Madrock

Salut,

Am fost punerea asigura aplicarea developmen unele documente nu recent împreună şi au găsit unele bune tutoriale generale şi liniile directoare pe care am crezut ca as posta aici.

Best Practices

• Cele zece cele mai critice de aplicaţii web de securitate vulnerabilităţi, 2004 actualizare, a deschis aplicaţie web de securitate proiect. URL: http://www.owasp.org/documentation/topten
• Un ghid pentru construirea Secure de aplicatii web, a deschis aplicaţie web de securitate proiect. URL: http://www.owasp.org/documentation/guide
• Îmbunătăţirea aplicaţii Web de securitate: ameninţări şi Măsuri, Microsoft MSDN. URL: http://msdn.microsoft.com/library/default.asp?url=/library/enus/dnnetsec/html/ThreatCounter.asp
• Autentificare în ASP. NET:. NET de Securitate de Orientare, Microsoft MSDN. URL: http://msdn.microsoft.com/library/default.asp?url=/library/enus/dnbda/html/authaspdotnet.asp
• Sesiunea de fixare problemă de vulnerabilitate în web-based Aplicatii, ACROS de Securitate. Http://www.acros.si/papers/session_fixation.pdf
• Scris Secure Code, Michael Howard şi David Leblanc, Microsoft de presă.
• Amenintare Modelare, Window Snyder, Microsoft de presă.
• 10 Lucrurile nu ar trebui să faci cu SQL Server (Data Access Developer "Nu o Face") http://www.dotnetjunkies.ddj.com/Article/86F0988E-FED4-414F-BA2E-D01D953C11BE.dcik
• Zece Retineti sigure de codificare pentru http://searchsecurity.techtarget.com/tip/0, 289483, sid14_gci1172049, 00.html
• Cross site scripting http://www.cert.org/archive/pdf/cross_site_scripting.pdf http://www.acunetix.com/websitesecurity/cross-site-scripting.htm
• Crucea de site-uri Scripting (XSS) Intrebari frecvente http://www.cgisecurity.com/articles/xss-faq.shtml
• XSS (Cross site scripting) trisat Fişa http://ha.ckers.org/xss.html
• SQL injectare trisat foaie http://ha.ckers.org/blog/20070315/sql-injection-cheat-sheet/

Alte Resurse

• AusCERT este naţionale Computer Echipa de urgenta pentru Australia http://www.auscert.org.au/
• Institutul SANS http://www.sans.org/free_resources.php

EFT dispozitive şi sisteme diferă în funcţie de hardware, ţara şi banca / plata Agregator.
Mai jos este o listă de lucruri s-ar putea să vrea să ia în considerare. Această listă este pe partea de sus a asa de capul meu, este, probabil, nu completă.

Privind la produse şi relaţii noi de obicei, un bun început.

Lucruri pe care trebuie să ia în considerare:

