Wprowadzenie do list dostępu (ACL) w sieciach Cisco

Listy dostępu (Access Control Lists, ACL) stanowią fundamentalny mechanizm bezpieczeństwa w sieciach opartych na urządzeniach Cisco, takich jak routery i przełączniki. ACL umożliwiają filtrowanie ruchu sieciowego poprzez definiowanie reguł, które decydują o tym, czy pakiet danych zostanie przekazany, odrzucony czy też poddany dalszej obróbce. W kontekście urządzeń Cisco, ACL są nieodłącznym elementem konfiguracji, pozwalającym na kontrolę dostępu do zasobów sieciowych, ochronę przed nieautoryzowanym ruchem oraz optymalizację wydajności sieci.

W niniejszym artykule omówione zostaną zastosowania ACL na routerach i przełącznikach Cisco, wraz z szczegółowymi przykładami poleceń CLI, które można zrealizować w środowisku Cisco Packet Tracer. Artykuł skupia się na praktycznych aspektach konfiguracji, począwszy od podstawowych typów ACL, poprzez ich tworzenie i zarządzanie, aż po zaawansowane techniki debugowania. Wszystkie przykłady zostały przygotowane z myślą o środowisku laboratoryjnym, co pozwala na bezpieczne eksperymentowanie bez ryzyka wpływu na rzeczywistą infrastrukturę sieciową.

ACL w urządzeniach Cisco dzielą się na kilka kategorii: standardowe, rozszerzone oraz nazwane. Standardowe ACL filtrują ruch na podstawie adresu źródłowego, podczas gdy rozszerzone oferują większą precyzję, uwzględniając adresy źródłowe i docelowe, protokoły oraz porty. Nazwane ACL wprowadzają elastyczność poprzez możliwość edycji bez konieczności usuwania i ponownego tworzenia listy. Zastosowanie ACL różni się w zależności od typu urządzenia: na routerach służą głównie do kontroli ruchu między sieciami, natomiast na przełącznikach koncentrują się na filtrowaniu ruchu w warstwie drugiej modelu OSI.

W dalszej części artykułu przedstawione zostaną szczegółowe wyjaśnienia wraz z minimum pięcioma przykładami poleceń CLI dla każdego z kluczowych tematów. Przykłady te zostały skonstruowane w sposób umożliwiający bezpośrednie zastosowanie w Cisco Packet Tracer, z dokładnymi opisami kroków i oczekiwanych rezultatów. Czas czytania artykułu wynosi około 25 minut, co pozwala na dogłębne zrozumienie tematu bez pośpiechu.

Zastosowanie ACL na routerach Cisco

Routery Cisco wykorzystują ACL przede wszystkim do kontroli ruchu między różnymi sieciami lub interfejsami. ACL na routerach działają w warstwie trzeciej modelu OSI, filtrując pakiety na podstawie adresów IP, protokołów oraz innych parametrów. Głównym celem jest zapewnienie bezpieczeństwa poprzez blokowanie niepożądanego ruchu, takiego jak ataki typu DoS czy próby dostępu do wrażliwych zasobów. Ponadto, ACL mogą być używane do optymalizacji ruchu, na przykład poprzez priorytetyzację pakietów lub ograniczanie przepustowości dla określonych aplikacji.

W praktycznych scenariuszach, ACL na routerach służą do:

• Kontroli dostępu do sieci wewnętrznych z Internetu.
• Filtrowania ruchu między segmentami VLAN.
• Ochrony przed spoofingiem adresów IP.
• Implementacji polityk QoS poprzez klasyfikację pakietów.
• Logowania zdarzeń związanych z ruchem sieciowym.

Konfiguracja ACL na routerach wymaga zrozumienia kierunku aplikacji: inbound (ruch przychodzący) lub outbound (ruch wychodzący). W Cisco Packet Tracer można symulować te scenariusze, łącząc routery z przełącznikami i hostami, aby obserwować efekty filtrowania.

Przykład 1: Blokowanie ruchu z określonego adresu IP

W tym przykładzie tworzymy standardową ACL, która blokuje ruch z adresu 192.168.1.10 do dowolnego miejsca. ACL jest aplikowana na interfejsie wychodzącym.

Router(config)# access-list 1 deny 192.168.1.10 0.0.0.0
Router(config)# access-list 1 permit any
Router(config)# interface GigabitEthernet 0/0
Router(config-if)# ip access-group 1 out

Wyjaśnienie: Pierwsze polecenie tworzy ACL numer 1, odmawiając dostępu pakietom z adresu 192.168.1.10. Drugie polecenie pozwala na przejście wszystkich innych pakietów. Trzecie i czwarte aplikują ACL na interfejsie GigabitEthernet 0/0 w kierunku wychodzącym. W Packet Tracer można przetestować, wysyłając ping z hosta o adresie 192.168.1.10 – powinien zostać zablokowany.

Przykład 2: Zezwolenie na ruch HTTP tylko z jednej sieci

Rozszerzona ACL pozwala na filtrowanie ruchu HTTP (port 80) tylko z sieci 192.168.1.0/24.

