Αγόρασα ένα νέο Cisco SG300 10-port Gigabit Ethernet διαχειριζόμενη διακόπτη λίγους μήνες πίσω και ήταν μια από τις καλύτερες επενδύσεις για το μικρό μου οικιακό δίκτυο. Οι διακόπτες Cisco διαθέτουν τόσες δυνατότητες και επιλογές που μπορείτε να ρυθμίσετε ώστε να ελέγχετε λεπτομερώς το δίκτυό σας. Από την άποψη της ασφάλειας, τα προϊόντα τους ξεχωρίζουν.
Με αυτό είπε, είναι πολύ ενδιαφέρον πώς το unsecure Cisco διακόπτης είναι φρέσκο από το κουτί. Όταν συνδέεστε, είτε αρπάζει μια διεύθυνση IP από έναν διακομιστή DHCP είτε αποδίδει μια διεύθυνση IP (συνήθως 192.168.1.254) και χρησιμοποιεί την cisco για το όνομα χρήστη και τον κωδικό πρόσβασης. Yikes!
Επειδή τα περισσότερα δίκτυα χρησιμοποιούν το αναγνωριστικό δικτύου 192.168.1.x, ο διακόπτης είναι πλήρως προσβάσιμος σε οποιονδήποτε στο δίκτυο. Σε αυτό το άρθρο, θα μιλήσω για πέντε άμεσα βήματα που πρέπει να ακολουθήσετε αφού συνδέσετε το διακόπτη σας. Αυτό θα διασφαλίσει ότι η συσκευή σας είναι ασφαλής και έχει διαμορφωθεί σωστά.
Σημείωση: Αυτό το άρθρο απευθύνεται σε χρήστες οικιακού ή μικρού γραφείου που είναι νέοι σε διακόπτες Cisco. Εάν είστε μηχανικός της Cisco, θα βρείτε όλα αυτά πολύ απλοϊκά.
Βήμα 1 - Αλλαγή προεπιλεγμένου ονόματος χρήστη και κωδικού πρόσβασης
Αυτό είναι προφανώς το πρώτο βήμα και το πιο σημαντικό. Αφού συνδεθείτε στο διακόπτη, αναπτύξτε το στοιχείο Διαχείριση και, στη συνέχεια, κάντε κλικ στους Λογαριασμούς χρηστών .
Το πρώτο πράγμα που θα θελήσετε να κάνετε είναι να προσθέσετε έναν άλλο λογαριασμό χρήστη, ώστε να μπορείτε στη συνέχεια να διαγράψετε τον αρχικό λογαριασμό χρήστη της cisco. Βεβαιωθείτε ότι έχετε δώσει στον νέο λογαριασμό πλήρη πρόσβαση, η οποία είναι Access Access Management (15) στη γλώσσα της Cisco. Χρησιμοποιήστε έναν ισχυρό κωδικό πρόσβασης και στη συνέχεια αποσυνδεθείτε από το λογαριασμό της cisco και συνδεθείτε χρησιμοποιώντας το νέο λογαριασμό σας. Θα πρέπει τώρα να μπορείτε να καταργήσετε τον προεπιλεγμένο λογαριασμό.
Είναι επίσης πιθανόν μια καλή ιδέα να ενεργοποιήσετε την υπηρεσία αποκατάστασης κωδικού πρόσβασης, μόνο σε περίπτωση που ξεχάσετε τον κωδικό πρόσβασης που ορίσατε. Θα χρειαστείτε πρόσβαση στην κονσόλα στη συσκευή για να επαναφέρετε τον κωδικό πρόσβασης.
Βήμα 2 - Εκχώρηση Στατικής Διεύθυνσης IP
Από προεπιλογή, ο διακόπτης πρέπει να έχει ήδη μια στατική διεύθυνση IP, αλλά αν όχι, θα πρέπει να το ορίσετε με μη αυτόματο τρόπο. Θα είναι επίσης απαραίτητο αν δεν χρησιμοποιείτε το αναγνωριστικό δικτύου 192.168.1. Για να το κάνετε αυτό, αναπτύξτε τη διεπαφή Διαχείριση - Διαχείριση - Διεπαφή IPv4 .
Επιλέξτε Static for IP Address Type και πληκτρολογήστε μια στατική διεύθυνση IP. Αυτό θα κάνει πολύ πιο εύκολη τη διαχείριση του διακόπτη σας επίσης. Εάν γνωρίζετε την προεπιλεγμένη πύλη για το δίκτυό σας, προχωρήστε και προσθέστε αυτήν επίσης και κάτω από το Administrative Default Gateway .
Αξίζει επίσης να σημειωθεί ότι η διεύθυνση IP έχει εκχωρηθεί σε μια εικονική διασύνδεση LAN, πράγμα που σημαίνει ότι μπορείτε να έχετε πρόσβαση στη συσκευή χρησιμοποιώντας τη διεύθυνση IP ανεξάρτητα από το ποια θύρα είναι συνδεδεμένη στον διακόπτη, εφόσον οι θύρες αυτές έχουν εκχωρηθεί στο VLAN διαχείρισης που έχει επιλεγεί στο επάνω μέρος . Από προεπιλογή, αυτό είναι VLAN 1 και όλες οι θύρες είναι προεπιλεγμένες στο VLAN 1.