• Card skimming metode de
• Unele EFT POS limita de dispozitive de conectare a unui separator de zgură
• Examinare asociate nivelurilor de fraudă
• Dispozitive de examinare şi EFT metode de
• Examinare terminale de identificare (comerciant si client)
• Manual de prelucrare. (internă şi externe)
• eCommerce produse
• De software bazat pe PC-ul
• Server dedicat serviciilor (Nobil, etc)
• Web pe bază de motor (obiecte personalizate, Web pop-up-uri, etc)
• Autorizaţiei / metodele de identificare (de comerciant si client)
• Tcpip hijack / sesiune de falsificarea
• Debit Direct, precum şi carduri de credit.
• Swift (metode şi controale)
• Telegrafic de transfer (metode şi controale)
• Plata Agregator de relaţii (ex. Plata Tech, manual de prelucrare, cu cecul de scanare, etc)
• Internet banking facilităţi (atac / de penetrare, Certificat de înregistrare / de conducere, de ISP SLA e, etc)
• Punerea în aplicare a Smart Card şi / sau alternative de client recunoaştere dispozitive.
• Outsourcing şi riscurile asociate / nivel servicii
• Plata de prelucrare a
• Plata clearance-ul
• Plata de comutaţie
• Raportarea (segregare de comerciant / clienţi / aggregators / parteneri / local / internaţional)
• Fraudă de detectare şi raportare
• Achiziţia a 3a parte a riscurilor
• Singur comerciant de ID-ul de multe întreprinderi
• Permite plăţile să fie laundered în cazul în care plata Agregator de loc nu este cazul controalelor de pe comerciant.
• De criptare utilizat
• Internet / partener de încredere / inter-bancare / extranet
• Private şi / sau certificate publice
• Certificatele de unică folosinţă
• Client Side certificate
• Incaso şi procesele de control.
• EFT recuperare în caz de avarie şi manualul de proceduri se retrage (asociate de securitate şi reconciliere, riscuri)
• Partener de încredere relatii, SLA-i, de pasiv şi a riscurilor.
• EFT de reglementare / cerinţele legale (inter-bancare şi de guvern)
• Rambursare de prelucrare / autorizare. (politici, proceduri, controale, etc)
• CVV, CVV -2 / CVC-2 de prelucrare şi de management. (http://www.atlanticpayment.com/ CVV. htm)
• Mecanism de detectare a fraudei (reţele neuronale, inter-bancare / Departamentul de client controale, etc)
• Susţinută de carte de scheme (AMEX / Visa / MasterCard / Descopera / etc)
• Examinare EFT etajul limitele (IMM-uri corporative şi comercianţi)
• Examinare capacitatea de a se abţine de comerciant de decontare, până la prezenţa de fraudă a fost stabilită.
• Examinare client de identificare detalii. Cum ar fi (Aceasta variază în întreaga lume în funcţie de reglementările locale / de confidenţialitate legi)
• Examinare în timp real şi batched metode de procesare şi de control (secvenţa de numere, acces la brut de date, etc)
• Examinare de prelucrare cu şi fără datele de expirare. (excepţie şi a politicilor de control)
• Examinare excepţia / rapoarte de fraudă.
• Examinare de plată stoca şi redirecţiona politicile şi procedurile.
• Pre-examinare Aut şi finalizarea controalelor.
• Indicativul pe bază de plată (eCash, etc)
• Comercianţilor de reconciliere, de raportare şi de metodele de control (hârtie, Internet, email, PDF, Fax, etc) şi asociate de securitate.
• Timp real de decontare brută politici, proceduri şi controale. (IT şi sumele)
• Carte de emitent politicile şi procedurile. (ID de client controale, etc)
• Bancare de infrastructură (intrare / ieşire) şi de controale de securitate. (Web, partener, de plată comutatoare, externalizate de infrastructură, de monitorizare / raportare.)
• Utilizarea Internet-tehnologii pentru inter-transferuri bancare şi de la distanţă de echipamente.
• Securitatea fizică şi de dispozitive de control, ATM-uri, e, linie encryptors, etc

Am fost întrebat de ceva timp în urmă ce fel de lucruri pot fi considerate, atunci când se uită la Internet Banking.

Mai jos este o listă de lucruri pe care ar putea fi luate în considerare. A fost doar un creier de memorie şi ca atare nu poate fi completă.

Nu subestimaţi valoarea standard de infrastructură pentru dvs., site-ul de configurare, motor de baze de date de configurare / arhitectura, mediul de pregătire şi de dezvoltare / QA medii.

Unele ganduri:

• Multe nu de blocare a conturilor după login-X nu a reuşit, în mod normal, acest lucru este făcut de bun serviciu clientului, dar pleaca de la sistemul de vulnerabile.

- Şi toate celelalte lucruri de aşteptat pentru o distanţă sesiune de conectare (forţat parola modificări, imbatranire, etc))
- Instrumente, cum ar fi Brutus se pot utiliza pentru a "brute force" hack autentificate sesiuni.

