По обновленным данным, крайне необходимо обратить внимание на следующие параметры Вашего оборудования Cisco (в случае его использования):
Повышенное внимание следует уделить устройствам, требующим лицензирования и/или подписки, в том числе:
1. Все решения безопасности (Cisco ISE, Cisco ASA)
2. Устройства телефонии и унифицированные коммуникации (UC)
3. Все решения Software-defined
Если в Вашей локальной сети установлено оборудование CISCO из этого перечня, то в качестве меры противодействия, для предотвращения возможных перебоев в работе оборудования Роскомнадзор рекомендует на выходе Вашей инфраструктуры в сеть Интернет поставить жесткий access-list с запретом трафика на адрес tools.cisco.com. В этом случае будет отложенный период от 30 до 90 дней, когда функционал оборудования сохранится.
Убедитесь, что ваши интерфейсы управления Cisco настроены правильно.
Инструкция по безопасной настройке Cisco.
Инструкция. Проверка наличия smartinstall.
1. Заходим на оборудование, вводим команду — «show vstack config«:
#show vstack config Role: Client (SmartInstall disabled);
Вывод говорит, что компонент выключен, никаких действия не требуется.
2. Заходим на оборудование, вводим команду — «show vstack config«:
#show vstack config Role: Not Director (SmartInstall enabled) <- компонент включен
Vstack Director IP address: 0.0.0.0 *** Following configurations will be effective only on director *** Vstack default management vlan: 1 Vstack start-up management vlan: 1 Vstack management Vlans: none Join Window Details: Window: Open (default) Operation Mode: auto (default) Vstack Backup Details: Mode: On (default) Repository:
Компонент включен, для его отключения:
2.1 Заходим в конфигурацию «conf t«:
2.2 Вводим команду «no vstack»
2.3 Проверяем «show vstack config»
3. Если коммутатор не применяет команду «no vstack» требуется на vlan управления применить ACL
3.1. создаем ACL
Заходим в конфигурацию «:»
ip access-list extended SMI_HARDENING_LIST deny tcp any any eq 4786 permit ip any any exit
3.2 применяем на vlan управления:
int vlan 11 – номер vlan управления ip access-group SMI_HARDENING_LIST in exit
Проверка лицензий.
4. Выполнить команду (если такой команды нет, то переходим к п.5)
#show license status Smart Licensing is ENABLED <- если DISABLED то никаких действия не требуется Registration: Status: REGISTERED Smart Account: XXXXX Virtual Account: DEFAULT Export-Controlled Functionality: NOT ALLOWED Initial Registration: SUCCEEDED on Nov 13 09:12:34 NNNN MSK Last Renewal Attempt: SUCCEEDED on Nov 02 09:15:07 NNNN MSK Next Renewal Attempt: May 01 09:15:05 NNNN MSK Registration Expires: Nov 02 09:10:04 NNNN MSK License Authorization: Status: OUT OF COMPLIANCE on Nov 13 09:12:45 NNNN MSK Last Communication Attempt: PENDING on Mar 04 15:58:19 2022 MSK Failure reason: Waiting for reply Next Communication Attempt: Mar 04 16:14:04 2022 MSK Communication Deadline: May 06 01:36:48 2022 MSK
5. Выполнить команду (если такой команды нет, никаких действия не требуется)
#show call-home Current call home settings: call home feature : enable <- включен call-home call home message's from address: Not yet set up call home message's reply-to address: Not yet set up vrf for call-home messages: Not yet set up contact person's email address: NNNN contact person's phone number: Not yet set up street address: Not yet set up customer ID: Not yet set up contract ID: Not yet set up site ID: Not yet set up source ip address: Not yet set up source interface: Not yet set up Mail-server: XXXXXXXXXXXXXXXXXXX http proxy: XXXXXXXXXXXXXXXXXX http secure: server identity check: enabled http resolve-hostname: default Smart licensing messages: enabled Profile: CiscoTAC-1 (status: ACTIVE)
6. Проверить конфигурацию call-home (имя профиля, email даны для примера)
#show run | beg ^call-home call-home contact-email-addr cisco_support@rt.ru profile "CiscoTAC-1" active destination transport-method http no destination transport-method email
7. При необходимости — заблокировать, например так
conf t call-home http-proxy "127.0.0.10" port 8128 profile "CiscoTAC-1" destination transport-method http no destination transport-method email end wr mem