- ИТ База знаний
- Полезно
- Навигация
- Серверные решения
- Телефония
- Корпоративные сети
- 5 лайфхаков в консоли Cisco
- exec-timeout 0 0
- logging synchronous
- Основы основ безопасности в Cisco сетях
- Steinkäfer
- вторник, 16 января 2018 г.
- Логирование в Cisco
- Способы логирования
- Метки времени
- Console logging
- Buffered logging
- Terminal logging
- Syslog
- Безопасность syslog сервера
- Ограничение количества лог сообщений
- AAA Accounting
- Полезные команды связанные с логированием
- System Message Logging
- Available Languages
- Download Options
- Table Of Contents
- System Message Logging
- Understanding System Message Logging
- Configuring System Message Logging
- System Log Message Format
ИТ База знаний
Курс по Asterisk
Полезно
— Узнать IP — адрес компьютера в интернете
— Онлайн генератор устойчивых паролей
— Онлайн калькулятор подсетей
— Калькулятор инсталляции IP — АТС Asterisk
— Руководство администратора FreePBX на русском языке
— Руководство администратора Cisco UCM/CME на русском языке
— Руководство администратора по Linux/Unix
Навигация
Серверные решения
Телефония
FreePBX и Asterisk
Настройка программных телефонов
Корпоративные сети
Протоколы и стандарты
5 лайфхаков в консоли Cisco
Tips and tricks
3 минуты чтения
Все мы знаем, что время – самый ценный ресурс. Сегодня мы рассмотрим 5 способов, которые помогут сэкономить немного времени, при работе в командной строке Cisco IOS. Не будем терять время и рассмотрим их!
Онлайн курс по Кибербезопасности
Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии
exec-timeout 0 0
Эта команда позволяет не терять соединение с вашим роутером или коммутатором при достижении времени таймаута, выставив его на ноль минут и ноль секунд. Если ее применить на консольных линиях и VTY, то IOS интерпретирует это, как никогда не истекающий таймаут.
Конечно, ни в коем случае нельзя использовать эту команду в продакшне из соображений безопасности, но она прекрасно подойдет, чтобы сэкономить ваше время в лаборатории, избавив от необходимости повторного входа на несколько устройств в течение дня.
logging synchronous
Наверняка вы были в ситуации, когда посреди набора вашей команды Cisco IOS чувствовала сильную необходимость отправить сообщение Syslog в консоль? 🙂 Это может сильно отвлекать. Способ предотвращения такого вторжения заключается в применении команды logging synchronous . После ввода этой команды, если IOS понадобится отправить Syslog сообщение, то после его отправки, консоль вернет в сеанс терминала то, что вы уже набрали, чтобы продолжить там, где вы остановились.
no ip domain-lookup
Эта команда позволяет отключить интерпретацию команды как DNS имя, если в ней была сделана ошибка. Еще два менее радикальных метода как обойти это можно найти в этой статье.
alias exec
В качестве еще одного способа экономии времени можно создать несколько команд псевдонимов (alias). Это относительно короткие команды, которые транслируются в IOS в длинные команды. Например, если вам часто приходится смотреть конфигурацию протоколов маршрутизации при помощи команды show run | s router , то можно создать ее короткую версию используя команду alias exec src show run | s router. Теперь вместо всей длинной команды нам нужно будет набрать просто ее псевдоним – src .
Сохраненная начальная конфигурация
И в качестве окончательного способа по экономии времени можно рассмотреть сохранения начальной конфигурации в текстовый файл и вставить текст при запуске оборудования «из коробки» или после сброса. Например, можно завести документ со всеми командами из этой статьи и вставлять его в начале работы.
Надеемся, что это поможет сохранить вам пару драгоценных минут!
Онлайн курс по Кибербезопасности
Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии
Источник
Основы основ безопасности в Cisco сетях
Всем доброго здравия!
Не так давно начал самостоятельное обучение к сертификации по курсу Cisco CCNA Security. Дело чрезвычайно интересное и полезное, для тех кто сталкивается в жизни с данным вендором. В этом топике хотелось бы ввести, дорогих хаброжителей, в основы основ безопасности Cisco сетях, на примере железок 3-го уровня. Статья не претендует на роль полноценного мануала по безопасности маршрутизаторов, а лишь дает основные понятия подхода к реализации безопасности в Cisco сетях. Топик будит полезен, как для начинающих админов, так и для гуру администрирования, дабы освежить память. И так, с Вашего позволения, поехали:
Сразу оговорюсь, что теории будит мало, в основном лишь комментарии к редко используемым командам. Для примера, я использовал старенькую/тестовую железку, третьего уровня, 28 серии.
В первую очередь необходимо установить длину используемых паролей, в моем случае эта длина будит равна 10 символам:
R1(config)#security passwords min-length 10
Далее, подготовим роутер, для работы через line console, aux port-ы и line vty.
R1(config)#line console 0
R1(config-line)#password cisco
R1(config-line)#exec-timeout 5 0
R1(config-line)#login
R1(config-line)#logging synchronous
Команда exec-timeout говорит нам о том что, при бездействии пользователя в течении 5-ти минут произойдет процесс разлогирования.