• Multe permite sesiune de numere de secvenţă să fie creşte, permiţând o autentificate de utilizator pentru a vedea alte sesiune de client.

- Acestea pot fi de server parte, partea de client, pe bază de cookie-uri, etc
- Ia pe cineva pentru a verifica dezvoltarea metodologiilor şi codul de a fi utilizate.
- Baza de date de interogare siruri de caractere pot fi introduse în câmpurile de intrare de test, care să permită tabelul de la depozitele de browser.
- Verifica toate paginile servit sunt sigure şi conţine de autentificare a utilizatorilor de indicatori USE.

• Clientul de date nu poate fi separat, aceasta trebuie să fie verificate.
• Clientul a datelor nu ar trebui să locuiesc pe Server Web.

• De autentificare a bazelor de date / sistem de date nu ar trebui să locuiesc pe server.
• Bazele de date ar trebui să locuiesc pe un privat / semi-private de reţea.

- Un alt segment de la principalele sistemul bancar.

• Web ar trebui să fie dublu homed sau un echivalent (de reţele VLAN, unele tehnici sunt bune)

- Separate de private şi publice plăci de reţea, de monitorizare / de rezervă / de administrare
- Infrastructura set-up pentru a refuza în mod explicit de intrare / OUTBOUND porturi, privat de IP & monitorizare ieşind de la reţea.

• La toate datele de segregare asigură reguli sunt puncte de locul în care apreciază că deşi punctul de trafic.

• Toate client de date, dacă este posibil, ar trebui să fie sigure, de la o bază de date back-end.

- Aceasta poate fi un mediul de pregătire. adică nu principalele sistemul bancar.
- Aceasta permite de obicei, pentru tranzacţiile de a apărea în timp real către client.
- Multe tranzacţii pot fi batched în realitate. (interne sau externe la banca)

• Asiguraţi-vă adecvat reguli au fost stabilite pe firewall-up.

- Nu ar trebui să fie de intrare şi de OUTBOUND reguli pe firewall-uri şi routere de filtrare.

• Nu se permite nici o infrastructură de pe front-end, pentru a permite conexiuni la distanţă administrative. (Telnet, etc)

- Utilizaţi consola serială de port pentru a vă conecta la un server back-end sau Terminal Server.

• Uita-te de segregare / de pregătire a online de conţinut de la client principal bancare sisteme de

• Asiguraţi-vă că separat de dezvoltare / AC / mediu de producţie şi de sistem adecvat este în proces de loc.

• Servicii care nu sunt utilizate de sistem sunt active

- Acestea ar trebui să fie dezactivat.

• Port de scanare a infrastructurii de sprijin (routere / switch-uri) şi server (e).

- Investiga motivele pentru toate porturile deschise.

• Nu utilizaţi în principal partener de încredere pentru gateway de acces (compensare / RAS / etc)
• Nu toate că IIS standard de controale şi verificări NT (Exemplu de script-uri, managementul schimbării, patching, metodologii, etc)
• Asiguraţi-vă negarea serviciului de precauţie au fost luate în considerare pentru toate de infrastructură şi de server de echipamente.
• Verificaţi la caracterul adecvat al escaladarea procedurile folosite.

- Uită-te pentru monitorizarea în timp real şi de alertare.
- Uită-te pentru responsabilitatea in matrice.
- Uită-te pentru problemele de proprietate.

• Luaţi în considerare în amonte de transport (e) de vulnerabilitate (Denial of Service, falsificarea adreselor IP, de DNS accesări forţate, ilegale, etc)
• Luaţi în considerare de inginerie socială de client, administrative, de partener de conturi / sisteme / infrastructură.

- Procedurile şi politicile de asistenţă şi / sau tehnologii alternativ (ID apelant, IP a gateway-ului, etc.)

• Utilizaţi, dacă este posibil, parole dinamic (SecureID, TACACS, etc.)
• Utilizaţi criptat tunelare, în cazul în care este necesar (IPsec, Paravanul de protecţie 1, etc)
• Luaţi în considerare alte privirea de la client de autentificare metode pentru a îmbunătăţi metodele existente.

- Digital CERT, adresa de IP pentru a blocat contul, etc
- Luaţi în considerare utilizarea de CVV sau CVN pentru banca a emis carduri.

• Luaţi în considerare cât de parole sunt distribuite / schimbat pentru clienţi.

- Text simplu e-mail, telefon, etc
- Pot fi schimbat parole online?

• Este suplimentare de autentificare utilizată între secţiunile de servicii, o dată autentificat?
• Luaţi în considerare ceea ce clientul are acces la o dată autentificat.

- Uită-te la SWIFT, RBTR, inter-transferuri bancare, acces la cardurile de credit, etc
- Dacă nu un atacator obţine în, de ce pot face?

• Utilizarea tehnicilor de pagini pentru a se asigura, detalii de client nu sunt în cache la ISP, sau sistem de client.

- Acestea sunt de indicatori USE care pot fi stabilite în termen de pagini.
- În mod normal, SSL este memorată în cache, proxy, dar unele au fost furnizorii de joc cu tehnici de a face acest lucru.
- SSL de cache a paginilor de pe clientul de sistem poate fi pornit de pe unele browsere.
- Mai bănci utiliza un Java (sau similare) pentru toate applet-client de interacţiune, limitându toate problemele de stocare în cache.

• Asiguraţi-vă pe bază de hârtie şi on-line de clauzele de răspundere sunt disponibile sunt efectuate adresa de toate zonele.
• Asiguraţi-vă de client în cadrul procesului de înscriere bancar răspundere este redusă.

- Am văzut declaraţii de genul "folosi acest sistem de pe propriul risc, responsabilitate sau răspundere pentru orice revendicare NU vor ... ..."
- Nu foarte concentrat client, dar asta e ceea ce a recomandat departamentul lor juridic.

Toate cele de mai sus pot efect de securitate şi / sau exploatarea unei on-line de sistemul bancar.

Alte lucruri de luat în considerare:

• Externe de dezvoltare şi de susţinere a cererii.
• Proprietate şi de gestionare a de hardware / aplicaţii
• Editura puncte pentru conţinut nou (intern / privat / de încredere, la reţea sau Internet)
• Topologie de front-end. Adică de Securitate Arhitectura documentul ar trebui să fie în locul şi gestionate corespunzător.
• Sunt limitate AP teste efectuate ori de câte ori sunt făcute schimbări de mediu? AP adică integrate în procesul de gestionare a Modificare.
• Baza de date de acces. Este tamponat sau este de a trăi bancare de baza a sistemelor.
• Ce facilităţi sunt prevăzute? Debit direct + Card de credit + SWIFT + ... .... Gândiţi-vă pentru diferite scenarii de atac în funcţie de caracteristică.
• Ce alte servicii sunt partajate în cadrul reţelei de segment că serviciul de Internet Banking se execută. Pot fi folosite pentru a acestui compromis de Internet Banking site-ului. de ex. diferite de sprijin / de afaceri / dezvoltare cu diferite organizaţii de securitate de strategii / profile.
• Luaţi în considerare toate serviciile de sprijin în termen de externe ai AP. Uite-te la intern / extern DNS intoxicaţie de şanse, mail relee, etc IPS Ce fac ei este de a utiliza ISP orice oportunitate de a sistemele de acces sau de sprijin, care pot afecta serviciile de Internet Banking.
• În funcţie de mărimea a Băncii, de multe organizaţii de a nu se utiliza în acelaşi sprijin pentru grupurile de infrastructură şi de cerere. Ca rezultat conexiunile externe, pentru a infrastructurii pot fi furnizate pentru un extern de sprijin organizaţiei de a administra infrastructura.
• Uită-te la afaceri şi de autentificare a utilizatorilor şi a metodelor de căi (certs partea de client, sigure de identificare, Smart Card, etc). Luaţi în considerare două factor de autentificare moderne de utilizator şi metodele de identificare. de ex. dvs. preferate de ceea ce este în plus faţă de alimente normale de utilizatori si parole. Nu utilizaţi sistemul de administrare de personal dinamic de parole (secureID, etc)?
• Vezi daca aplicatia internet banking e-mail pentru a trimite utilizatorilor care pot conţine informaţii interesante.
• Acces mai bun la aplicarea în general, poate fi dobândită după accesul la sistem. anume legitim obţine un cont pe sistemul. Am constatat că unele eşantion / ecrane de administrare au fost limitate la autentificat doar utilizatorii.
• Luaţi în considerare sociale de Ajutor Birou de inginerie pentru a avea un cont de reiniţializare a parolei.

