Обеспечение безопасности удаленного доступа
Существует несколько способов подключиться к устройству и настроить конфигурацию. Один из них — подключение компьютера к порту консоли устройства. Этот тип подключения часто используется для задания начальной конфигурации устройства.
Установка пароля для доступа к консоли выполняется в режиме глобальной конфигурации. Эти команды, показанные на рисунке, предотвращают несанкционированный доступ к пользовательскому режиму с консольного порта:
Switch(config)# line console 0;
Switch(config)# password [password];
Switch(config)# login.
Если устройство подключено к сети, к нему можно получить доступ через сетевое соединение с помощью SSH или Telnet. SSH — предпочтительный метод, поскольку он более надежен. Такой вариант называется подключением через виртуальный терминал или подключением vty. Для виртуального порта (порта vty) нужно настроить пароль. Следующая конфигурация используется для включения доступа к коммутатору по протоколу Telnet:
Switch(config)# linevty0 15;
Switch(config)# password [password];
Switch(config)# login.
По умолчанию многие коммутаторы Cisco поддерживают до 16 каналов VTY, пронумерованных от 0 до 15. Количество каналов VTY, поддерживаемых на маршрутизаторе Cisco, зависит от типа маршрутизатора и версии IOS. Но чаще на маршрутизаторе настроены пять каналов VTY. Эти каналы пронумерованы от 0 до 4 по умолчанию, хотя можно настроить дополнительные каналы. Пароль нужно установить для всех доступных каналов VTY. Для всех соединений можно установить один пароль.
|
|
Для проверки правильности задания паролей используйте команду showrunning-config. Пароли хранятся в файле текущей конфигурации в виде простого текста. Можно включить шифрование всех паролей, которые хранятся в памяти маршрутизатора. Это создаст дополнительные сложности в случае несанкционированного доступа. Команда servicepasswordencryption, введенная в режиме глобальной конфигурации, обеспечивает шифрование всех паролей.
Обезопасив удаленный доступ на коммутаторе, можно настроить SSH.
Настройка SSH
Перед настройкой протокола SSH на коммутаторе нужно настроить уникальное имя хоста и соответствующие параметры сетевого подключения.
Шаг 1. Проверка поддержки протокола SSH.
Чтобы проверить, поддерживается ли протокол SSH, используйте командуshowipssh. Если на коммутаторе работает IOS, не поддерживающая криптографические функции, данная команда не будет распознана.
Шаг 2. Настройка домена IP.
Настройте имя домена IP для сети с помощью команды режима глобальной настройкиipdomain-nameдоменное имя . На рисунке 1 доменное имя —cisco.com.
Шаг 3. Создание пар ключей RSA.
Не во всех версиях IOS по умолчанию используется версия 2 протокола SSH, а версия 1 SSH содержит ряд известных уязвимостей. Для настройки SSH версии 2 выполните команду режима глобальной конфигурацииipsshversion 2. Создание пары ключей RSA автоматически включает протокол SSH. Используйте команду режима глобальной конфигурацииcryptokeygeneratersa, чтобы включить сервер SSH на коммутаторе и сгенерировать пару ключей RSA. При создании ключей RSA администратору требуется ввести длину модуля. В примере конфигурации на рис. 1 используется размер модуля 1024 бита. Более длинный модуль безопаснее, но его создание и использование требует больше времени.
|
|
Примечание. Для удаления пары ключей RSA используйте команду режима глобальной конфигурацииcryptokeyzeroizersa. После удаления пары ключей RSA SSH-сервер автоматически отключается.
Шаг 4. Настройка аутентификации пользователя.
SSH-сервер может аутентифицировать пользователей локально или с помощью сервера аутентификации. Для использования метода локальной аутентификации создайте имя пользователя и пароль с помощью команды режима глобальной настройкиusernameusernamesecretpassword. В этом примере для пользователяadminназначен парольccna.
Шаг 5. Настройка каналов vty.
Включите протокол SSH на каналах vty с помощью команды режима конфигурации каналаtransportinputssh. Диапазон каналов vty коммутатора Catalyst 2960 составляет от 0 до 15. Данная конфигурация предотвращает подключения по протоколам кроме SSH (напримерTelnet) и разрешает коммутатору принимать подключения только по протоколу SSH. Используйте команду режима глобальной конфигурацииlinevty, а затем команду режима конфигурации каналаloginlocal, чтобы при подключениях SSH требовалась локальная аутентификация из локальной базы данных имен.
|
|
Дата добавления: 2018-06-01; просмотров: 467; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!