1. Создадим пользователя cook с нулевым уровнем привилегий

Router(config)#username cook privilege 0 password 7 044D0908

2. Работать это будет только тогда, когда прописать следующее

Router(config)#aaa new-model Router(config)#aaa authorization exec default local none

После регистрации пользователь с именем cook по команде ? (список доступных команд) увидит перечень:

Router>?

Exec commands:

<1-99> Session number to resume

disable Turn off privileged commands

enable Turn on privileged commands

exit Exit from the EXEC

help Description of the interactive help system

logout Exit from the EXEC

Router>

Команду enable переведем на уровень выше (на уровень 1), а выполнение команды telnet разрешим для нулевого уровня

Router(config)#privilege exec level 1 enable Router(config)#privilege exec level 0 telnet

К данным командам действует некоторое исключение - их действие нельзя отменить при помощи стандартной команды no. Этот вариант здесь не проходит.

Router(config)#no privilege exec level 1 enable Router(config)#no privilege exec level 0 telnet

Для отмены действия этих команд необходимо ввести следующие команды:

Router(config)#privilege exec reset enable Router(config)#privilege exec reset telnet

Сейчас после регистрации пользователь cook по команде ? увидит следующее:

Router>?

Exec commands:

<1-99> Session number to resume

disable Turn off privileged commands

exit Exit from the EXEC

help Description of the interactive help system

logout Exit from the EXEC

telnet Open a telnet connection

Router>

Проделав все операции, получили пользователя с заранее заданными возможностями.

Существует такой тип пользователей, для которых необходимо зарегистрироваться на маршрутизаторе и выполнить одну единственную команду (например, show users). Для этого можно завести на маршрутизаторе пользователя с входом без пароля и с выполнением автокоманды.

Router(config)#username dream nopassword autocommand show users

После ввода имени пользователя dream на экран выдается информация о присутствующих в данный момент на маршрутизаторе пользователях.

Парольная защита.

В соответствии с имеющимися пользовательским и привилегированным уровнями доступа существует два вида паролей: username password и enable secret (или enable password). Оба типа этих паролей могут иметь длину до 25 символов, содержать в себе различные знаки препинания и пробелы.

Пароль типа username password устанавливается с соответствующим ему именем пользователя. Задается это в режиме конфигурации следующей командой (пользователь cook с паролем queen):

Router(config)#username cook password queen

При выводе конфигурации (при помощи команды show running-config) на экране мы увидим следующую информацию:

username cook password 0 queen

Из этой строки видим, что пароль находится в "открытом виде", тип "0" означает "незашифрованный пароль". Если внимательно посмотреть самое начало конфигурации, то можно заметить следующую строку:

no service password-encryption

Это сервис шифрования видимой части пароля. По умолчанию он отключен. Правильным считается (для обеспечения безопасности - от простейшего подглядывания) включать этот сервис.

Router(config)#service password-encryption

Тогда строка конфигурации об имени и пароле пользователя будет иметь несколько другой вид, где мы уже не видим текст пароля в явном виде (тип "7" - зашифрованный пароль):

username cook password 7 03154E0E0301

Для входа в privileg EXEC level (привилегированный уровень) пользователь должен ввести пароль. При выключенном сервисе шифрования пароля соответствующая строка в конфигурации будет иметь вид:

enable password queen

При включенном же сервисе шифрования:

enable password 7 071E34494B07

Следует отметить, что данный метод шифрования пароля достаточно тривиален, существуют скрипты, которые за секунду декодируют его обратно в нормально читаемое состояние. Поэтому одним из важных элементов безопасности является вещь, с одной стороны очень далекая от телекоммуникаций и маршрутизаторов - порядок на собственном рабочем месте. Чтобы не были легко доступными бумажки с записями пароля в открытом виде, а также распечаток конфигураций роутеров, пусть даже пароль и будет зашифрован.

Лучшая возможность имеется для шифрования пароля к привилегированному уровню - использование не enable password, а enable secret, в котором для кодирования пароля применяется алгоритм MD5 (тип "5"):

Router(config)#enable secret queen

Строка конфигурации:

enable secret 5 $1$EuWt$SxHM5UPH3AIL8U9tq9a2E0

Преимущество такого шифрования пароля в том, что его кодирование производится даже при отключенном сервисе шифрования (забыли включить или не знали про такой сервис). Скриптов по расшифровке таких паролей я не встречал, но их существование вполне вероятно.

Ограничение доступа к маршрутизатору.

Управлять маршрутизаторами можно удаленно через telnet или локально через консольный порт или порт AUX. Отсюда следует два вида ограничения доступа к маршрутизатору: локальное и удаленное.

Доступ к маршрутизатору для его конфигурирования и мониторинга может производиться 6 способами:

с терминала, компьютера администратора (COM-порт), или терминального сервера через консольный порт маршрутизатора

с терминала, компьютера администратора (COM-порт), или терминального сервера путем дозвона на модем, подсоединенный к порту AUX

через Telnet

посредством Unix-команды rsh

по протоколу SNMP (community с правом записи - RW)

через WWW-интерфейс (встроенный в маршрутизатор HTTP-сервер)

Терминальным сервером называется хост, имеющий несколько последовательных асинхронных портов стандарта RS-232 (COM-порты), к которым подключаются консольные кабели маршрутизаторов. Поскольку обычный компьютер имеет 2 COM-порта, то для организации многопортового терминального сервера на базе ПК требуется установка карты расширения с дополнительными COM-портами (например, RocketPort). Из обрудования Cisco в качестве терминальных серверов обычно используются маршрутизаторы Cisco 2509 (8 асинхронных интерфейсов) и 2511 (16 асинхронных интерфейсов); при этом режим маршрутизации обычно отключается (no ip routing).

В целях безопасности все способы доступа, кроме консольного, следует по возможности ограничить, а лучше - полностью отключить. По умолчанию rsh и SNMP отключены, а доступ по Telnet, наоборот, разрешен, причем без пароля. Статус HTTP-сервера зависит от версии IOS и модели оборудования.