Βήμα 3 - Ενημέρωση του υλικολογισμικού
Δεδομένου ότι ο φτηνός δρομολογητής Netgear μπορεί να ελέγξει το Internet για μια ενημερωμένη έκδοση λογισμικού και να τον κατεβάσει και να τον εγκαταστήσει αυτόματα, θα σκεφτόσαστε ότι ένας φανταχτός διακόπτης της Cisco θα μπορούσε να κάνει το ίδιο. Αλλά θα έκανες λάθος! Είναι ίσως για λόγους ασφαλείας γιατί δεν το κάνουν αυτό, αλλά είναι ακόμα ενοχλητικό.
Για να ενημερώσετε έναν διακόπτη Cisco με νέο υλικολογισμικό, θα πρέπει να το κατεβάσετε από τον ιστότοπο της Cisco και μετά να τον φορτώσετε στο διακόπτη. Επιπλέον, θα πρέπει να αλλάξετε την ενεργή εικόνα στη νέα έκδοση υλικολογισμικού. Μου αρέσει πραγματικά αυτό το χαρακτηριστικό δεδομένου ότι παρέχει μια μικρή προστασία σε περίπτωση που κάτι πάει στραβά.
Για να βρείτε το νέο υλικολογισμικό, απλά το Google το μοντέλο διακόπτη σας με το υλικολογισμικό λέξη στο τέλος. Για παράδειγμα, στην περίπτωσή μου, απλά Googled το firmware του Cisco SG300-10.
Θα γράψω ένα άλλο άρθρο σχετικά με τον τρόπο αναβάθμισης του υλικολογισμικού για δρομολογητή της Cisco, καθώς υπάρχουν μερικά πράγματα που θέλετε να γνωρίζετε πριν το κάνετε.
Βήμα 4 - Διαμόρφωση ασφαλούς πρόσβασης
Το επόμενο βήμα που προτείνω είναι να επιτρέπετε μόνο ασφαλή πρόσβαση στον διακόπτη σας. Εάν είστε ένα pro γραμμή εντολών, θα πρέπει πραγματικά να απενεργοποιήσετε το web GUI εντελώς και να ενεργοποιήσετε την πρόσβαση μόνο SSH. Ωστόσο, εάν χρειάζεστε τη διεπαφή GUI, θα πρέπει τουλάχιστον να την ορίσετε να χρησιμοποιεί HTTPS παρά HTTP.
Ελέγξτε την προηγούμενη ανάρτησή μου σχετικά με τον τρόπο ενεργοποίησης της πρόσβασης SSH για το διακόπτη σας και στη συνέχεια συνδεθείτε χρησιμοποιώντας ένα εργαλείο όπως το puTTY. Για ακόμα μεγαλύτερη ασφάλεια, μπορείτε να ενεργοποιήσετε τον έλεγχο ταυτότητας δημόσιου κλειδιού με SSH και να συνδεθείτε χρησιμοποιώντας ένα ιδιωτικό κλειδί. Μπορείτε επίσης να περιορίσετε την πρόσβαση στη διεπαφή διαχείρισης με διεύθυνση IP, την οποία θα γράψω σε μια μελλοντική θέση.
Βήμα 5 - Αντιγραφή διαμόρφωσης σε διαμόρφωση εκκίνησης
Το τελευταίο πράγμα που θέλετε να συνηθίσετε όταν χρησιμοποιείτε οποιαδήποτε συσκευή της Cisco είναι η αντιγραφή του τρέχοντος config στο config startup. Βασικά, όλες οι αλλαγές που κάνετε αποθηκεύονται μόνο στη μνήμη RAM, πράγμα που σημαίνει ότι όταν επανεκκινήσετε τη συσκευή, όλες οι ρυθμίσεις θα χαθούν.
Για να αποθηκεύσετε μόνιμα τη διαμόρφωση, θα πρέπει να αντιγράψετε το τρέχον config στο config startup, το τελευταίο από τα οποία είναι αποθηκευμένο σε NVRAM ή μη πτητική μνήμη RAM. Για να το κάνετε αυτό, αναπτύξτε το στοιχείο Διαχείριση, έπειτα Διαχείριση αρχείων και, στη συνέχεια, κάντε κλικ στην επιλογή Αντιγραφή / αποθήκευση διαμόρφωσης .
Οι προεπιλεγμένες ρυθμίσεις πρέπει να είναι σωστές, οπότε το μόνο που έχετε να κάνετε είναι να κάνετε κλικ στην επιλογή Εφαρμογή . Και πάλι, βεβαιωθείτε ότι το κάνετε αυτό κάθε φορά που κάνετε οποιαδήποτε αλλαγή στον διακόπτη.
Αυτά ήταν μερικά πραγματικά βασικά βήματα ρύθμισης για να γίνει ο διακόπτης σας αρχικά εγκατεστημένος και ασφαλής. Θα δημοσιεύσω σύντομα πιο προηγμένα μαθήματα σε άλλες πτυχές του διακόπτη. Αν έχετε οποιεσδήποτε ερωτήσεις, μην διστάσετε να σχολιάσετε. Απολαμβάνω!