как будут считать ущерб — тоже не понятно…

Information

Rating
Does not participate
Location
Россия
Date of birth
Registered
Activity