Prieš keletą mėnesių įsigijau naują „Cisco SG300 10-port Gigabit Ethernet“ valdomą jungiklį ir tai buvo viena iš geriausių investicijų mano mažam namų tinklui. „Cisco“ jungikliai turi tiek daug funkcijų ir parinkčių, kuriuos galite sukonfigūruoti, kad galėtumėte kruopščiai valdyti savo tinklą. Saugumo požiūriu jų produktai išsiskiria.
Su tuo sakant, labai įdomu, kaip nesaugūs „Cisco“ jungikliai yra nauji iš dėžutės. Įjungę jį, jis paima IP adresą iš DHCP serverio arba priskiria IP adresą (paprastai 192.168.1.254) ir naudoja vartotojo vardą ir slaptažodį. Yikes!
Kadangi dauguma tinklų naudoja tinklo ID, 192.168.1.x, jūsų jungiklis yra visiškai prieinamas visiems tinkle. Šiame straipsnyje aš kalbėsiu apie penkis tiesioginius veiksmus, kurių turėtumėte imtis po to, kai prijungsite jungiklį. Tai užtikrins, kad jūsų įrenginys yra saugus ir tinkamai sukonfigūruotas.
Pastaba: Šis straipsnis skirtas namų ar mažų biurų vartotojams, kurie yra nauji „Cisco“ jungikliai. Jei esate „Cisco“ inžinierius, jūs surasite visa tai labai paprasta.
1 žingsnis - Keisti numatytąjį vartotojo vardą ir slaptažodį
Tai, žinoma, yra pirmasis žingsnis ir svarbiausias. Kai prisijungsite prie jungiklio, išplėskite „ Administravimas“ ir spustelėkite „ Vartotojo abonementai“ .
Pirmas dalykas, kurį norite padaryti, yra pridėti kitą vartotojo abonementą, kad galėtumėte ištrinti originalią „Cisco“ vartotojo paskyrą. Įsitikinkite, kad suteikiate naują prieigą prie naujos paskyros, kuri yra „Cisco“ įrašų skaitymo / rašymo valdymo prieiga (15) . Naudokite stiprią slaptažodį ir atsijunkite iš „ Cisco“ paskyros ir prisijunkite naudodami naują paskyrą. Dabar turite sugebėti pašalinti numatytąją paskyrą.
Taip pat tikriausiai yra gera idėja įgalinti „ Password Recovery Service“, tik tuo atveju, jei pamiršote nustatytą slaptažodį. Norint iš naujo nustatyti slaptažodį, reikės prieigos prie įrenginio konsolės.
2 žingsnis - priskirti statinį IP adresą
Pagal numatytuosius nustatymus jungiklis turi turėti jau statinį IP adresą, bet jei ne, turite jį nustatyti rankiniu būdu. Taip pat reikės, jei nenaudosite 192.168.1 tinklo ID. Norėdami tai padaryti, išplėskite Administravimas - valdymo sąsaja - IPv4 sąsaja .
Pasirinkite „ Static for IP Address Type“ ir įveskite statinį IP adresą. Taip bus lengviau valdyti savo jungiklį. Jei žinote savo tinklo numatytąjį šliuzą, eikite į priekį ir pridėkite, kad taip pat pateiktumėte administravimo numatytųjų tinklų sąsajoje .
Taip pat verta pažymėti, kad IP adresas priskiriamas virtualiam LAN sąsajai, o tai reiškia, kad galite pasiekti įrenginį naudodami IP adresą, nepriklausomai nuo to, kuris prievadas prijungtas prie jungiklio tol, kol šie prievadai priskiriami viršutiniame meniu pasirinktam valdymo VLAN . Pagal numatytuosius nustatymus tai yra VLAN 1, o visi prievadai pagal nutylėjimą yra VLAN 1.
3 žingsnis - atnaujinkite programinę įrangą
Kadangi mano pigus „Netgear“ maršrutizatorius gali patikrinti internetą programinės įrangos atnaujinimui ir automatiškai jį atsisiųsti bei įdiegti, jūs manote, kad išgalvotas „Cisco“ jungiklis galėtų tai padaryti. Bet tu esi neteisingas! Tikriausiai dėl saugumo priežasčių, kodėl jie to nedaro, tačiau tai vis dar erzina.
Jei norite atnaujinti „Cisco“ jungiklį su nauja programine įranga, ją reikia atsisiųsti iš „Cisco“ svetainės ir įkelti į jungiklį. Be to, turite pakeisti aktyvų vaizdą į naują programinės įrangos versiją. Man tikrai patinka ši funkcija, nes ji suteikia šiek tiek apsaugos, jei kažkas negerai.
Jei norite rasti naują programinę įrangą, tiesiog „Google“ savo jungiklio modelį su žodžiu „firmware“ pabaigoje. Pavyzdžiui, mano atveju aš tiesiog „Google“ sukūriau „Cisco SG300-10“ firmware.
Aš parašysiu kitą straipsnį apie tai, kaip atnaujinti Cisco maršrutizatoriaus programinę įrangą, nes yra keletas dalykų, kuriuos norėtumėte žinoti prieš tai darydami.
4 žingsnis - konfigūruokite saugią prieigą
Kitas žingsnis, kurį rekomenduoju, yra tik saugios prieigos prie jungiklio įgalinimas. Jei esate komandų eilutė pro, iš tikrųjų turėtumėte išjungti interneto GUI ir įjungti tik SSH prieigą. Tačiau, jei jums reikia GUI sąsajos, turėtumėte bent jau nustatyti, kad būtų naudojamas HTTPS, o ne HTTP.
Peržiūrėkite mano ankstesnį pranešimą apie tai, kaip įjungti SSH prieigą prie savo jungiklio ir tada prisijungti naudodami tokį įrankį kaip puTTY. Norint užtikrinti dar didesnį saugumą, galite įjungti viešojo rakto autentifikavimą su SSH ir prisijungti naudodami privatų raktą. Taip pat galite apriboti prieigą prie valdymo sąsajos pagal IP adresą, kurį rašysiu ateityje.
5 žingsnis. Kopijuoti konfigūravimą į „Startup Config“
Paskutinis dalykas, kurį norėtumėte priprasti, kai naudojate bet kurį „Cisco“ įrenginį, yra kopijuoti veikiančią konfigūraciją į paleidimo konfigūraciją. Iš esmės visi atlikti pakeitimai yra saugomi tik RAM, o tai reiškia, kad iš naujo paleidus įrenginį visi parametrai bus prarasti.
Norint visam laikui išsaugoti konfigūraciją, turite nukopijuoti veikiančią konfigūraciją į paleidimo konfigūraciją, kuri pastaroji yra saugoma NVRAM arba nepastovioje atmintyje. Norėdami tai padaryti, išplėskite Administravimas, tada Failų tvarkymas, tada spustelėkite Kopijuoti / Išsaugoti konfigūraciją .
Numatytieji nustatymai turėtų būti teisingi, todėl viskas, ką jums reikia padaryti, yra spustelėkite Taikyti . Vėlgi, įsitikinkite, kad tai darote bet kuriuo metu, kai pasikeisite savo jungikliu.
Tai buvo keletas tikrai paprastų konfigūravimo žingsnių, kad jūsų jungiklis būtų iš pradžių įdiegtas ir apsaugotas. Greitai skelbsiu daugiau pažangių vadovėlių apie kitus jungiklio aspektus. Jei turite klausimų, galite komentuoti. Mėgautis!