Защита доступа к устройствам

В Cisco IOS можно настроить пароли иерархических режимов, чтобы предоставлять разные права доступа к сетевому устройству.

Доступ ко всем сетевым устройствам следует ограничить

· Установите пароль для привилегированного режима доступа EXEC

· Установите пароль для пользовательского режима доступа EXEC

· Установите пароль для удаленного доступа по протоколу Telnet

Другие задания:

· Зашифруйте все пароли

· Создайте баннер с юридическим уведомлением

Используйте надежные пароли, которые сложно подобрать. Обратите внимание на ключевые задачи

· Используйте пароли длиннее 8 символов.

· Используйте сочетание букв в верхнем и нижнем регистре, цифр, специальных символов и (или) числовых последовательностей.

· Не используйте одинаковый пароль для всех устройств.

· Не используйте часто употребляющиеся слова, поскольку их легко подобрать.

 

Настройка паролей

Для защиты доступа к привилегированному режиму EXEC используйте команду глобальной конфигурации enable secret password.

Для защиты доступа к пользовательскому режиму EXEC необходимо настроить консольный порт.

login -Включите доступ к пользовательскому режиму EXEC с помощью команды

Линии виртуального терминала (VTY) обеспечивают удаленный доступ к устройству.

 

Шифрование паролей

Чтобы зашифровать пароли, используйте команду глобальной конфигурации service password-encryption. Команда применяет слабый алгоритм шифрования ко всем незашифрованным паролям. Шифрование применяется только к паролям в файле конфигурации, но не к паролям, которые отправлены по сети. Эта команда не позволяет неавторизованным пользователям прочитать пароли в файле конфигурации.

 

Баннерные сообщения

Необходимо использовать уведомления о том, что лишь авторизованным пользователям можно получить доступ к устройству. Для этого нужно добавить баннер в выходные данные устройства. Баннеры могут стать важной частью судебного процесса, если пользователь был обвинен в несанкционированном доступе. Отдельные законодательства не разрешают возбуждать судебные дела против пользователей или даже просто следить за их действиями без предупреждения.

Чтобы создать баннерное сообщение дня на сетевом устройстве, используйте команду глобальной конфигурации banner motd # the message of the day # . Символ «#» в синтаксисе команды называется разделителем. Он вводится до и после сообщения. Разделителем может быть любой символ, которого нет в самом сообщении. Поэтому часто используются такие символы, как «#». После выполнения команды баннер будет отображаться при всех последующих попытках доступа к устройству, пока не будет удален.

Сохранение файла текущей конфигурации

Конфигурация устройства хранится в двух системных файлах.

· startup-config — файл в энергонезависимом ОЗУ (NVRAM), содержащий все команды, которые будут использоваться устройством после запуска или перезагрузки. Содержимое NVRAM не теряется при выключении питания устройства.

· running-config — файл в ОЗУ, отражающий текущую конфигурацию. Изменения текущей конфигурации незамедлительно влияют на работу устройства Cisco. ОЗУ — энергозависимая память. После отключения питания или перезагрузки устройства ОЗУ теряет все свое содержимое.

Как показано на рисунке, можно использовать команду привилегированного режима EXEC show running-config для просмотра файла текущей конфигурации. Для просмотра файла загрузочной конфигурации используйте команду привилегированного режима EXEC show startup-config.

Однако при отключении питания или перезапуске устройства все несохраненные изменения конфигурации будут потеряны. Чтобы сохранить изменения текущей конфигурации в файле загрузочной конфигурации, используйте команду привилегированного режима EXEC copy running-config startup-config.

Изменение текущей конфигурации

Если изменения, внесенные в текущей конфигурации, не приносят желаемого результата, а файл текущей конфигурации еще не был сохранен, можно восстановить устройства в их предыдущей конфигурации путем индивидуального удаления измененных команд или путем перезагрузки устройства, используя команду привилегированного режима EXEC reload для восстановления стартовой конфигурации.

Недостатком использования команды reload для удаления несохраненной текущей конфигурации является кратковременный переход устройства в автономный режим и, как следствие, простой сети.

Загрузочную конфигурацию можно удалить с помощью команды привилегированного режима EXEC erase startup-config. После ввода команды появится запрос о подтверждении. Нажмите клавишу ввода для подтверждения.

⇐ Предыдущая12345678910Следующая ⇒

Поделиться: