Консольный доступ уже сам по себе физически ограничен подключением консольного кабеля к терминальному серверу. Если администратор получает доступ к терминальному серверу удаленно, то встаёт задача защищенного доступа на терминальный сервер. Наиболее правильный способ организации удаленного доступа к терминальному серверу - протокол SSH.

Локальное ограничение доступа к маршрутизатору

Во-первых, необходимо специальное помещение с ограничением доступа для персонала, в котором бы находилось оборудование. Это рекомендуется для того, чтобы посторонний человек не имел физический доступ к маршрутизатору, т.к. при работе с маршрутизатором через консольный порт или порт AUX мы работаем в EXEC сессии без пароля на уровне обычного пользователя. И для получения доступа к привилегированному режиму посторонний человек может воспользоваться самым простым методом восстановление паролей - перезагрузка маршрутизатора, вход в режим ROM-монитора, изменение значения регистра конфигурации, снова перезагрузка маршрутизатора и элементарный вход в привилегированный режим без всякого пароля (вообще-то, это стандартный метод восстановления забытого пароля для доступа в privileg EXEC mode, но вот может использоваться и для совершенно противоположной цели).

Если физический доступ к маршрутизатору не может быть достаточно ограничен, то необходимо установить пароль на работу в EXEC режиме по консольному порту и порту AUX. Вообще это лучше делать всегда, даже когда маршрутизатор находится в закрытом помещении под десятью замками (а вы уверены в своих коллегах?). Делается это достаточно просто и существует минимум два оптимальных варианта: совсем запретить вход в привилегированный режим или разрешить вход с нормальной авторизацией через пароль.

Пример конфигурации, в которой для консольного порта разрешен вход через пароль с временем работы на порту в течении 1,5 минут, а для порта AUX запрещен вход EXEC режим:

aaa new-model aaa authentication login default local

line con 0 exec-timeout 1 30 line aux no exec

В этой конфигурации при подсоединении к консольному порту мы не сразу попадем в user EXEC режим как это происходит обычно, а только после ввода пользовательского имени и пароля. Хочу заметить, что в параметрах команды exec-timeout время задается в минутах и секундах (через пробел), но если мы захотим указать 0 минут и 0 секунд (exec-timeout 0 0), то это не означает, что совсем нельзя будет попасть на данный порт. А как раз наоборот - пользователь будет находиться в EXEC режиме бесконечно долго. Это нужно обязательно учитывать администраторам при конфигурации маршрутизатора. Самое минимальное время - 1 секунда (exec-timeout 0 1).

Удаленное ограничение доступа к маршрутизатору

Обычно рекомендуется совсем запрещать удаленный доступ к маршрутизатору по telnet или же жестко ограничивать его. Достичь этого можно благодаря применению списков доступа.

1. Полное запрещение доступа по telnet к маршрутизатору

access-list 1 deny any

line vty 0 4 access-class 1 in

2. Доступ к маршрутизатору по telnet разрешен только с определенного хоста (создадим расширенный список доступа и применим его к интерфейсу Ethernet 0/0)

access-list 101 permit tcp host 140.11.12.73 host 140.11.12.236 eq telnet

interface Ethernet0/0 ip address 140.11.12.236 255.255.255.0 ip access-group 101 in

Необходимо заметить, что в списке доступа в структуре "от кого - кому" в качестве "кому" прописан IP адрес интерфейса Ethernet 0/0. А так же то, что при данной конфигурации через Ethernet 0/0 больше никто никуда не попадет, отсекаемый неявным оператором deny any. Поэтому нужно будет дополнить список доступа необходимыми "разрешениями".

Если необходимо конфигурировать маршрутизатор с удаленного хоста и терминальный сервер при маршрутизаторе отсутствует (например, одиночный маршрутизатор в удаленном филиале), то вместо Telnet следует использовать SSH. IPSEC Feature set операционной системы Cisco IOS поддерживает работу SSH-сервера непосредственно на маршрутизаторе. IPSEC Feature set имеет высокую стоимость, требует довольно зачительных ресурсов процессора и памяти и реализует относительно слабый алгоритм (DES с 40-битным ключом). Поддержка сильного алгоритма (Triple DES с 256-битным ключом) связана с преодолением экспортных ограничений США. Исходя из вышесказанного, организовывать административный доступ к маршрутизатору с помощью IPSEC Feature set следует только при невозможности подключения терминального сервера (или если IPSEC Feature set уже используется для организации VPN).

При доступе к маршрутизатору через WWW-интерфейс аутентификация пользователя HTTP-сервером проводится по ненадежной технологии. Отключение HTTP-сервера:

router(config)# no ip http server

Протокол SNMP (по крайней мере, версий 1 и 2) вообще не предоставляет адекватных средств обеспечения безопасности, поэтому разрешать запись через SNMP категорически не рекомендуется. Чтение следует разрешить только для административной станции - для этого надо сформировать соответствующий список доступа и указать его в команде активизации SNMP-агента:

router(config)#snmp-server community public RO номер_списка_доступа

Заключение.

Защита паролем, ограничение локального доступа, шифрованные пароли, расширенные списки доступа, учет и запись событий на маршрутизаторах обеспечивают защиту от несанкционированных попыток доступа и протоколируют информацию о таких попытках, всё это можно реализовать средствами CISCO IOS.

Список использованных источников.

1. http://cisco.com/

2. http://www.mark-itt.ru/CISCO/ITO/

3. http://telecom.opennet.ru/cisco/security.shtml#part_3

4. http://athena.vvsu.ru/net/labs/lab02_cisco_2.html#2.12