IPCPU——网络之路 » IOS

CiscoIOS的用户管理

admin — Tue, 19 Jul 2011 16:17:10 +0000

作为网络安全的一个重要方面，路由器的用户管理直接保障路由器的安全，起着至关重要的作用。

用户要对路由器进行管理访问，只有通过控制台console、aux或者网络进行访问，而网络的访问又分为telnet和ssh。对于aux大多数人已经不再关心，我们也不必考虑。

我们先看console控制台的配置

line con 0
exec-timeout 5 30
password ipcpu
login
超时间设置可以防止未注销的连接被他人利用
设置密码起到一定的防护作用
login启用密码检查。

上面我们用到了密码认证的方式，
其实Cisco IOS用户的认证方式有3种：

》密码
》用户名+密码
》AAA

接下来的telnet方式我们使用第二种

telnet登陆方式

!
username ipcpu privilege 15 password 0 ipcpu
!
line aux 0
line vty 0 4
password haha
login local
!

这里虽然设置了password haha但是由于认证使用的login local使用本地库认证，所以password haha就没有什么实际意义了。

通过telnet登陆测试
C:\>telnet 192.168.66.254

User Access Verification

Username: ipcpu
Password:
Router#
由于我们给ipcpu用户设定的等级是15级，所以ipcpu用户登陆进去就有最高权限。

注意：如果没有设置enable密码，telent用户级别是1，则该用户无法进入level 15级。

ssh登陆方式

hostname core
ip domain-name ipcpu.com
 
crypto key generate rsa general-keys
生成密钥时需要主机名和域名
 
access-list 90 permit 4.4.4.2
 
username ipcpu password 0 ipcpu
line vty 0 4
login local
transport input ssh
此时在vty线路上只支持ssh登陆方式。
access-class 90 in
只有ACL90能访问

测试：
在另外一台机器上登陆

Router#ssh -l ipcpu 4.4.4.1

Password:
 
core>
core>
core>

SSH高级设定

我们可以通过修改ssh选项，增强安全性和便利性。常用选项有：
Router(config)#ip ssh ?
authentication-retries  Specify number of authentication retries
##密码重试次数
break-string            break-string
##终端提示
logging                 Configure logging for SSH
##设置日志选项
maxstartups             Maximum concurrent sessions allowed
##设置最大并发SSH连接
port                    Starting (or only) Port number to listen on
##修改SSH端口
rsa                     Configure RSA keypair name for SSH
##指定ssh使用的密钥对
source-interface        Specify interface for source address in SSH connections
##指定SSH监听IP
time-out                Specify SSH time-out interval
##设置超时
version                 Specify protocol version to be supported
##设定ssh版本有v1，v2

Router(config)#ip ssh

对用户授权时注意用户级别的设定。
可以查看本站文章Cisco IOS权限等级

在设置ssh时对于aaa的设定略有区别，大家可以查看
http://xpvista.blog.51cto.com/420483/175410
区别是不启用aaa new-modle时需要设定hostname

后记：
1.关于如何修改ssh默认端口的问题
网上说的方法如下
ip ssh port 2222 rotary 1
line vty 0 4
rotary 1
这种方法实际上是打开2222端口，转发到vty线路，22号口、2222口同时存在。
目前还没解决。
下面帖子可以参考
https://supportforums.cisco.com/thread/236110

Cisco IOS Login Enhancement特性简介

admin — Mon, 20 Sep 2010 18:21:26 +0000

Cisco IOS Login Enhancement(Login Block)特性让用户可以增强路由器安全，防止恶意暴力破解等。

这个特性可以应用在telent或者ssh连接当中。

该特性在12.3(4)T中被引入，其他之前的版本仅有少数支持此特性。

该特性主要包括一下几个选项

core(config)#login ?
block-for Set quiet-mode active time period
##设置一定时间内输入密码错误次数，达到限制后阻止连接多长时间
delay Set delay between successive fail login
##输入密码错误就会卡住x秒，x秒后才可以重新输入
on-failure Set options for failed login attempt
##登陆失败就会发送信息给管理员
on-success Set options for successful login attempt
##成功登陆就会发送信息给系统管理员
quiet-mode Set quiet-mode options
##设定例外选项，不受login block限制

举个例子：

ip ssh authentication-retries 5
login block-for 600 attempts 3 within 60
##60秒内输入密码有3次错误，那么在600秒内Login就会被挂起，无法网管了
login quiet-mode access-class ex
##使用ACL控制不受限制的IP
login on-failure trap
#登陆失败就会发送信息SNMP TRAP
login on-success log
##成功登陆就会发送信息给syslog
!
ip access-list standard ex
permit 4.4.4.0 0.0.0.255
!

测试：
我们另一台路由上
60s内输错3次，会被直接refused。

r1#ssh -l ipcpu 4.4.4.1

Password:
 
Password:
 
Password:
 
% Authentication failed.
 
[Connection to 4.4.4.1 closed by foreign host]
r1#
r1#
r1#ssh -l ipcpu 4.4.4.1
% Connection refused by remote host

设定了quiet-mode后不受限制：

r1#ssh -l ipcpu 4.4.4.1

Password:
 
Password:
 
Password:
 
% Authentication failed.
 
