Защита маршрутизатора средствами CISCO IOS
| Категория реферата: Рефераты по информатике, программированию
| Теги реферата: решебник по геометрии класс атанасян, реферат
| Добавил(а) на сайт: Вивиана.
Предыдущая страница реферата | 1 2 3 4 5 6 7 8 9 | Следующая страница реферата
Лучшая возможность имеется для шифрования пароля к привилегированному
уровню - использование не enable password, а enable secret, в котором для
кодирования пароля применяется алгоритм MD5 (тип "5"):
Router(config)#enable secret queen
Строка конфигурации:
enable secret 5 $1$EuWt$SxHM5UPH3AIL8U9tq9a2E0
Преимущество такого шифрования пароля в том, что его кодирование
производится даже при отключенном сервисе шифрования (забыли включить или
не знали про такой сервис). Скриптов по расшифровке таких паролей я не
встречал, но их существование вполне вероятно.
Ограничение доступа к маршрутизатору.
Управлять маршрутизаторами можно удаленно через telnet или локально через консольный порт или порт AUX. Отсюда следует два вида ограничения доступа к маршрутизатору: локальное и удаленное.
Доступ к маршрутизатору для его конфигурирования и мониторинга может
производиться 6 способами:
с терминала, компьютера администратора (COM-порт), или терминального сервера через консольный порт маршрутизатора
с терминала, компьютера администратора (COM-порт), или терминального сервера путем дозвона на модем, подсоединенный к порту AUX
через Telnet
посредством Unix-команды rsh
по протоколу SNMP (community с правом записи - RW)
через WWW-интерфейс (встроенный в маршрутизатор HTTP-сервер)
Терминальным сервером называется хост, имеющий несколько последовательных
асинхронных портов стандарта RS-232 (COM-порты), к которым подключаются
консольные кабели маршрутизаторов. Поскольку обычный компьютер имеет 2 COM-
порта, то для организации многопортового терминального сервера на базе ПК
требуется установка карты расширения с дополнительными COM-портами
(например, RocketPort). Из обрудования Cisco в качестве терминальных
серверов обычно используются маршрутизаторы Cisco 2509 (8 асинхронных
интерфейсов) и 2511 (16 асинхронных интерфейсов); при этом режим
маршрутизации обычно отключается (no ip routing).
В целях безопасности все способы доступа, кроме консольного, следует по
возможности ограничить, а лучше - полностью отключить. По умолчанию rsh и
SNMP отключены, а доступ по Telnet, наоборот, разрешен, причем без пароля.
Статус HTTP-сервера зависит от версии IOS и модели оборудования.
Консольный доступ уже сам по себе физически ограничен подключением
консольного кабеля к терминальному серверу. Если администратор получает
доступ к терминальному серверу удаленно, то встаёт задача защищенного
доступа на терминальный сервер. Наиболее правильный способ организации
удаленного доступа к терминальному серверу - протокол SSH.
Локальное ограничение доступа к маршрутизатору
Во-первых, необходимо специальное помещение с ограничением доступа для
персонала, в котором бы находилось оборудование. Это рекомендуется для
того, чтобы посторонний человек не имел физический доступ к маршрутизатору, т.к. при работе с маршрутизатором через консольный порт или порт AUX мы
работаем в EXEC сессии без пароля на уровне обычного пользователя. И для
получения доступа к привилегированному режиму посторонний человек может
воспользоваться самым простым методом восстановление паролей - перезагрузка
маршрутизатора, вход в режим ROM-монитора, изменение значения регистра
конфигурации, снова перезагрузка маршрутизатора и элементарный вход в
привилегированный режим без всякого пароля (вообще-то, это стандартный
метод восстановления забытого пароля для доступа в privileg EXEC mode, но
вот может использоваться и для совершенно противоположной цели).
Если физический доступ к маршрутизатору не может быть достаточно ограничен, то необходимо установить пароль на работу в EXEC режиме по консольному
порту и порту AUX. Вообще это лучше делать всегда, даже когда маршрутизатор
находится в закрытом помещении под десятью замками (а вы уверены в своих
коллегах?). Делается это достаточно просто и существует минимум два
оптимальных варианта: совсем запретить вход в привилегированный режим или
разрешить вход с нормальной авторизацией через пароль.
Пример конфигурации, в которой для консольного порта разрешен вход через
пароль с временем работы на порту в течении 1,5 минут, а для порта AUX
запрещен вход EXEC режим:
aaa new-model
aaa authentication login default local
line con 0
exec-timeout 1 30
Рекомендуем скачать другие рефераты по теме: конспекты уроков в 1 классе, сочинение на тему онегин.
Категории:
Предыдущая страница реферата | 1 2 3 4 5 6 7 8 9 | Следующая страница реферата