Защита маршрутизатора средствами CISCO IOSРефераты >> Программирование и компьютеры >> Защита маршрутизатора средствами CISCO IOS
1. Создадим пользователя cook с нулевым уровнем привилегий
Router(config)#username cook privilege 0 password 7 044D0908
2. Работать это будет только тогда, когда прописать следующее
Router(config)#aaa new-model Router(config)#aaa authorization exec default local none
После регистрации пользователь с именем cook по команде ? (список доступных команд) увидит перечень:
Router>?
Exec commands:
<1-99> Session number to resume
disable Turn off privileged commands
enable Turn on privileged commands
exit Exit from the EXEC
help Description of the interactive help system
logout Exit from the EXEC
Router>
Команду enable переведем на уровень выше (на уровень 1), а выполнение команды telnet разрешим для нулевого уровня
Router(config)#privilege exec level 1 enable Router(config)#privilege exec level 0 telnet
К данным командам действует некоторое исключение - их действие нельзя отменить при помощи стандартной команды no. Этот вариант здесь не проходит.
Router(config)#no privilege exec level 1 enable Router(config)#no privilege exec level 0 telnet
Для отмены действия этих команд необходимо ввести следующие команды:
Router(config)#privilege exec reset enable Router(config)#privilege exec reset telnet
Сейчас после регистрации пользователь cook по команде ? увидит следующее:
Router>?
Exec commands:
<1-99> Session number to resume
disable Turn off privileged commands
exit Exit from the EXEC
help Description of the interactive help system
logout Exit from the EXEC
telnet Open a telnet connection
Router>
Проделав все операции, получили пользователя с заранее заданными возможностями.
Существует такой тип пользователей, для которых необходимо зарегистрироваться на маршрутизаторе и выполнить одну единственную команду (например, show users). Для этого можно завести на маршрутизаторе пользователя с входом без пароля и с выполнением автокоманды.
Router(config)#username dream nopassword autocommand show users
После ввода имени пользователя dream на экран выдается информация о присутствующих в данный момент на маршрутизаторе пользователях.
Парольная защита.
В соответствии с имеющимися пользовательским и привилегированным уровнями доступа существует два вида паролей: username password и enable secret (или enable password). Оба типа этих паролей могут иметь длину до 25 символов, содержать в себе различные знаки препинания и пробелы.
Пароль типа username password устанавливается с соответствующим ему именем пользователя. Задается это в режиме конфигурации следующей командой (пользователь cook с паролем queen):
Router(config)#username cook password queen
При выводе конфигурации (при помощи команды show running-config) на экране мы увидим следующую информацию:
username cook password 0 queen
Из этой строки видим, что пароль находится в "открытом виде", тип "0" означает "незашифрованный пароль". Если внимательно посмотреть самое начало конфигурации, то можно заметить следующую строку:
no service password-encryption
Это сервис шифрования видимой части пароля. По умолчанию он отключен. Правильным считается (для обеспечения безопасности - от простейшего подглядывания) включать этот сервис.
Router(config)#service password-encryption
Тогда строка конфигурации об имени и пароле пользователя будет иметь несколько другой вид, где мы уже не видим текст пароля в явном виде (тип "7" - зашифрованный пароль):
username cook password 7 03154E0E0301
Для входа в privileg EXEC level (привилегированный уровень) пользователь должен ввести пароль. При выключенном сервисе шифрования пароля соответствующая строка в конфигурации будет иметь вид:
enable password queen
При включенном же сервисе шифрования:
enable password 7 071E34494B07
Следует отметить, что данный метод шифрования пароля достаточно тривиален, существуют скрипты, которые за секунду декодируют его обратно в нормально читаемое состояние. Поэтому одним из важных элементов безопасности является вещь, с одной стороны очень далекая от телекоммуникаций и маршрутизаторов - порядок на собственном рабочем месте. Чтобы не были легко доступными бумажки с записями пароля в открытом виде, а также распечаток конфигураций роутеров, пусть даже пароль и будет зашифрован.
Лучшая возможность имеется для шифрования пароля к привилегированному уровню - использование не enable password, а enable secret, в котором для кодирования пароля применяется алгоритм MD5 (тип "5"):
Router(config)#enable secret queen
Строка конфигурации:
enable secret 5 $1$EuWt$SxHM5UPH3AIL8U9tq9a2E0
Преимущество такого шифрования пароля в том, что его кодирование производится даже при отключенном сервисе шифрования (забыли включить или не знали про такой сервис). Скриптов по расшифровке таких паролей я не встречал, но их существование вполне вероятно.
Ограничение доступа к маршрутизатору.
Управлять маршрутизаторами можно удаленно через telnet или локально через консольный порт или порт AUX. Отсюда следует два вида ограничения доступа к маршрутизатору: локальное и удаленное.
Доступ к маршрутизатору для его конфигурирования и мониторинга может производиться 6 способами:
с терминала, компьютера администратора (COM-порт), или терминального сервера через консольный порт маршрутизатора
с терминала, компьютера администратора (COM-порт), или терминального сервера путем дозвона на модем, подсоединенный к порту AUX
через Telnet
посредством Unix-команды rsh
по протоколу SNMP (community с правом записи - RW)
через WWW-интерфейс (встроенный в маршрутизатор HTTP-сервер)
Терминальным сервером называется хост, имеющий несколько последовательных асинхронных портов стандарта RS-232 (COM-порты), к которым подключаются консольные кабели маршрутизаторов. Поскольку обычный компьютер имеет 2 COM-порта, то для организации многопортового терминального сервера на базе ПК требуется установка карты расширения с дополнительными COM-портами (например, RocketPort). Из обрудования Cisco в качестве терминальных серверов обычно используются маршрутизаторы Cisco 2509 (8 асинхронных интерфейсов) и 2511 (16 асинхронных интерфейсов); при этом режим маршрутизации обычно отключается (no ip routing).
В целях безопасности все способы доступа, кроме консольного, следует по возможности ограничить, а лучше - полностью отключить. По умолчанию rsh и SNMP отключены, а доступ по Telnet, наоборот, разрешен, причем без пароля. Статус HTTP-сервера зависит от версии IOS и модели оборудования.