Router(config)# access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80
Router(config)# access-list 101 deny ip any any
Router(config)# interface GigabitEthernet 0/1
Router(config-if)# ip access-group 101 in

Wyjaśnienie: ACL 101 zezwala na ruch TCP z sieci 192.168.1.0/24 do dowolnego adresu na porcie 80. Wszystkie inne pakiety są blokowane. Aplikacja na interfejsie przychodzącym. W symulacji, ruch HTTP z dozwolonej sieci przejdzie, a inne protokoły zostaną odrzucone.

Przykład 3: Logowanie odrzuconych pakietów

Dodanie opcji log do ACL umożliwia monitorowanie odrzuconych pakietów.

Router(config)# access-list 102 deny ip 192.168.2.0 0.0.0.255 any log
Router(config)# access-list 102 permit ip any any
Router(config)# interface Serial 0/0/0
Router(config-if)# ip access-group 102 in

Wyjaśnienie: ACL 102 blokuje ruch z sieci 192.168.2.0/24 i loguje zdarzenia. Pozostały ruch jest dozwolony. W Packet Tracer, po włączeniu logowania, można obserwować komunikaty w konsoli routera przy próbach dostępu.

Przykład 4: Ochrona przed spoofingiem

ACL może blokować pakiety z nieprawidłowymi adresami źródłowymi.

Router(config)# access-list 103 deny ip 10.0.0.0 0.255.255.255 any
Router(config)# access-list 103 permit ip 192.168.1.0 0.0.0.255 any
Router(config)# interface FastEthernet 0/0
Router(config-if)# ip access-group 103 in

Wyjaśnienie: ACL 103 blokuje pakiety z sieci prywatnych 10.0.0.0/8, zezwalając tylko na ruch z 192.168.1.0/24. To zapobiega spoofingowi. W symulacji, pakiety z fałszywymi adresami zostaną odrzucone.

Przykład 5: Priorytetyzacja ruchu VoIP

Użycie ACL do klasyfikacji pakietów VoIP dla QoS.

Router(config)# access-list 104 permit udp any any range 16384 32767
Router(config)# class-map voice
Router(config-cmap)# match access-group 104
Router(config)# policy-map qos-policy
Router(config-pmap)# class voice
Router(config-pmap-c)# priority 1000

Wyjaśnienie: ACL 104 identyfikuje ruch RTP (VoIP) na portach dynamicznych. Następnie jest używany w polityce QoS do priorytetyzacji. W Packet Tracer, można symulować rozmowy VoIP i obserwować poprawę jakości.

Zastosowanie ACL na przełącznikach Cisco

Na przełącznikach Cisco ACL działają głównie w warstwie drugiej modelu OSI, koncentrując się na filtrowaniu ruchu w ramach VLAN lub między nimi. Przełączniki wspierają VLAN ACL (VACL), które filtrują ruch wewnątrz VLAN, oraz Router ACL (RACL), które kontrolują ruch między VLAN. ACL na przełącznikach są szczególnie przydatne w środowiskach korporacyjnych, gdzie wymagana jest ścisła kontrola dostępu między segmentami sieciowymi.

Kluczowe zastosowania obejmują:

• Izolację ruchu między VLAN.
• Kontrolę dostępu do portów przełącznika.
• Filtrowanie ruchu multicast.
• Ochronę przed atakami warstwy drugiej, takimi jak ARP spoofing.
• Implementację polityk bezpieczeństwa dla urządzeń końcowych.

W Cisco Packet Tracer, przełączniki takie jak Catalyst 2960 mogą być skonfigurowane z ACL, co pozwala na symulację scenariuszy bezpieczeństwa w małych sieciach.

Przykład 1: Blokowanie ruchu między VLAN

VACL blokuje ruch z VLAN 10 do VLAN 20.

Switch(config)# vlan access-map BLOCK_VLAN 10
Switch(config-access-map)# match ip address 10
Switch(config-access-map)# action drop
Switch(config)# access-list 10 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
Switch(config)# vlan filter BLOCK_VLAN vlan-list 10,20

Wyjaśnienie: Tworzy się mapę dostępu VLAN, która dopasowuje ACL 10 i wykonuje akcję drop. ACL definiuje ruch między sieciami VLAN. W Packet Tracer, ruch między VLAN zostanie zablokowany.

Przykład 2: Filtrowanie ruchu na porcie dostępu

Port ACL (PACL) blokuje ruch z określonego hosta na porcie.

Switch(config)# access-list 11 deny host 192.168.1.100
Switch(config)# access-list 11 permit any
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# ip access-group 11 in

Wyjaśnienie: ACL 11 blokuje hosta 192.168.1.100, zezwalając innym. Aplikacja na porcie przychodzącym. W symulacji, host ten nie będzie mógł komunikować się przez ten port.

Przykład 3: Ochrona przed ARP spoofing

ACL może blokować nieprawidłowe pakiety ARP.

Switch(config)# arp access-list ARP_PROTECT
Switch(config-arp-nacl)# permit ip host 192.168.1.1 mac host 0001.1234.5678
Switch(config-arp-nacl)# deny ip any mac any log
Switch(config)# interface Vlan 1
Switch(config-if)# ip arp inspection filter ARP_PROTECT vlan 1

Wyjaśnienie: Lista ARP zezwala tylko na określone pary IP-MAC, blokując inne z logowaniem. W Packet Tracer, próby spoofingu zostaną wykryte i zablokowane.

