TCL (Tool Command Language) энэ нь cisco дээр бичигдэх боломжтой /бүх л төрлийн эмбеддэд төхөөрөмж дээр/ script хэл юм. John Ousterhout гэдэг хүн 1988 онд анх зохиосон. энэхүү хэл нь CGI хэлийг давхар ашиглах боломжтойгоороо давуу талтай юм.
СommandName argument1 argument2s ... argumentN гэсэн ерөнхий бичэглэлийг ашигладаг.
Cisco IOS-ийн хувилбаруудад дараах байдлаар ашиглах боломжтой.
12,3(2)T Хязгаарлагдмал байдлаар ашиглах боломжтой.
12.3(7)T SNMP-ийн MIB-д хандах боломжтой болгосон.
12.2.(25)S Уг хэлний бүх боломжийг ашиглах боломжтой болсон.
12.2(33)SXH Уг хэлний бүх боломжийг ашиглах боломжтой болсон.
Cisco Router-т хэрхэн tcl тохиргоог хийх боломжийг бүрдүүлэх вэ?
•Router# tclsh
•Router(tcl)#
•Router(tcl)#info patchlevel
•Router(tcl)#info commands
•Router(tcl)#exec "show version“
•Router(tcl)#exec "show interfaces“
•Router(tcl)#ios_config "interface serial0/0" "ip address 192.168.1.1 255.255.255.0"
•Router(tcl)# tclq
•Router#
Tcl configuration mode нь global configuration mode-той ижилхэн.
Жишээ болгож зарим тохиргоог tcl ашиглан гүйцэтгэхийг үзье.
ios_config "interface serial0/0" "ip address 1.2.3.4 255.255.0.0" энэхүү командаар эхлээд интерфэйсдээ нэвтрээд дараа нь логик хаяг тохируулж өгч байна.
Wednesday, February 17, 2010
Securing Cisco IOS
Cisco IOS-ийн өөрийнх нь аюулгүй байдлыг хэрхэн хангаж болох талаар өөрийн мэддэг жаахан зүйлээ сийрүүлэн бичье.
Миний бодлоор сүлжээний аюулгүй байдал гэдэг сүлжээний гол зангилаа төхөөрөмжийн аюулгүй байдлаас шууд хамааралтай гэж боддог. Учир нь миний бодлоор ихэнх халдагчид гаднаас халдлага хийдэг.
Cisco IOS Security = VPN + Firewall /IOS/ /ACL/ + IDS + IP Routing + Timestamp + Syslog server + Limit connection + Needed or Not needed service гэсэн хэлбэртэй байх болов уу гэж бодож байна.
Намайг оюутан байх үед нэг багш маань хэлж байсан санаанд орж байна. Бусад орны хүмүүс програм суулгахдаа эхлээд license agreement хэсгийг нь уншдаг харин монголчууд уншилгүй суулгаад алдаа гарвал уншдаг гэж хэлж байсан санагдаж байна.
Banner гэсэн нэг ойлголт байдаг. Энэ нь тухайн төхөөрөмж /host/-рүү хандалт хийх үед хамгийн түрүүнд гарч ирдэг анхааруулга юм. Тухайн анхааруулга дээр ихэвчлэн зөвшөөрөгдсөн хэрэглэгчид хандах боломжтой зөвшөөрөлгүй хандвал хууль бус болно гэдгийг сануулсан сануулга байдаг юм.
VPN :
Энэ нь нийтийн сүлжээг ашиглан хувийн холболт үүсгэхийг хэлдэг гэдгийг хүн бүхэн надаар хэлүүлэлтгүй мэдэх байхаа. Cisco IOS-д маш олон төрлийн VPN холболтууд байдаг. Тэдгээрээс хамгийн их хэрэглэдэг нь /магадгүй хамгийн найдвартай нь байх/ IPSec болой. /Хэрхэн тохируулах талаар тусад нь бичнэ/
ACL :
Энэ бол миний бодлоор хамгийн чухал нь болой. Firewall яаж ажилладаг талаар хүн бүхэн мэдэж байгаа байх яг үүнтэй адилаар хамгаалалтыг хийдэг эд шүү дээ.
