Предыдущая страница реферата | 1  2  3  4  5  6  7  8  9 | Следующая страница реферата

line aux

no exec

В этой конфигурации при подсоединении к консольному порту мы не сразу попадем в user EXEC режим как это происходит обычно, а только после ввода пользовательского имени и пароля. Хочу заметить, что в параметрах команды exec-timeout время задается в минутах и секундах (через пробел), но если мы захотим указать 0 минут и 0 секунд (exec-timeout 0 0), то это не означает, что совсем нельзя будет попасть на данный порт. А как раз наоборот - пользователь будет находиться в EXEC режиме бесконечно долго. Это нужно обязательно учитывать администраторам при конфигурации маршрутизатора.
Самое минимальное время - 1 секунда (exec-timeout 0 1).

Удаленное ограничение доступа к маршрутизатору

Обычно рекомендуется совсем запрещать удаленный доступ к маршрутизатору по telnet или же жестко ограничивать его. Достичь этого можно благодаря применению списков доступа.

1. Полное запрещение доступа по telnet к маршрутизатору

access-list 1 deny any

line vty 0 4

access-class 1 in

2. Доступ к маршрутизатору по telnet разрешен только с определенного хоста
(создадим расширенный список доступа и применим его к интерфейсу Ethernet
0/0)

access-list 101 permit tcp host 140.11.12.73 host 140.11.12.236 eq telnet

interface Ethernet0/0

ip address 140.11.12.236 255.255.255.0

ip access-group 101 in

Необходимо заметить, что в списке доступа в структуре "от кого - кому" в качестве "кому" прописан IP адрес интерфейса Ethernet 0/0. А так же то, что при данной конфигурации через Ethernet 0/0 больше никто никуда не попадет, отсекаемый неявным оператором deny any. Поэтому нужно будет дополнить список доступа необходимыми "разрешениями".

Если необходимо конфигурировать маршрутизатор с удаленного хоста и терминальный сервер при маршрутизаторе отсутствует (например, одиночный маршрутизатор в удаленном филиале), то вместо Telnet следует использовать
SSH. IPSEC Feature set операционной системы Cisco IOS поддерживает работу
SSH-сервера непосредственно на маршрутизаторе. IPSEC Feature set имеет высокую стоимость, требует довольно зачительных ресурсов процессора и памяти и реализует относительно слабый алгоритм (DES с 40-битным ключом).
Поддержка сильного алгоритма (Triple DES с 256-битным ключом) связана с преодолением экспортных ограничений США. Исходя из вышесказанного, организовывать административный доступ к маршрутизатору с помощью IPSEC
Feature set следует только при невозможности подключения терминального сервера (или если IPSEC Feature set уже используется для организации VPN).

При доступе к маршрутизатору через WWW-интерфейс аутентификация пользователя HTTP-сервером проводится по ненадежной технологии. Отключение
HTTP-сервера:

router(config)# no ip http server

Протокол SNMP (по крайней мере, версий 1 и 2) вообще не предоставляет адекватных средств обеспечения безопасности, поэтому разрешать запись через
SNMP категорически не рекомендуется. Чтение следует разрешить только для административной станции - для этого надо сформировать соответствующий список доступа и указать его в команде активизации SNMP-агента:

router(config)#snmp-server community public RO номер_списка_доступа

Заключение.

Защита паролем, ограничение локального доступа, шифрованные пароли, расширенные списки доступа, учет и запись событий на маршрутизаторах обеспечивают защиту от несанкционированных попыток доступа и протоколируют информацию о таких попытках, всё это можно реализовать средствами CISCO
IOS.

Список использованных источников.

http://cisco.com/

http://www.mark-itt.ru/CISCO/ITO/

Рекомендуем скачать другие рефераты по теме: конспекты уроков в 1 классе, сочинение на тему онегин.



Предыдущая страница реферата | 1  2  3  4  5  6  7  8  9 | Следующая страница реферата

Поделитесь этой записью или добавьте в закладки