Команда logging synchronous запрещает вывод каких-либо консольных сообщений, которые в свою очередь могут прервать ввод команд в консольном режиме. К сожалению по умолчанию она не включена.
R1(config)#line aux 0
R1(config-line)#password ciscoauxpass
R1(config-line)#exec-timeout 5 0
R1(config-line)#login
R1(config)#line vty 0 4
R1(config-line)#password ciscovtypass
R1(config-line)#exec-timeout 5 0
R1(config-line)#login
Воспользуемся командой service password-encryption для шифрования паролей console, aux и vty.
R1(config)# service password-encryption
Далее, настроим информационные баннеры на маршрутизаторе.
R1(config)#banner motd $Внимание, все Ваши действия записываются. Будте Внимательны$
R1(config)#exit
R1(config)#banner login $Внимание, все Ваши действия записываются. Будте Внимательны$
R1(config)#exit
Создадим пользователей системы:
R1(config)#username user1 password 0 cisco123pass.
Здесь можно выставить password со-значением 0, так как мы уже ввели команду service password-encryption и пароль будит в любом случае хешироваться в MD5. Так же обязательно выставлять каждому новому пользователю secret password:
R1(config)#username user2 secret user123pass
R1(config)#line console 0
R1(config-line)#login local
R1(config-line)#end
R1#exit
R1(config)#line aux 0
R1(config-line)#login local
R1(config-line)#end
R1#exit
R1(config)#line vty 0 4
R1(config-line)#login local
R1(config-line)#end
R1#exit
Еще один маленький штрих:
R1(config)#login block-for 60 attempts 2 within 30
В течении 60 секунд, не будит возможности войти в систему после 2-х неудачных попыток залогиниться. Сконфигурим процесс логирования, при всех возможных попытках доступа в систему:
R1(config)#login on-success log
R1(config)#login on-failure log every 2
R1(config)#exit
Подготовим router для работы с ssh соединениям, для этого создадим пользователя с уровнем привилегий 15 и соответствующими настройками line vty, ключи, ограниченным числом сессий и тайм-аутом для ssh сессий:
R1(config)#username admin privilege 15 secret Cisco12345Admin
R1(config)#line vty 0 4
R1(config-line)#privilege level 15
R1(config-line)#login local
R1(config-line)#transport input ssh
R1(config-line)#exit
R1(config)#crypto key generate rsa general-keys modulus 1024
R1(config)#exit
R1(config)#ip ssh time-out 90
R1(config)#ip ssh maxstartups 2
R1(config)#ip ssh authentication-retries 2
Router(config)#wr
Также, при необходимости существует возможность пробросить на нестандартный ssh порт:
R1(config)#ip ssh port 2009 rotary 9
R1(config)# line vty 4
R1(config)#rotary 9
R1#ssh -l admin -p 2009 192.168.5.5
Конфигурирование AAA: Administrative Role. Это довольно таки сильный механизм и по ней можно написать отдельную статью. В моем случае будит рассмотрен лишь малая его часть. Включаем ААА:
R1#config t
R1(config)#aaa new-model
R1(config)#exit
Включаем для пользователя admin, admin view. Для этого должен быть включен secret password, до того как был включен механизм ААА.
R1(config)#enable secret cisco12345
R1(config)#parser view admin
R1(config-view)#
*Dec 16 22:45:27.587: %PARSER-6-VIEW_CREATED: view ‘admin’
successfully created.
Note: To delete a view, use the command no parser view viewname.
Сделаем привязку пользователя и пароля:
R1(config-view)#secret admin1pass
R1(config-view)#
R1(config-view)#commands?
-RITE-profile Router IP traffic export profile command mode
-RMI Node Config Resource Policy Node Config mode
-RMI Resource Group Resource Group Config mode
-RMI Resource Manager Resource Manager Config mode
-RMI Resource Policy Resource Policy Config mode
-SASL-profile SASL profile configuration mode
-aaa-attr-list AAA attribute list config mode
-aaa-user AAA user definition
-accept-dialin VPDN group accept dialin configuration mode
-accept-dialout VPDN group accept dialout configuration mode
-address-family Address Family configuration mode
R1(config-view)#commands exec include all show
R1(config-view)#commands exec include all config terminal
R1(config-view)#commands exec include all debug
R1(config-view)#end
R1#enable view admin1
Password:admin1pass
Далее необходимо подготовить IOS железки, что то вроде на её безопасную загрузку и устойчивость.
R1(config)#secure boot-image
%IOS_RESILIENCE-5-IMAGE_RESIL_ACTIVE: Successfully secured running image
R1(config)#secure boot-config
%IOS_RESILIENCE-5-CONFIG_RESIL_ACTIVE: Successfully secured config archive [flash:.runcfg-19930301-00131.ar]
Все это проверяется командами:
R1#show flash
R1#show secure bootset
Конфигурим службу syslog на маршрутизаторе. Для этого нам понадобится Kiwi Syslog Daemon или Tftpd32 на отдельном PC, с настройками данных программ, думаю не должно возникнуть особых сложностей, там в принципе все просто. Так же необходимо будит поднять NTP сервер на routre, для синхронизации времени логов.
