Понимание основ

Ограничение доступа к файлам конфигурации устройств

Консольный порт сетевых устройств необходимо защитить как минимум надёжным паролем. Это снижает вероятность доступа неавторизованных сотрудников, которые включают кабель и пытаются получить доступ к устройству.

Чтобы установить пароль для консоли строки в режиме глобальной конфигурации, нужно ввести следующие команды:

Switch(config)# line console 0

Switch(config-line)# password cisco

Switch(config-line)# login

В режиме глобальной конфигурации используется команда line console 0, чтобы войти в режим конфигурации строки для консоли. Ноль используется для обозначения первого (а в большинстве случаев — единственного) интерфейса консоли.

Вторая команда — password cisco определяет пароль для консоли строки.

Команда login настраивает коммутатор для аутентификации при входе в систему. Если включена процедура входа и настроен пароль, пользователь консоли должен будет ввести пароль, чтобы получить доступ к интерфейсу командной строки (CLI).

Пароль для VTY

Каналы VTY обеспечивают доступ к устройствам Cisco по протоколу Telnet. По умолчанию многие коммутаторы Cisco поддерживают до 16 каналов VTY, пронумерованных от 0 до 15. Количество каналов VTY, поддерживаемых на маршрутизаторе Cisco, зависит от типа маршрутизатора и версии IOS. Но чаще всего установлены пять каналов VTY. Эти каналы пронумерованы от 0 до 4 по умолчанию, хотя можно настроить дополнительные каналы. Пароль нужно установить для всех доступных каналов VTY. Для всех соединений можно установить один пароль. При этом часто возникает необходимость задать уникальный пароль для одного канала, чтобы обеспечить администратору резервный доступ в том случае, если все остальные соединения заняты.

Команды, используемые для назначения пароля каналов VTY:

Switch(config)# line vty 0 15

Switch(config-line)# password cisco

Switch(config-line)# login

По умолчанию в IOS встроена команда login на каналах VTY. Это предотвращает доступ по протоколу Telnet к устройству без аутентификации. Если по ошибке была введена команда no login, из-за чего была снята аутентификация, по протоколу Telnet к сети могут присоединиться неавторизованные пользователи. Это представляет определённую угрозу безопасности.

На рисунке продемонстрировано, как осуществляется защита доступа к пользовательскому режиму на консоли и по каналам Telnet.