Энэ нь Standard Extended гэсэн хоёр төрөл байна. Эдгээр нь ашиглаж байгаа дугаараараа ялгагдана. ACL нь дараах байдлаар хамгаалалтаа хийнэ. Протокол бүр дээр /IP , IPX гэх мэт/, интерфэйс бүр дээр /Fastethernet 0/0 гэх мэт/, хандалтууд дээр /in, out, forward/ тус бүр дээр нь хамгаалах чадвартай эд байгаа юм. ACL нь бичсэн дүрмүүдийн дээрээс нь доош нь дарааллаар гүйцэтгэнэ. ACL бол зөвхөн хориглоно эсвэл зөвшөөрнө гэсэн дүрэмтэй.
Жишээ. access-list 1 deny host 10.0.5.5 дээрх жишээн дээр 10,0,5,5 гэсэн логик хаягтай нөхрийг энэ төхөөрөмжрүү хандах боломжгүй болгож байна. ACL-ийг цагийн хязгаарлалттай тавьж болно гэдгийг бас мэдэж байх хэрэгтэй болов уу. жишээ нь дараах байдлаар:
access-list 100 remark Only allow IP traffic during open hours
access-list 100 permit ip any any time-range only-during-open-hours
!
time-range only-during-open-hours
absolute start 00:00 01 January 2002
periodic weekdays 7:30 to 18:30
periodic Saturday 8:30 to 13:30 periodic Sunday 8:30 to 18:30
IDS:
За энэ бол халдлага илрүүлдэг эд байгаа юм. Cisco IOS дээр нэмж суулгаж хэрэглэх боломжтой. Гэхдээ таны CPU нэлээд өндөр хувиар ачааллах хэрэг гарна шүү дээ. Яагаад гэвэл таны төхөөрөмж өөр дээгүүрээ дамжин өнгөрч байгаа бүх л трафикийг шинжилж үзнэ шүү дээ.
IP Routing:
За энэ бас их чухал хэрэгтэй эд. Таны төхөөрөмжөөр хэн дамжин гарах уу хэнийг хориглох уу гээд л таны шийдэх асуудал шүү дээ. Жишээ нь та зөвхөн дотооддоо дамжин өнгөрөх трафикийг гадна талдаа ямар ч нөлөө үзүүлэхгүйгээр явуулах эсвэл дотооддоо дамжиж байгаа зүйлсийг интернэтэд цацах нь таны асуудал болно гэсэн үг.
Дээр нь нэмээд хэлэхэд нөгөө routing протоколыхоо аюулгүй байдлыг хангаж өгөх хэрэгтэй. Ямар нэг байдлаар энкрипт хийдэг ч юмуу.
ip ospf message-digest-key 1 md5 mypassword гэдэг ч юмуу байж болно ш дээ.
Timestamp:
Энэ маш чухал юм шиг санагддаг юм. Ямар нэг алдаанаас болоод та халдлагад өртсөн тохиолдолд та хэзээ гэдгийг нь үнэн зөвөөр мэдэх ганц боломж шүү дээ. Өөрөөр хэлбэл та дараах байдлаар NTP тохируулж өгч болно гэсэн үг юм.
clock timezone GMT +8
ntp authentication -key 1 md5 YMAR_NEG_KEY
ntp authenticate
ntp update calendar
ntp server 10.0.5.5
Syslog server:
Зиа үүнийг надаар хэлүүлэлтгүй бүгдээрээ мэдэж байгаа байлгүй дээ. Саяхан цагаа үнэн зөв тохируулсан юм чинь одоо нөгөө таньруу хэн халдаад байна системд хэн орж гарч байна гээд бүхий л төрлийн мэдээллийг нэг газарт хадгалах боломжийг олгоно гэсэн үг шүү дээ энэ нөхөр чинь. Энэ тохируулахад маш амархан гэхдээ хамгийн их хэрэгтэй шүү дээ.
