Jump to content

Защита сети от атак

fox_m
 Share

Recommended Posts

fox_m

fox_m

Posted
Posted

Коллеги, в свете последних событий (атака на коммутаторы Cisco), решил наконец озаботится безопасностью сети. После прочтения https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html решил для начала повесить ACL на аплинки к внешним провайдерам. Подскажите, есть какой-то общий шаблон ACL именно для внешних каналов?

VolanD666

VolanD666

Posted
Posted

ИМХО ацл на аплинк- это лишнее. Понятно что есть дыры, за ними надо следить и закрывать при первой же возможности. А так, у вас контрол план в принципе не должен светить в инет и в сторону пользователей.

smart85

smart85

Posted
Posted

У меня на juniper/cisco защита control-plane + на бордерах на аплинках режу входящий траф, который мне не нужен внутри AS.

fox_m

fox_m

Posted
  • Author
Posted
19 минут назад, mse.rus77 сказал:

У меня на juniper/cisco защита control-plane + на бордерах на аплинках режу входящий траф, который мне не нужен внутри AS.

У меня на бордерах ASR9006. CPPr там тоже есть, пока не крутил. А какой трафик режете на входе?

Ivan_83

Ivan_83

Posted
Posted
2 часа назад, ShyLion сказал:

statefull firewall решает все подобные проблемы

Провайдеру такое не подходит:

1. оно ресурсов слишком дохрена сожрёт

2. у провайдера ассиметрия трафика встречается почти всегда

smart85

smart85

Posted
Posted
1 час назад, fox_m сказал:

У меня на бордерах ASR9006. CPPr там тоже есть, пока не крутил. А какой трафик режете на входе?

В моей специфике режу так:

accept-transit-ae7.224-i                      77186332281           1106761032
accept-transit-ntp-to-trusted-ae7.224-i                     0                    0
accept-trusted-ssh-transit-ae7.224-i                    0                    0
discard-bl-sources-ae7.224-i                            0                    0
discard-cisco-smartinstall-ae7.224-i                 8124                  164
discard-transit-ntp-ae7.224-i                      116237                 1724
discard-transit-smb-tcp-ae7.224-i                 3236476                72397
discard-transit-smb-udp-ae7.224-i                  754170                 9669
discard-transit-snmp-ae7.224-i                     278610                 3998
discard-transit-ssh-ae7.224-i                      863084                19021
discard-transit-telnet-ae7.224-i                 18352196               452757
 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.