Cisco Network Security - Przypisywanie ról administracyjnych
1. Oprogramowanie Cisco IOS ma dwa metody zapewniania dostępu do infrastruktury: poziom uprzywilejowania i interfejs wiersza poleceń (CLI), który zapewnia większą precyzję i kontrolę.
Domyślnie interfejs wiersza poleceń (CLI) oprogramowania Cisco IOS ma dwa poziomy dostępu do poleceń:
- Tryb EXEC użytkownika (poziom uprzywilejowania 1) - zapewnia najniższe uprawnienia użytkownika w trybie EXEC i pozwala tylko na polecenia na poziomie użytkownika dostępne na w Router>.
- Tryb EXEC uprzywilejowany (poziom uprzywilejowania 15) - obejmuje wszystkie polecenia na poziomie enable w Router#.
Istnieje łącznie 16 poziomów uprzywilejowania, które są wymienione poniżej. Im wyższy poziom uprzywilejowania, tym więcej dostępu do routera ma użytkownik. Polecenia dostępne na niższych poziomach uprzywilejowania są również wykonywalne na wyższych poziomach.
- Poziom 0: Zdefiniowany dla uprawnień dostępu na poziomie użytkownika. Rzadko używany, ale obejmuje pięć poleceń: disable, enable, exit, help i logout.
- Poziom 1: Domyślny poziom dla logowania z routera Router >. Użytkownik nie może wprowadzać żadnych zmian ani przeglądać pliku bieżącej konfiguracji.
- Poziomy 2 -14: Mogą być dostosowane do uprawnień na poziomie użytkownika. Polecenia z niższych poziomów mogą być przeniesione do innego wyższego poziomu, lub polecenia z wyższych poziomów mogą być przeniesione na niższy poziom.
- Poziom 15: Zarezerwowany dla uprawnień trybu enable (polecenie enable). Użytkownicy mogą zmieniać konfiguracje i przeglądać pliki konfiguracji
2. Używanie poziomów uprzywilejowania ma swoje ograniczenia:
- Brak kontroli dostępu do konkretnych interfejsów, portów, interfejsów logicznych i slotów w routerze.
- Polecenia dostępne na niższych poziomach uprzywilejowania są zawsze wykonywalne na wyższych poziomach.
- Polecenia specjalnie ustawione na wyższym poziomie uprzywilejowania nie są dostępne dla użytkowników o niższym uprzywilejowaniu.
- Przypisanie polecenia z wieloma słowami kluczowymi pozwala na dostęp do wszystkich poleceń, które używają tych słów kluczowych.
3. Role-based CLI oferuje trzy typy widoków: Root, CLI i Superview.
- Widok Root ma uprawnienia na poziomie 15 i umożliwia konfigurację nowych widoków oraz dodawanie lub usuwanie poleceń z istniejących widoków.
- Widok CLI to zestaw określonych poleceń, które nie mają hierarchii i nie dziedziczą poleceń z innych widoków.
- Superview składa się z jednego lub więcej widoków CLI. Pozwala administratorowi sieci przypisywać użytkownikom wiele widoków CLI naraz. Superview ma kilka specyficznych cech, takich jak możliwość udostępniania pojedynczego widoku CLI w wielu superviews, dostęp do wszystkich poleceń skonfigurowanych dla dowolnego widoku CLI, które są częścią superview, oraz posiadanie hasła do przełączania między superviews lub z widoku CLI do superview. Usunięcie superview nie usuwa powiązanych widoków CLI.
4. Kroki konfiguracji superview są zasadniczo takie same jak konfiguracji widoku CLI, z wyjątkiem polecenia view view-name, które jest używane do przypisywania poleceń do superview. Administrator musi być w widoku root, aby skonfigurować superview. Aby potwierdzić, że używany jest widok root, użyj polecenia enable view lub enable view root. Gdy zostaniesz poproszony, wprowadź sekretne hasło.
Istnieją cztery kroki do tworzenia i zarządzania superview.
Krok 1: Utwórz widok za pomocą polecenia parser view view-name superview i wejdź w tryb konfiguracji superview. Dodanie słowa kluczowego superview do parser view tworzy superview i wchodzi w tryb konfiguracji.
Krok 2: Przypisz sekretne hasło do widoku za pomocą polecenia secret password. Ustawia to hasło chroniące dostęp do superview. Hasło musi być utworzone natychmiast po utworzeniu widoku; w przeciwnym razie pojawi się komunikat o błędzie.
Krok 3: Przypisz istniejący widok za pomocą polecenia view view-name w trybie konfiguracji widoku. Dodaje to widok CLI do superview. Można dodać wiele widoków. Widoki mogą być udostępniane między superviews.
Krok 4: Wyjdź z trybu konfiguracji superview, wpisując polecenie exit.