Серверээ заагаад өгчихнө.
logging 10.0.5.5
logging facility local7
Ямар лог хадгалах вэ гэдгээ заагаад өгнө.
logging trap informational
logging console warning
Хаанаас вэ гэдгийг нь бас зааж өгч болно.
logging source-interface loopback0
Хэр хэмжээтэй хадгалах вэ гэдгийг зааж өгч болно.
logging buffered 4096
Limit connection
Энэ бас хэрэгтэй байх болов уу гэж бодоод л. Жишээ нь таньруу нэг нөхөр маш удаан хугацаагаар олон удаа хандалт хийж байвал халдлага байх магадлал өндөртэй шүү дээ. Тэгэхээр үүнээс хэрхэн сэргийлэх вэ гэхээр тодорхой хугацаанд тодорхой тооны хандалтыг зөвшөөрнө гээд өгчихнө шүү дээ.
ip tcp synwait-time 10 ч гэдэг юмуу.
Needed or Not needed service
Энэ миний бодлоор бас их чухал санагдсан. Учир нь ямар ч хэрэггүй олон сервис ажиллуулна гэдэг нь тэр тооны олон порт протокол нээлттэй байна гэсэн үг болж байгаа юм. Мэдээж олон нээлттэй порт байх үед аль нэг нь сул талтай болж л таарна шүү дээ түүгээр нь ямар нэг вирус ворм ч юмуу орж ирээд нөгөө сайхан сүлжээг маань будаа болгоно гэсэн үг шүү дээ. Тэгэхээр би дараах байдлаар хэрэгтэй болон хэрэггүй сервисүүдийг ангилсан юм.
Хэрэгтэй:
service password-encryption
service timestamps debug datetime
service timestamps log datetime localtime
service tcp-keepalives-in
service tcp-keepalives-out
Хэрэггүй: /Гэхдээ огт хэрэггүй биш/
no cdp run (be careful)
no boot network (older command)
no service config
no ip source-route
no service finger (older command)
no ip finger
no ip identd
no service pad
no service tcp-small-servers
no service udp-small-servers
no ip bootp server
no snmp-server (more on this later)
no tftp-server
no cdp enable
ip accounting access-violation
no ip directed-broadcast
no ip redirects
no ip unreachables
no ip mask-reply
no ip proxy-arp
no mop enabled
Миний бодлоор сүлжээний аюулгүй байдал гэдэг сүлжээний гол зангилаа төхөөрөмжийн аюулгүй байдлаас шууд хамааралтай гэж боддог. Учир нь миний бодлоор ихэнх халдагчид гаднаас халдлага хийдэг.
Cisco IOS Security = VPN + Firewall /IOS/ /ACL/ + IDS + IP Routing + Timestamp + Syslog server + Limit connection + Needed or Not needed service гэсэн хэлбэртэй байх болов уу гэж бодож байна.
Намайг оюутан байх үед нэг багш маань хэлж байсан санаанд орж байна. Бусад орны хүмүүс програм суулгахдаа эхлээд license agreement хэсгийг нь уншдаг харин монголчууд уншилгүй суулгаад алдаа гарвал уншдаг гэж хэлж байсан санагдаж байна.
Banner гэсэн нэг ойлголт байдаг. Энэ нь тухайн төхөөрөмж /host/-рүү хандалт хийх үед хамгийн түрүүнд гарч ирдэг анхааруулга юм. Тухайн анхааруулга дээр ихэвчлэн зөвшөөрөгдсөн хэрэглэгчид хандах боломжтой зөвшөөрөлгүй хандвал хууль бус болно гэдгийг сануулсан сануулга байдаг юм.
