1.1.4 Подключение по консоли
Пароль на привилегированный режим задан, учетные записи созданы, пора обсудить настройку подключения. Начнем мы с консоли. Как было сказано ранее, недостаточно задавать пароль только на привилегированный режим. Несанкционированный доступ к пользовательскому режиму также очень опасен. Поэтому мы настроим вход в консоль устройства по учетной записи, т.е. по логину и паролю. Чаще всего в интернете можно встретить следующую инструкцию:
Router#conf t /вход в привилегированный режим
Router(config)#line console 0 /вход в настройки консоли
Router(config-line)#login local /указываем использование локальной базы пользователей
После этого при попытке входа в консоль устройства будет запрошен логин и пароль. Однако это довольно старый способ и в любой современной литературе используют новый метод, который так и называется new-model. Настройка производится следующим образом:
Router(config)#aaa new-model /указываем что будем использовать метод new-model
Router(config)#aaa authentication login default local /создаем method list
На этом настройка заканчивается. Если попробовать подключиться по консоли, то получим следующее:
User Access Verification
Username: admin
Password:
Router>
Теперь разберемся с использованными командами:
1) aaa new-model включает функцию ААА (Authentication Authorization and Accounting) - систему аутентификации, авторизации и учета событий. Данная функция встроена в большинство версий IOS, однако по умолчанию она отключена. Преимущество aaa new-model в гибкости настройки аутентификации (в отличие от login local).
2) aaa authentication login свидетельствует о настройке аутентификации. При этом создается так называемый метод аутентификации (method list).
3) default - имя метода аутентификации. Для метода аутентификации всегда указывается имя (list-name). Это может быть либо default (как в нашем примере), либо другое конкретное имя. Таким образом, на разные типы линий (aux, vty, con...) можно назначить разные методы аутентификации, в зависимости от политики безопасности.
4) local указывает на использование локальной базы пользователей.
В нашем примере используется method list под названием default, а это значит, что применяемые настройки касаются всех доступных линий на устройстве. Таким образом мы одновременно настроили аутентификацию для консоли (console) и для удаленных подключений (vty).
Используя aaa new-model (вместо login local) в дальнейшем вы сможете более плавно перейти к использованию AAA-серверов, т.к. там используется именно этот метод. В главе AAA мы более подробно рассмотрим создание методов аутентификации.
Для настройки аутентификации используйте aaa new-model.
Как ни странно, все еще встречаются прошивки, которые не поддерживают AAA. В этом случае ничего не остается, как использовать метод login local (либо обновить прошивку).
по сравнению с курсом молодого бойца как-то слабенько идет серия про безопасность сетей.
ОтветитьУдалитьВ конце концов Евгений имеет право делать так, как считает нужным. И популярность блога - это главный показатель правильно выбранного направления.
УдалитьЭто потому что это включено в КМБ, не всё, но частично. И если у человека возникло желание по разбираться дальше (после КМБ), то он уже это нашёл.
ОтветитьУдалитьКогда, например, выходили части КМБ, я каждую часть ждал и из каждой узнавал что-то новое. Пока что из данного курса я не узнал ничего нового...возможно новое ещё впереди.
И потом, продвинутые уже под "безопасностью" понимают немного другое, а здесь что-то типа "CCENT Sec". Хотя несомненно и для этого курса будет своя аудитория.
Я так думаю.
Без этих основ я просто не могу начать более серьезные темы. Хотя можно, но тогда блог превратится в набор разношерстных статей, которые не дадут общую картину. Причем после этого мини курса/книги я планирую небольшой курс по Криптографии. Уже после этого можно спокойно переходить к продвинутым курсам. На мой взгляд так будет более честно и полезно, для начинающих.
Удалить