Przykład 4: Filtrowanie multicast

Ograniczenie ruchu multicast do określonych grup.

Switch(config)# access-list 12 permit udp any 224.0.0.0 15.255.255.255
Switch(config)# access-list 12 deny ip any any
Switch(config)# interface GigabitEthernet 0/1
Switch(config-if)# ip access-group 12 in

Wyjaśnienie: ACL 12 zezwala na ruch multicast (adresy 224.0.0.0/4), blokując inne. W symulacji, tylko dozwolony multicast przejdzie.

Przykład 5: Kontrola dostępu do serwera

VACL zezwala tylko na dostęp do serwera z jednej VLAN.

Switch(config)# access-list 13 permit ip 192.168.10.0 0.0.0.255 host 192.168.20.100
Switch(config)# vlan access-map SERVER_ACCESS 10
Switch(config-access-map)# match ip address 13
Switch(config-access-map)# action forward
Switch(config)# vlan filter SERVER_ACCESS vlan-list 10

Wyjaśnienie: ACL 13 definiuje dostęp z VLAN 10 do serwera. Mapa VLAN przekazuje ruch. W Packet Tracer, inne VLAN nie będą miały dostępu.

Tworzenie i konfiguracja standardowych ACL

Standardowe ACL w Cisco filtrują ruch wyłącznie na podstawie adresu źródłowego IP. Są proste w konfiguracji, ale mniej precyzyjne niż rozszerzone. Numerowane od 1 do 99, mogą być aplikowane na interfejsach routerów lub przełączników. W Packet Tracer, standardowe ACL są idealne do podstawowych scenariuszy filtrowania, takich jak blokowanie pojedynczych hostów lub sieci.

Proces tworzenia obejmuje: definiowanie listy, dodawanie reguł (deny/permit), aplikację na interfejsie. Reguły są przetwarzane sekwencyjnie, z domyślną regułą deny all na końcu.

Przykład 1: Blokowanie pojedynczego hosta

Router(config)# access-list 1 deny host 192.168.1.50
Router(config)# access-list 1 permit any
Router(config)# interface Ethernet 0/0
Router(config-if)# ip access-group 1 out

Wyjaśnienie: Blokuje hosta 192.168.1.50, zezwala innym. Aplikacja wychodząca.

Przykład 2: Zezwolenie na sieć

Router(config)# access-list 2 permit 192.168.2.0 0.0.0.255
Router(config)# access-list 2 deny any
Router(config)# interface Serial 0/0
Router(config-if)# ip access-group 2 in

Wyjaśnienie: Zezwala tylko na sieć 192.168.2.0/24, blokuje resztę. Przychodząca.

Przykład 3: Wielokrotne reguły

Router(config)# access-list 3 deny 192.168.3.0 0.0.0.255
Router(config)# access-list 3 permit 192.168.4.0 0.0.0.255
Router(config)# access-list 3 deny any
Router(config)# interface GigabitEthernet 0/0
Router(config-if)# ip access-group 3 in

Wyjaśnienie: Blokuje 192.168.3.0/24, zezwala 192.168.4.0/24, blokuje inne.

Przykład 4: Użycie dzikiej karty

Router(config)# access-list 4 permit 192.168.5.0 0.0.0.15
Router(config)# access-list 4 deny any
Router(config)# interface FastEthernet 0/0
Router(config-if)# ip access-group 4 out

Wyjaśnienie: Zezwala na podsieć /28, blokuje inne.

Przykład 5: Aplikacja na przełączniku

Switch(config)# access-list 5 deny 192.168.6.0 0.0.0.255
Switch(config)# access-list 5 permit any
Switch(config)# interface Vlan 10
Switch(config-if)# ip access-group 5 in

Wyjaśnienie: Na przełączniku, blokuje sieć na VLAN 10.

Tworzenie i konfiguracja rozszerzonych ACL

Rozszerzone ACL oferują większą kontrolę, filtrując na podstawie adresów źródłowych i docelowych, protokołów, portów oraz innych parametrów. Numerowane od 100 do 199, są bardziej złożone, ale umożliwiają precyzyjne polityki bezpieczeństwa. W Packet Tracer, rozszerzone ACL są niezbędne dla zaawansowanych scenariuszy, takich jak filtrowanie aplikacji.

Składnia obejmuje: access-list [numer] [akcja] [protokół] [źródło] [cel] [opcje]. Mogą być aplikowane podobnie jak standardowe.

Przykład 1: Blokowanie FTP

Router(config)# access-list 101 deny tcp any any eq 21
Router(config)# access-list 101 permit ip any any
Router(config)# interface Ethernet 0/0
Router(config-if)# ip access-group 101 out

Wyjaśnienie: Blokuje FTP (port 21), zezwala innym.

Przykład 2: Zezwolenie na HTTP z jednej sieci

Router(config)# access-list 102 permit tcp 192.168.1.0 0.0.0.255 any eq 80
Router(config)# access-list 102 deny ip any any
Router(config)# interface GigabitEthernet 0/0
Router(config-if)# ip access-group 102 in

Wyjaśnienie: Tylko HTTP z 192.168.1.0/24.

Przykład 3: Filtrowanie ICMP

Router(config)# access-list 103 deny icmp any any echo
Router(config)# access-list 103 permit ip any any
Router(config)# interface Serial 0/0
Router(config-if)# ip access-group 103 out

Wyjaśnienie: Blokuje ping wychodzący.