VPN :
Энэ нь нийтийн сүлжээг ашиглан хувийн холболт үүсгэхийг хэлдэг гэдгийг хүн бүхэн надаар хэлүүлэлтгүй мэдэх байхаа. Cisco IOS-д маш олон төрлийн VPN холболтууд байдаг. Тэдгээрээс хамгийн их хэрэглэдэг нь /магадгүй хамгийн найдвартай нь байх/ IPSec болой. /Хэрхэн тохируулах талаар тусад нь бичнэ/
ACL :
Энэ бол миний бодлоор хамгийн чухал нь болой. Firewall яаж ажилладаг талаар хүн бүхэн мэдэж байгаа байх яг үүнтэй адилаар хамгаалалтыг хийдэг эд шүү дээ.
Энэ нь Standard Extended гэсэн хоёр төрөл байна. Эдгээр нь ашиглаж байгаа дугаараараа ялгагдана. ACL нь дараах байдлаар хамгаалалтаа хийнэ. Протокол бүр дээр /IP , IPX гэх мэт/, интерфэйс бүр дээр /Fastethernet 0/0 гэх мэт/, хандалтууд дээр /in, out, forward/ тус бүр дээр нь хамгаалах чадвартай эд байгаа юм. ACL нь бичсэн дүрмүүдийн дээрээс нь доош нь дарааллаар гүйцэтгэнэ. ACL бол зөвхөн хориглоно эсвэл зөвшөөрнө гэсэн дүрэмтэй.
Жишээ. access-list 1 deny host 10.0.5.5 дээрх жишээн дээр 10,0,5,5 гэсэн логик хаягтай нөхрийг энэ төхөөрөмжрүү хандах боломжгүй болгож байна. ACL-ийг цагийн хязгаарлалттай тавьж болно гэдгийг бас мэдэж байх хэрэгтэй болов уу. жишээ нь дараах байдлаар:
access-list 100 remark Only allow IP traffic during open hours
access-list 100 permit ip any any time-range only-during-open-hours
!
time-range only-during-open-hours
absolute start 00:00 01 January 2002
periodic weekdays 7:30 to 18:30
periodic Saturday 8:30 to 13:30 periodic Sunday 8:30 to 18:30
IDS:
За энэ бол халдлага илрүүлдэг эд байгаа юм. Cisco IOS дээр нэмж суулгаж хэрэглэх боломжтой. Гэхдээ таны CPU нэлээд өндөр хувиар ачааллах хэрэг гарна шүү дээ. Яагаад гэвэл таны төхөөрөмж өөр дээгүүрээ дамжин өнгөрч байгаа бүх л трафикийг шинжилж үзнэ шүү дээ.
IP Routing:
За энэ бас их чухал хэрэгтэй эд. Таны төхөөрөмжөөр хэн дамжин гарах уу хэнийг хориглох уу гээд л таны шийдэх асуудал шүү дээ. Жишээ нь та зөвхөн дотооддоо дамжин өнгөрөх трафикийг гадна талдаа ямар ч нөлөө үзүүлэхгүйгээр явуулах эсвэл дотооддоо дамжиж байгаа зүйлсийг интернэтэд цацах нь таны асуудал болно гэсэн үг.
Дээр нь нэмээд хэлэхэд нөгөө routing протоколыхоо аюулгүй байдлыг хангаж өгөх хэрэгтэй. Ямар нэг байдлаар энкрипт хийдэг ч юмуу.
ip ospf message-digest-key 1 md5 mypassword гэдэг ч юмуу байж болно ш дээ.