Se are în vedere Mobile Banking de securitate şi de risc asociat, de o evaluare de abordare depinde foarte mult de pe soluţie de a fi create sau furnizate.
General de abordare se bazează pe mai multe niveluri standardelor de sprijin şi din jurul tehnologii şi tehnici utilizate.

Iată câteva lucruri de luat în considerare.

De securitate în general, evaluările se concentrează asupra a două lucruri.

1 / Sensibilitate de date
Ce este de a fi trimis. de ex. PIN, card de credit numere, balanţa de cont, adresa de acasă, Număr de cont bancar, etc
Datele nu pot fi sensibile la banca, dar poate fi considerat de client ca sensibile.
etc ... ... ....

2 / Oportunitati de acces la date.
Ce mediu este utilizat?
Este uşor de hack?
Ce criptare este folosit?
Sunt toate datele de căi sigure (de client şi de sfârşitul spate)?
Există o parte 3a implicate în trecerea de la tranzac?
etc ... ... ...

Lucruri pe care trebuie să ia în considerare:

• De pin reiniţializează trimise prin SMS la client, nu ar trebui să fie folosite ca singura metoda de accesare a conturilor. Un client suplimentare specifice (posibil statică) trece cuvânt / frază ar trebui să fie utilizat în plus faţă de generate dinamic de aderenţă. SMS poate fi sniffed (în funcţie de modul şi de locaţie).
• Dacă este utilizat WAP, sunt capabil de toate dispozitivele de criptare? Dacă dispozitivele nu sunt capabil de criptare, nu am refuza accesul la aceste dispozitive? Dacă partea de client JAVA sau dispozitiv inteligent (CE câştiga, etc), asigura acesta nu poate fi compromisă de un Trojan e şi alte cheie de logare tehnici.
• Organizarea a considerat partea de client, pentru a verifica certificatele de dispozitiv înainte de a tranzacţiilor fiind acceptate? Luaţi în considerare mai multe dispozitiv de utilizator şi metodele de identificare (soluţie foarte dependent).
• Cele mai multe terminale POS mobil cripta în care clientul a intrat de pin număr, dar nu totul cripta în tranzacţie. În cazul în care transmiterea mediu este compromisă, că ar trebui să ia în considerare în cazul în care de criptare poate fi spart şi dacă necriptate date este sensibil. Luaţi în considerare date suplimentare de criptare capsulare adică utilizarea tuturor mesaj de criptare (SSL, IPsec) sau de a folosi un terminal care utilizeaza derivate cheie unică pe tranzacţie (DUKPT).
• Multe bancare cererile au fost afectate de hacks tipice, cum ar fi hijack, SQL injectare, non aleatoare, chei de sesiune (partea de client şi server lateral), etc ... Aceste tipic hacks ar trebui să fie luate în considerare la dvs. Secure SDLC QA Procese şi, o dată ce sunt conştienţi de tehnologia utilizată, şi / sau a dislocat.
• PBX sisteme de cablare şi de distribuţie de cadre poate fi conectat la dispozitive colecta tranzacţii. Dispozitivele fără fir sunt acum fiind conectate la aceste sisteme. De atacator stă în maşina lor în parc auto exteriorul. Acest lucru este făcut de multe ori în super pieţe.
• Wireless tranzacţie gateway, dacă nu sunt criptate cu uşurinţă de oricine colectate în termen de wireless, raza de acoperire. 802.11 fără fir şi alte / infra-rosu medii sunt utilizate (evaluarea de tehnologie şi de mediu, fiind folosit).
• Organizarea a considerat dinamic pentru chei de utilizatori de telefonie mobilă? Există unele foarte mici, costul SecureID tip de soluţii disponibile astăzi, dar clientii au nevoie de aceste dispozitive pe ele, atunci când vor să facă o tranzacţie.

