Проробивши всі операції, отримали користувача з наперед заданими можливостями.
Існує такий тип користувачів, для яких необхідно зареєструватися на маршрутизаторі і виконати одну єдину команду (наприклад, show users). Для цього можна завести на маршрутизаторі користувача з входом без пароля і з виконанням автокомандами.
Router (config) #username dream nopassword autocommand show users
Після введення імені користувача dream на екран видається інформація про присутніх в даний момент на маршрутизаторі користувачів.
Парольний захист.
Відповідно до наявних призначеним для користувача і привілейованим рівнями доступу існує два види паролів: username password і enable secret (або enable password). Обидва типи цих паролів можуть мати довжину до 25 символів, містити в собі різні розділові знаки і пропуски.
Пароль типу username password встановлюється з відповідним йому ім'ям користувача. Здається це в режимі конфігурації наступній командою (користувач cook з паролем queen):
Router (config) #username cook password queen
При виведенні конфігурації (за допомогою команди show running-config) на екрані ми побачимо наступну інформацію:
username cook password 0 queen
З цього рядка бачимо, що пароль перебуває в "відкритому вигляді", тип "0" означає "незашифрований пароль". Якщо уважно подивитися саме початок конфігурації, то можна помітити такий рядок:
no service password-encryption
Це сервіс шифрування видимої частини пароля. За замовчуванням він відключений. Правильним вважається (для забезпечення безпеки - від найпростішого підглядання) включати цей сервіс.
Router (config) #service password-encryption
Тоді рядок конфігурації про ім'я та пароль користувача матиме дещо інший вигляд, де ми вже не бачимо текст пароля в явному вигляді (тип "7" - зашифрований пароль):
username cook password 7 03154E0E0301
Для входу в privileg EXEC level (привілейований рівень) користувач повинен ввести пароль. При вимкненому сервісі шифрування пароля відповідний рядок в конфігурації матиме вид:
enable password queen
При включеному ж сервісі шифрування:
enable password 7 071E34494B07
Слід зазначити, що даний метод шифрування пароля досить тривіальний, існують скрипти, які за секунду декодують його назад в нормально Новомосковскемое стан. Тому одним з важливих елементів безпеки є річ, з одного боку дуже далека від телекомунікацій і маршрутизаторів - порядок на своєму робочому місці. Щоб не були легко доступними папірці з записами пароля у відкритому вигляді, а також роздруківок конфігурацій роутерів, нехай навіть пароль і буде зашифрований.
Найкраща можливість є для шифрування пароля до привілейованого рівню - використання не enable password, а enable secret, в якому для кодування пароля застосовується алгоритм MD5 (тип "5"):
Перевага такого шифрування пароля в тому, що його кодування виробляється навіть при відключеному сервісі шифрування (забули включити або не знали про такий сервіс). Скриптів по розшифровці таких паролів я не зустрічав, але їх існування цілком ймовірно.
Обмеження доступу до маршрутизатора.
Управляти маршрутизаторами можна віддалено через telnet або локально через консольний порт або порт AUX. Звідси випливає два виду обмеження доступу до маршрутизатора: локальне і віддалене.
Доступ до маршрутизатора для його конфігурації і моніторингу може здійснюватися 6 способами:
з терміналу, комп'ютера адміністратора (COM-порт), або термінального сервера через консольний порт маршрутизатора
з терміналу, комп'ютера адміністратора (COM-порт), або термінального сервера шляхом дозвону на модем, приєднаний до порту AUX
через Telnet
за допомогою Unix-команди rsh
по протоколу SNMP (community з правом запису - RW)
через WWW-інтерфейс (вбудований в маршрутизатор HTTP-сервер)
Термінальним сервером називається хост, що має кілька послідовних асинхронних портів стандарту RS-232 (COM-порти), до яких підключаються консольні кабелі маршрутизаторів. Оскільки звичайний комп'ютер має 2 COM-порту, то для організації многопортового термінального сервера на базі ПК потрібно установка карти розширення з додатковими COM-портами (наприклад, RocketPort). З обрудования Cisco в якості термінальних серверів зазвичай використовуються маршрутизатори Cisco 2509 (8 асинхронних інтерфейсів) і 2511 (16 асинхронних інтерфейсів); при цьому режим маршрутизації зазвичай відключається (no ip routing).
