相信每个公司不管他的规模是大是小,员工人数是多是少都会拥有路由交换设备,毕竟路由器是连接内部网络和外部网络的桥梁,所以他的角色是非常重要的。普通没有经过设置的路由器安全没有保障,可以令黑客病毒非常容易的从外部网络进入内网,而路由器密码一但被偷窃篡改配置后全体员工都将无法访问网络。所以说要保证路由设备的安全我们首先要加强他的“入口”保护,所谓路由设备“入口”就是指登录路由器时的验证过程。今天我们就拿华为3Com公司的MSR2020为例,为大家介绍如何更好的配置路由设备登录权限验证参数。
一、MSR2020路由器简介:
为了保证技术的先进性,笔者选择的举例设备为华为3Com公司最新推出的针对中小企业的MSR2020路由器。新一代MSR系列路由器可以为不同规模的企业用户在单一的平台上构建集成数据、话音和IP电话的网络。单一的平台提供了更高的数据和话音综合密度,使得企业IP话音应用拓展到一个新阶段,同时简化了网络运营管理,降低了网络维护成本。该产品具备2个百兆接口,支持扩展模块插槽数为4个,支持VPN技术和QOS服务质量,内置了防火墙功能,DRAM内存为384MB,包转发绿是130到150KPS,核心处理器是RISC新一代处理器400MHz。最大的特点是该设备采用CF卡来保存配置信息,还有一个USB接口方便用户使用。
二、安全从入口开始之密码验证:
了解了MSR2020设备的基本信息后我们就开始学习如何加强他的安全认证了,一般来说我们都会给路由器开放TELNET服务功能,在网络中的任何一台计算机都可以通过telnet ip地址来实现管理路由器的目的,实际使用中telnet的密码验证也是非常重要的,他是防范病毒与黑客入侵的主要手段。下面我们就学习下如何在MSR2020路由器上开启telnet服务并设置相应权限的密码。
第一步:为MSR2020接口设置IP地址信息,以后telnet登录都将针对这些IP地址进行管理。命令为ip address,我们给ETHERNET0/0接口设置IP地址为192.168.1.254。
第二步:通过CONSOLE线进入到MSR路由器管理界面,然后输入system回车进入系统管理视图。
第三步:默认情况下MSR路由器是没有开启telnet服务的,我们只能通过CONSOLE线进行管理,我们通过telnet server enable命令开启TELNET服务。(如图1)
第四步:接下来为本机系统设置一个IP地址,当然需要能够访问到192.168.1.254接口,例如IP地址是192.168.1.1,子网掩码是255.255.255.0,网关写192.168.1.254。
小提示:仅仅开启MSR路由设备上的telnet服务是远远不够的,这时我们通过telnet连接MSR路由器就会出现“login password has not been set”的提示。
第五步:我们还需要为telnet服务设置一个密码验证口令,这就是加强路由设备安全的关键,进入系统视图输入如下命令。user-interface vty 0 4,回车后进入到vty视图。
第六步:这步是关键,通过auth password命令来切换MSR路由器telnet的验证服务,如果设置为none则登录不需要密码,password参数要求通过telnet登录路由器时输入登录密码,而scheme参数则是要求登录时使用AAA验证。(如图2)
第七步:接下来使用set authentication password cipher 111111,为路由器telnet设置一个111111的密码,cipher代表密码密文显示。
第八步:但是设置的这个111111密码到底具备什么权限呢?总不能设置的任何密码都可以轻松的管理路由器吧,很多时候我们需要建立几个低权限密码,因此我们通过user privilege level 0设置其对应0级(最低级)权限。(如图3)
小提示:一般为了提高设备的安全性我们都会给予telnet登录密码一个很小的权限,而通过设置super密码来提高相应的权限。
第九步:这样设置后使用111111密码登录的使用者权限很低,我们需要设备添加权限1,2,3对应的密码。使用命令为“super password level 3|2|1 cipher 密码信息”,当然一般我们都是直接设置级别3的super帐户,而不用为1和2两个级别设置密码。例如笔者为super level 3级别的权限设置了222222密码。
第十步:我们再在客户机上通过telnet 192.168.1.254命令访问MSR设备时就会出现要求输入password密码信息的提示了,我们输入111111进行登录。
