Podczas wdrażania urządzenia, ważne jest, aby przestrzegać wszystkich wskazówek bezpieczeństwa, określonych przez organizację. Obejmuje to sposób nazwania urządzenia, który pozwala na łatwą dokumentację i przydział do określonej grupy, ale również zapewnienie pewnych form zabezpieczeń. Nie jest dobrym posunięciem umieszczanie zbyt wielu informacji na temat urządzenia w jego nazwie. Istnieje także wiele innych podstawowych środków bezpieczeństwa, które powinny zostać podjęte.

Dodatkowe zabezpieczenia hasła

Silne hasła są użyteczne jedynie kiedy są tajne. Istnieje kilka kroków, które należny podjąć, aby upewnić się, że hasła pozostają tajemnicą. Użycie w trybie konfiguracji globalnej polecenia service password-encryption uniemożliwia nieupoważnionym osobom podglądnięcia haseł w postaci zwykłego tekstu w pliku konfiguracyjnym, tak jak pokazano na rysunku. To polecenie powoduje szyfrowanie wszystkich haseł, które są nieszyfrowane.

Dodatkowo warto upewnić się, że ​​wszystkie hasła są skonfigurowane z określonej minimalną długością, używając polecenia security passwords min-length w trybie konfiguracji globalnej.

Innym sposobem hakerów jest łamanie haseł jest poprzez ataki siłowe, próbując wielu haseł tak długo aż któreś zadziała. Można zapobiec tego rodzaju atakom poprzez zablokowanie prób logowania do urządzenia, jeśli liczba niedanych prób w określonym czasie przekroczy jakąś wartość.

Router(config)# login block-for 120 attempts 3 within 60

To polecenie spowoduje zablokowanie mechanizmu logowania przez 120 sekund, jeśli wystąpią trzy nieudane próby logowania w ciągu 60 sekund.

Banery

Baner jest podobny do wiadomości podawanej przy wchodzeniu do strefy chronionej. Są one ważne, aby móc ścigać w sądzie, przypadki niewłaściwego dostępu do systemu. Upewnij się że informacja na banerze jest zgodna z polityką bezpieczeństwa organizacji.

Router(config)# banner motd #message#

Wylogowanie po przekroczeniu czasu

Kolejnym zaleceniem jest ustawienie limitu czasu po którym następuje automatyczne wylogowanie. Ustawiając ten limit czasu, urządzenie Cisco automatycznie odłącza zalogowanych użytkowników po okresie ich bezczynności w czasie określonym przez wartości limitu czasu. Wylogowanie po przekroczeniu czasu można skonfigurować dla połączeń konsolowych, vty i portów aux.

Router(config)# line vty 0 4

Router(config-vty)# exec-timeout 10

To polecenie odłączenia użytkowników po 10 minutach.