Список маршрутизаторов для корпоративных сетей, на которых поводилось тестирование:
Создание пользователей на маршрутизаторе – это неотъемлемая часть настройки безопасности сети, если не используется удаленный ААА-сервер.
RBAC (управление доступом на основе ролей). Основная идея RBAC — указать роли для пользователей. Эти роли определяют, какие функции системы и ресурсные объекты, с которыми пользователям разрешено работать.
По умолчанию существует четыре роли: Security-admin, Network-admin, Audit-admin и Network-operator. Полномочия этих четырех ролей не могут быть изменены.
Таблица соответствий полномочий ролей пользователей:
Посмотреть локальных пользователей:
QSR#show users class manager
либо:
QSR#show running-config | include local-user
Создание пользователя NAME c уровнем привилегий 15, паролем PASSWORD123 и доступом к службам SSH TELNET HTTP HTTPS:
QSR#configure terminal
QSR(config)#local-user NAME class manager
QSR(config-user-manager-NAME)#privilege 15
QSR(config-user-manager-NAME)#service-type ssh telnet web
QSR(config-user-manager-NAME)#password 0 PASSWORD123
QSR(config-user-manager-NAME)#user-role network-admin
Конфигурирование локальной авторизации, чтобы применить эффект роли пользователя:
QSR(config)#domain system
QSR(config-isp-system)#aaa authentication login local
QSR(config-isp-system)#aaa authorization login local
После этого необходимо настроить терминал для авторизации пользователей:
Пароль для доступа в привилегированный режим:
QSR(config)#enable password 0 PASSWORD123
Включение ssh-сервера:
QSR(config)#ip ssh server
Включение HTTPS-сервера:
QSR(config)#ip http secure-server
Пройдя авторизацию в веб-интерфейсе, на вкладке System -> User Management можно добавлять, удалять и редактировать пользователей:
В окне добавления нового пользователя заполняем логин и пароль, а также указываем, к каким сервисам будет доступ у данной учетной записи, и задаем уровень доступа (администратор или пользователь):
Теперь, благодаря определенным ролям, каждый пользователь будет иметь доступ только к тем ресурсам и функциям, которые необходимы для выполнения его задач. Благодаря четко установленным привилегиям, мы можем уверенно предоставлять возможности администрирования и мониторинга, минимизируя риски несанкционированного доступа.
Кроме того, мы обеспечили безопасный способ удаленного подключения с использованием SSH, а также защитили веб-интерфейс через HTTPS. Это снижает риски перехвата данных при удаленном управлении маршрутизаторами.
С настройкой локальной авторизации и учетных записей пользователей через веб-интерфейс, мы создали удобную и эффективную систему управления пользователями. Теперь администраторы смогут быстро реагировать на изменения, добавлять новых пользователей, редактировать доступ и роли, всегда имея контроль над безопасностью сети.
Таким образом, завершив описанные шаги, мы успешно настроили надежную систему управления доступом, обеспечивая высокий уровень безопасности и эффективное администрирование нашей сети на маршрутизаторах QSR-1920/2920/3920.
Источник: