ѕоставка оборудовани€ √аранти€ и помощь с настройкой. —кидка дл€ наших читателей по промокоду WIKIMERIONET  упить
»нтерфейс статистики Merion Mertics показывает ключевые диаграммы и графики по звонкам, а также историю звонков в формате, который легко поймет менеджер ѕопробовать бесплатно
¬недрение
контакт-центра
 онтакт - центр как канал продаж и маркетинговой коммуникации ¬недрить
»нтеграци€ с CRM ѕомогаем навести пор€док с данными
и хранить их в единой экосистеме
ѕодключить
»“ Ѕезопастность ”мна€ информационна€ безопасность дл€ вашего бизнеса «аказать
ћерион Ќетворкс

11 минут чтени€

ѕерва€ часть статьи доступна по ссылке: Ѕазова€ настройка коммутатора Cisco - часть 1

«ащита доступа в пользовательском режиме с помощью локальных имен пользователей и паролей

 оммутаторы Cisco поддерживают два других метода безопасного входа, которые используют пары им€ пользовател€ / пароль вместо общего парол€ без ввода имени пользовател€. ѕервый метод, использует ввод локального имени пользовател€ и парол€. ѕроисходит настройка пары им€ пользовател€ / пароль локально-то есть в конфигурации коммутатора.  оммутаторы поддерживают режим локального имени пользовател€ / парол€ дл€ входа по консоли, по Telnet и даже по SSH, но не измен€ют пароль от привилегированного режима (enable), используемый дл€ входа в режим enable.

Ќастройки дл€ перехода от использовани€ простых общих паролей к использованию локальных имен пользователей/паролей требует лишь небольших изменений конфигурации, как показано на рис.3.

Ќастройка коммутаторов с использованием локальной аутентификации по имени пользовател€

Ќа рисунке показаны два ѕ , пытающиес€ получить доступ к пользовательскому режиму. ќдин из ѕ  подключен по консольному кабелю в пользовательский режим через линию console 0, а другой ѕ  по Telnet, соедин€ющийс€ через терминальные линии vty 0 15. ќба ѕ  не имеют паролей дл€ входа, и задано им€ пользовател€ дл€ обоих ѕ  - " local."

Ќа рисунке в ѕользовательском режиме используетс€ две команды:

  • 1- username ulanbaby secret box
  • 2- username landy secret box

√л€д€ на настройки на рисунке, видно, во-первых, коммутатору, необходимо задать пару им€ пользовател€/пароль. ƒл€ их создани€, в режиме глобальной конфигурации, введите команду создани€ имени пользовател€ и зашифрованного парол€ -username <им€ пользовател€> secret <пароль>. «атем, чтобы включить тип безопасности входа с проверкой логина (имени пользовател€ ) по консоли или Telnet, просто добавьте команду login local. ѕо сути, эта команда означает " использовать локальный список имен пользователей дл€ входа в систему."

¬ы также можете использовать команду no password, чтобы очистить все оставшиес€ команды паролей из консоли или режима vty, потому что эти команды не нужны при использовании локальных имен пользователей и паролей.

Ќиже подробно описаны шаги дл€ настройки доступа к к коммутатору с использованием логина и парол€:

Ўаг 1. ¬ режиме глобальной конфигурации используйте команду username <им€ пользовател€ > secret <пароль>, чтобы создать одну или несколько пар им€ пользовател€/пароль в локальной базе коммутатора.

Ўаг 2. Ќастройте консоль на использование пар им€ пользовател€ / пароль из локальной базы коммутатора:

  1. используйте команду line con 0 дл€ входа в режим конфигурации консоли.
  2. используйте подкоманду login local, чтобы разрешить коммутатору запрашивать им€ пользовател€ и пароль, совпадающие со списком локальных имен пользователей/паролей.
  3. (необ€зательно) используйте подкоманду no password дл€ удалени€ всех существующих простых общих паролей, просто дл€ оптимизации конфигурации.

Ўаг 3. Ќастройте Telnet (vty) дл€ использовани€ пар им€ пользовател€ / пароль из локальной базы коммутатора:

  1. 1. используйте команду line vty 0 15 дл€ входа в режим конфигурации vty дл€ всех 16 терминальных линий vty (пронумерованных от 0 до 15).
  2. 2. используйте подкоманду login local, чтобы разрешить коммутатору запрашивать им€ пользовател€ и пароль дл€ всех вход€щих пользователей Telnet, со списком локальных имен пользователей/паролей.
  3. 3. (необ€зательно) используйте подкоманду no password дл€ удалени€ всех существующих простых общих паролей, просто дл€ оптимизации конфигурации.

ѕри попытке подключитьс€ по Telnet к коммутатору, настроенному как показано на рисунке, пользователю будет предложено сначала ввести им€ пользовател€, а затем пароль, как показано в ѕримере 4. ѕара им€ пользовател€ / пароль должна быть в локальной базе коммутатора.¬ противном случае вход в систему будет отклонен.

ѕроцесс входа по Telnet после применени€ настроек

¬ примере 4 коммутаторы Cisco не отображает символы при вводе парол€ по соображени€м безопасности.


