Для повышения надежности парольной защиты можно применить аутентификацию. Для этого маршрутизаторы имеют возможность хранить имена пользователей и пароли в локальной базе данных.
Есть два способа формирования записей
username name password password
username name secret password
Более надежной является второй вид команды, т. к. здесь применяется метод хэширования MD 5.
|
R1(config)#username admin1 password user12345
R1(config)#line con 0
R1(config-line)#login local
R1#sh run
Building configuration
…
enable secret 5 $1$mERr$qnVcFVUraySLnKS3XOpTd.
username admin1 password 7 08345F4B1B485744465E
line con 0
exec-timeout 5 10
password 7 08345F4B1B1A0A19
login local
Процесс аутентификации при доступе в пользовательский режим по консоли.
User Access Verification
Username: admin1
Password:
Рис 3-1-7
|
3-1-8 Усиление парольной защиты по линиям vty
Кроме обычной парольной защиты по линиям vty можно установить время между подключениями, время подключения и список контроля доступа (ACL).
Для активации этих возможностей необходимо включить аутентификацию на этих линиях. Имя и пароль задаются в режиме глобальной конфигурации с помощью команды username name secret password.
После этого можно затруднить возможность подбора паролей с помощью команды режима глобальной конфигурации login block - for.
По умолчанию, следующую попытку ввода имени и пароля можно выполнять через 1 сек. Для увеличения этого времени используется команда login delay.
Router (config)# login delay seconds
При выполнении команды login block - for может произойти блокирование доступа.Для возможности аварийного доступа можно установить ACL с помощью команды режима глобальной конфигурации login quiet - mode.
Общий доступ так же можно ограничить списком доступа
Router(config-line)#access-class {acl-name | acl-number} in
Для контроля попыток доступа применяются команды на каждое неправильное подключение
Router(config)# login on-failure log
На каждое правильное подключение
Router(config)# login on-success log
|
Router(config)# login block-for seconds attempts tries within seconds
Router(config)# login quiet-mode access-class {acl-name | acl-number}
Router(config)# login on-failure log [every login]
Router(config)# login on-success log [every login]
Параметр every login является опциональным и может изменяться от 1 до 65535. По умолчанию стоит 1.
Применение вышеуказанных настоек к линиям vty
Router(config-line)#login local
Рис 3-1-8.
|
3-1-9 Демонстрационный пример усиления парольной защиты по линиям vty
Необходимо на линиях vty установить подключение с использованием средств аутентификации с параметрами:
имя uservty, пароль userpass 01.
Разрешить подключение по линиям vty рабочим станциям с адресами 10.1.1.192 – 10.1.1.199.
Включить ограничение неудачных попыток аутентификации: если в течении 60 сек. будет 5 неудачных попыток доступа, то подключение заблокируется на 3 мин. Установить время между попытками аутентификации 5 сек.
Предусмотреть возможность аварийного доступа по линиям vty с рабочей станции администратора с ip адресом 10.1.1.199.
| Картинка 3-1-9.
Настойка (по очереди)
R1(config)#username uservty secret userpass01
R1(config)#access-list 10 permit 10.1.1.192 0.0.0.7
R1(config)#access-list 20 permit host 10.1.1.199
R1(config)#login block-for 180 attempts 5 within 60
R1(config)#login delay 5
R1(config)#login quiet-mode access-class 20
R1(config)#line vty 0 4
R1(config-line)#access-class 10 in
R1(config-line)#login local
R1(config-line)#^Z
Результат (по очереди)
R1#show run
version 12.4
...
hostname R1
...
login block-for 180 attempts 5 within 60
login delay 5
login quiet-mode access-class 20
...
username uservty secret 5 $1$kfLP$wBvYQxQRmr8981wjPQBPZ/
...
access-list 10 permit 10.1.1.192 0.0.0.7
access-list 20 permit 10.1.1.199
...
line vty 0 4
access-class 20 in
login local
...
end
R 1(config)#
после 5 неудачных попыток аутентификации в командной строке маршрутизатора появится сообщение
*Sep 25 10:55:33.111: %SEC_LOGIN-5-QUIET_MODE_OFF: Quiet Mode is OFF, because block period timed out at 10:55:33 UTC Fri Sep 25 2009
рис 3-1-9.
|