1.2 Удаленный доступ
Просто поразительно насколько халатно относятся к удаленному доступу большинство системных администраторов. Защита удаленного доступа к оборудованию - один из самых важных пунктов в любой политике безопасности. Данный параграф будет посвящен основным аспектам настройки удаленного доступа
1.2.1 VTY
Прежде чем приступить к описанию методов защиты, необходимо рассмотреть сам процесс организации удаленного доступа. Если вам когда либо приходилось настраивать “удаленку”, то вы обязательно сталкивались с такой аббревиатурой как VTY - Virtual TeletYpe (хотя некоторые считают, что это расшифровывается как virtual terminal, а “y” достался по наследству от tty, применяемого в linux… однозначного ответа я так и не нашел). По-русски говоря это механизм позволяющий получить удаленный доступ к так называемому command line interface (cli), т.е., по сути, к виртуальной консоли устройства. Для подключения к этой самой vty могут использоваться различные протоколы, о которых мы поговорим чуть позже.
Чаще всего в интернете можно встретить следующие инструкции по настройке VTY:
1) Вход по паролю
Router#conf t
Router(config)#line vty 0 4
Router(config-line)#password cisco
Router(config-line)#login
Как видим, в этом случае пароль задается непосредственно для VTY. Если попытаться подключиться с помощью telnet, то увидим следующее:
Router#telnet 192.168.1.1
Trying 192.168.1.1 ...Open
User Access Verification
Password:
Никогда не используйте этот метод!
2) Вход по учетной записи (username и password)
Router#conf t
Router(config)#line vty 0 4
Router(config-line)#login local
Здесь уже есть такой параметр как local, что означает использование локальной базы пользователей (т.е. у вас уже должен быть хотя бы один созданный username). При попытке удаленного доступа получим следующее:
Router#telnet 192.168.1.1
Trying 192.168.1.1 ...Open
User Access Verification
Username: admin
Password:
Router>
Если ваше устройство не поддерживает функцию aaa new-model, то этот способ более предпочтителен, чем первый, т.к. требуется ввести не только пароль, но и имя пользователя.
Однако оба метода это устаревший вариант настройки. Как было сказано ранее, сейчас рекомендуется использовать aaa new-model. В параграфе по настройке консольного доступа (1.1.4) мы использовали следующие команды:
Router(config)#aaa new-model
Router(config)#aaa authentication login default local
В этом случае, благодаря параметру default мы настроили не только доступ по консоли, но и для vty. При этом мы указали, что нужно использовать локальную базу пользователей (local).
Для настройки удаленного доступа используйте aaa new-model.
Думаю у большинства читателей возникал вопрос, что это за цифры 0 4? К тому же иногда встречаются 0 15. Что это значит? Эти цифры означают всего лишь возможное количество удаленных подключений. Если мы используем vty 0 4, то создается 5 (0,1,2,3,4) виртуальных линий (консолей), к которым могут подключаться пользователи. Если к устройству одновременно попытаются подключиться 6 человек, то последний (шестой) не сможет этого сделать, т.к. все линии будут уже заняты. Используя команду who можно посмотреть кто подключен к устройству и к какой линии.
Изначально оборудование cisco поддерживало именно 5 подключений. Но впоследствии эта цифра была увеличена до 16 (т.е. вариант vty 0 15). Если мы используем метод aaa new-model, то автоматически настраивается максимальное количество виртуальных линий. Если же вы используете login local, указав при этом параметр line vty 0 15, то после настройки в конфигурации можно увидеть следующее:
line vty 0 4
login local
line vty 5 15
login local
Т.е. 16 линий разделились на две группы: 0 4 и 5 15. Зачем это делается, однозначного ответа нет. Скорее всего это сделано для некого разграничения прав при удаленном подключении, однако на практике это редко используется. Как правило 5 виртуальных линий достаточно для любой организации. Дополнительные 11 линий (5 15), могут быть использованы для сторонних сервисов.
Следует заметить, что по умолчанию для удаленного подключения используется протокол Telnet. Кроме него еще существуют SSH и HTTPS. В следующих параграфах мы рассмотрим их более подробно.
1) отключаете telnet вообще и забудьте про него и используете только ssh
ОтветитьУдалить2) возится с aaa new-model имеет смысл при авторизации через Tacacs+ или Radius. и в приоритете вытавить сначала радиус аутотентификация, второй ssh на случай если связи с радиусом нет
В целом да. Вы просто немного вперед забежали, это будет в след. постах.
УдалитьP.S. ssh нельзя выставить как метод аутентификации в aaa. Это настраивается непосредственно на vty. Можно указать в качестве резервного способа либо local базу, либо enable пароль.
Да на счет уточнения вы правы
Удалить