Защита маршрутизатора средствами CISCO IOS
| Категория реферата: Рефераты по информатике, программированию
| Теги реферата: решебник по геометрии класс атанасян, реферат
| Добавил(а) на сайт: Вивиана.
Предыдущая страница реферата | 1 2 3 4 5 6 7 8 9 | Следующая страница реферата
line aux
no exec
В этой конфигурации при подсоединении к консольному порту мы не сразу
попадем в user EXEC режим как это происходит обычно, а только после ввода
пользовательского имени и пароля. Хочу заметить, что в параметрах команды
exec-timeout время задается в минутах и секундах (через пробел), но если мы
захотим указать 0 минут и 0 секунд (exec-timeout 0 0), то это не означает, что совсем нельзя будет попасть на данный порт. А как раз наоборот -
пользователь будет находиться в EXEC режиме бесконечно долго. Это нужно
обязательно учитывать администраторам при конфигурации маршрутизатора.
Самое минимальное время - 1 секунда (exec-timeout 0 1).
Удаленное ограничение доступа к маршрутизатору
Обычно рекомендуется совсем запрещать удаленный доступ к маршрутизатору по
telnet или же жестко ограничивать его. Достичь этого можно благодаря
применению списков доступа.
1. Полное запрещение доступа по telnet к маршрутизатору
access-list 1 deny any
line vty 0 4
access-class 1 in
2. Доступ к маршрутизатору по telnet разрешен только с определенного хоста
(создадим расширенный список доступа и применим его к интерфейсу Ethernet
0/0)
access-list 101 permit tcp host 140.11.12.73 host 140.11.12.236 eq telnet
interface Ethernet0/0
ip address 140.11.12.236 255.255.255.0
ip access-group 101 in
Необходимо заметить, что в списке доступа в структуре "от кого - кому" в
качестве "кому" прописан IP адрес интерфейса Ethernet 0/0. А так же то, что
при данной конфигурации через Ethernet 0/0 больше никто никуда не попадет, отсекаемый неявным оператором deny any. Поэтому нужно будет дополнить
список доступа необходимыми "разрешениями".
Если необходимо конфигурировать маршрутизатор с удаленного хоста и
терминальный сервер при маршрутизаторе отсутствует (например, одиночный
маршрутизатор в удаленном филиале), то вместо Telnet следует использовать
SSH. IPSEC Feature set операционной системы Cisco IOS поддерживает работу
SSH-сервера непосредственно на маршрутизаторе. IPSEC Feature set имеет
высокую стоимость, требует довольно зачительных ресурсов процессора и
памяти и реализует относительно слабый алгоритм (DES с 40-битным ключом).
Поддержка сильного алгоритма (Triple DES с 256-битным ключом) связана с
преодолением экспортных ограничений США. Исходя из вышесказанного, организовывать административный доступ к маршрутизатору с помощью IPSEC
Feature set следует только при невозможности подключения терминального
сервера (или если IPSEC Feature set уже используется для организации VPN).
При доступе к маршрутизатору через WWW-интерфейс аутентификация
пользователя HTTP-сервером проводится по ненадежной технологии. Отключение
HTTP-сервера:
router(config)# no ip http server
Протокол SNMP (по крайней мере, версий 1 и 2) вообще не предоставляет
адекватных средств обеспечения безопасности, поэтому разрешать запись через
SNMP категорически не рекомендуется. Чтение следует разрешить только для
административной станции - для этого надо сформировать соответствующий
список доступа и указать его в команде активизации SNMP-агента:
router(config)#snmp-server community public RO номер_списка_доступа
Заключение.
Защита паролем, ограничение локального доступа, шифрованные пароли, расширенные списки доступа, учет и запись событий на маршрутизаторах
обеспечивают защиту от несанкционированных попыток доступа и протоколируют
информацию о таких попытках, всё это можно реализовать средствами CISCO
IOS.
Список использованных источников.
http://cisco.com/
http://www.mark-itt.ru/CISCO/ITO/
Рекомендуем скачать другие рефераты по теме: конспекты уроков в 1 классе, сочинение на тему онегин.
Категории:
Предыдущая страница реферата | 1 2 3 4 5 6 7 8 9 | Следующая страница реферата