VTY — VirtualTeletYpe, виртуальный интерфейс, который обеспечивает удаленный доступ к устройству.
Оборудование Cisco поддерживает не менее 16 одновременных подключений по VTY. Для того, чтобы создать возможность удаленного подключения, из режима глобальной конфигурации необходимо зайти в режим конфигурации интерфейса VTY с помощью команды line vty 0 15, где 0 и 15 обозначают диапазон значений, которые присваиваются каждой активной сессии – от нуля до пятнадцати.
Для удаленного подключения по не безопасному протоколу Telnet необходимо воспользоваться командой transport input telnet, для подключения по безопасному протоколу SSH нужно воспользоваться командой transport input ssh. Чтобы разрешить весь трафик, нужно набрать transport input all.
При попытке удаленного подключения, система запросит пароль на аутентификацию. Простейший способ аутентификации можно осуществить набрав login, privilege level 15, password cisco, где login отвечает за саму возможность аутентификации, privilege level отвечает за уровень полномочий (от 1 до 15), которыми будет наделен пользователь, набравший пароль cisco.
Пример:
line vty 0 15 privilege 15 login password cisco transport input ssh
Доступ к устройству можно также обеспечить путем предварительного создания записи или нескольких записей пользователя и пароля. Подробнее о создании пользователей можно прочитать в статье User. Для того, чтобы устройство запросило имя пользователя и пароль, необходимо изменить настройки интерфейсов line vty 0 15 и line console 0. Вместо команды login необходимо прописать login local. Команда password cisco уже не понадобится, т.к. в дальнейшем устройство будет обращаться к локальной базе данных для аутентификации пользователей. Уберем ее командой no password. Теперь при попытке удаленного подключения к устройству, оно запросит имя пользователя и пароль. Альтернативным способом аутентификации и более функциональным является AAA.
В качестве обеспечения безопасности можно использовать функцию полного блокирования доступа к устройству в течение определенного промежутка времени после заданного количества неуспешных попыток аутентификации. Осуществляется это командой (версия IOS должна быть не ниже 12.4) login block-for 120 attempts 5 within 60, где 5 — максимальное количество неудачных попыток в течение 60 секунд, после которого будет активирован интервал в 120 секунд, в течение которого будут блокированы все последующие попытки аутентификации абсолютно для всех пользователей, в том числе легальных. Чтобы избежать ситуации, когда администратор устройства не может получить к нему удаленный доступ, необходимо создать список доступа, на который правило в 120 секунд не будет распространяться, и объявить его командой login quiet-mode access-class MyAccessList, где MyAccessList — список IP адресов на который не распространяется запрет доступа.
Включим функцию слежения за неудачными попытками аутентификации командой login on-failure. Теперь можно просматривать количество неудачных попыток аутентификации командой show login. Командой show login failures можно просматривать IP адреса подозрительных устройств, с которых были инициированы попытки доступа к устройству, в том числе номера портов и количество неудачных попыток.
Пример:
user cisco privilege 15 secret cisco login block-for 120 attempts 5 within 60 login quiet-mode access-class MyAccessList login on-failure ip access-list extended MyAccessList 10 permit ip 192.168.1.0 0.0.0.255 any line vty 0 15 privilege 15 login local transport input ssh