[Connection to 4.4.4.1 closed by foreign host]
r1#
r1#
r1#ssh -l ipcpu 4.4.4.1

Password:
 
Password:

我们可以通过查看login block的统计数据

core#sh login
A default login delay of 1 seconds is applied.
Quiet-Mode access list ex is applied.
All successful login is logged.
All failed login generate SNMP traps.
 
Router enabled to watch for login Attacks.
If more than 3 login failures occur in 60 seconds or less,
logins will be disabled for 600 seconds.
 
Router presently in Normal-Mode.
Current Watch Window
Time remaining: 30 seconds.
Login failures for current window: 1.
Total login failures: 7.

Cisco IOS基于角色的CLI视图

admin — Fri, 07 May 2010 10:00:01 +0000

Role-Based CLI Access

Packet Tracer 5.3可以做，较旧的IOS版本做不了。

要使用基于角色的CLI视图,需满足：

1。启用AAA
2。设置enable密码（pass、secret均可）

使用方法

进入管理模式
Router#enable view root
Password:
Router#%PARSER-6-VIEW_SWITCH: successfully set to view ‘root’.

Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#parser view test
!创建新视图test
Router(config-view)#%PARSER-6-VIEW_CREATED: view ‘test’ successfully created.

Router(config-view)#secret 0 ipcpu
Router(config-view)#?
View commands:
commands Configure commands for a view //设置可以执行的命令
default   Set a command to its defaults
exit      Exit from view configuration mode
no        Negate a command or set its defaults
secret    Set a secret for the current view
Router(config-view)#

测试，默认没有几个命令
Router#enable view test
Password:
Router#%PARSER-6-VIEW_SWITCH: successfully set to view ‘test’.

Router#?
Exec commands:
disable     Turn off privileged commands
enable      Turn on privileged commands
exit        Exit from the EXEC
logout      Exit from the EXEC
Router#

官网有几个角色命令的例子，相关命令等级的划分可参考官网

官网链接：
Cisco IOS Role-Based Access Control with SDM

Cisco IOS权限等级

admin — Sun, 13 Dec 2009 02:37:23 +0000

Cisco IOS的权限等级有三个level0、level1、level15
其中level0有5条命令，level1有大概40条命令,其余的都在level15中。
高等级可以调用低等级的命令。

用户EXEC模式-权限等级1 特权EXEC模式-权限等级15

我们先看level0的命令：

Router#enable 0
Router>?
Exec commands:
  disable  Turn off privileged commands
  enable   Turn on privileged commands
  exit     Exit from the EXEC
  help     Description of the interactive help system
  logout   Exit from the EXEC
Router>enable 1
% No password set
Router>

从level0进入level1提示密码没有设置。
给level1设置密码：

1 2	Router(config)#enable password level 1 0 ipcpu % Converting to a secret. Please use "enable secret" in the future.

!这里面的0表示明文显示，但是IOS自动把password转为secret。

Router#enable 0
Router>en
Router>enable 1
Password:
Router>
命令如下：
Router>?
Exec commands:
  access-enable    Create a temporary Access-List entry
  access-profile   Apply user-profile to interface
  clear            Reset functions
  connect          Open a terminal connection
  disable          Turn off privileged commands
  disconnect       Disconnect an existing network connection
  enable           Turn on privileged commands
  exit             Exit from the EXEC
  help             Description of the interactive help system
  lock             Lock the terminal
  login            Log in as a particular user
  logout           Exit from the EXEC
  mrinfo           Request neighbor and version information from a multicast
                   router
  mstat            Show statistics after multiple multicast traceroutes
  mtrace           Trace reverse multicast path from destination to source
  name-connection  Name an existing network connection
  pad              Open a X.29 PAD connection
  ping             Send echo messages
  ppp              Start IETF Point-to-Point Protocol (PPP)
  resume           Resume an active network connection
  rlogin           Open an rlogin connection
  show             Show running system information
  slip             Start Serial-line IP (SLIP)
  systat           Display information about terminal lines
  telnet           Open a telnet connection
  terminal         Set terminal line parameters
  traceroute       Trace route to destination
  tunnel           Open a tunnel connection
  udptn            Open an udptn connection
  where            List active connections
  x28              Become an X.28 PAD
  x3               Set X.3 parameters on PAD
 
Router>

其实level1级别就是从console登录到路由router> 的最初级别

接下来我们设置几个用户，将15级的命令clear line放到1级：

Router(config)#username wss privilege 1 password wss
登陆后
Router>clear ?
% Unrecognized command
Router>en
Password:
Router#conf t
Router(config)#privilege exec level 1 clear line
再次用wss登陆
Router>clear line ?
  <0-70>   Line number
  aux      Auxiliary line
  console  Primary terminal line
  tty      Terminal controller
  vty      Virtual terminal
 
Router>clear line

IOS可以使用privilege命令将1或者15的命令抠出来，放到其中的几个级别。

我们平时使用的enable实际就是enable 15的简写

1	Router(config)#enable secret level 15 0 ncist