Przykład 4: Wieloprotokołowe reguły

Router(config)# access-list 104 permit tcp 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 eq 443
Router(config)# access-list 104 deny ip any any
Router(config)# interface FastEthernet 0/0
Router(config-if)# ip access-group 104 in

Wyjaśnienie: HTTPS między sieciami.

Przykład 5: Z portami źródłowymi

Router(config)# access-list 105 permit udp any any eq 53
Router(config)# access-list 105 deny ip any any
Router(config)# interface Vlan 20
Router(config-if)# ip access-group 105 out

Wyjaśnienie: Tylko DNS wychodzący.

Nazwane ACL

Nazwane ACL wprowadzają elastyczność poprzez możliwość edycji bez usuwania całej listy. Mogą być standardowe lub rozszerzone, identyfikowane przez nazwę zamiast numeru. W Packet Tracer, nazwane ACL ułatwiają zarządzanie w złożonych konfiguracjach.

Tworzenie: ip access-list [standard|extended] [nazwa]. Następnie dodawanie reguł w trybie konfiguracji listy.

Przykład 1: Standardowa nazwana ACL

Router(config)# ip access-list standard BLOCK_HOSTS
Router(config-std-nacl)# deny host 192.168.1.100
Router(config-std-nacl)# permit any
Router(config)# interface Ethernet 0/0
Router(config-if)# ip access-group BLOCK_HOSTS out

Wyjaśnienie: Blokuje hosta, zezwala innym.

Przykład 2: Rozszerzona nazwana ACL

Router(config)# ip access-list extended WEB_ACCESS
Router(config-ext-nacl)# permit tcp 192.168.2.0 0.0.0.255 any eq 80
Router(config-ext-nacl)# deny ip any any
Router(config)# interface GigabitEthernet 0/0
Router(config-if)# ip access-group WEB_ACCESS in

Wyjaśnienie: Tylko HTTP z sieci.

Przykład 3: Edycja nazwanej ACL

Router(config)# ip access-list extended WEB_ACCESS
Router(config-ext-nacl)# no 10
Router(config-ext-nacl)# 10 permit tcp 192.168.2.0 0.0.0.255 any eq 443

Wyjaśnienie: Usuwa regułę 10, dodaje nową dla HTTPS.

Przykład 4: Wieloregułowa nazwana ACL

Router(config)# ip access-list extended SECURE_TRAFFIC
Router(config-ext-nacl)# permit tcp 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 eq 22
Router(config-ext-nacl)# permit icmp 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
Router(config-ext-nacl)# deny ip any any
Router(config)# interface Serial 0/0
Router(config-if)# ip access-group SECURE_TRAFFIC out

Wyjaśnienie: SSH i ICMP między sieciami.

Przykład 5: Nazwana ACL na przełączniku

Switch(config)# ip access-list extended VLAN_FILTER
Switch(config-ext-nacl)# deny ip 192.168.5.0 0.0.0.255 192.168.6.0 0.0.0.255
Switch(config-ext-nacl)# permit ip any any
Switch(config)# vlan access-map FILTER_MAP 10
Switch(config-access-map)# match ip address VLAN_FILTER
Switch(config-access-map)# action forward
Switch(config)# vlan filter FILTER_MAP vlan-list 10

Wyjaśnienie: Filtrowanie między VLAN na przełączniku.

Inne aspekty obsługi ACL

Oprócz tworzenia, ACL wymagają zarządzania: edycji, usuwania oraz debugowania. Edycja nazwanych ACL jest prosta, podczas gdy numerowane wymagają usunięcia i ponownego utworzenia. Usuwanie obejmuje odłączenie od interfejsów i usunięcie listy. Debugowanie wykorzystuje polecenia show i debug do monitorowania.

Przykład 1: Wyświetlanie ACL

Router# show access-lists

Wyjaśnienie: Pokazuje wszystkie skonfigurowane ACL.

Przykład 2: Usuwanie ACL

Router(config)# no access-list 1
Router(config)# interface Ethernet 0/0
Router(config-if)# no ip access-group 1

Wyjaśnienie: Usuwa ACL i odłącza od interfejsu.

Przykład 3: Debugowanie ruchu

Router# debug ip packet detail
Router# terminal monitor

Wyjaśnienie: Włącza debugowanie pakietów IP.

Przykład 4: Sprawdzanie aplikacji ACL

Router# show ip interface Ethernet 0/0

Wyjaśnienie: Pokazuje, czy ACL jest aplikowane na interfejsie.

Przykład 5: Kopiowanie ACL

Router(config)# ip access-list extended NEW_ACL
Router(config-ext-nacl)# copy running-config startup-config

Wyjaśnienie: Zapisuje konfigurację, kopiując ACL.

Wstęp

W dzisiejszych czasach, kiedy sieci komputerowe stanowią podstawę działania przedsiębiorstw, instytucji oraz usług publicznych, bezpieczeństwo dostępu do urządzeń sieciowych, takich jak przełączniki i routery Cisco, odgrywa kluczową rolę w ochronie infrastruktury informatycznej. Urządzenia te są często punktami centralnymi w sieciach, zarządzając ruchem danych, kontrolując dostęp do zasobów oraz zapewniając łączność między różnymi segmentami systemu. Nieautoryzowany dostęp do takich urządzeń może prowadzić do poważnych konsekwencji, w tym wycieku danych, zakłócenia usług czy nawet całkowitego przejęcia kontroli nad siecią.

W niniejszym artykule omówimy kluczowe aspekty bezpieczeństwa dostępu na przełącznikach i routerach Cisco, koncentrując się na poziomach dostępu, mechanizmach logowania, używaniu haseł, ich szyfrowaniu oraz innych metodach obsługi uwierzytelniania. Przedstawimy teoretyczne podstawy tych mechanizmów, ich praktyczne zastosowanie oraz szczegółowe przykłady poleceń CLI (Command Line Interface), które umożliwiają konfigurację i zarządzanie tymi funkcjami. Każdy temat zostanie zilustrowany co najmniej pięcioma dokładnie wyjaśnionymi przykładami poleceń, aby zapewnić czytelnikowi praktyczne zrozumienie materiału.

Dodatkowo, w artykule znajdą się schematy ASCII ART, które wizualnie przedstawiają struktury poziomów dostępu oraz procesy logowania, ułatwiając przyswojenie abstrakcyjnych koncepcji. Całość została napisana w stylu akademickim, z precyzyjnymi i szczegółowymi wyjaśnieniami, aby czas czytania wyniósł około 25 minut. Artykuł jest przeznaczony dla administratorów sieci, studentów informatyki oraz wszystkich zainteresowanych tematyką bezpieczeństwa w sieciach Cisco.

Poziomy dostępu

Poziomy dostępu w urządzeniach Cisco definiują zakres uprawnień, jakie użytkownik może posiadać podczas interakcji z urządzeniem. System Cisco IOS (Internetwork Operating System) rozróżnia kilka poziomów dostępu, począwszy od poziomu użytkownika (User EXEC), przez poziom uprzywilejowany (Privileged EXEC), aż po poziomy konfiguracyjne (Global Configuration, Interface Configuration itp.). Każdy poziom zapewnia dostęp do określonych poleceń i funkcji, co pozwala na granularne zarządzanie bezpieczeństwem.

Podstawowe poziomy to:

• Poziom 0 (User EXEC): Najniższy poziom, umożliwia wykonywanie podstawowych poleceń diagnostycznych i monitorowania, bez możliwości modyfikacji konfiguracji.
• Poziom 1 (Privileged EXEC): Umożliwia dostęp do wszystkich poleceń EXEC, w tym konfiguracyjnych, ale wymaga hasła enable.
• Poziomy 2-14: Niestandardowe poziomy, które można skonfigurować za pomocą listy dostępu (Access Control Lists – ACL), przypisując im specyficzne uprawnienia.
• Poziom 15: Najwyższy poziom, równoważny Privileged EXEC, ale z pełnym dostępem do wszystkich funkcji.

Zarządzanie poziomami dostępu jest kluczowe dla zapobiegania eskalacji uprawnień i zapewnienia, że tylko autoryzowani użytkownicy mogą wykonywać krytyczne operacje. Poniżej przedstawiamy schemat ilustrujący hierarchię poziomów dostępu.

         +-------------------+
         |   Poziom 15       |
         | (Privileged EXEC) |
         +-------------------+
                 |
                 | enable
                 v
         +-------------------+
         |   Poziom 1        |
         | (Privileged EXEC) |
         +-------------------+
                 |
                 | login
                 v
         +-------------------+
         |   Poziom 0        |
         |   (User EXEC)     |
         +-------------------+

Schemat ten pokazuje, jak użytkownik przechodzi między poziomami poprzez uwierzytelnienie. Teraz przejdźmy do praktycznych przykładów poleceń CLI.

Konfiguracja poziomów dostępu

Przykład 1: Wyświetlenie aktualnego poziomu dostępu

Polecenie show privilege pozwala sprawdzić bieżący poziom uprawnień sesji. Jest to podstawowe polecenie diagnostyczne, które nie wymaga żadnych parametrów i wyświetla numer poziomu (np. 1 dla User EXEC, 15 dla Privileged EXEC).

Router# show privilege
Current privilege level is 1

W tym przykładzie użytkownik jest na poziomie 1 (User EXEC). Polecenie to jest przydatne do weryfikacji stanu sesji przed wykonaniem operacji wymagających wyższych uprawnień.

Przykład 2: Przejście do poziomu uprzywilejowanego

Polecenie enable umożliwia eskalację do poziomu Privileged EXEC (poziom 15). Wymaga podania hasła enable, jeśli zostało skonfigurowane. Po wykonaniu, użytkownik zyskuje dostęp do wszystkich poleceń konfiguracyjnych.

Router> enable
Password: 
Router#

W przykładzie użytkownik wprowadza hasło (niewidoczne na ekranie) i przechodzi do trybu uprzywilejowanego, co jest sygnalizowane zmianą znaku zachęty z ‚>’ na ‚#’.

Przykład 3: Konfiguracja niestandardowego poziomu dostępu

Polecenie privilege exec level 5 show running-config przypisuje polecenie show running-config do poziomu 5. Umożliwia to tworzenie niestandardowych poziomów z ograniczonymi uprawnieniami.

