Строгие ACL ЦПУ
Если политика безопасности требует, "запрещают любой” как последняя линия для политики, важно понять, что существует несколько типов трафика, передаваемых между контроллером на той же мобильной группе для RRM, мобильности и другими задачами, и что вам мог бы проксировать трафик контроллер к нему для некоторых операций в определенном DHCP, где контроллер на режиме proxy DHCP (по умолчанию) может генерировать трафик к нему с UDP назначения 1067 для того, чтобы обработать. Мы сможем предоставить удаленное обслуживание компьютеров в предприятии или фирме.
Для полного списка портов, разрешенных внутренними передающими правилами по умолчанию, проверьте выходные данные команды правил sh. Анализ полного списка выходит за рамки этого документа.
Можно проверить, какие правила списка прав доступа (ACL) поражаются трафиком с config acl counter, запускают команду. Счетчики могут быть отображены с sh подробной командой ACLNAME acl.
Control Plane Policing
Один аспект защиты сетевого устройства, должен удостовериться, что это не разбито большим количеством управляющего трафик, которого это может обработать. На всех контроллерах, после 4.1 кодов, существует ограничение уровня управления, включенное по умолчанию, который умрет, если трафик для ЦПУ превысит 2 Мбит/с.
На загруженных сетях возможно наблюдать ограничение в действительности (например, отброшенные эхо-запросы монитора к ЦПУ). Функция может управляться с командой config advanced rate. Можно только включить или отключить его, но скорости "not set" или против которого трафика это будет действовать сначала.
На нормальных работах рекомендуется, чтобы это оставили включенным.
Строгое шифрование для трафика HTTPs
По умолчанию контроллер предлагает оба высоких и низких шифра силы для обеспечения совместимости с более старыми браузерами во время настройки HTTPS. Контроллер имеет в наличии от RC4 на 40 битов, DES на 56 битов, до AES 256 битов. Выбор самого сильного шифра сделан браузером.
Чтобы удостовериться, что только сильные шифры используются, можно включить их с командой enable config network secureweb cipher-option high, таким образом, только 168 3DES или 128 AES и более высокие длины шифра предлагаются контроллером на управляющем доступ HTTPS.
Управление сеансами
Параметры настройки Telnet/SSH
По умолчанию контроллер позволяет максимум 5 сопользователей с таймаутом 5 минут. Важно, что эти значения настроены соответственно в вашей среде, поскольку установка их к неограниченному (ноль) может открыть дверь в потенциальный отказ в обслуживании против контроллеров, если пользователи должны были попробовать лобовую атаку перебором паролей против них. Это - пример настроек по умолчанию:
(Cisco Controller) >show sessions
CLI Login Timeout (minutes)............ 5
Maximum Number of CLI Sessions......... 5
Помните, что дизайном, даже если управление по радио или динамическому интерфейсу отключено, устройство может все еще сделать SSH - подключение к контроллеру. Это - ЦПУ налоговая задача, и WLC ограничивает количество одновременных сеансов, и как долго используя эти параметры. Рекомендуем обратиться к специалистам ит-аутсорсинга.
Значения могут быть отрегулированы с командой сеансов config.
Порт консоли
Последовательный порт имеет разделенное значение таймаута, которое установлено в 5 минут по умолчанию, но он обычно изменяется на 0 (неограниченный) во время сеансов устранения неполадок.
Cisco Controller) >show serial
Serial Port Login Timeout (minutes)......... 5
Baud Rate................................... 9600
Character Size.............................. 8
Flow Control:............................... Disable
Stop Bits................................... 1
Parity Type:................................ none
Желательно использовать по умолчанию 5 минут. Это предотвращает любого имеющего физический доступ к контроллеру для получения административного доступа, в случае, если зарегистрированный пользователь на консольном порту оставляет сеанс открытым. Значения могут быть отрегулированы с командой serial config.