第十一步:不过由于111111密码对应的权限很低,是零级别的,所以可支持的命令很少,连系统视图都无法进入。(如图4)
第十二步:这时就体现出super密码的用途了,我们输入super后回车,然后输入222222这个level 3权限验证密码,我们当前使用者就具备了level 3权限,可以进行各种设置。
小结——华为路由交换设备的密码设置方法大同小异,上文主要介绍基于密码验证的登录方式,这种方式在以前的CISCO设备中广泛应用。可以通过不同级的密码达到安全防范的作用,不过这种仅仅基于密码的登录验证一方面降低了破解的难度,黑客只需要暴力破解密码一个参数就可以实现入侵的目的,另外在实际管理特别是多管理员多用户的情况下不太方便权限的划分和对设备登录以及配置修改信息的监控。为了解决这些问题我们应该在条件容许的情况下使用基于AAA的登录验证模式。
三、安全从入口开始之AAA验证:
所谓AAA验证就是指在登录到路由设备时出现的不是仅仅基于密码唯一参数的验证,我们需要输入用户名加密码两个参数才能通过验证,就好比我们登录的Windows系统一样,用户名和密码都正确才能确保登录。这种验证模式更加安全也方便管理设备,我们可以从日志中分析出到底是谁做了相应的操作,而不像以往那样大家都知道密码谁做的配置改动谁进行登录的都无从考证。下面就简单介绍下如何在MSR2020路由器上开启AAA验证,当然华为3COM的其他设备具体配置命令与之类似。
第一步:首先建立用户,只有添加了用户并为其设置密码才能实现AAA验证。具体命令local-user softer回车是建立了一个名为softer的帐户并进入了softer帐户设置界面。
第二步:通过“password cipher 111111”命令设置softer帐户对应的密码为111111。
第三步:虽然建立了帐户但是还需要指定他可以使用的服务,通过service-type telnet level 3来为softer帐户赋予level 3最高级的权限。当然从显示信息中我们能够看出可以给用户包括ftp,ppp,SSH在内的专项服务。添加了帐户和密码还有对应的权限后我们的softer用户就可以登录路由器了。(如图5)
第四步:我们再按照上面的方法通过local-user root,password cipher 111111,service-type telnet level 0等命令建立一个telnet连接后只有level 0的root帐户。
第五步:最后还需要执行telnet server enable开启telnet服务,并修改vty 0 4的验证方式,之前单纯的密码验证是通过auth password实现的,而AAA验证是通过auth scheme命令实现。最后还需要执行undo set authentication password命令去掉上面设置的登录密码,防止AAA验证和密码验证互相冲突。(如图6)
第六步:我们再次使用telnet 192.168.1.254登录到MSR路由设备上就会出现提示输入username和password的AAA验证信息,输入root帐户名和密码进去后会因为只有level 0权限而无法执行过多命令。
第七步:相反用softer和密码登录进去后因为具备level 3权限而可以执行所有设置命令。(如图7)
小结——至此我们就完成了对MSR2020路由设备添加AAA登录验证的操作,由于验证需要输入用户名和密码两项信息所以设备的安全性大大提高,通过权限分配可以很好的管理不同帐户的不同权限,从而更加灵活的控制设备的访问权限。
四、总结:
本文介绍了两种路由设备登录验证模式,并且针对两种不同模式的配置方法进行了详细介绍,相信根据本文各位读者已经可以轻松实现为华为3COM各设备添加登录安全验证功能了。最后笔者还需要一提的就是在我们设置华为3COM设备时只容许在同一时间一个帐户进入系统视图,不光是telnet连接,console控制台连接也算在内,这主要是为了防止两个帐户同时修改配置造成设置参数紊乱问题的发生。如果一个帐户要进入系统视图时已经有人在系统视图就会出现“使用系统设置的用户数量已经达到了最大值,请等待其中一个用户释放系统设置权限”,这时我们唯一能做的就是耐心等待。
欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com |
关注天下网吧微信,了解网吧网咖经营管理,安装维护:
本文来源:IT168 作者:佚名