Säkra en router

Lite kommandon som kan vara bra att ha om man skall säkra upp en router. Det finns fler, men det här är i alla fall en bra start. Om routern skall stå 'synligt' för Internet är det lämpligt att läsa mer på cisco.com.

--------------------------------------------------
! Vettigt password för enable
enable secret <password>
! Kryptera så mycket det går
service password-encryption
--------------------------------------------------
! ALLA vty'er skall 'låsas'
line vty 0 <x>
  password <password>
  login
! eller bättre, local authentication, ev Radius (Kräver username)
  login local
! Ev. ACL på VTY portar (kräver ACL)
  access-class <x> in
--------------------------------------------------
! SSH
ip domain-name <domain.com>
crypto key generate rsa modulus 1024
ip ssh version 2
line vty 0 <x>
  login local
  transport input ssh
--------------------------------------------------
! Logging
logging host <ip>
! eventuellt 6 om man skall vara rädd om CPU'n och volym
logging trap 7
logging buffered 7
logging buffered 7
logging buffered 16384
no logging monitor
no logging console
--------------------------------------------------
! Synca klockan till UTC (= utan sommartid)
service timestamps log datetime msec
--------------------------------------------------
! Olika former av filter för att skydda annat än access till routern, t.ex. OSPF, ICMP o.s.v.
! Vill man kan man gå in och filtrera fragmenterade och IP option paket.
! Känns dock mer som något för operatörs/internet anslutning.
--------------------------------------------------
! SNMP skall ändras (incl. ACL om det går)
snmp-server community <hard> RO 2
snmp-server community <harder> RW 3  
! Plus peta på olika views (här kan man jobba länge om man vill)
! SNMP version 3 kanske kan vara något (beroende på var den står)
--------------------------------------------------
! Diverse
no cdp run
banner motd #
Enter TEXT message.  End with the character '#'.
*****************
* Don't . . . . *
*****************
#
no lldp run global
no service config
no ip http server
no service pad
no ip domain-lookup
no mop enabled
no service dhcp
ip dhcp bootp ignore
no ip bootp server
no ip finger
service tcp-keepalive-in
service tcp-keepalive-out
no ip proxy-arp
no ip source-route
--------------------------------------------------
! Control plane ACL är kanske och ta i
--------------------------------------------------


Vänligen
- Per Håkansson, CCIE 2446
SpeedApp AB