Доступ к устройству можно получить 3 способами:

• CLI
• Web interface
• SNMP

Существуют определенные рекомендации для паролей:

• Минимальная длинна - должна быть как можно больше.
• Буквы должны быть смешаны.
• Не использовать слова словаря.
• Периодически изменять пароли.

Доступ к роутеру рекомендуется защищать помимо пароля еще и ACL.

Cisco IOS поддерживает следующие параметры, касаемые пароля:

• Длинна пароля 1 -  25 символов.
• Первый знак пароля не должен быть цифрой или пробелом.
• Остальные знаки могут использоваться в полной мере.

Ограничения для входа пользователей на роутер.

По умолчанию роутер принимает 3 попытки на логин, после чего пользователь отбивается на определенное время. Существует возможность блокировки сессии, которую можно разблокировать только администратору.

aaa new-model - команда включения AAA.

aaa authentication attemts login 5 - количество попыток залогиниться.

aaa authentication login local-policy local - создает политику local-policy, которая использует локальную базу для доступа клиентов.

security authentication failure rate threshold-rate log - threshold-rate используется для указания колличества попыток за одну минуту времени. По умолчанию 10 раз.

login block-for seconds attemts failed-attempts within watch-period

-seconds - определяет кол-во секунд между попытками.
-failed-attempts - определяет количество последовательных ошибочных попыток залогинится, после которого возникает таймаут.
-wastch-period - определяет период времени во время которого последовательные ошибочные попытки залогиниться должны возникать для вызова таймаута.

login delay - таймер задержки между ошибочными попытками залогиниться. Может варьироваться от 1 до 10 сек.

login on-failure (on-success) - включает опцию логинга для успешных или неудачных попыток залогиниться.

login quiet-mode - мапит access-class к команде login.

При запуске нового роутера выскакивает мастер настройки, в котором можно указать пароль для enable secret (MD5 шифрование), enable password, telnet password.

Для возможности телнета на роутер необходимо включить проверку паролей командой login в  режиме конфигурации линии.

Для дополнительной защиты линии от захода пользователей можно использовать:

access-class access-list in - ограничение доступа для ip адресов по access листу (именному, стандартному, расширенному)

exec-timeout minute | second - ограничение времени жизни сессии.

Для определения политик паролей можно использовать команду для ограничения минимального кол-ва символов пароля:
(config)#security passwords min-length length

В конфигурации можно скрыть пароль командой service password-encription но при желании эти пароли можно декодировать.

Создание баннеров.

Банер создается командой (config)#banner которая имеет несколько параметров:
motd - высвечивается всегда .
exec - высвечивается когда пользователь залогинился.
incoming - высвечивается когда стартует сессия telnet/ssh.
login - высвечивается перед процессом указания логина и пароля.

Обеспечение индивидуального доступа.

При использовании команды login local и указания пользователей и паролей в локальной базе username cisco secret cisco.

Создание нескольких уровней привилегий.

Существуей 16 уровней привилегий для пользователей. 0 - является пользовательским. 15 - является привилегированным. 1-14 могут настраиваться вручную.

(config)#privilege mode level level command - указывает какую можно использовать команду в режиме (конфигурации, интерфейса) для определенного уровня.

(config)#enable secret level level password - указывает пароль для для уровня привилегий.

Пример использование привилегий для пользователей с правами: доступа в конфигурационный режим, доступ в режим интерфейса, создание ip адреса на интерфейсе, просмотра интерфейсов и просмотра конфигурации роутера:

(config)#privilege interface level 2 ip address
(config)#privilege interface level 2 ip
(config)#privilege configure level 2 interface
(config)#privilege exec level 2 configure terminal
(config)#privilege exec level 2 configure
(config)#privilege exec level 2 show interfaces
(config)#privilege exec level 2 show running-config
(config)#privilege exec level 2 show
(config)#enable secret level 2 ciscopriv2

Даже если пользователь просмотрит конфигурацию, то ему будет не доступен весь файл конфигурации, а только разрешенные.
Также если мы создадим другой уровень привилегий, то в нем нельзя будет использовать команды описанные в уровне 2, т.е. новый уровень стянет на себя эту команду, а на 2 уровне она пропадет из списка.

Для доступа на определенный уровень можно использовать enable level

Role-Based CLI

Role-based CLI специально создана для возможности использовать разными группами пользователей одинаковые команды. В отличие от уровней привилегий. Это достигается путем использования VIEWS. Для определенной группы создается VIEW, к которому потом прикручиваются разрешенные команды. Через Root View можно конфигурировать другие VIEW. Индивидуальные VIEW могут еще группироваться в SUPERVIEW и создавать иерархию следующего вида:

Возможность использовать VIEW реализуется через команду aaa new-model

Router>enable view [view-name]

Если не указан view-name то пользователь попадает в Root view.

Принцип настройки групп команд для пользователя выглядит так:

config terminal
(config)#parser view view-name
(config-view)#password 5 view-password
(config-view)#secret view-password
(config-view)#commands command-type {include | exclude |  include-exclusive} {LINE | all}

command-type - категория команд (exec, configure, interface)

LINE - команда.

Принцип создания групп пользователей выглядит так:

(config)#parser view view-name superview
(config-view)#password 5 view-password
(config-view)#secret view-password
(config-view)#view view-name

Обеспечение безопасности роутера при физическом доступе к нему.

При физическом доступе к роутеру злоумышленник может сбросить пароль через ROMMON. Есть возможность отключить доступ в ROMMON с помощью команды (config)#no service password-recovery
В этом случае доступ к роутеру невозможен ни при каких условиях.