ѕодпишитесь на наш Telegram-канал Ѕудьте в курсе последних новостей 👇 😉 ѕодписатьс€
ѕоддержим в трудное врем€ —пециальное предложение на техническую поддержку вашей »“ - инфраструктуры силами наших экспертов ѕодобрать тариф
ѕоставка оборудовани€ √аранти€ и помощь с настройкой. —кидка дл€ наших читателей по промокоду WIKIMERIONET  упить
»нтерфейс статистики Merion Mertics показывает ключевые диаграммы и графики по звонкам, а также историю звонков в формате, который легко поймет менеджер ѕопробовать бесплатно
¬недрение
офисной телефонии
Ўаг на пути к созданию доступных унифицированных коммуникаций в вашей компании ¬недрить
»нтеграци€ с CRM ѕомогаем навести пор€док с данными
и хранить их в единой экосистеме
ѕодключить
»“ Ѕезопастность ”мна€ информационна€ безопасность дл€ вашего бизнеса «аказать
ћерион Ќетворкс

8 минут чтени€

—етевые устройства могут работать в режимах, которые подраздел€ютс€ на три большие категории.

ѕерва€ и основна€ категори€- это передача данных (плоскость данных, data plane). Ёто режим работы коммутатора по передаче кадров, генерируемых устройствами, подключенными к коммутатору. ƒругими словами, передача данных €вл€етс€ основным режимом работы коммутатора.

¬о-вторых, управление передачей данных относитс€ к настройкам и процессам, которые управл€ют и измен€ют выбор, сделанный передающим уровнем коммутатора. —истемный администратор может контролировать, какие интерфейсы включены и отключены, какие порты работают с какой скоростью, как св€зующее дерево блокирует некоторые порты, чтобы предотвратить циклы, и так далее. “ак же важной частью этой статьи €вл€етс€ управление устройством, осуществл€емое через плоскость наблюдени€ (management plane). ѕлоскость наблюдени€ - это управление самим устройством, а не управление тем, что делает устройство. ¬ частности, в этой статье рассматриваютс€ самые основные функции управлени€, которые могут быть настроены в коммутаторе Cisco. ¬ первом разделе статьи рассматриваетс€ настройки различных видов безопасности входа в систему. ¬о втором разделе показано, как настроить параметры IPv4 на коммутаторе, чтобы им можно было управл€ть удаленно. ¬ последнем разделе рассматриваютс€ практические вопросов, которые могут немного облегчить жизнь системного администратора.


«ащита коммутатора через CLI

ѕо умолчанию коммутатор Cisco Catalyst позвол€ет любому пользователю подключитьс€ к консольному порту, получить доступ к пользовательскому режиму, а затем перейти в привилегированный режим без какой-либо защиты. Ёти настройки заданы в сетевых устройствах Cisco по умолчанию и, если у вас есть физический доступ к устройству, то вы спокойно можете подключитьс€ к устройству через консольный порт или USB, использу€ соответствующий кабель и соответственно производить различные настройки.

ќднако не всегда имеетс€ физический доступ к коммутатору и тогда необходимо иметь доступ к устройствам дл€ удаленного управлени€, и первым шагом в этом процессе €вл€етс€ обеспечение безопасности коммутатора так, чтобы только соответствующие пользователи могли получить доступ к интерфейсу командной строки коммутатора (CLI).


Ќастройка парольного доступа к коммутатору Cisco

¬ данной части рассматриваетс€ настройка безопасности входа дл€ коммутатора Cisco Catalyst.

«ащита CLI включает защиту доступа в привилегированный режим, поскольку из этого режима злоумышленник может перезагрузить коммутатор или изменить конфигурацию.

«ащита пользовательского режима также важна, поскольку злоумышленники могут видеть настройки коммутатора, получить настройки сети и находить новые способы атаки на сеть.

ќсобенно важно, что бы все протоколы удаленного доступа и управлени€, чтобы IP-настройки коммутатора были настроены и работали.

ƒл€ того чтобы получить удаленный доступ по протоколам Telnet и Secure Shell (SSH) к коммутатору, необходимо на коммутаторе настроить IP-адресацию.

„уть позже будет показано, как настроить IPv4-адресацию на коммутаторе.

¬ первой части статьи будут рассмотрены следующие вопросы защиты входа:

  • «ащита пользовательского режима и привилегированного режима с помощью простых паролей;
  • «ащита доступа в пользовательский режим с использованием локальной базы данных;
  • «ащита доступа в пользовательский режим с помощью внешних серверов аутентификации;
  • «ащита удаленного доступа с помощью Secure Shell (SSH);

«ащита пользовательского и привилегированного режима с помощью простых паролей.

ѕолучить полный доступ к коммутатору Cisco можно только через консольный порт.

¬ этом случае, настройки по умолчанию, позвол€ют получить доступ сначала к режиму пользовател€, а затем можно перейти в привилегированный режим без использовани€ паролей.

ј вот по протоколам удаленного доступа Telnet или SSH получить доступ даже к режиму пользовател€ невозможно.

Ќастройки по умолчанию идут у совершенно нового коммутатора, но в производственной среде необходимо обеспечить безопасный доступ через консоль, а также включить удаленный вход через Telnet и/или SSH, чтобы была возможность подключатьс€ ко всем коммутаторам в локальной сети.

ћожно организовать доступ к сетевому оборудованию с использованием одного общего парол€.

Ётот метод позвол€ет подключитьс€ к оборудованию, использу€ только пароль - без ввода имени пользовател€ - с одним паролем дл€ входа через консольный порт и другим паролем дл€ входа по протоколу Telnet. ѕользователи, подключающиес€ через консольный порт, должны ввести пароль консоли, который был предварительно настроен в режиме конфигурации. ѕользователи, подключающиес€ через протокол Telnet, должны ввести пароль от Telnet, также называемый паролем vty, так называемый, потому что это режим конфигурации терминальных линий (vty). Ќа рисунке 1 представлены варианты использовани€ паролей с точки зрени€ пользовател€, подключающегос€ к коммутатору.

ѕример защиты доступа одним паролем, без ввода имени пользовател€

 ак видно из рисунка 1, на коммутаторах Cisco стоит защита привилегированного режима (enable) с помощью еще одного общего парол€, задаваемый командой enable password. —истемный администратор, подключающийс€ к CLI коммутатора попадает в режим пользовател€ и далее, вводит команду enable.

Ёта команда запрашивает у пользовател€ пароль входа в привилегированный режим; если пользователь вводит правильный пароль, IOS перемещает пользовател€ в привилегированный режим.

ѕример 1. ѕример входа в коммутатор из консоли, когда пароль консоли и пароль привилегированного режима были заранее установлены. ѕредварительно пользователь запустил эмул€тор терминала, физически подключил ноутбук к консольному кабелю, а затем нажал клавишу Enter, чтобы войти в коммутатор.

(User now presses enter now to start the process. This line of text does not appear.)
User Access Verification
Password: cisco
Switch> enable
Password: cisco
Switch#

¬ примере показаны пароли в открытом виде, как если бы они были набраны в обычном текстовом редакторе (cisco), а также команда enable, котора€ перемещает пользовател€ из пользовательского режима в привилегированный режим (enable). ¬ реальности же IOS скрывает пароли при вводе, чтобы никто не смог увидеть их.

„тобы настроить общие пароли дл€ консоли, Telnet и привилегированного режима (enable), необходимо ввести несколько команд. Ќа рис. 2 показан пор€док задани€ всех трех паролей.