Am găsit o listă de util Cisco de comenzi pe care am deşi aş posta aici. Când mă am o sansa va continua să se extindă şi să extindă lista de comanda set.

Vă mulţumim pentru fastget2you.com unit cu # missomhack comunitare pentru lista originală.

ROUTER :

• Config # terminale de editare - permite editarea comenzilor de îmbunătăţire a
• Config # terminale de monitor - arată de ieşire de pe telnet sesiune
• Config # terminale de ip netmask-format hexazecimal | pic-Număr de | zecimal - modificări în format de măşti de subreţea

Nume de gazdă:

• Config # hostname ROUTER_NAME

Banner:

• Config # # banner MOTD TIP mesajul aici # - # poate fi înlocuit pentru orice caractere, trebuie să începe şi termina mesajul

DESCRIERI:

• Config # Aceasta este descrierea SUD Router - pot fi introduse la nivel Config-dacă

Ceas:

• Config # ceas de fus orar Centrală -6
  # Ceas stabilit HH: MM: SS ZZ luna AAAA - Exemplu: set ceas 14:13:00 25 august 2003

Schimbare de registru:

• # Config config-registru 0 x 2100 - Monitorul ROM Mode
• # Config config-registru 0 x 2101 - ROM de boot
• # Config config-registru 0 x 2102 - Boot-aţi de NVRAM

BOOT SISTEMULUI:

• # Config sistem de boot TFTP FILENAME SERVER_IP - Exemplu: sistem de boot TFTP 2600_ios.bin 192.168.14.2
• # Config sistem de boot-ROM
• # Config sistem de boot flash - Atunci, - config # reîncărcaţi

CDP:

• Config # CDP rula - Se pare CDP pe
• Config # CDP holdtime 180 - Seturi de timp în care un dispozitiv rămâne. Implicit este 180
• Config # CDP Timer 30 - Seturi de actualizare timer.The implicit este de 60 de
• Config # int Ethernet 0
• # Config-dacă CDP permite - Activează CDP pe interfaţa
• # Config-dacă nu CDP permite - Dezactivează CDP pe interfaţa
• Config # nu rulaţi CDP - Se pare CDP jos

HOST tabel:

• Config # ip gazdă ROUTER_NAME INT_Address - Exemplu: IP-o gazdă de laborator 192.168.5.1
  -sau -
• Config # ip gazdă RTR_NAME INT_ADD1 INT_ADD2 INT_ADD3 - Exemplu: IP-o gazdă de laborator 192.168.5.1 203.23.4.2 199.2.3.2 - (pentru e0, s0, s1)

Nume de domeniu de servicii:

• Config # domeniu de ip-lookup - Spune-lookup ruterul la numele de domeniu
• Config # ip name-server 122.22.2.2 - Localizare de server DNS
• Config # ip-nume de domeniu cisco.com - Domeniu de a adăuga la sfârşitul celui de-nume

Contoare de compensare:

