Сетевые решения — VTY

VTY — VirtualTeletYpe, виртуальный интерфейс, который обеспечивает удаленный доступ к устройству.

Оборудование Cisco поддерживает не менее 16 одновременных подключений по VTY. Для того, чтобы создать возможность удаленного подключения, из режима глобальной конфигурации необходимо зайти в режим конфигурации интерфейса VTY с помощью команды line vty 0 15, где 0 и 15 обозначают диапазон значений, которые присваиваются каждой активной сессии – от нуля до пятнадцати.

Для удаленного подключения по не безопасному протоколу Telnet необходимо воспользоваться командой transport input telnet, для подключения по безопасному протоколу SSH нужно воспользоваться командой transport input ssh. Чтобы разрешить весь трафик, нужно набрать transport input all.

При попытке удаленного подключения, система запросит пароль на аутентификацию. Простейший способ аутентификации можно осуществить набрав login, privilege level 15, password cisco, где login отвечает за саму возможность аутентификации, privilege level отвечает за уровень полномочий (от 1 до 15), которыми будет наделен пользователь, набравший пароль cisco.

Пример:

line vty 0 15
 privilege 15
 login
 password cisco
 transport input ssh

Доступ к устройству можно также обеспечить путем предварительного создания записи или нескольких записей пользователя и пароля. Подробнее о создании пользователей можно прочитать в статье User. Для того, чтобы устройство запросило имя пользователя и пароль, необходимо изменить настройки интерфейсов line vty 0 15 и line console 0. Вместо команды login необходимо прописать login local. Команда password cisco уже не понадобится, т.к. в дальнейшем устройство будет обращаться к локальной базе данных для аутентификации пользователей. Уберем ее командой no password. Теперь при попытке удаленного подключения к устройству, оно запросит имя пользователя и пароль. Альтернативным способом аутентификации и более функциональным является AAA.

В качестве обеспечения безопасности можно использовать функцию полного блокирования доступа к устройству в течение определенного промежутка времени после заданного количества неуспешных попыток аутентификации. Осуществляется это командой (версия IOS должна быть не ниже 12.4) login block-for 120 attempts 5 within 60, где 5 — максимальное количество неудачных попыток в течение 60 секунд, после которого будет активирован интервал в 120 секунд, в течение которого будут блокированы все последующие попытки аутентификации абсолютно для всех пользователей, в том числе легальных. Чтобы избежать ситуации, когда администратор устройства не может получить к нему удаленный доступ, необходимо создать список доступа, на который правило в 120 секунд не будет распространяться, и объявить его командой login quiet-mode access-class MyAccessList, где MyAccessList — список IP адресов на который не распространяется запрет доступа.

Включим функцию слежения за неудачными попытками аутентификации командой login on-failure. Теперь можно просматривать количество неудачных попыток аутентификации командой show login. Командой show login failures можно просматривать IP адреса подозрительных устройств, с которых были инициированы попытки доступа к устройству, в том числе номера портов и количество неудачных попыток.

Пример:

user cisco privilege 15 secret cisco

login block-for 120 attempts 5 within 60
login quiet-mode access-class MyAccessList
login on-failure

ip access-list extended MyAccessList
 10 permit ip 192.168.1.0 0.0.0.255 any

line vty 0 15
 privilege 15
 login local
 transport input ssh

Понравилась статья? Поделиться с друзьями:
TelecomBook
Яндекс.Метрика