«ащита доступа в пользовательском режиме с помощью внешних серверов аутентификации

¬ конце примера 4 показано одно из многочисленных улучшений безопасности, когда требуетс€, чтобы каждый пользователь входил под своим собственным именем пользовател€. “акже в конце примера показано, как пользователь входит в режим конфигурации (configure terminal), а затем сразу же покидает его (end). ќбратите внимание, что при выходе пользовател€ из режима конфигурации коммутатор генерирует сообщение журнала (log). ≈сли пользователь вошел в систему с именем пользовател€, сообщение журнала (log) идентифицирует это им€ пользовател€; ¬ примере сгенерировано сообщение журнала по имени "ulanbaby".

ќднако использование имени пользовател€ / парол€, настроенного непосредственно на коммутаторе, не всегда удобно при администрировании. Ќапример, каждому коммутатору и маршрутизатору требуетс€ настройка дл€ всех пользователей, которым может потребоватьс€ войти на устройства. «атем, когда возникнет необходимость внесени€ изменений в настройки, например, изменение паролей дл€ усилени€ безопасности, настройки всех устройств должны быть изменены.

Ћучшим вариантом было бы использовать инструменты, подобные тем, которые используютс€ дл€ многих других функций входа в »“. Ёти инструменты обеспечивают центральное место дл€ безопасного хранени€ всех пар им€ пользовател€ / пароль, с инструментами, чтобы заставить пользователей регул€рно мен€ть свои пароли, инструменты, чтобы отключать пользователей, когда они завершают сеанс работы, и так далее.

 оммутаторы Cisco позвол€ют именно этот вариант, использу€ внешний сервер, называемый сервером аутентификации, авторизации и учета (authentication, authorization, and accounting)(AAA). Ёти серверы содержат имена пользователей / пароли. —егодн€ многие существующие сети используют AAA-серверы дл€ входа на коммутаторы и маршрутизаторы.

ƒа дл€ настройки данного входа по паре им€ пользовател€ / пароль необходимо произвести дополнительные настройки коммутатора.

ѕри использовании AAA-сервера дл€ аутентификации коммутатор (или маршрутизатор) просто отправл€ет сообщение на AAA-сервер, спрашива€, разрешены ли им€ пользовател€ и пароль, и AAA-сервер отвечает.

Ќа рисунке показано, что пользователь сначала вводит им€ пользовател€ / пароль, коммутатор запрашивает AAA-сервер, а сервер отвечает коммутатору, за€вл€€, что им€ пользовател€/пароль действительны.

ќсновной процесс аутентификации с внешним AAA-сервером

Ќа рисунке процесс начинаетс€ с того, что ѕ  " ј " отправл€ет регистрационную информацию через Telnet или SSH на коммутатор SW1.  оммутатор передает полученную информацию на сервер "AAA" через RADIUS или TACACS+. —ервер отправл€ет подтверждение коммутатору, который, в свою очередь, отправл€ет приглашение (разрешение) на ввод команды в пользовательскую систему.

’от€ на рисунке показана обща€ иде€, обратите внимание, что информаци€ поступает с помощью нескольких различных протоколов. —лева, соединение между ѕользователем и коммутатором или маршрутизатором использует Telnet или SSH. —права коммутатор и AAA-сервер обычно используют протокол RADIUS или TACACS+, оба из которых шифруют пароли, при передаче данных по сети.


Ќастройка защищенного удаленного доступа по SSHl

ƒо сих пор мы рассматривали доступ к коммутатору по консоли и Telnet, в основном игнориру€ SSH. ” Telnet есть один серьезный недостаток: все данные в сеансе Telnet передаютс€ в открытом виде, включа€ обмен парол€ми. “аким образом, любой, кто может перехватывать сообщени€ между ѕользователем и коммутатором (man-in-the-middle attack), может видеть пароли. SSH шифрует все данные, передаваемые между SSH-клиентом и сервером, защища€ данные и пароли.

SSH может использовать тот же метод аутентификации локального входа, что и Telnet, с настроенными именем пользовател€ и паролем в локальной базе коммутатора. (SSH не работает с методами аутентификации, которые не используют им€ пользовател€, например только общие пароли.)

»так, в настройке доступа дл€ локальных пользователей по Telnet, как показано ранее на рисунке, также включена локальна€ аутентификаци€ по имени пользовател€ дл€ вход€щих соединений SSH.

Ќа рисунке показан один пример настройки того, что требуетс€ дл€ поддержки SSH. –исунок повтор€ет конфигурацию создани€ локального пользовател€, (см. рисунок) дл€ подключени€ по Telnet. Ќа скриншоте показаны три дополнительные команды, необходимые дл€ завершени€ настройки SSH на коммутаторе.

ƒобавление настроек SSH к локальной конфигурации доступа

Ќа рисунке показаны три дополнительные команды, необходимые дл€ завершени€ настройки SSH на коммутаторе. Ќа рисунке показан листинг настройки SSH. ƒл€ настройки SSH на рисунке, отображаютс€ команды:

  1. hostname sw-1 (задает им€ коммутатору)
  2. ip domain-name testing.com (команда использует полное доменное им€ sw-1.testing.com)
  3. crypto key generate rsa.

