понедельник, 28 ноября 2016 г.

5. Практическая безопасность сетей


1.1.4 Подключение по консоли

Пароль на привилегированный режим задан, учетные записи созданы, пора обсудить настройку подключения. Начнем мы с консоли. Как было сказано ранее, недостаточно задавать пароль только на привилегированный режим. Несанкционированный доступ к пользовательскому режиму также очень опасен. Поэтому мы настроим вход в консоль устройства по учетной записи, т.е. по логину и паролю. Чаще всего в интернете можно встретить следующую инструкцию:

Router#conf t /вход в привилегированный режим
Router(config)#line console 0 /вход в настройки консоли
Router(config-line)#login local /указываем использование локальной базы пользователей

После этого при попытке входа в консоль устройства будет запрошен логин и пароль. Однако это довольно старый способ и в любой современной литературе используют новый метод, который так и называется new-model. Настройка производится следующим образом:

Router(config)#aaa new-model /указываем что будем использовать метод new-model
Router(config)#aaa authentication login default local /создаем method list

На этом настройка заканчивается. Если попробовать подключиться по консоли, то получим следующее:

User Access Verification

Username: admin
Password:
Router>

Теперь разберемся с использованными командами: 

1) aaa new-model включает функцию ААА (Authentication Authorization and Accounting) - систему аутентификации, авторизации и учета событий. Данная функция встроена в большинство версий IOS, однако по умолчанию она отключена. Преимущество aaa new-model в гибкости настройки аутентификации (в отличие от login local). 

2) aaa authentication login свидетельствует о настройке аутентификации. При этом создается так называемый метод аутентификации (method list).

3) default - имя метода аутентификации. Для метода аутентификации всегда указывается имя (list-name). Это может быть либо default (как в нашем примере), либо другое конкретное имя. Таким образом, на разные типы линий (aux, vty, con...) можно назначить разные методы аутентификации, в зависимости от политики безопасности.

4) local указывает на использование локальной базы пользователей.

В нашем примере используется method list под названием default, а это значит, что применяемые настройки касаются всех доступных линий на устройстве. Таким образом мы одновременно настроили аутентификацию для консоли (console) и для удаленных подключений (vty).

Используя aaa new-model (вместо login local) в дальнейшем вы сможете более плавно перейти к использованию AAA-серверов, т.к. там используется именно этот метод. В главе AAA мы более подробно рассмотрим создание методов аутентификации.
Для настройки аутентификации используйте aaa new-model.
Как ни странно, все еще встречаются прошивки, которые не поддерживают AAA. В этом случае ничего не остается, как использовать метод login local (либо обновить прошивку).

4 комментария:

  1. по сравнению с курсом молодого бойца как-то слабенько идет серия про безопасность сетей.

    ОтветитьУдалить
    Ответы
    1. В конце концов Евгений имеет право делать так, как считает нужным. И популярность блога - это главный показатель правильно выбранного направления.

      Удалить
  2. Это потому что это включено в КМБ, не всё, но частично. И если у человека возникло желание по разбираться дальше (после КМБ), то он уже это нашёл.
    Когда, например, выходили части КМБ, я каждую часть ждал и из каждой узнавал что-то новое. Пока что из данного курса я не узнал ничего нового...возможно новое ещё впереди.
    И потом, продвинутые уже под "безопасностью" понимают немного другое, а здесь что-то типа "CCENT Sec". Хотя несомненно и для этого курса будет своя аудитория.
    Я так думаю.

    ОтветитьУдалить
    Ответы
    1. Без этих основ я просто не могу начать более серьезные темы. Хотя можно, но тогда блог превратится в набор разношерстных статей, которые не дадут общую картину. Причем после этого мини курса/книги я планирую небольшой курс по Криптографии. Уже после этого можно спокойно переходить к продвинутым курсам. На мой взгляд так будет более честно и полезно, для начинающих.

      Удалить

Новый сайт проекта

Новый сайт проекта
Прокачай себя, а не персонажа из игры

Translate

Популярные сообщения

Blog Archive

Технологии Blogger.