З метою безпеки всі способи доступу, крім консольного, слід по можливості обмежити, а краще - повністю відключити. За замовчуванням rsh і SNMP відключені, а доступ по Telnet, навпаки, дозволено, причому без пароля. Статус HTTP-сервера залежить від версії IOS і моделі обладнання.
Консольний доступ уже сам по собі фізично обмежений підключенням консольного кабелю до термінального сервера. Якщо адміністратор отримує доступ до термінального сервера віддалено, то постає завдання захищеного доступу на термінальний сервер. Найбільш правильний спосіб організації віддаленого доступу до термінального сервера - протокол SSH.
Локальне обмеження доступу до маршрутизатора
Приклад конфігурації, в якій для консольного порту дозволено вхід через пароль з часом роботи на порту протягом 1,5 хвилин, а для порту AUX заборонений вхід EXEC режим:
aaa new-model aaa authentication login default local
line con 0 exec-timeout 1 30 line aux no exec
У цій конфігурації при приєднанні до консольного порту ми не відразу потрапимо в user EXEC режим як це відбувається зазвичай, а тільки після введення користувальницького імені та пароля. Хочу зауважити, що в параметрах команди exec-timeout час задається в хвилинах і секундах (через пробіл), але якщо ми захочемо вказати 0 хвилин і 0 секунд (exec-timeout 0 0), то це не означає, що зовсім не можна буде потрапити на даний порт. А якраз навпаки - користувач буде знаходитися в EXEC режимі нескінченно довго. Це потрібно обов'язково враховувати адміністраторам при конфігурації маршрутизатора. Саме мінімальний час - 1 секунда (exec-timeout 0 1).
Віддалене обмеження доступу до маршрутизатора
Зазвичай рекомендується зовсім забороняти віддалений доступ до маршрутизатора по telnet або ж жорстко обмежувати його. Досягти цього можна завдяки застосуванню списків доступу.
1. Повна заборона доступу по telnet до маршрутизатора
access-list 1 deny any
line vty 0 4 access-class 1 in
2. Доступ до маршрутизатора по telnet дозволений тільки з певного хоста (створимо розширений список доступу і застосуємо його до інтерфейсу Ethernet 0/0)
interface Ethernet0 / 0 ip address 140.11.12.236 255.255.255.0 ip access-group 101 in
Якщо необхідно конфігурувати маршрутизатор з віддаленого хоста і термінальний сервер при маршрутизаторі відсутній (наприклад, одиночний маршрутизатор у видаленому філіалі), то замість Telnet слід використовувати SSH. IPSEC Feature set операційної системи Cisco IOS підтримує роботу SSH-сервера безпосередньо на маршрутизаторі. IPSEC Feature set має високу вартість, вимагає досить зачительному ресурсів процесора і пам'яті і реалізує відносно слабкий алгоритм (DES з 40-бітовим ключем). Підтримка сильного алгоритму (Triple DES з 256-бітовим ключем) пов'язана з подоланням експортних обмежень США. Виходячи з вищесказаного, організовувати адміністративний доступ до маршрутизатора за допомогою IPSEC Feature set слід тільки при неможливості підключення термінального сервера (або якщо IPSEC Feature set вже використовується для організації VPN).
При доступі до маршрутизатора через WWW-інтерфейс аутентифікація користувача HTTP-сервером проводиться за ненадійною технології. Відключення HTTP-сервера:
router (config) # no ip http server
router (config) # snmp-server community public RO номер_спіска_доступа
Висновок.
Захист паролем, обмеження локального доступу, шифровані паролі, розширені списки доступу, облік і запис подій на маршрутизаторах забезпечують захист від несанкціонованих спроб доступу та протоколюють інформацію про такі спроби, все це можна реалізувати засобами CISCO IOS.