Помогите настроить безопасность на ESR-100

[Сергей П]

Приветствую коллеги!
Настроил два ESR-100 (master, backup) вот так:

Код: Выделить всё

hostname esr.master

boot host auto-config
object-group service ssh
  port-range 22
exit
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service ntp
  port-range 123
exit

object-group network nat_1
  ip address-range 10.10.1.3
exit
object-group network nat_2
  ip address-range 10.10.1.4
exit

syslog max-files 3
syslog file-size 512
syslog cli-commands
syslog sequence-numbers
syslog file tmpsys:syslog/default info

security zone trusted
exit
security zone untrusted
exit

interface gigabitethernet 1/0/1
  description "local"
  ip firewall disable
  ip address 192.168.1.2/24
  vrrp id 10
  vrrp ip 192.168.1.1/24
  vrrp group 10
  vrrp
exit
interface gigabitethernet 1/0/2
  description "network_1"
  ip firewall disable
  ip address 192.168.2.9/30
  vrrp id 20
  vrrp ip 10.10.1.11/29
  vrrp group 10
  vrrp
exit
interface gigabitethernet 1/0/3
  description "network_2"
  ip firewall disable
  ip address 192.168.2.29/30
  ip address 10.10.2.3/29
  ip address 10.10.2.4/29
  vrrp id 30
  vrrp ip 10.10.2.5/29
  vrrp group 10
  vrrp
exit
interface gigabitethernet 1/0/4
  security-zone trusted
exit
nat destination
  pool 1
    ip address 192.168.1.32
  exit
  pool 2
    ip address 192.168.1.33
  exit
  ruleset dnat
    from interface gigabitethernet 1/0/3
    rule 1
      match protocol tcp
      match destination-address nat_1
      action destination-nat pool 1
      enable
    exit
    rule 2
      match protocol tcp
      match destination-address nat_2
      action destination-nat pool 2
      enable
    exit
  exit
exit

ip route 192.168.100.1/32 10.10.1.9
ip route 192.168.200/25 10.10.2.8

ip ssh server


Все работает.

Теперь нужно настроить безопасность и здесь у меня мозг сломался

Первое что бы хотелось сделать, это ограничить доступ к устройствам.

• Подключение по ssh разрешить только определенным пользователям, а admin запретить
• admin разрешить подключаться только через консольный порт
• Использовать локальную аутентификацию
• По ssh разрешить подключаться из сети (может даже только с определенных адресов) которая находиться за первым портом, с других портов и сетей доступ запретить.
• telnet вроде уже выключил...

далее в планах настроить firewall и Access Control List, больше не знаю что и для чего настраивать, но это все позже. С начала нужно разобраться с доступом к устройствам.

[Сергей П]

login authentication <NAME>
Данная команда устанавливает способ аутентификации для входа в систему для определенного типа подключения (console, telnet, ssh).
<NAME> – имя списка способов аутентификации. Принимает значение «default» и имена списков, созданных пользователем.

Что за список способов аутентификации?

[Garri]

Добрый день!
<NAME> - это просто название списка.
Запретить админа не получиться.
Про безопасность - начните отсюда:
1) https://docs.eltex-co.ru/pages/viewpage ... =277053669
2) https://docs.eltex-co.ru/pages/viewpage ... =330039647

[Сергей П]

Спасибо почитаю.
Подскажите еще пока понять не могу RADIUS-сервер это отдельная железка или esr может выступать в качестве RADIUS-сервера?

Добрый день!
<NAME> - это просто название списка.
Запретить админа не получиться.
Про безопасность - начните отсюда:
1) https://docs.eltex-co.ru/pages/viewpage ... =277053669
2) https://docs.eltex-co.ru/pages/viewpage ... =330039647

[Garri]

Это отдельная железка.

[Сергей П]

В инструкции написано что команда:

Код: Выделить всё

esr(config)# syslog file tmpsys:syslog/default info


Включается хранение сообщений о событиях уровня info и выше в файл syslog на устройстве

Вопрос: запись логов для NAT, firewall и т.п. тоже будут делаться или их надо включать отдельно?

[Сергей П]

Имеется esr-100 и zabbix 3.4
Какие команды надо ввести что бы все что происходит на esr-100 писалось в лог и отправлялось в виде трапов на zabbix?