Timestamp:
Энэ маш чухал юм шиг санагддаг юм. Ямар нэг алдаанаас болоод та халдлагад өртсөн тохиолдолд та хэзээ гэдгийг нь үнэн зөвөөр мэдэх ганц боломж шүү дээ. Өөрөөр хэлбэл та дараах байдлаар NTP тохируулж өгч болно гэсэн үг юм.
clock timezone GMT +8
ntp authentication -key 1 md5 YMAR_NEG_KEY
ntp authenticate
ntp update calendar
ntp server 10.0.5.5
Syslog server:
Зиа үүнийг надаар хэлүүлэлтгүй бүгдээрээ мэдэж байгаа байлгүй дээ. Саяхан цагаа үнэн зөв тохируулсан юм чинь одоо нөгөө таньруу хэн халдаад байна системд хэн орж гарч байна гээд бүхий л төрлийн мэдээллийг нэг газарт хадгалах боломжийг олгоно гэсэн үг шүү дээ энэ нөхөр чинь. Энэ тохируулахад маш амархан гэхдээ хамгийн их хэрэгтэй шүү дээ.
Серверээ заагаад өгчихнө.
logging 10.0.5.5
logging facility local7
Ямар лог хадгалах вэ гэдгээ заагаад өгнө.
logging trap informational
logging console warning
Хаанаас вэ гэдгийг нь бас зааж өгч болно.
logging source-interface loopback0
Хэр хэмжээтэй хадгалах вэ гэдгийг зааж өгч болно.
logging buffered 4096
Limit connection
Энэ бас хэрэгтэй байх болов уу гэж бодоод л. Жишээ нь таньруу нэг нөхөр маш удаан хугацаагаар олон удаа хандалт хийж байвал халдлага байх магадлал өндөртэй шүү дээ. Тэгэхээр үүнээс хэрхэн сэргийлэх вэ гэхээр тодорхой хугацаанд тодорхой тооны хандалтыг зөвшөөрнө гээд өгчихнө шүү дээ.
ip tcp synwait-time 10 ч гэдэг юмуу.
Needed or Not needed service
Энэ миний бодлоор бас их чухал санагдсан. Учир нь ямар ч хэрэггүй олон сервис ажиллуулна гэдэг нь тэр тооны олон порт протокол нээлттэй байна гэсэн үг болж байгаа юм. Мэдээж олон нээлттэй порт байх үед аль нэг нь сул талтай болж л таарна шүү дээ түүгээр нь ямар нэг вирус ворм ч юмуу орж ирээд нөгөө сайхан сүлжээг маань будаа болгоно гэсэн үг шүү дээ. Тэгэхээр би дараах байдлаар хэрэгтэй болон хэрэггүй сервисүүдийг ангилсан юм.
Хэрэгтэй:
service password-encryption
service timestamps debug datetime
service timestamps log datetime localtime
service tcp-keepalives-in
service tcp-keepalives-out
Хэрэггүй: /Гэхдээ огт хэрэггүй биш/
no cdp run (be careful)
no boot network (older command)
no service config
no ip source-route
no service finger (older command)
no ip finger
no ip identd
no service pad
no service tcp-small-servers
no service udp-small-servers
no ip bootp server
no snmp-server (more on this later)
no tftp-server
no cdp enable
ip accounting access-violation
no ip directed-broadcast
no ip redirects
no ip unreachables
no ip mask-reply
no ip proxy-arp
no mop enabled
GRE tunnel
Зиак VPN гэдэг зүйлийн талаар өмнө жаахан дурьдсан билээ. Энэ удаа тэрхүү VPN-ий нэг жишээ болох GRE tunnel /generic routing encapsulation/ /IPSec ашигласан/ хэрхэн үүсгэх талаар бичхээр шийдлээ. Энэ нь point to point холболт үүсгэж network түвшинд ажилладаг.
Дараах жишээн дээр Cisco 3725 router дээр хэрхэн үүсгэх жишээг харууллаа.
Эхний router дээр дараах тохиргоог хийж өгнө:
Дараах жишээн дээр Cisco 3725 router дээр хэрхэн үүсгэх жишээг харууллаа.
