為了保護(hù)他們的Cisco 網(wǎng)絡(luò)，許多管理員開始忙于什么樣的流量可以被允許通過網(wǎng)絡(luò)設(shè)備，怎樣限制郵件路由升級和其他路由器交換的唯一信息。訪問控制列表(ACLs)通常可以相當(dāng)簡單地解決這些問題。網(wǎng)絡(luò)設(shè)備的安全對任何聯(lián)網(wǎng)的環(huán)境都很重要，為解決這個問題，Cisco提供了許多可供選擇的方法。

在本文中，我將介紹登錄安全的基本配置。還將介紹怎樣使用基于用戶的登錄配置來使得基本配置更加安全，證明怎樣監(jiān)視配置活動和對你的路由器的連接。一旦你明白了這些基本的配置，你可以在其上建立更多的Cisco高級特性。

基本登錄安全配置

Cisco提供的最基本的安全考慮是在設(shè)備訪問和配置過程中使用本地口令。不同的口令可以應(yīng)用于不同的行或者訪問指針。Cisco設(shè)備中典型的訪問指針是終端行(也稱為虛擬終端行, 或VTYs)，控制臺端口，和輔助端口(AUX)。

而且，不同的端口可以建立不同的認(rèn)證方法。下面是一個非常簡單的認(rèn)證配置的例子。

IOS 版本 下面的例子假設(shè)有一個標(biāo)準(zhǔn)的，使用IOS 12.x版本的類訪問Cisco路由器。 Router (config)# line con 0 Router (config-line)# password conpword1 Router (config-line)# login Router (config-line)# exit Router (config)# enable password 12345

在此，我已經(jīng)設(shè)置了一個控制臺端口口令并且產(chǎn)生我在配置路由器時(shí)需要的口令。首先我進(jìn)入控制臺端口的行配置模式，設(shè)置口令并用login來完成。然后我為路由器配置的訪問權(quán)限創(chuàng)建口令。當(dāng)需要保護(hù)本地控制臺對路由器的訪問時(shí)，應(yīng)該從這里開始。

口令加密

需要注意的是在這個配置過程中，口令是純文本的。從安全的角度看這不是一個好思想。然而，你可以把這些口令加密，這樣訪問路由器的其他人就不能看到這些口令。執(zhí)行下面的命令： Router (config)# service password-encryption

口令加密服務(wù)將加密所有現(xiàn)存的和在以后配置的口令。我強(qiáng)烈推薦在你的Cisco網(wǎng)絡(luò)設(shè)備配置中使用這項(xiàng)服務(wù)。

口令種類

有效口令包括兩個種類：標(biāo)準(zhǔn)有效口令和有效密碼(enable secret)。由于使用了強(qiáng)加密手段，所以有效密碼比有效口令更安全。

配置有效密碼之后，它將替代有效口令。下面的例子說明了有效密碼的設(shè)置： Router (config)# enable secret abc123

如果你在執(zhí)行了這一步后查看路由器配置，你將看到有效密碼口令自動被加密了，無論是否開啟了口令加密服務(wù)。

設(shè)置通話超時(shí)時(shí)間

另一件有關(guān)訪問的事就是考慮通話超時(shí)。作為一個更高層的安全性，你可以設(shè)置在一段靜止?fàn)顟B(tài)后斷開對話連接。如果你離開終端一段時(shí)間，需要關(guān)閉一個配置對話，這是個便利的工具。默認(rèn)的超時(shí)時(shí)間是十分鐘。如果想設(shè)置通話超時(shí)，試一下下面的命令： Router (config)# line console 0 Router (config-line)# exec-timeout 6 30

如果在六分三十秒鐘內(nèi)沒有輸入，將關(guān)閉這個控制臺對話。

保護(hù)終端行

在保護(hù)控制臺端口的同時(shí)，你也希望保護(hù)在網(wǎng)絡(luò)中用來進(jìn)行Telnet訪問的終端行?？紤]下面關(guān)于Telnet安全的例子： Router (config)# line vty 0 4 Router (config-line)# password termpword1 Router (config-line)# login

需要注意的是這和控制臺的配置非常相似。一個區(qū)別是由于路由器訪問有不止一個VTY行，所以在VTY關(guān)鍵字后面有兩個數(shù)字。在許多Cisco路由器上默認(rèn)的行數(shù)為五行。在這里，我們?yōu)樗薪K端(VTY)行設(shè)置一個口令。我可以在某個范圍指定實(shí)際的終端或VTY行號。你經(jīng)常看到的語法是vty 0 4，這樣可以包括所有五個終端訪問行。從理論上來說，你可以對不同的VTY行或范圍建立不同的口令。如果需要的話，你可以擴(kuò)展可用的VTY行數(shù)以容納更多的用戶。但這個方法也有限制。首先，一般建議限制對典型的網(wǎng)絡(luò)設(shè)備同時(shí)進(jìn)行訪問。所以在這個例子中，擴(kuò)展VTY的輸入行數(shù)并不是很好的選擇。如果只是限制Telnet協(xié)議對VTY的訪問，可以使用下列命令： Router (config) # line vty 0 4 Router (config-line) # transport input telnet

在這里，我已經(jīng)指定所有終端行都可以使用Telnet。為了進(jìn)一步限制源地址的路由器訪問，我可以在行配置模式配合類訪問命令使用一個訪問列表。

要保護(hù)可以在網(wǎng)絡(luò)中進(jìn)行路由器訪問的虛擬終端行，還有好多事情要做。

SSH vs. Telnet SSH對比Telnet 如果你非常偏愛使用Telnet來登錄你的路由器，可以選擇使用SSH。為了使你的路由器能夠使用SSH，運(yùn)行下列命令： Router (config) # line vty 0 3 Router (config-line) # transport input ssh

而且，我們對基本網(wǎng)絡(luò)設(shè)備登錄有一個相當(dāng)可靠的基礎(chǔ)。我們將考慮的下一個安全登錄形式是基于用戶的登錄。

基于用戶的登錄

一個基于特定用戶信任關(guān)系的登錄進(jìn)程有助于保證配置改變的責(zé)任，這在那些擁有許多需要手工操作的路由器和交換機(jī)的大型網(wǎng)絡(luò)環(huán)境中顯得尤為重要。一旦你執(zhí)行了這個類型的認(rèn)證，路由器將記錄是誰在何時(shí)訪問路由器并修改了配置。作為一個網(wǎng)絡(luò)管理員，你將真切地體會到記錄路由器配置變化的好處。為了使其工作，你可以使用認(rèn)證，授權(quán)，和記錄(AAA)特性來設(shè)定本地用戶名認(rèn)證。下面例子中的命令是激活本地用戶名登錄所必須的： Router (config) # aaa new-model Router (config) # aaa authentication login default local Router (config) # line vty 0 3 Router (config-line) # login authentication default Router (config-line) # exit Router (config)# username rmcintire password rmcinpword1 Router (config)# username rhumphrey password rhpword1 Router (config)# username jberry password jbpword1

盡管對AAA設(shè)置進(jìn)行全面討論超出了本文的范圍，但我還是要介紹更多的高級技巧以說明其有用的性能。在此，我為登錄創(chuàng)建了三個不同的用戶名和口令并在VTY 1至3行應(yīng)用這一登錄方法。此外，如果加密服務(wù)啟動了，口令將在實(shí)際路由器配置文件中被加密。

授權(quán)

隨同訪問而來的問題是訪問等級，或者說是授權(quán)等級。這個問題是指你希望訪問你的用戶擁有多大的權(quán)限。Cisco的功能允許設(shè)置不同訪問等級。權(quán)限等級的范圍是從0到15；15擁有最高級別的訪問權(quán)限。默認(rèn)的級別是0和15。級別15提供完全的訪問權(quán)限，而級別0能使用的命令和配置非常有限。你可以設(shè)置權(quán)限等級并通過命令或類型賦予這些等級一定的功能。例如，你可以創(chuàng)建一個級別，允許訪問界面和命令行配置模式，另一個級別只允許訪問某些通用命令配置模式。為了指定權(quán)限等級，你可以使用下列通用配置命令： Router (config) # Privilege configure level 5 ntp

你可以通過改變配置等級來賦予多種命令訪問方式。這里，我創(chuàng)建等級5并允許在通用配置模式下使用NTP命令。

作為網(wǎng)絡(luò)管理員，你將承擔(dān)維護(hù)每一個用戶的訪問等級。為了使這些訪問設(shè)置更有效，一定要限制所有用戶使用訪問命令的能力，因?yàn)檫@將允許他們改變自己的權(quán)限等級。在下面的例子中，我指定自己的等級為5： Router (config) # username rmcintire privilege 5 Another option to consider is assigning privilege by terminal line. To restrict privilege level by input line, enter config mode on that line and set the level as follows: Router (config) # line console 0 Router (config-line) # privilege level 7 Router (config) # line vty 0 4 Router (config-line) # privilege level 4

這就在VTY(終端)行中實(shí)現(xiàn)了一個比控制臺更低的權(quán)限等級。這可能更適合需要限制用戶通過虛擬終端對話在網(wǎng)絡(luò)上進(jìn)行等級較高的修改的環(huán)境。主要是，當(dāng)需要進(jìn)行重大修改時(shí)，這將迫使對控制臺端口擁有較高級別訪問權(quán)限的維護(hù)部門派人去手工改動交換機(jī)。

監(jiān)控訪問安全

你不僅可以追蹤路由器的配置活動，還可以實(shí)時(shí)地知道何人連接了特定的路由器。像下面例子那樣使用顯示用戶命令： Router # show users

這個命令的輸出了一個表格，包括的行條目顯示了每一個在使用的終端行，用戶名，位置（地址），等。這個位置或IP地址可以用來從終端對話的位置查找實(shí)際的系統(tǒng)。如果用戶名登錄啟動，你可以輕松地看到哪些用戶登錄了路由器。這就是我為什么推薦在不止有一個人進(jìn)行網(wǎng)絡(luò)維護(hù)的網(wǎng)絡(luò)環(huán)境中使用某些基于用戶的訪問形式的原因。你也可以使用下面的命令斷開受到懷疑或者沒有授權(quán)許可的用戶的對話： Router # disconnect ip-address

在任何時(shí)候查看權(quán)限信息，使用下面的命令： Router # show privilege

結(jié)論

在只有很少的幾個人員需要訪問網(wǎng)絡(luò)設(shè)備的簡單環(huán)境中，你通?？梢灾粚?shí)現(xiàn)很基本的安全功能，以VTY形式和控制臺口令來控制用戶對路由器輸入行的訪問。增加一個有效密碼，以及用戶對配置網(wǎng)絡(luò)進(jìn)行訪問是相當(dāng)安全的。如果你有一個更大的網(wǎng)絡(luò)，更多的人員需要進(jìn)行訪問，或者只是對責(zé)任要求更高，請瀏覽基于用戶的訪問技巧。

盡管在這個Daily Drill Down中，安全設(shè)置和補(bǔ)充遠(yuǎn)沒有結(jié)束，但考慮完善的安全措施幾乎總是我在保護(hù)我的Cisco路由器時(shí)做的第一件事情。由于有一個更高級，更豐富的性能集，你將享受到AAA帶來的好處。我的下一篇文章，“用AAA提高訪問控制技巧”將對這個話題提供更多的信息。

文章錄入：csh    責(zé)任編輯：csh 

最新評論