[Сергей П]

После отключения устаревших и не криптостойких алгоритмов по инструкции:

Код: Выделить всё

esr(config)# ip ssh server
esr(config)# ip ssh authentication algorithm md5 disable
esr(config)# ip ssh authentication algorithm md5-96 disable
esr(config)# ip ssh authentication algorithm ripemd160 disable
esr(config)# ip ssh authentication algorithm sha1 disable
esr(config)# ip ssh authentication algorithm sha1-96 disable
esr(config)# ip ssh authentication algorithm sha2-256 disable
esr(config)# ip ssh encryption algorithm 3des disable
esr(config)# ip ssh encryption algorithm aes128 disable
esr(config)# ip ssh encryption algorithm aes128ctr disable
esr(config)# ip ssh encryption algorithm aes192 disable
esr(config)# ip ssh encryption algorithm aes192ctr disable
esr(config)# ip ssh encryption algorithm aes256 disable
esr(config)# ip ssh encryption algorithm arcfour disable
esr(config)# ip ssh encryption algorithm arcfour128 disable
esr(config)# ip ssh encryption algorithm arcfour256 disable
esr(config)# ip ssh encryption algorithm blowfish disable
esr(config)# ip ssh encryption algorithm cast128 disable
esr(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable
esr(config)# ip ssh key-exchange algorithm dh-group1-sha1 disable
esr(config)# ip ssh key-exchange algorithm dh-group14-sha1 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp256 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp384 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp521 disable
esr(config)# ip ssh host-key algorithm dsa disable
esr(config)# ip ssh host-key algorithm ecdsa256 disable
esr(config)# ip ssh host-key algorithm ecdsa384 disable
esr(config)# ip ssh host-key algorithm ecdsa521 disable
esr(config)# ip ssh host-key algorithm ed25519 disable


И генерации ключей rsa:

Код: Выделить всё

 crypto key generate rsa 2048

Как подключиться к железке?
Что куда вводить в putty?

[Сергей П]

Последние команды из списка выше не работают:

Код: Выделить всё

esr(config)# ip ssh host-key algorithm dsa disable
esr(config)# ip ssh host-key algorithm ecdsa256 disable
esr(config)# ip ssh host-key algorithm ecdsa384 disable
esr(config)# ip ssh host-key algorithm ecdsa521 disable
esr(config)# ip ssh host-key algorithm ed25519 disable

а справка вот что выдает:

Код: Выделить всё

esr(config)# ip ssh
  authentication  Configure the authentication parameters to be used by the SSH server
  client          Configure the SSH client
  dscp            Configure DSCP for SSH server
  encryption      Configure the encryption parameters to be used by the SSH server
  key-exchange    Configure the key exchange parameters to be used by the SSH server
  port            Configure the port to be used by the SSH server
  server          Enable SSH server
  source-vrf      Configure Virtual Routing/Forwarding instance for copy operations
  version         Configure the protocol version to be used by the SSH server


esr(config)# ip ssh

[Сергей П]

По командам расхождение потому что у меня старая версия ESR-ов

Код: Выделить всё

esr# show version
Boot version:
  1.4.1.92 (date 19/11/2018 time 16:35:52)
SW version:
  1.4.4 build 3[6e7d11f] (date 22/12/2018 time 16:31:49)
HW version:
  1v7


[Garri]

Имеется esr-100 и zabbix 3.4
Какие команды надо ввести что бы все что происходит на esr-100 писалось в лог и отправлялось в виде трапов на zabbix?

Трапы внутри команды:
snmp-server enable traps ....

[Сергей П]

В общем добился пока что трапы на забикс прилетают, но он их не понимает. отправляет их в файл snmpttunknown.log

Делаю вот по этой инструкции:
https://support.usergate.com/node/24704

Нужен mib файл с описанием трапов, на странице загрузки архив с кучей файлов.

Скачиваю файлы от сюда:
https://eltex-co.ru/support/downloads/?ITEM=2176#kb-content

Какой mib файл описывает трапы esr-100?

[Сергей П]

чем отличается режим отправки snmp-trap cisco и ietf?

[Garri]

ietf if-mib (RFC2863) и if-mib cisco, если по памяти, то, отличаются количеством переменных отравляемых snmp-trap.