double arrow

Защита административных интерфейсов с помощью аутентификации

 

Для повышения надежности парольной защиты можно применить аутентификацию. Для этого маршрутизаторы имеют возможность хранить имена пользователей и пароли в локальной базе данных.

Есть два способа формирования записей

 

username name password password

 

username name secret password

 

Более надежной является второй вид команды, т. к. здесь применяется метод хэширования MD5.

 

 

Усиление парольной защиты по линиям vty

 

Кроме обычной парольной защиты по линиям vty можно установить время между подключениями, время подключения и список контроля доступа (ACL).

Для активации этих возможностей необходимо включить аутентификацию на этих линиях. Имя и пароль задаются в режиме глобальной конфигурации с помощью команды username name secret password.

После этого можно затруднить возможность подбора паролей с помощью команды режима глобальной конфигурации login block-for.

По умолчанию, следующую попытку ввода имени и пароля можно выполнять через 1 сек. Для увеличения этого времени используется команда login delay.

Router(config)# login delay seconds

При выполнении команды login block-for может произойти блокирование доступа. Для возможности аварийного доступа можно установить ACL с помощью команды режима глобальной конфигурации login quiet-mode.

Общий доступ так же можно ограничить списком доступа

Router(config-line)#access-class {acl-name | acl-number} in

 

Для контроля попыток доступа применяются команды на каждое неправильное подключение

Router(config)# login on-failure log

На каждое правильное подключение

Router(config)# login on-success log

 

 

Пример усиления парольной защиты по линиям vty

 

Необходимо на линиях vty установить подключение с использованием средств аутентификации с параметрами:

имя uservty, пароль userpass01.

Разрешить подключение по линиям vty рабочим станциям с адресами 10.1.1.192 – 10.1.1.199.

Включить ограничение неудачных попыток аутентификации: если в течении 60 сек. будет 5 неудачных попыток доступа, то подключение заблокируется на 3 мин. Установить время между попытками аутентификации 5 сек.

Предусмотреть возможность аварийного доступа по линиям vty с рабочей станции администратора с ip адресом 10.1.1.199.

 

 

R1#show run

version 12.4

...

hostname R1

...

login block-for 180 attempts 5 within 60

login delay 5

login quiet-mode access-class 20

...

username uservty secret 5 $1$kfLP$wBvYQxQRmr8981wjPQBPZ/

...

access-list 10 permit 10.1.1.192 0.0.0.7

access-list 20 permit 10.1.1.199

...

line vty 0 4

 access-class 20 in

 login local

...

end

R1(config)#

 

после 5 неудачных попыток аутентификации в командной строке маршрутизатора появится сообщение

 

*Sep 25 10:55:33.111: %SEC_LOGIN-5-QUIET_MODE_OFF: Quiet Mode is OFF, because block period timed out at 10:55:33 UTC Fri Sep 25 2009

 


Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  



Сейчас читают про: