Рутер защита означава, Cisco IOS
Изход Изход от EXEC
Telnet Отваряне на телнет връзка
Router>
Правейки всички операции потребителят ще получи предварително определен капацитет.
Налице е тип потребител, за който искате да регистрирате рутера и работи с една единствена команда (например, шоу на потребителите). За да направите това, можете да започнете от рутер на потребителя, без парола и с изпълнението на autocommands.
Router (довереник) #username мечта потребители NoPassWord autocommand покажи
След въвеждане на ползвателя на мечтата на екрана дава информация за наличието в момента потребителите на маршрутизатора.
Защита с парола.
В съответствие със съществуващите потребителски предпочитания и достъп нива има два типа пароли: потребителско име парола и да позволи тайна (или да активирате парола). И двата вида пароли могат да бъдат до 25 символа, съдържа голямо разнообразие от пунктуация и пространства.
Вид парола потребителско име парола е зададена със съответното потребителско име. Задайте в режим на следната команда конфигурация (парола за потребители готви кралица):
Router (довереник) #username готви кралица парола
В произтичащи от конфигурацията (с помощта на командата шоу тичане-довереник) на екрана ще видим следната информация:
потребителско име готви парола 0 кралица
От тази линия ние виждаме, че паролата е в "чист текст", тип "0" означава "некриптиран парола." Ако се вгледате внимателно в самото начало на конфигурацията, можем да видим на следния ред:
няма услуга с парола криптиране
Тази услуга е видимата част на паролата за криптиране. По подразбиране тя е изключена. Смятан правилно (за безопасност - от най-простия шпионаж) да се включи тази услуга.
Router (довереник) #service парола криптиране
След това конфигурацията на линията на потребителското име и паролата ще има малко по-различен изглед, където няма да видим текст парола изрично (тип "7" - криптираната парола):
потребителско име готви парола 7 03154E0E0301
За да въведете Privileg ниво EXEC (привилегировано ниво) потребителят трябва да въведете парола. Когато криптиране на паролите се изключва, когато съответния ред в конфигурацията ще бъде:
даде възможност на кралица парола
Със същото криптиране услугата:
активирате парола 7 071E34494B07
Заслужава да се отбележи, че методът за криптиране на паролите не е тривиално, има скриптове, които втори го декодиране върне към нормалното четим състояние. Ето защо, важен елемент от сигурността е нещо, с една ръка е много далеч от телекомуникационния и рутери - процедурата на собствения си работно място. Това не са лесно достъпни парчета хартия с вписвания паролата в отворената форма, както и разпечатки на маршрутизатори конфигурации, дори и ако паролата и е кодирано.
Предпочитана възможност съществува за кодиране на паролата на привилегировано ниво - използва не позволи парола, и да позволи тайна, където MD5 алгоритъм (тип "5") се използва за кодиране на парола:
Router (довереник) #enable тайна кралица
конфигурация низ:
позволи тайна 5 $ 1 $ EuWt $ SxHM5UPH3AIL8U9tq9a2E0
Предимството на тази парола за криптиране е, че неговото кодиране се извършва дори когато криптиране е услуга с увреждания (забравих да включва или да не знаят за тази услуга). Scripts не съм виждал по такъв декриптиране на парола, но тяхното съществуване е доста вероятно.
Ограничаване на достъпа до рутера.
Управление рутери могат да бъдат дистанционно чрез телнет или локално чрез конзола порт или AUX на. Това предполага два вида ограничения за достъп до рутера: локално и отдалечено.
Достъп до рутера за своята конфигурация и мониторинг може да се извърши на 6 начина:
от компютъра на терминал администратора (COM-порт), или терминален сървър чрез конзола порт рутер
с терминал, на администратор компютър (COM-порт) или терминален сървър чрез набиране в модем, свързан към порта ПОМОЩНА
чрез Telnet
от Unix-РШ команда
чрез SNMP (общност със запис - RW)
чрез WWW интерфейс (вграден HTTP сървър рутер)
Terminal Server, се нарича домакин, има множество серийни асинхронни пристанищни RS-232 (COM-портове), към който са свързани кабели конзолни рутери. Като един обикновен компютър има 2 COM-порт, за организиране на мулти-порт PC терминален сървър-базирана изисква монтаж на платка за разширение с допълнителни COM-портове (например RocketPort). От Cisco оборудване като терминални сървъри често използвани Cisco 2509 рутери (8 асинхронни интерфейси) и 2511 (16 асинхронни интерфейси); докато маршрутизиране режим обикновено е изключен (не ПР маршрута).