• # Clare de interfaţă Ethernet 0 - Goleşte contoare pe specificate de interfaţă
• # Contoare clar - Şterge toate interfaţă de contoare
• # Clar CDP contoare - Şterge CDP contoare

TRASEE static:

• Config # ip traseu Net_Add SN_Mask Next_Hop_Add - Exemplu: ip route 192.168.15.0 255.255.255.0 205.5.5.2
• Config # ip 0.0.0.0 0.0.0.0 traseu Next_Hop_Add - ruta implicită
  -sau -
• # Config implicit ip-retea Net_Add - Portalul LAN reţea

IP Routing:

• Config # rutare IP - activat implicit
• # Config router rip
  -sau -
• # Config router igrp 100
• Config # interfaţă Ethernet 0
• # Config-dacă adresa de IP 122.2.3.2 255.255.255.0
• # Config-dacă nu de închidere

IPX Routing:

• Config # IPX de dirijare
• Config # interfaţă Ethernet 0
• Config # IPX-căi de maxim 2 - maxim egal utilizate măsurătoare căi
• # Config-IPX dacă reţeaua de 222 capsulare SAP - de asemenea, Novell-eter, snap, arpa pe Ethernet. Capsulare ale HDLc de serie de pe
• # Config-dacă nu de închidere

ACCES liste:

IP-standard:

• # Config acces-10 lista de permis de 133.2.2.0 0.0.0.255 - permite tuturor src IP de pe reţea 133.2.2.0
  -sau -
• # Config acces-10 lista de permis de gazdă 133.2.2.2 - specifică o anumită gazdă
  -sau -
• # Config acces-10 lista de permis de orice - permite orice adresa de
• Config # int Ethernet 0
• # Config-ip dacă accesul în-grup de 10 - de asemenea, disponibil: afară

Prelungire de IP:

• # Config acces-list 101 permit tcp 133.12.0.0 0.0.255.255 122.3.2.0 0.0.0.255 eq telnet
  -protocoale: TCP, UDP, ICMP, IP (nu prize apoi), printre altele
  -sursă, atunci adresa de destinaţie
  -up, gt, lt pentru comparare
  -prize pot fi numerice sau de nume (23 sau telnet, 21 sau ftp, etc)
  -sau -
• # Config acces lista de 101-TCP refuza orice gazdă 133.2.23.3 up www

-sau -

• # Config acces-lista de 101 de ip orice permis de orice
• Config # interfaţă Ethernet 0
• Dacă # Config-ip acces grup de 101-afară IPX standard:
• # Config acces lista 801-233 permite AA3 - sursă de reţea / gazdă, apoi destinaţie network / host

-sau -

• # Config acces-list 801 permit -1 -1 - "-1" este acelaşi ca "orice" cu reţea / adrese de gazdă
• Config # interfaţă Ethernet 0
• # Config-dacă IPX acces-grup de 801 IPX prelungită de la:
• # Config acces-list 901 permit SAP 4AA toate 4BB toate
  - Permis de protocol src_add socket socket dest_add
  - "Toate" include toate prize, sau se pot utiliza numere de soclu

-sau -

• # Config acces-list 901 permit orice orice orice toate toate
  -Permise de orice protocol cu orice adresa de pe orice soclu pentru a merge oriunde
• Config # interfaţă Ethernet 0
• # Config-dacă IPX acces-grup de 901 în IPX SAP FILTRU:
• # Config acces-1000 lista de permis de 4aa 3 - "3" este serviciu de tip

-sau -

• # Config acces-1000 lista de permis de 4aa 0 - serviciu de tipul de "0" se potriveşte cu toate serviciile
• Config # interfaţă Ethernet 0
• # Config-dacă IPX de intrare-SAP-filtru de 1000 - filtru de aplicat pentru a pachetelor

-sau -

• # Config-dacă IPX de ieşire-SAP-1000 filtru - filtru aplicat la pachetele spre exterior

