Kupiłem nowy 10-portowy przełącznik zarządzalny Gigabit Ethernet Cisco SG300 kilka miesięcy temu i był to jeden z najlepszych inwestycji w moją małą sieć domową. Przełączniki Cisco mają tak wiele funkcji i opcji, które można skonfigurować w celu szczegółowego sterowania siecią. Pod względem bezpieczeństwa wyróżniają się ich produkty.
Powiedziawszy to, bardzo interesujące jest to, jak niezabezpieczone przełączniki Cisco są gotowe do użycia po wyjęciu z pudełka. Po podłączeniu go albo pobiera adres IP z serwera DHCP lub przypisuje sobie adres IP (zwykle 192.168.1.254) i używa cisco dla nazwy użytkownika i hasła. Yikes!
Ponieważ większość sieci używa identyfikatora sieciowego 192.168.1.x, przełącznik jest w pełni dostępny dla wszystkich osób w sieci. W tym artykule omówię pięć natychmiastowych kroków, które powinieneś podjąć po podłączeniu przełącznika. Zapewni to, że twoje urządzenie jest bezpieczne i skonfigurowane poprawnie.
Uwaga: ten artykuł jest skierowany do użytkowników domowych lub małych biur, którzy są nowicjuszami przełączników Cisco. Jeśli jesteś inżynierem Cisco, znajdziesz to wszystko bardzo uproszczone.
Krok 1 - Zmień domyślną nazwę użytkownika i hasło
Jest to oczywiście pierwszy krok i najważniejszy. Po zalogowaniu się do przełącznika rozwiń Administracja, a następnie kliknij Konta użytkowników .
Pierwszą rzeczą, którą będziesz chciał zrobić, to dodać kolejne konto użytkownika, aby móc następnie usunąć oryginalne konto użytkownika cisco. Upewnij się, że dajesz nowe konto pełnego dostępu, którym jest dostęp do odczytu / zapisu (15) w języku Cisco. Użyj silnego hasła, a następnie wyloguj się z konta cisco i zaloguj się przy użyciu nowego konta. Powinieneś teraz móc usunąć domyślne konto.
Dobrym pomysłem jest również włączenie usługi odzyskiwania hasła, na wypadek gdybyś zapomniał ustawionego hasła. Będziesz potrzebować dostępu do konsoli, aby zresetować hasło.
Krok 2 - Przypisz statyczny adres IP
Domyślnie przełącznik powinien już mieć statyczny adres IP, ale jeśli nie, należy go ręcznie ustawić. Będzie to również konieczne, jeśli nie używasz identyfikatora sieciowego 192.168.1. Aby to zrobić, rozwiń Administracja - Interfejs zarządzania - Interfejs IPv4 .
Wybierz Statyczny dla typu adresu IP i wprowadź statyczny adres IP. Ułatwi to również zarządzanie przełącznikiem. Jeśli znasz domyślną bramę dla swojej sieci, dodaj ją również pod domyślną bramą administracyjną .
Warto również zauważyć, że adres IP jest przypisany do interfejsu wirtualnej sieci LAN, co oznacza, że można uzyskać dostęp do urządzenia za pomocą adresu IP niezależnie od tego, który port jest podłączony do przełącznika, o ile te porty są przypisane do sieci VLAN zarządzania wybranej na górze . Domyślnie jest to VLAN 1, a wszystkie porty są domyślnie w sieci VLAN 1.
Krok 3 - Zaktualizuj oprogramowanie
Ponieważ mój tani router Netgear może sprawdzić Internet pod kątem aktualizacji oprogramowania i automatycznie go pobrać i zainstalować, można by pomyśleć, że wymyślny przełącznik Cisco może zrobić to samo. Ale mylisz się! Prawdopodobnie ze względów bezpieczeństwa nie robią tego, ale nadal jest denerwujące.
Aby zaktualizować przełącznik Cisco za pomocą nowego oprogramowania układowego, musisz pobrać go ze strony internetowej Cisco, a następnie przesłać do przełącznika. Ponadto musisz zmienić aktywny obraz na nową wersję oprogramowania układowego. Naprawdę lubię tę funkcję, ponieważ zapewnia trochę ochrony na wypadek, gdyby coś poszło nie tak.
Aby znaleźć nowe oprogramowanie układowe, po prostu wybierz model przełącznika z oprogramowaniem układowym na końcu. Na przykład w moim przypadku po prostu zainstalowałem oprogramowanie sprzętowe Cisco SG300-10.
Napiszę kolejny artykuł o tym, jak uaktualnić oprogramowanie dla routera Cisco, ponieważ jest kilka rzeczy, o których powinieneś wiedzieć zanim to zrobisz.
Krok 4 - Skonfiguruj bezpieczny dostęp
Następnym krokiem, który polecam, jest umożliwienie tylko bezpiecznego dostępu do przełącznika. Jeśli jesteś profesjonalistą z linii poleceń, naprawdę powinieneś całkowicie wyłączyć GUI i włączyć tylko dostęp SSH. Jeśli jednak potrzebujesz interfejsu GUI, powinieneś ustawić go tak, aby korzystał z HTTPS zamiast HTTP.
Sprawdź mój poprzedni wpis, w jaki sposób włączyć dostęp SSH do przełącznika, a następnie zaloguj się za pomocą narzędzia takiego jak puTTY. Aby zapewnić jeszcze większe bezpieczeństwo, możesz włączyć uwierzytelnianie za pomocą klucza publicznego przy użyciu protokołu SSH i zalogować się przy użyciu klucza prywatnego. Możesz również ograniczyć dostęp do interfejsu zarządzania przez adres IP, o czym napiszę w przyszłym poście.
Krok 5 - Skopiuj Uruchomienie konfiguracji do konfiguracji startowej
Ostatnią rzeczą, do której chcesz się przyzwyczaić podczas używania dowolnego urządzenia Cisco jest skopiowanie działającej konfiguracji do konfiguracji uruchamiania. Zasadniczo wszystkie wprowadzone zmiany są przechowywane tylko w pamięci RAM, co oznacza, że po ponownym uruchomieniu urządzenia wszystkie ustawienia zostaną utracone.
Aby trwale zapisać konfigurację, musisz skopiować uruchomioną konfigurację do konfiguracji startowej, która jest przechowywana w pamięci NVRAM lub nieulotnej pamięci RAM. Aby to zrobić, rozwiń Administracja, a następnie Zarządzanie plikami, a następnie kliknij Kopiuj / Zapisz konfigurację .
Domyślne ustawienia powinny być poprawne, więc wszystko, co musisz zrobić, to kliknąć Zastosuj . Ponownie, upewnij się, że robisz to za każdym razem, gdy dokonujesz jakiejkolwiek zmiany w swoim przełączniku.
To były naprawdę podstawowe kroki konfiguracyjne, aby ustawić i skonfigurować zabezpieczenia. Niedługo będę publikować bardziej zaawansowane samouczki dotyczące innych aspektów przełącznika. Jeśli masz jakieś pytania, możesz je skomentować. Cieszyć się!