Protecția Router înseamnă ios cisco

Ieșire Ieșire din EXEC

telnet Deschideți o conexiune telnet

Router>

Făcând toate operațiunile utilizatorul va primi o capacitate predeterminată.

Există un tip de utilizator pentru care doriți să vă înregistrați router și rula o singură comandă (de exemplu, show utilizatori). Pentru a face acest lucru, puteți începe pe router utilizatorului fără parolă și cu punerea în aplicare a autocommands.

Router (config) vis #username utilizatori spectacol autocommand nopassword

După introducerea utilizatorul de vis pe ecran oferă informații despre prezența în acest moment, utilizatorii router.

Protecția prin parolă.

În conformitate cu nivelurile de preferințele utilizatorului și de acces existente există două tipuri de parole: parola de utilizator și activați secrete (sau activați parola). Ambele tipuri de parole pot fi de până la 25 de caractere, conțin o varietate de semne de punctuație și spații.

Tip parolă parola nume de utilizator este setat cu numele de utilizator corespunzător. Setați acest lucru în modul de următoarea configurație de comandă (parola de utilizator gătești regina):

Router (config) #username gătești parola regina

În derivarea configurația (folosind comanda show-rulare-config) pe ecran vom vedea următoarele informații:

numele de utilizator gătești parola 0 regina

Din această linie vedem că parola este în „text clar“, de tip „0“ înseamnă „parola necriptate.“ Dacă te uiți atent la începutul configurației, putem vedea următoarea linie:

nici un serviciu de criptare parolă-

Acest serviciu este partea vizibilă a parolei de criptare. În mod implicit, acesta este dezactivat. Considerat corect (pentru siguranta - de la cel mai simplu spionaj) pentru a include acest serviciu.

Router (config) #service parola-criptare

Apoi, configurația liniei a numelui de utilizator și parola vor avea o imagine ușor diferită, în cazul în care nu vom vedea textul parolei în mod explicit (de tip „7“ - parola criptat):

Nume de utilizator gătești parola 7 03154E0E0301

Pentru a introduce nivelul EXEC PRIVILEG (nivel privilegiat) utilizatorul trebuie să introducă o parolă. Atunci când criptarea parolei este dezactivată atunci când linia corespunzătoare în configurația va fi:

activați parola regina

Cu același serviciu de criptare:

activați parola 7 071E34494B07

Este demn de remarcat faptul că metoda de criptare a parolei nu este trivial, există scripturi că un al doilea decoda înapoi la starea normală care poate fi citit. Prin urmare, un element important al securității este lucrul cu o singură mână este foarte departe de telecomunicații și routere - procedura pe cont propriu la locul de muncă. Asta nu erau bucăți de hârtie ușor disponibile cu intrările parola în formă deschisă, precum și versiunile tipărite ale configurațiilor routere, chiar dacă parola și este criptat.

posibilitate preferată există pentru a cripta parola la nivelul privilegiat - folosind nu permit o parolă, și să permită secretă, în care algoritmul MD5 (tip „5“) este utilizat pentru a codifica o parolă:

Router (config) regina secretă #activarea

șir de configurare:

permite secretă 5 $ 1 $ EuWt $ SxHM5UPH3AIL8U9tq9a2E0

Avantajul acestei parole de criptare este că codificarea sa este realizată chiar și atunci când criptarea este dezactivată serviciu (a uitat să includă sau nu au știut despre acest serviciu). Script-uri nu am văzut pe o astfel de decriptare parolă, dar existența lor este destul de probabil.

Restricționarea accesului la router.

Gestionați routere pot fi la distanță prin intermediul telnet sau local prin portul consola sau AUX. Acest lucru implică două tipuri de restricții privind accesul la router: locale și de la distanță.

Accesul la router pentru configurarea și monitorizarea acestuia poate fi efectuată 6 moduri:

de la calculatorul administratorului terminalului (COM-port), sau server terminal prin intermediul router-port de consola

cu terminale, calculator (COM-port) un administrator sau un server terminal prin apelarea într-un modem conectat la portul AUX

prin Telnet

de Unix-rsh comandă

prin SNMP (comunitate cu scriere - RW)

prin intermediul WWW-interfață (built-in HTTP-server de router)

Terminal Server este numit-o gazdă, având routere consola multiple seriale asincrone de port RS-232 (COM-porturi) la care cablurile sunt conectate. Ca un calculator obișnuit are 2 COM-port, pentru organizarea multi-port pe bază de PC-terminal server necesită instalarea unui card de expansiune, cu o suplimentare COM-porturi (de exemplu, RocketPort). De la Echipamente Cisco servere terminale utilizate în mod obișnuit Cisco 2509 routere (8 interfete asincrone) și 2511 (16 interfețe asincrone); în timp ce modul de rutare este deconectat în mod normal (nu rutare ip).