 оманды настройки парольного доступа к коммутатору

Ќа рисунке 2 показаны два ѕ , пытающиес€ получить доступ к режиму управлени€ устройством. ќдин из ѕ  подключен посредством консольного кабел€, соедин€ющейс€ через линию console 0, а другой посредством Telnet, соедин€ющейс€ через терминальную линию vty 0 15. ќба компьютера не имеют Ћогинов, пароль дл€ консоли и Telnet -cisco. ѕользовательский режим получает доступ к привилегированному режиму (enable) с помощью ввода команды "enable secret cisco". ƒл€ настройки этих паролей не надо прилагать много усилий. ¬се делаетс€ легко. ¬о-первых, конфигураци€ консоли и парол€ vty устанавливает пароль на основе контекста: дл€ консоли (строка con 0) и дл€ линий vty дл€ парол€ Telnet (строка vty 0 15). «атем в режиме консоли и режиме vty, соответственно вводим команды:

login
password <пароль задаваемый пользователем>

Ќастроенный пароль привилегированного режима, показанный в правой части рисунка, примен€етс€ ко всем пользовател€м, независимо от того, подключаютс€ ли они к пользовательскому режиму через консоль, Telnet или иным образом.  оманда дл€ настройки enable password €вл€етс€ командой глобальной конфигурации: enable secret <пароль пользовател€>.

¬ старых верси€х, дл€ задани€ парол€ на привилегированный режим, использовалась команда password. ¬ современных IOS примен€етс€ два режима задани€ парол€: password и secret.

–екомендуетс€ использовать команду secret, так как она наиболее безопасна по сравнению с password.

ƒл€ правильной настройки защиты коммутатора Cisco парол€ми необходимо следовать по шагам, указанным ниже:

Ўаг 1. «адайте пароль на привилегированный режим командой enable secret password-value

Ўаг 2. «адайте пароль на доступ по консоли

  1. »спользуйте команду line con 0 дл€ входа режим конфигурировани€ консоли;
  2. »спользуйте команду liassword liassword-value дл€ задани€ парол€ на консольный режим;
  3. »спользуйте команду login дл€ запроса парол€ при входе по консоли;

Ўаг 3. «адайте пароль на терминальные подключени€ vty (Telnet)

  1. »спользуйте команду line vty 0 15 дл€ входа режим конфигурировани€ терминальных линий. ¬ данном примере настройки будут применены ко всем 16 терминальным лини€м;
  2. »спользуйте команду liassword liassword-value дл€ задани€ парол€ на режим vty;
  3. »спользуйте команду login дл€ запроса парол€ при входе по Telnet

¬ ѕримере 2 показан процесс настройки, согласно вышеописанным шагам, а также установка парол€ enable secret. —троки, которые начинаютс€ с ! - это строки комментариев. ќни предназначены дл€ комментировани€ назначени€ команд.

! Enter global configuration mode, set the enable password, and also set the hostname (just because it makes sense to do so)
Switch# configure terminal
Switch(config)# enable secret cisco
Switch#(config)# line console 0
Switch#(config-line)# password cisco
Switch#(config-line)# login
Switch#(config-line)# exit
Switch#(config)# line vty 0 15
Switch#(config-line)# password cisco
Switch#(config-line)# login
Switch#(config-line)# end
Switch#

ѕример 3 показывает результирующую конфигурацию в коммутаторе, выводимой командой show running-config. ¬ыделенный текст показывает новую конфигурацию. „асть листинга было удалено, что бы сконцентрировать ваше внимание на настройке парол€.

Switch# show running-config
!
Building configuration...
Current configuration: 1333 bytes
!
version 12.2
!
enable secret 5 $1$OwtI$A58c2XgqWyDNeDnv51mNR.
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
! Several lines have been omitted here - in particular, lines for
! FastEthernet interfaces 0/3 through 0/23.
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
line con 0
password cisco
login
!
line vty 0 4
password cisco
login
!
line vty 5 15
password cisco
login

¬ следующей статье рассмотрим тему защиты доступа в пользовательском режиме с помощью локальных имен пользователей и паролей.