Эхний router дээр дараах тохиргоог хийж өгнө:
Router1#configure terminal
Router1(config)#crypto isakmp policy 10
Router1(config-isakmp)#encr aes 256
Router1(config-isakmp)#authentication pre-share
Router1(config-isakmp)#group 2
Router1(config-isakmp)#exit
Router1(config)#crypto isakmp key TUNNELKEY01 address 172.16.2.1 no-xauth
Router1(config)#crypto ipsec transform-set TUNNEL-TRANSFORM ah-sha-hmac esp-aes 256
Router1(cfg-crypto-trans)#mode transport
Router1(cfg-crypto-trans)#exit
Router1(config)#crypto map TUNNELMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
Router1(config-crypto-map)#set peer 172.16.2.1
Router1(config-crypto-map)#set transform-set TUNNEL-TRANSFORM
Router1(config-crypto-map)#match address 102
Router1(config-crypto-map)#exit
Router1(config)#access-list 102 permit gre host 172.16.1.1 host 172.16.2.1
Router1(config)#interface Tunnel1
Router1(config-if)#ip address 192.168.1.1 255.255.255.252
Router1(config-if)#tunnel source 172.16.1.1
Router1(config-if)#tunnel destination 172.16.2.1
Router1(config-if)#exit
Router1(config)#interface FastEthernet0/0
Router1(config-if)#ip address 172.16.1.1 255.255.255.0
Router1(config-if)#ip access-group 101 in
Router1(config-if)#crypto map TUNNELMAP
Router1(config-if)#exit
Router1(config)#access-list 101 permit gre host 172.16.2.1 host 172.16.1.1
Router1(config)#access-list 101 permit esp host 172.16.2.1 host 172.16.1.1
Router1(config)#access-list 101 permit udp host 172.16.2.1 host 172.16.1.1 eq isakmp
Router1(config)#access-list 101 permit ahp host 172.16.2.1 host 172.16.1.1
Router1(config)#access-list 101 deny ip any any log
Router1(config)#interface Loopback0
Router1(config-if)#ip address 192.168.16.1 255.255.255.0
Router1(config-if)#exit
Router1(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.2
Router1(config)#ip route 192.168.15.0 255.255.255.0 192.168.1.2
Router1(config)#end
Router1#2 дахь router дээр:
Router2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#crypto isakmp policy 10
Router2(config-isakmp)#encr aes 256
Router2(config-isakmp)#authentication pre-share
Router2(config-isakmp)#group 2
Router2(config-isakmp)#exit
Router2(config)#crypto isakmp key TUNNELKEY01 address 172.16.1.1
Router2(config)#crypto ipsec transform-set TUNNEL-TRANSFORM ah-sha-hmac esp-aes 256
Router2(cfg-crypto-trans)#mode transport
Router2(cfg-crypto-trans)#exit
Router2(config)#crypto map TUNNELMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
Router2(config-crypto-map)#set peer 172.16.1.1
Router2(config-crypto-map)#set transform-set TUNNEL-TRANSFORM
Router2(config-crypto-map)#match address 102
Router2(config-crypto-map)#exit
Router2(config)#access-list 102 permit gre host 172.16.2.1 host 172.16.1.1
Router2(config)#interface Tunnel1
Router2(config-if)#ip address 192.168.1.2 255.255.255.252
Router2(config-if)#tunnel source 172.16.2.1
Router2(config-if)#tunnel destination 172.16.1.1
Router2(config-if)#exit
Router2(config)#interface FastEthernet0/0
Router2(config-if)#ip address 172.16.2.1 255.255.255.0
Router2(config-if)#ip access-group 101 in
Router2(config-if)#crypto map TUNNELMAP
Router2(config-if)#exit
Router2(config)#access-list 101 permit gre host 172.16.1.1 host 172.16.2.1
Router2(config)#access-list 101 permit esp host 172.16.1.1 host 172.16.2.1
Router2(config)#access-list 101 permit udp host 172.16.1.1 host 172.16.2.1 eq isakmp
Router2(config)#access-list 101 permit ahp host 172.16.1.1 host 172.16.2.1
Router2(config)#access-list 101 deny ip any any log
Router2(config)#interface Loopback0
Router2(config-if)#ip address 192.168.15.1 255.255.255.0
Router2(config-if)#exit
Router2(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.2
Router2(config)#ip route 192.168.16.0 255.255.255.0 192.168.1.1
Router2(config)#end
Router2# Зиа одоо жаахан тайлбар хийчихэе.