Router# configure terminal
Router(config)# privilege exec level 5 show running-config
Router(config)# end

Po tej konfiguracji użytkownicy na poziomie 5 będą mogli wyświetlać bieżącą konfigurację, ale nie będą mieli dostępu do innych poleceń konfiguracyjnych.

Przykład 4: Wyświetlenie listy poziomów i przypisanych poleceń

Polecenie show privilege w trybie konfiguracyjnym lub show running-config | include privilege pozwala przeglądać skonfigurowane poziomy dostępu i przypisane do nich polecenia.

Router# show running-config | include privilege
privilege exec level 5 show running-config
privilege exec level 10 configure terminal

Wynik pokazuje, że poziom 5 ma dostęp do show running-config, a poziom 10 do configure terminal, co umożliwia stopniowe zwiększanie uprawnień.

Przykład 5: Usunięcie niestandardowego poziomu dostępu

Polecenie no privilege exec level 5 show running-config usuwa przypisanie polecenia do poziomu. Przywraca domyślne ustawienia dla tego poziomu.

Router# configure terminal
Router(config)# no privilege exec level 5 show running-config
Router(config)# end

Po wykonaniu tego polecenia poziom 5 traci dostęp do wyświetlania konfiguracji, co jest przydatne przy czyszczeniu niepotrzebnych uprawnień.

Logowanie

Mechanizmy logowania na urządzeniach Cisco zapewniają uwierzytelnienie użytkowników przed udzieleniem dostępu do CLI. Cisco obsługuje różne metody logowania, w tym lokalne hasła, serwery RADIUS/TACACS+, certyfikaty oraz wielopoziomowe uwierzytelnienie. Logowanie może odbywać się poprzez konsolę, Telnet, SSH czy AUX.

Kluczowe aspekty logowania obejmują:

• Lokalne uwierzytelnienie: Hasła przechowywane lokalnie na urządzeniu.
• Zdalne uwierzytelnienie: Korzystanie z zewnętrznych serwerów AAA (Authentication, Authorization, Accounting).
• Wielofaktorowe uwierzytelnienie: Kombinacja hasła i innych czynników, jak tokeny.
• Blokowanie kont: Mechanizmy zapobiegające atakom brute-force.

Poniżej schemat przedstawia proces logowania z wykorzystaniem serwera RADIUS.

    Użytkownik ----> Router ----> RADIUS Server
        |              |              |
        |  Wprowadź   |  Wysyłaj      |  Weryfikuj
        |  dane       |  zapytanie    |  dane
        |              |  AAA         |
        |<-------------|--------------|
        |  Odpowiedź   |              |
        |  (dostęp     |              |
        |   przyznany) |              |

Schemat ilustruje trójstronny proces: użytkownik wprowadza dane, router przesyła je do serwera RADIUS, który weryfikuje i odpowiada.

Konfiguracja logowania

Przykład 1: Ustawienie hasła dla linii konsoli

Polecenie password cisco w trybie konfiguracji linii ustawia hasło dla dostępu poprzez konsolę. Jest to podstawowa metoda zabezpieczenia fizycznego dostępu.

Router# configure terminal
Router(config)# line console 0
Router(config-line)# password cisco
Router(config-line)# login
Router(config-line)# end

Po konfiguracji każdy dostęp poprzez konsolę będzie wymagał podania hasła ‚cisco’. Polecenie login włącza uwierzytelnienie.

Przykład 2: Konfiguracja logowania SSH

Polecenie crypto key generate rsa modulus 2048 generuje klucz RSA dla SSH, a następnie ip ssh version 2 ustawia wersję protokołu. SSH zapewnia bezpieczne logowanie zdalne.

Router# configure terminal
Router(config)# crypto key generate rsa modulus 2048
Router(config)# ip ssh version 2
Router(config)# line vty 0 4
Router(config-line)# transport input ssh
Router(config-line)# login local
Router(config-line)# end

W przykładzie generowany jest klucz, ustawiana wersja SSH i włączane logowanie lokalne dla linii VTY (wirtualnych terminali).

Przykład 3: Konfiguracja serwera RADIUS dla logowania

Polecenie radius-server host 192.168.1.10 key secretkey dodaje serwer RADIUS, a aaa authentication login default group radius local ustawia domyślną metodę uwierzytelnienia.

Router# configure terminal
Router(config)# radius-server host 192.168.1.10 key secretkey
Router(config)# aaa new-model
Router(config)# aaa authentication login default group radius local
Router(config)# end

Konfiguracja włącza model AAA i ustawia logowanie poprzez RADIUS z fallbackiem na lokalne hasła.

Przykład 4: Ustawienie limitu prób logowania

Polecenie login block-for 120 attempts 3 within 60 blokuje logowanie na 120 sekund po 3 nieudanych próbach w ciągu 60 sekund. Chroni przed atakami brute-force.

Router# configure terminal
Router(config)# login block-for 120 attempts 3 within 60
Router(config)# end

To ustawienie zwiększa bezpieczeństwo poprzez automatyczne blokowanie po wielokrotnych niepowodzeniach.

Przykład 5: Wyświetlenie statusu logowania

Polecenie show login wyświetla informacje o bieżących sesjach logowania, w tym blokadach i statystykach prób.

Router# show login
A login block is NOT active.
Last login failed attempt was never.

Wynik pokazuje, że nie ma aktywnej blokady i nigdy nie było nieudanych prób, co wskazuje na prawidłową konfigurację.

Używanie haseł

Hasła są podstawowym mechanizmem uwierzytelnienia w urządzeniach Cisco. Ich prawidłowe używanie obejmuje wybór silnych haseł, regularną zmianę oraz odpowiednie przechowywanie. Cisco oferuje różne typy haseł: dla linii (console, VTY), enable, użytkowników lokalnych itp.

Kluczowe zasady używania haseł:

• Długość i złożoność: Hasła powinny mieć co najmniej 8 znaków, zawierać wielkie/małe litery, cyfry i symbole.
• Unikalność: Każde urządzenie powinno mieć unikalne hasła.
• Rotacja: Regularna zmiana haseł co 30-90 dni.
• Bezpieczne przechowywanie: Unikanie zapisywania haseł w postaci jawnej.

W tej sekcji skupimy się na praktycznych przykładach bez ASCII ART, koncentrując się na poleceniach CLI.

Zarządzanie hasłami

Przykład 1: Ustawienie hasła enable

Polecenie enable secret cisco123 ustawia tajne hasło enable, które jest szyfrowane i bezpieczniejsze niż zwykłe enable password.

Router# configure terminal
Router(config)# enable secret cisco123
Router(config)# end

Hasło ‚cisco123’ jest przechowywane w postaci zaszyfrowanej, co zapobiega jego odczytaniu z konfiguracji.

Przykład 2: Dodanie użytkownika lokalnego z hasłem

Polecenie username admin secret mypassword tworzy użytkownika ‚admin’ z tajnym hasłem. Jest to metoda lokalnego uwierzytelnienia.

Router# configure terminal
Router(config)# username admin secret mypassword
Router(config)# end

Użytkownik może teraz logować się używając nazwy ‚admin’ i hasła ‚mypassword’.

Przykład 3: Ustawienie hasła dla linii VTY

Polecenie password telnetpass w konfiguracji linii VTY ustawia hasło dla dostępu Telnet. Jest to starsza metoda, obecnie zalecane jest SSH.

Router# configure terminal
Router(config)# line vty 0 4
Router(config-line)# password telnetpass
Router(config-line)# login
Router(config-line)# end

Hasło ‚telnetpass’ umożliwia dostęp poprzez Telnet, ale transmisja nie jest szyfrowana.

Przykład 4: Zmiana hasła użytkownika

Polecenie username admin secret newpassword zmienia hasło istniejącego użytkownika. Wymaga potwierdzenia w przypadku nadpisania.

Router# configure terminal
Router(config)# username admin secret newpassword
Router(config)# end

Stare hasło zostaje zastąpione nowym ‚newpassword’, co jest częścią procedury rotacji haseł.

Przykład 5: Wyświetlenie użytkowników i haseł (zaszyfrowanych)

Polecenie show running-config | include username wyświetla skonfigurowanych użytkowników z zaszyfrowanymi hasłami.

Router# show running-config | include username
username admin secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0

Wynik pokazuje użytkownika ‚admin’ z hasłem zaszyfrowanym algorytmem MD5 (typ 5), co zapewnia bezpieczeństwo.

Szyfrowanie haseł

Szyfrowanie haseł jest krytycznym aspektem bezpieczeństwa, ponieważ zapobiega odczytaniu haseł z plików konfiguracyjnych. Cisco IOS oferuje różne poziomy szyfrowania: typ 0 (jawny tekst), typ 5 (MD5), typ 7 (słaby Vigenere), typ 8 (PBKDF2) i typ 9 (SCrypt).

Rekomendowane typy:

• Typ 5: MD5, dobry dla starszych urządzeń.
• Typ 8: PBKDF2, silniejszy, zalecany dla nowych instalacji.
• Typ 9: SCrypt, najnowszy i najbezpieczniejszy.

Szyfrowanie automatycznie stosuje się przy użyciu secret zamiast password.

Konfiguracja szyfrowania

Przykład 1: Szyfrowanie hasła enable typem 5

Polecenie enable secret level 5 cisco wymusza szyfrowanie MD5 dla hasła enable.

Router# configure terminal
Router(config)# enable secret cisco
Router(config)# end

Hasło jest automatycznie szyfrowane typem 5 (MD5) przy użyciu secret.

Przykład 2: Szyfrowanie hasła użytkownika typem 8

Polecenie username test secret 8 mypass używa PBKDF2 do szyfrowania hasła użytkownika.

Router# configure terminal
Router(config)# username test secret 8 mypass
Router(config)# end

Typ 8 zapewnia silniejsze szyfrowanie niż MD5, odporne na ataki słownikowe.

Przykład 3: Szyfrowanie hasła użytkownika typem 9

Polecenie username test secret 9 mypass stosuje SCrypt, najnowszy algorytm szyfrowania.

Router# configure terminal
Router(config)# username test secret 9 mypass
Router(config)# end

SCrypt jest odporny na ataki wykorzystujące sprzęt specjalistyczny, jak FPGA.

Przykład 4: Migracja hasła do wyższego typu szyfrowania

Polecenie service password-encryption szyfruje istniejące hasła typem 7, ale dla lepszego bezpieczeństwa użyj secret.

Router# configure terminal
Router(config)# service password-encryption
Router(config)# no enable password
Router(config)# enable secret newpass
Router(config)# end

Polecenie service password-encryption szyfruje słabe hasła, ale lepiej używać secret dla typów 5/8/9.

Przykład 5: Weryfikacja typu szyfrowania

Polecenie show running-config | include secret pozwala sprawdzić typ szyfrowania w konfiguracji.

Router# show running-config | include secret
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
username admin secret 8 $8$...

Wynik pokazuje typ 5 dla enable i typ 8 dla użytkownika, co potwierdza odpowiednie szyfrowanie.

Inna obsługa: Zarządzanie użytkownikami i protokoły AAA

Oprócz podstawowych mechanizmów, Cisco oferuje zaawansowane metody obsługi bezpieczeństwa, takie jak zarządzanie użytkownikami, listy dostępu oraz integracja z protokołami AAA (RADIUS/TACACS+). Te mechanizmy umożliwiają scentralizowane zarządzanie uwierzytelnianiem, autoryzacją i księgowaniem.

Kluczowe elementy:

• TACACS+: Protokół Cisco dla AAA, zapewniający szczegółową kontrolę.
• RADIUS: Standardowy protokół dla uwierzytelnienia i autoryzacji.
• Listy dostępu: ACL do ograniczania dostępu do poleceń.
• Role użytkowników: Grupowanie użytkowników z podobnymi uprawnieniami.

Poniżej schemat przedstawia integrację z serwerem TACACS+.

    Router ----> TACACS+ Server
      |              |
      |  Auth        |  Authenticate
      |  Request     |  User
      |              |
      |<-------------|
      |  Auth        |
      |  Success     |
      |              |
      |  Author      |
      |  Request     |
      |              |
      |<-------------|
      |  Author      |
      |  Response    |

Schemat pokazuje dwuetapowy proces: uwierzytelnienie, a następnie autoryzacja poprzez TACACS+.

Zaawansowana konfiguracja

Przykład 1: Konfiguracja TACACS+ dla AAA

Polecenie tacacs-server host 192.168.1.20 key tacacskey dodaje serwer TACACS+, a aaa authentication login default group tacacs+ local ustawia domyślną metodę.

Router# configure terminal
Router(config)# tacacs-server host 192.168.1.20 key tacacskey
Router(config)# aaa new-model
Router(config)# aaa authentication login default group tacacs+ local
Router(config)# end

TACACS+ zapewnia scentralizowane zarządzanie użytkownikami z fallbackiem na lokalne.

Przykład 2: Tworzenie roli użytkownika z ACL

Polecenie aaa authorization exec default group tacacs+ local włącza autoryzację EXEC, a ACL ogranicza dostęp do poleceń.

Router# configure terminal
Router(config)# aaa authorization exec default group tacacs+ local
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)# line vty 0 4
Router(config-line)# access-class 10 in
Router(config-line)# end

ACL 10 pozwala na dostęp tylko z sieci 192.168.1.0/24, zwiększając bezpieczeństwo.

Przykład 3: Konfiguracja księgowania AAA

Polecenie aaa accounting exec default start-stop group tacacs+ włącza księgowanie sesji EXEC.

Router# configure terminal
Router(config)# aaa accounting exec default start-stop group tacacs+
Router(config)# end

Księgowanie rejestruje wszystkie sesje, umożliwiając audyt i monitorowanie dostępu.

Przykład 4: Dodanie użytkownika z rolą

Polecenie username operator privilege 5 secret oppass tworzy użytkownika z poziomem 5, ograniczając uprawnienia.

Router# configure terminal
Router(config)# username operator privilege 5 secret oppass
Router(config)# end

Użytkownik ‚operator’ ma dostęp tylko do poleceń poziomu 5, co implementuje zasadę najmniejszych uprawnień.

Przykład 5: Wyświetlenie statusu AAA

Polecenie show aaa servers wyświetla status serwerów AAA i statystyki połączeń.

Router# show aaa servers
RADIUS: id 1, priority 1, host 192.168.1.10, auth-port 1645, acct-port 1646
     State: current UP, duration 123456s, previous duration 0s
     Dead: total 0, count 0
TACACS+: id 2, priority 1, host 192.168.1.20, port 49
     State: current UP, duration 123456s, previous duration 0s
     Dead: total 0, count 0

Wynik pokazuje, że oba serwery (RADIUS i TACACS+) są dostępne i działają prawidłowo.

Podsumowanie

W niniejszym artykule omówiliśmy kluczowe aspekty bezpieczeństwa dostępu na przełącznikach i routerach Cisco, począwszy od poziomów dostępu, poprzez mechanizmy logowania, używanie i szyfrowanie haseł, aż po zaawansowane metody obsługi z wykorzystaniem protokołów AAA. Przedstawione przykłady poleceń CLI stanowią praktyczne narzędzie dla administratorów sieci, umożliwiając implementację bezpiecznych konfiguracji.

Ważne jest, aby pamiętać o regularnym aktualizowaniu haseł, stosowaniu silnych algorytmów szyfrowania oraz integracji z zewnętrznymi serwerami AAA dla większych środowisk. Przestrzeganie tych praktyk znacząco zmniejsza ryzyko nieautoryzowanego dostępu i zapewnia integralność infrastruktury sieciowej.