От съображения за сигурност, всички пътища за достъп, с изключение на конзолата, трябва да се ограничи, доколкото е възможно, и това е по-добре - да забраните напълно. По подразбиране РШ и SNMP са хора с увреждания, както и за Telnet достъп, напротив, е разрешено, без паролата. Статус на HTTP сървър, зависи от версията и хардуер модел IOS.
Console достъп, е ограничена от физическо свързване конзола кабел за терминален сървър. Ако администраторът има достъп до терминален сървър дистанционно, задачата става сигурен достъп до терминален сървър. Най-правилния начин на отдалечен достъп до терминал сървър - SSH протокол.
Местните ограничения за достъп до рутера
Примерна конфигурация, в която за достъпа на конзолата порт позволено парола време чрез експлоатация на пристанището в рамките на 1,5 минути, а порт AUX за вход забранен режим EXEC:
ааа нов модел
ааа удостоверяване вход подразбиране местно
линия CON 0
EXEC-изчакване 30 януари
Онлайн AUX
не EXEC
В тази конфигурация, когато се свържете към конзолата пристанище, ние не веднага попадат в режим EXEC потребител, както е обичайно, но само след като въведете потребителско име и парола. Бих искала да отбележа, че синтаксиса на командите време EXEC-време, зададено в минути и секунди (разделени с интервали), но ако искаме да се уточни 0 минути и 0 секунди (EXEC-тайминговите 0 0), това не означава, че би било напълно невъзможно да се кача на този порт. И точно обратното - потребителят ще бъде в режим на EXEC за неопределено време. Необходимо е да се помисли за администратори в конфигурацията на маршрутизатора. Най минималното време - 1 секунда (EXEC-изчакване 0, 1).
Отдалеч ограничи достъпа до рутера
Обикновено се препоръчва абсолютно забранява отдалечен достъп до рутера през телнет или строго го ограничи. Това може да се постигне чрез използване на списъци за контрол на достъпа.
1. Пълна забрана на достъпа Telnet към рутера
достъп списък 1 отрече всякаква
линия vty 0 4
достъп клас 1
2. Достъп до Telnet рутер е позволено само с определен хост (създадете списък разширен достъп и да го приложите към Ethernet интерфейс 0/0)
достъп списък 101 разрешение TCP домакин 140.11.12.73 домакин 140.11.12.236 екв телнет
интерфейс Ethernet0 / 0
IP адрес 140.11.12.236 255.255.255.0
IP достъп на група 101 в
Ако е необходимо за конфигуриране на рутера с отдалечения хост и терминал сървъра, когато рутера е активен (например, един рутер в отдалечени клон на), тя трябва да се използва вместо Telnet SSH. IPSEC набор от функции Cisco IOS операционна система поддържа работата на SSH сървър директно на рутера. IPSEC набор от функции е скъпо, изисква доста zachitelno процесора и паметта, и осъзнава, сравнително слаб алгоритъм (DES 40-битов ключ). Подкрепа силен алгоритъм (Triple DES с 256-битов ключ) е свързано с преодоляването на САЩ експортните ограничения. Въз основа на изложеното по-горе, да организирате административен достъп до рутера с помощта на IPSEC набор от функции трябва да бъде само, когато не може да се свърже терминал сървър (или ако IPSEC набор от функции вече се използва за VPN организация).
Когато влезете в рутера през WWW интерфейс удостоверяване на потребителя HTTP сървър се осъществява от ненадеждна технология. HTTP сървър изключване:
рутер (довереник) # не ПР HTTP сървър
рутер (довереник) # SNMP-сървър общност обществен RO nomer_spiska_dostupa
Заключение.
защита с парола, ограничаване локален достъп, криптирани пароли, списъци разширен достъп, регистриране и запис на събития на маршрутизатори осигуряват защита срещу неоторизирани опити за достъп и записва информация за подобни опити, всичко това може да се реализира чрез Cisco IOS.
Списък на използваните източници.