Дээрх 2 рүүтэр дээр хийж байгаа тохиргоо ер нь бол адилхан байгаа.
Эхлээд ISAKMP ашиглаад түлхүүр солилцох policy үүсгэж өгч байна.
Үүсгэж өгч байгаа policy-ийн pirority-г 10 гэж тодорхойлж байна.
Дээд тал нь 10000 гэж зааж өгөх боломжтой. Үүсгэж өгч байгаа policy маань 256
битийн AES хэрэглэж байна. Бас ямар hash алгоритм хэрэглэх болон нийт холбогдох
хугацааг зааж өгч байна. Дээр бид 600 секунд буюу 10 минут гэж тохируулж өгсөн
байна. Үндсэн тохиргоо нь 24 цаг байдаг. crypto isakmp key командаар нууц үг
тохируулж өгч байна. Гэхдээ зөвхөн нэг л IP хаяг дээр тохируулж өгч байна.
Энэ нь нөгөө рүүтэрийн логик хаяг байна. GRE түнэлийг зөвшөөрч өгч байгаа ACL
бичиж байна. Дараа нь Tunnel1 гэсэн нэртэй хуурмаг интерфэйс /түнэлийн интерфэйс/
тодорхойлж өгч байна. 192.168.1.1 хаягтай. Түнэлийн эх хаяг болгож өөрийн рүтэрийн
гарцны хаяг /Fe0/0/ зааж өгөөд destination хаяг болгож нөгөө рүүтэрийн бодит
хаягийг зааж өгч байна. за тэгээд routing table-ээ үүсгэж өгөөд access list-ээ
үүсгээд л болж байна даа.
Cisco Auto Secure
Юм уншаад сууж байсан ийм нэг юм байхын. Ашиглаж үзлээ миний өмнө бичээд байсан хэрэгтэй хэрэггүй сервисүүд энэ тэр гээд байсан чинь энд байнаа.
Auto secure гэж юу яриад байгаан бэ гэхээр cisco өөр дээрээ автоматаар хамгаалалт хийх чадвартай юм байна. Дараах командыг бичээд цааш нь зааврын дагуу явчихаж байна.
Router#auto secure
ингээд бичингүүт чинь интернэтэд холбогдсон уу тийм бол аль нь гэх мэт асуугаад нөгөө миний хэрэггүй сервисүүд гээд байснаас зарим нэгийг нь disable-дээд хаячихаж байна. Өөрөө хийж чадахгүй бол өөрөөр нь хийлгээд зүгээр л арга шиг санагдлаа... :)
Дараа нь нөгөө нөхөр маань ямар юм хийгээд хаячихваа гээд харчихаж болох юм байна.
show auto secure config ингээд.
Auto secure гэж юу яриад байгаан бэ гэхээр cisco өөр дээрээ автоматаар хамгаалалт хийх чадвартай юм байна. Дараах командыг бичээд цааш нь зааврын дагуу явчихаж байна.
Router#auto secure
ингээд бичингүүт чинь интернэтэд холбогдсон уу тийм бол аль нь гэх мэт асуугаад нөгөө миний хэрэггүй сервисүүд гээд байснаас зарим нэгийг нь disable-дээд хаячихаж байна. Өөрөө хийж чадахгүй бол өөрөөр нь хийлгээд зүгээр л арга шиг санагдлаа... :)
Дараа нь нөгөө нөхөр маань ямар юм хийгээд хаячихваа гээд харчихаж болох юм байна.
show auto secure config ингээд.
Subscribe to:
Posts (Atom)
