Am cumpărat un nou switch Cisco SG300 cu 10 porturi Gigabit Ethernet gestionat cu câteva luni în urmă și a fost una dintre cele mai bune investiții pentru rețeaua mea mică de acasă. Comutatoarele Cisco au atât de multe caracteristici și opțiuni pe care le puteți configura pentru a vă controla în mod granular rețeaua. În ceea ce privește securitatea, produsele lor se remarcă.
Cu asta a fost foarte interesant cât de neasigurat un switch Cisco este proaspăt afară din cutie. Când îl conectați, acesta captează fie o adresă IP de la un server DHCP, fie își atribuie o adresă IP (de obicei 192.168.1.254) și utilizează cisco pentru numele de utilizator și parola. Hopa!
Deoarece majoritatea rețelelor utilizează ID-ul de rețea 192.168.1.x, comutatorul dvs. este complet accesibil pentru oricine din rețea. În acest articol, voi vorbi despre cinci etape imediate pe care ar trebui să le luați după ce conectați comutatorul. Astfel, dispozitivul este sigur și configurat corespunzător.
Notă: Acest articol este destinat utilizatorilor de domiciliu sau de birou mici, care sunt noi în switch-urile Cisco. Dacă sunteți inginer Cisco, veți găsi toate acestea foarte simplist.
Pasul 1 - Modificați numele și parola implicite
Acesta este, evident, primul pas și cel mai important. După ce vă conectați la comutator, extindeți Administrare și apoi faceți clic pe Conturi utilizator .
Primul lucru pe care doriți să-l faceți este să adăugați un alt cont de utilizator, astfel încât să puteți șterge apoi contul de utilizator original cisco. Asigurați-vă că dați accesul complet la contul nou, care este accesul la gestionarea citirilor / scrierilor (15) în parola Cisco. Utilizați o parolă puternică, apoi deconectați-vă din contul cisco și conectați-vă folosind noul dvs. cont. Acum ar trebui să puteți elimina contul implicit.
De asemenea, este probabil o idee bună să activați Serviciul de recuperare a parolei, doar dacă ați uitat parola pe care ați setat-o. Veți avea nevoie de acces la consola dispozitivului pentru a reseta parola.
Pasul 2 - Atribuiți o adresă IP statică
Implicit, comutatorul trebuie să aibă deja o adresă IP statică, dar dacă nu, ar trebui să o setați manual. Va fi, de asemenea, necesar dacă nu utilizați codul de rețea 192.168.1. Pentru a face acest lucru, extindeți Administrare - Interfață de administrare - Interfață IPv4 .
Alegeți adresa statică pentru adresa IP și introduceți o adresă IP statică. Acest lucru va face mult mai ușor să gestionați și comutatorul. Dacă cunoașteți gateway-ul implicit pentru rețeaua dvs., continuați și adăugați-l și în secțiunea Administrare implicită Gateway .
De asemenea, merită menționat faptul că adresa IP este atribuită unei interfețe LAN virtuale, adică puteți accesa dispozitivul utilizând adresa IP, indiferent de portul pe care este conectat comutatorul, atâta timp cât porturile sunt atribuite VLAN-ului de administrare selectat în partea de sus . În mod implicit, acesta este VLAN 1 și toate porturile sunt implicite în VLAN 1.
Pasul 3 - Actualizați firmware-ul
Deoarece routerul meu Netgear ieftin poate verifica Internetul pentru o actualizare a software-ului și-l descărca și instala automat, ați crede că un switch de la Cisco ar putea face același lucru. Dar ai fi greșit! Probabil din motive de securitate, de ce nu fac asta, dar este încă enervant.
Pentru a actualiza un switch Cisco cu firmware nou, trebuie să îl descărcați de pe site-ul Cisco și apoi să-l încărcați pe comutator. În plus, trebuie să modificați imaginea activă la noua versiune a firmware-ului. Chiar îmi place această caracteristică deoarece oferă un pic de protecție în cazul în care ceva nu merge bine.
Pentru a găsi noul firmware, doar Google modelul de comutare cu firmware-ul cuvântului la sfârșit. De exemplu, în cazul meu, am vizitat firmware-ul firmware-ului Cisco SG300-10.
Voi scrie un alt articol despre cum să actualizați firmware-ul pentru un router Cisco, deoarece există câteva lucruri pe care doriți să le cunoașteți înainte de a face acest lucru.
Pasul 4 - Configurați accesul securizat
Următorul pas pe care îl recomand este să permiteți accesul securizat doar la comutatorul dvs. Dacă sunteți o linie de comandă pro, ar trebui să dezactivați complet GUI-ul web și să activați accesul numai la SSH. Cu toate acestea, dacă aveți nevoie de interfața GUI, trebuie cel puțin să setați să utilizeze HTTPS mai degrabă decât HTTP.
Verificați postarea mea anterioară cu privire la modul de activare a accesului SSH pentru comutatorul dvs. și apoi conectați-vă folosind un utilitar precum puTTY. Pentru o securitate mai mare, puteți activa autentificarea cheii publice cu SSH și puteți să vă autentificați utilizând o cheie privată. De asemenea, puteți restricționa accesul la interfața de gestionare prin adresa IP, pe care o voi scrie despre o postare viitoare.
Pasul 5 - Copierea Running Config în Startup Config
Ultimul lucru la care doriți să vă obișnuiți atunci când utilizați orice dispozitiv Cisco este să copiați config-ul rulat la config-ul de pornire. Practic, toate modificările pe care le faceți sunt stocate doar în RAM, ceea ce înseamnă că atunci când reporniți dispozitivul, toate setările se vor pierde.
Pentru a salva definitiv configurația, trebuie să copiați configul care rulează în configurarea de pornire, ultima dintre acestea fiind stocată în NVRAM sau RAM non-volatile. Pentru aceasta, extindeți Administrare, apoi Administrare fișiere și apoi faceți clic pe Configurare copiere / salvare .
Setările implicite ar trebui să fie corecte, deci tot ce trebuie să faceți este să faceți clic pe Aplicați . Din nou, asigurați-vă că faceți acest lucru oricând faceți orice schimbare la comutatorul dvs.
Acestea au fost niște pași de configurare foarte buni pentru a vă asigura inițial configurarea și securizarea comutatorului. Voi trimite în curând mai multe tutoriale mai avansate pe alte aspecte ale comutatorului. Dacă aveți întrebări, nu ezitați să comentați. Bucurați-vă!