ƒл€ локальной конфигурации имени пользовател€ (например, Telnet) отображаютс€ следующие команд:

username ulanbaby secret box 
username landy secret man
line vty 0 15 
login local

IOS использует три команды: две дл€ конфигурации SSH, а также одну команду дл€ создани€ ключей шифровани€ SSH. —ервер SSH использует полное доменное им€ коммутатора в качестве входных данных дл€ создани€ этого ключа.  оммутатор создает полное доменное им€ из имени хоста и доменного имени коммутатора. –исунок 5 начинаетс€ с установки обоих значений (на тот случай, если они еще не настроены). «атем треть€ команда, команда crypto key generate rsa, генерирует ключи шифровани€ SSH. IOS по умолчанию использует SSH-сервер.  роме того, IOS по умолчанию разрешает SSH-соединени€ по vty.

ѕросмотр настроек в режиме конфигурации, шаг за шагом, может быть особенно полезен при настройке SSH. ќбратите внимание, в частности, что в этом примере команда crypto key запрашивает у пользовател€ модуль ключа; вы также можете добавить параметр modulus modulus-value в конец команды crypto key, чтобы добавить этот параметр в команду. ¬ примере 5 показан пор€док настройки ssh ( такие же команды, что и на рис. 5)  люч шифровани€ €вл€етс€ последним шагом.

ѕроцесс настройки SSH в соответствии с рисунком

–анее упоминалось, что одним полезным значением по умолчанию было то, что коммутатор по умолчанию поддерживает как SSH, так и Telnet на лини€х vty. ќднако, поскольку Telnet не безопасный протокол передачи данных, то вы можете отключить Telnet, чтобы обеспечить более жесткую политику безопасности.

ƒл€ управлени€ тем, какие протоколы коммутатор поддерживает на своих лини€х vty, используйте подкоманду transport input {all | none / telnet / ssh} vty в режиме vty со следующими опци€ми:

  • transport input all or transport input telnet ssh поддержка как Telnet, так и SSH
  • transport input none: не поддерживаетс€ ни один протокол
  • transport input telnet: поддержка только Telnet
  • transport input ssh: поддержка только SSH

¬ завершении этой части статьи о SSH, расписана пошагова€ инструкци€ настройки коммутатора Cisco дл€ поддержки SSH с использованием локальных имен пользователей. (ѕоддержка SSH в IOS может быть настроена несколькими способами; эта пошагова€ инструкци€ показывает один простой способ ее настройки.)

ѕроцесс, показанный здесь, заканчиваетс€ инструкцией настройки локального имени пользовател€ на лини€х vty, как было обсуждено ранее в первой части данной серии статей.

Ўаг 1. Ќастройте коммутатор так, чтобы он генерировал совпадающую пару открытых и закрытых ключей дл€ шифровани€:

  • если еще не настроено, задайте командой hostnamename им€ дл€ этого коммутатора в режиме глобальной конфигурации.
  • ≈сли еще не настроено, задайте командой ip domain-namename доменное им€ дл€ коммутатора в режиме глобальной конфигурации.
  • »спользуйте команду crypto key generate rsa в режиме глобальной конфигурации (или команду crypto key generate RSA modulus modulus-value, чтобы избежать запроса модул€ ключа) дл€ генерации ключей. (»спользуйте по крайней мере 768-битный ключ дл€ поддержки SSH версии 2.)

Ўаг 2. (Ќеоб€зательно) используйте команду ip ssh version 2 в режиме глобальной конфигурации, чтобы переопределить значение по умолчанию дл€ поддержки обеих версий протокола удаленного доступа SSH 1 и 2, так что бы разрешены были только соединени€ SSHv2.

Ўаг 3. (Ќеоб€зательно) если вы еще не настроили нужный параметр, задайте на линии vty дл€ работы по SSH и Telnet.:

  • используйте команду transport input ssh в режиме конфигурации линий vty, чтобы разрешить только SSH.
  • используйте команду transport input all (по умолчанию) или команду transport input telnet ssh в режиме конфигурации линий vty, чтобы разрешить как SSH, так и Telnet.

Ўаг 4. »спользуйте различные команды в режиме конфигурации линий vty дл€ настройки локальной аутентификации имени пользовател€, как описано ранее в этой статье.

Ќа маршрутизаторах Cisco часто по умолчанию настроен параметр transport input none. ѕоэтому необходимо добавить подкоманду transport input line дл€ включени€ Telnet и / или SSH в маршрутизаторе.

ƒл€ просмотра информации о состо€ни€ SSH на коммутаторе используютс€ две команды. ¬о-первых, команда show ip ssh выводит информацию о состо€нии самого SSH-сервера. «атем команда show ssh выводит информацию о каждом клиенте SSH, подключенном в данный момент к коммутатору. ¬ пример 6 показаны примеры работы каждой из команд, причем пользователь ULANBABY в данный момент подключен к коммутатору.

ќтображение информации о статусе SSH

ѕолезна ли ¬ам эта стать€?