Numit de acces liste:

• Config # ip acces-lista standard de listname
  -poate fi de IP sau IPX, standard sau extinse
  urmat de-a permis de a refuza sau de listă
• Config # permite orice
• Dacă # Config-ip acces-listname în grup
  -utilizează lista de nume în loc de o listă numărul
  -permite pentru o sumă mai mare de acces la listele de -

PPP SETUP:

• # Config-dacă capsulare rp-pppoe
• # Config-rp-pppoe, dacă autentificare chap pap
  -ordinea în care ele vor fi folosite
  -a încercat doar cu autentificarea enumerate
  -dacă una nu reuşeşte, atunci conexiunea este închisă
• Dacă # Config-ieşire
• # Config-b Lab nume de utilizator parola 123456
  -nume de utilizator este router, care vor fi conectaţi la o pe asta
  -specificat doar routere se poate conecta

-sau -

• # Config-rp-pppoe, dacă chap de gazdă ROUTER
• # Config-rp-pppoe, dacă chap parola 123456
  -dacă acesta este setat pe toate routere, atunci oricare dintre ei se poate conecta la orice alte
  -toate pe acelaşi set de uşor de configurare

ISDN SETUP:

• # Config-ISDN trece de tip bază-5ess - determinată de telecomunicaţii
• Config # interfaţă serială 0
• Dacă # Config-ISDN spid1 2705554564 - ISDN "Număr telefon" din linia 1
• Dacă # Config-ISDN spid2 2705554565 - ISDN "Număr telefon" din linia 2
• # Config-dacă capsulare PPP - sau ale HDLc, LAPD

DDR - 4 Paşi pentru înfiinţarea ISDN cu DDR Configurare trece de tip

1. # Config-ISDN trece de tip bază-5ess - se poate face la interfaţa de configurare

2. Configurare rute statice
Config # ip traseu 123.4.35.0 255.255.255.0 192.3.5.5 - trimite trafic destinate 123.4.35.0 la 192.3.5.5
Config # traseu IP 192.3.5.5 255.255.255.255 bri0 - specifică cum, pentru a ajunge la reţea 192.3.5.5 (prin bri0)

3. Configure Interface
# Config-dacă adresa de IP 192.3.5.5 255.255.255.0
# Config-dacă nu de închidere
# Config-dacă capsulare rp-pppoe
# Config-dialer dacă-grup 1 - se aplică dialer-list la această interfaţă
# Config-dialer dacă harta IP 192.3.5.6 nume-Lab b 5551212
conecta la laboratorul de la b-5551212, cu IP 192.3.5.6, dacă există interesant de trafic
pot folosi, de asemenea, "şir de caractere 5551212 dialer" în loc dacă nu există decât o singură router pentru a se conecta la

4. Specificaţi interesant de trafic
Config # dialer-list 1 IP permite orice
-sau -
# Config-dialer lista 1 lista de 101 de IP - utilizarea de acces-101 lista ca lista de Dialer

5. Alte Opţiuni
# Config-dacă ţineţi-coada de 75 - coada de 75 de pachete, înainte de a forma
# Config-dialer dacă pragul de încărcare-125, fie
-înainte de încărcare necesare doua linie este adus,
- "125" este orice număr de 1-255, în cazul în care sarcina este x/255% (adică 125/255 este de aproximativ 50%)
-puteţi verifica de în, afara, sau, fie

# Config-dialer dacă este inactiv timp de expirare-180
-determină cât de mult timp pentru a rămâne inactiv înainte de sesiunea de încheiere a
-implicit este de 120

Cadru releu de configurare:

• Config # interfaţă serială 0
• # Config-dacă capsulare frame-relay - Cisco în mod implicit, se poate modifica pentru a ietf
• # Config-cadru, dacă-releu lmi-tip Cisco - Cisco, implicit, de asemenea, ANSI, q933a
• Config-dacă latime de banda # 5