Din motive de securitate, toate căile de acces, cu excepția consola, ar trebui să fie limitată cât mai mult posibil, și este mai bine - de a dezactiva complet. Implicit rsh și SNMP sunt dezactivate, iar pentru accesul Telnet, dimpotrivă, este permisă, fără parolă. stare HTTP-server depinde de versiunea de hardware și modelul IOS.

Consola de acces este ea însăși limitată fizic conectați cablul consola la serverul terminal. În cazul în care administratorul are acces la serverul terminal la distanță, sarcina are acces securizat la serverul terminal. Modul cel mai corect de acces de la distanță la un server terminal - SSH protocol.

Restricții locale privind accesul la router

Exemplu de configurare în care, pentru accesul de port consolă permis parola de timp, prin operarea pe portul în decurs de 1,5 minute, iar portul AUX pentru intrare interzise Mod EXEC:

aaa nou model
autentificare implicit de conectare locală aaa

line con 0
exec-timeout 30 ianuarie
line aux
nu Exec

În această configurație, atunci când vă conectați la portul consola, noi nu intră imediat în modul EXEC utilizator așa cum este de obicei, dar numai după ce introduceți numele de utilizator și parola. Constat că sintaxa comenzii timp Exec-timp setat în minute și secunde (separate prin spații), dar dacă vrem să specificați 0 minute și 0 secunde (Exec-timeout 0 0), aceasta nu înseamnă că ar fi imposibil de a ajunge pe acest port. Și exact opusul - utilizatorul va fi în modul EXEC pe termen nelimitat. Este necesar să se ia în considerare administratorii la configurația routerului. Cel mai Timpul minim - 1 secundă (exec-timeout 0, 1).

restricționa accesul la distanță router

Se recomandă, în general, absolut interzice accesul de la distanță la router prin telnet sau restricționează sever. Acest lucru poate fi realizat prin utilizarea listelor de control al accesului.

1. O interdicție totală privind accesul telnet la router

lista de acces 1 neagă orice

line VTY 0 4
acces clasa 1 în

2. Accesul la router telnet este permisă numai cu o gazdă specifică (a crea o listă de acces extins și se aplică la interfața Ethernet 0/0)

lista de acces 101 permis de gazdă tcp 140.11.12.73 gazdă 140.11.12.236 echiv telnet

Interfață Ethernet0 / 0
adresa IP 140.11.12.236 255.255.255.0
ip acces-grup 101 în

Dacă este necesar pentru a configura router-ul la gazdă la distanță și serverul terminal atunci când router-ul nu este conectat (de exemplu, un singur router la birou ramură de la distanță), acesta trebuie să fie folosit în loc de Telnet SSH. IPSEC setul de caracteristici sistem de operare Cisco IOS sprijină activitatea SSH server direct de pe router. IPSEC set de caracteristici este scump, necesită un procesor destul de zachitelno și memorie, și realizează un algoritm relativ slab (DES cheie de 40 de biți). Suport algoritm puternic (DES triplu cu cheie de 256 de biți) este asociată cu depășirea restricțiilor la export din SUA. Pe baza celor de mai sus, organizează accesul administrativ la router folosind IPSEC setul de caracteristici ar trebui să fie numai atunci când nu se poate conecta serverul terminal (sau în cazul în care setul de caracteristici IPSEC este deja utilizat pentru organizarea VPN).

Când accesați routerul prin WWW-interfață autentificarea utilizatorului HTTP-server este realizată prin tehnologia de încredere. închidere HTTP-server:

router (config) # nici un server ip http

router (config) # comunitate SNMP- server public RO nomer_spiska_dostupa

Concluzie.

protecție prin parolă, limitând accesul local, parole criptate, liste extinse de acces, înregistrarea și evidența evenimentelor pe routere oferă protecție împotriva tentativelor de acces neautorizat și se înregistrează informații despre astfel de încercări, toate acestea pot fi realizate prin intermediul Cisco IOS.

Lista surselor utilizate.