О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

Помогите настроить безопасность на ESR-100

MES, ESR
Сергей П
Сообщения: 10
Зарегистрирован: 30 мар 2023 11:25
Reputation: 0

Помогите настроить безопасность на ESR-100

Сообщение Сергей П » 30 мар 2023 13:12

Приветствую коллеги!
Настроил два ESR-100 (master, backup) вот так:

Код: Выделить всё

hostname esr.master

boot host auto-config
object-group service ssh
  port-range 22
exit
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service ntp
  port-range 123
exit

object-group network nat_1
  ip address-range 10.10.1.3
exit
object-group network nat_2
  ip address-range 10.10.1.4
exit

syslog max-files 3
syslog file-size 512
syslog cli-commands
syslog sequence-numbers
syslog file tmpsys:syslog/default info

security zone trusted
exit
security zone untrusted
exit

interface gigabitethernet 1/0/1
  description "local"
  ip firewall disable
  ip address 192.168.1.2/24
  vrrp id 10
  vrrp ip 192.168.1.1/24
  vrrp group 10
  vrrp
exit
interface gigabitethernet 1/0/2
  description "network_1"
  ip firewall disable
  ip address 192.168.2.9/30
  vrrp id 20
  vrrp ip 10.10.1.11/29
  vrrp group 10
  vrrp
exit
interface gigabitethernet 1/0/3
  description "network_2"
  ip firewall disable
  ip address 192.168.2.29/30
  ip address 10.10.2.3/29
  ip address 10.10.2.4/29
  vrrp id 30
  vrrp ip 10.10.2.5/29
  vrrp group 10
  vrrp
exit
interface gigabitethernet 1/0/4
  security-zone trusted
exit
nat destination
  pool 1
    ip address 192.168.1.32
  exit
  pool 2
    ip address 192.168.1.33
  exit
  ruleset dnat
    from interface gigabitethernet 1/0/3
    rule 1
      match protocol tcp
      match destination-address nat_1
      action destination-nat pool 1
      enable
    exit
    rule 2
      match protocol tcp
      match destination-address nat_2
      action destination-nat pool 2
      enable
    exit
  exit
exit

ip route 192.168.100.1/32 10.10.1.9
ip route 192.168.200/25 10.10.2.8

ip ssh server


Все работает.

Теперь нужно настроить безопасность и здесь у меня мозг сломался :)

Первое что бы хотелось сделать, это ограничить доступ к устройствам.
  • Подключение по ssh разрешить только определенным пользователям, а admin запретить
  • admin разрешить подключаться только через консольный порт
  • Использовать локальную аутентификацию
  • По ssh разрешить подключаться из сети (может даже только с определенных адресов) которая находиться за первым портом, с других портов и сетей доступ запретить.
  • telnet вроде уже выключил...


далее в планах настроить firewall и Access Control List, больше не знаю что и для чего настраивать, но это все позже. С начала нужно разобраться с доступом к устройствам.

Сергей П
Сообщения: 10
Зарегистрирован: 30 мар 2023 11:25
Reputation: 0

Re: Помогите настроить безопасность на ESR-100

Сообщение Сергей П » 30 мар 2023 13:25

login authentication <NAME>
Данная команда устанавливает способ аутентификации для входа в систему для определенного типа подключения (console, telnet, ssh).
<NAME> – имя списка способов аутентификации. Принимает значение «default» и имена списков, созданных пользователем.


Что за список способов аутентификации?

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Помогите настроить безопасность на ESR-100

Сообщение Garri » 30 мар 2023 23:23

Добрый день!
<NAME> - это просто название списка.
Запретить админа не получиться.
Про безопасность - начните отсюда:
1) https://docs.eltex-co.ru/pages/viewpage ... =277053669
2) https://docs.eltex-co.ru/pages/viewpage ... =330039647

Сергей П
Сообщения: 10
Зарегистрирован: 30 мар 2023 11:25
Reputation: 0

Re: Помогите настроить безопасность на ESR-100

Сообщение Сергей П » 31 мар 2023 10:18

Спасибо почитаю.
Подскажите еще пока понять не могу RADIUS-сервер это отдельная железка или esr может выступать в качестве RADIUS-сервера?

Garri писал(а):Добрый день!
<NAME> - это просто название списка.
Запретить админа не получиться.
Про безопасность - начните отсюда:
1) https://docs.eltex-co.ru/pages/viewpage ... =277053669
2) https://docs.eltex-co.ru/pages/viewpage ... =330039647

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Помогите настроить безопасность на ESR-100

Сообщение Garri » 03 апр 2023 23:29

Это отдельная железка.

Сергей П
Сообщения: 10
Зарегистрирован: 30 мар 2023 11:25
Reputation: 0

Re: Помогите настроить безопасность на ESR-100

Сообщение Сергей П » 12 апр 2023 13:45

В инструкции написано что команда:

Код: Выделить всё

esr(config)# syslog file tmpsys:syslog/default info

Включается хранение сообщений о событиях уровня info и выше в файл syslog на устройстве

Вопрос: запись логов для NAT, firewall и т.п. тоже будут делаться или их надо включать отдельно?

Сергей П
Сообщения: 10
Зарегистрирован: 30 мар 2023 11:25
Reputation: 0

Re: Помогите настроить безопасность на ESR-100

Сообщение Сергей П » 12 апр 2023 15:22

Имеется esr-100 и zabbix 3.4
Какие команды надо ввести что бы все что происходит на esr-100 писалось в лог и отправлялось в виде трапов на zabbix?