R1(config)#ntp server 10.1.1.2
R1(config)#ntp update-calendar
R1#show ntp associations
R1#debug ntp all
R1(config)#service timestamps log datetime msec
R1(config)#logging 192.168.1.3
Далее выставляем уровень логирования:
Severity level Keyword Meaning
0 emergencies System unusable
1 alerts Immediate action required
2 critical Critical conditions
3 errors Error conditions
4 warnings Warning conditions
5 notifications Normal but significant condition
6 informational Informational messages
7 debugging Debugging messages
Обычно выбирается уровень 4. Но все зависит от конкретной ситуации.
Ну вот в принципе пока все. Это то что мне удалось узнать из первых уроков курса и ПРОВЕРИТЬ в «боевых» условиях. Надеюсь, что не сильно утомил.
Источник
Steinkäfer
вторник, 16 января 2018 г.
Логирование в Cisco
Способы логирования
Метки времени
(config)#service timestamps log uptime
(config)#service timestamps log datetime localtime
(config)#service timestamps debug datetime localtime
Console logging
R7(config)# logging console informational
Buffered logging
R7(config)# logging buffered 52000
R7(config)# logging buffered informational
Terminal logging
R7(config)# logging monitor warning
R7# terminal monitor
Syslog
R7(config)#logging facility local2
R7(config)#logging trap notifications
R7(config)#logging source-interface Loopback1
R7(config)#logging host 10.10.10.1
R7(config)logging origin-id hostname
Безопасность syslog сервера
Ограничение количества лог сообщений
R7(config)#logging rate-limit 15 except warnings
AAA Accounting
Полезные команды связанные с логированием
ip access-list extended acl-CiscoAccess
permit 10.10.10.0 0.0.0.63
deny any log-input
.
line vty 0 15
access-class acl-CiscoAccess in
На устройство могут заходить только админы из сети 10.10.10.0/26, все остальные попытки будут отклоняться и логироваться.
(config)# login on-failure log
(config)# login on-success log
archive
log config
logging enable
notify syslog contenttype plaintext
hidekeys
Источник
System Message Logging
Available Languages
Download Options
Table Of Contents
System Message Logging
This module describes how to configure system message logging on your wireless device in the following sections:
•
Understanding System Message Logging
•Configuring System Message Logging
•Displaying the Logging Configuration
Note For complete syntax and usage information for the commands used in this chapter, refer to the Cisco IOS Configuration Fundamentals Command Reference for Release 12.4.
Understanding System Message Logging
By default, wireless devices send the output from system messages and debug privileged EXEC commands to a logging process. The logging process controls the distribution of logging messages to various destinations, such as the logging buffer, terminal lines, or a UNIX syslog server, depending on your configuration. The process also sends messages to the console.
Note The syslog format is compatible with 4.3 BSD UNIX.
When the logging process is disabled, messages are sent only to the console. The messages are sent as they are generated, so message and debug output are interspersed with prompts or output from other commands. Messages are displayed on the console after the process that generated them has finished.
You can set the severity level of the messages to control the type of messages displayed on the console and each of the destinations. You can timestamp log messages or set the syslog source address to enhance real-time debugging and management.
You can access logged system messages by using the access point command-line interface (CLI) or by saving them to a properly configured syslog server. The access point software saves syslog messages in an internal buffer. You can remotely monitor system messages by accessing the access point through Telnet or by viewing the logs on a syslog server.
Configuring System Message Logging
This section describes how to configure system message logging in the following sections:
•System Log Message Format
•Default System Message Logging Configuration
•Disabling and Enabling Message Logging
•Setting the Message Display Destination Device
•Enabling and Disabling Time Stamps on Log Messages
•Enabling and Disabling Sequence Numbers in Log Messages
•Defining the Message Severity Level
•Limiting Syslog Messages Sent to the History Table and to SNMP
•Setting a Logging Rate Limit
•Configuring UNIX Syslog Servers
System Log Message Format
System log messages can contain up to 80 characters and a percent sign (%), which follows the optional sequence number or timestamp information, if configured. Messages are displayed in this format:
seq no:timestamp: %facility-severity-MNEMONIC:description
The part of the message preceding the percent sign depends on the setting of the service sequence-numbers, service timestamps log datetime, service timestamps log datetime [ localtime ] [ msec ] [ show-timezone ] , or service timestamps log uptime global configuration command.
Table 1 describes the elements of syslog messages.
Table 1 System Log Message Elements
Stamps log messages with a sequence number only if the service sequence-numbers global configuration command is configured.
hh:mm:ss (short uptime)
d h (long uptime)
Date and time of the message or event. This information appears only if the service timestamps log [ datetime | log ] global configuration command is configured.
The facility to which the message refers (for example, SNMP, SYS, and so forth). A facility can be a hardware device, a protocol, or a module of the system software. It denotes the source or the cause of the system message.
Single-digit code from 0 to 7 that is the severity of the message. For a description of the severity levels, see Table 3.
Text string that uniquely describes the message.
Text string containing detailed information about the event being reported.
The following example shows a partial access point system message:
Источник