Сергей П
Сообщения: 10
Зарегистрирован: 30 мар 2023 11:25
Reputation: 0

Re: Помогите настроить безопасность на ESR-100

Сообщение Сергей П » 12 апр 2023 18:12

После отключения устаревших и не криптостойких алгоритмов по инструкции:

Код: Выделить всё

esr(config)# ip ssh server
esr(config)# ip ssh authentication algorithm md5 disable
esr(config)# ip ssh authentication algorithm md5-96 disable
esr(config)# ip ssh authentication algorithm ripemd160 disable
esr(config)# ip ssh authentication algorithm sha1 disable
esr(config)# ip ssh authentication algorithm sha1-96 disable
esr(config)# ip ssh authentication algorithm sha2-256 disable
esr(config)# ip ssh encryption algorithm 3des disable
esr(config)# ip ssh encryption algorithm aes128 disable
esr(config)# ip ssh encryption algorithm aes128ctr disable
esr(config)# ip ssh encryption algorithm aes192 disable
esr(config)# ip ssh encryption algorithm aes192ctr disable
esr(config)# ip ssh encryption algorithm aes256 disable
esr(config)# ip ssh encryption algorithm arcfour disable
esr(config)# ip ssh encryption algorithm arcfour128 disable
esr(config)# ip ssh encryption algorithm arcfour256 disable
esr(config)# ip ssh encryption algorithm blowfish disable
esr(config)# ip ssh encryption algorithm cast128 disable
esr(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable
esr(config)# ip ssh key-exchange algorithm dh-group1-sha1 disable
esr(config)# ip ssh key-exchange algorithm dh-group14-sha1 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp256 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp384 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp521 disable
esr(config)# ip ssh host-key algorithm dsa disable
esr(config)# ip ssh host-key algorithm ecdsa256 disable
esr(config)# ip ssh host-key algorithm ecdsa384 disable
esr(config)# ip ssh host-key algorithm ecdsa521 disable
esr(config)# ip ssh host-key algorithm ed25519 disable


И генерации ключей rsa:

Код: Выделить всё

 crypto key generate rsa 2048


Как подключиться к железке?
Что куда вводить в putty?

Сергей П
Сообщения: 10
Зарегистрирован: 30 мар 2023 11:25
Reputation: 0

Re: Помогите настроить безопасность на ESR-100

Сообщение Сергей П » 12 апр 2023 18:44

Последние команды из списка выше не работают:

Код: Выделить всё

esr(config)# ip ssh host-key algorithm dsa disable
esr(config)# ip ssh host-key algorithm ecdsa256 disable
esr(config)# ip ssh host-key algorithm ecdsa384 disable
esr(config)# ip ssh host-key algorithm ecdsa521 disable
esr(config)# ip ssh host-key algorithm ed25519 disable


а справка вот что выдает:

Код: Выделить всё

esr(config)# ip ssh
  authentication  Configure the authentication parameters to be used by the SSH server
  client          Configure the SSH client
  dscp            Configure DSCP for SSH server
  encryption      Configure the encryption parameters to be used by the SSH server
  key-exchange    Configure the key exchange parameters to be used by the SSH server
  port            Configure the port to be used by the SSH server
  server          Enable SSH server
  source-vrf      Configure Virtual Routing/Forwarding instance for copy operations
  version         Configure the protocol version to be used by the SSH server


esr(config)# ip ssh

Сергей П
Сообщения: 10
Зарегистрирован: 30 мар 2023 11:25
Reputation: 0

Re: Помогите настроить безопасность на ESR-100

Сообщение Сергей П » 13 апр 2023 10:31

По командам расхождение потому что у меня старая версия ESR-ов :shock:

Код: Выделить всё

esr# show version
Boot version:
  1.4.1.92 (date 19/11/2018 time 16:35:52)
SW version:
  1.4.4 build 3[6e7d11f] (date 22/12/2018 time 16:31:49)
HW version:
  1v7

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Помогите настроить безопасность на ESR-100

Сообщение Garri » 14 апр 2023 01:58

Сергей П писал(а):Имеется esr-100 и zabbix 3.4
Какие команды надо ввести что бы все что происходит на esr-100 писалось в лог и отправлялось в виде трапов на zabbix?

Трапы внутри команды:
snmp-server enable traps ....

Сергей П
Сообщения: 10
Зарегистрирован: 30 мар 2023 11:25
Reputation: 0

Re: Помогите настроить безопасность на ESR-100

Сообщение Сергей П » 17 апр 2023 11:36

В общем добился пока что трапы на забикс прилетают, но он их не понимает. отправляет их в файл snmpttunknown.log

Делаю вот по этой инструкции:
https://support.usergate.com/node/24704

Нужен mib файл с описанием трапов, на странице загрузки архив с кучей файлов.

Скачиваю файлы от сюда:
https://eltex-co.ru/support/downloads/?ITEM=2176#kb-content

Какой mib файл описывает трапы esr-100?

Сергей П
Сообщения: 10
Зарегистрирован: 30 мар 2023 11:25
Reputation: 0

Re: Помогите настроить безопасность на ESR-100

Сообщение Сергей П » 17 апр 2023 12:13

чем отличается режим отправки snmp-trap cisco и ietf?

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Помогите настроить безопасность на ESR-100

Сообщение Garri » 18 апр 2023 02:08

ietf if-mib (RFC2863) и if-mib cisco, если по памяти, то, отличаются количеством переменных отравляемых snmp-trap.


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 9 гостей