Одним из возможных векторов атаки на инфраструктуру являются сетевые устройства, особенно пограничные. Если нарушитель получит доступ к оболочке устройства и реализует атаку, то возможно это повлечет длительные простои сервисов, а может и целой инфраструктуры. Поэтому важно знать, какие действия можно предпринять для защиты своего устройства!
В данном материале рассмотрим основы и базу по управлению пользователями в маршрутизаторе!
Настройка пользователя
При нехватке собственных мощностей можно воспользоваться облачными серверами от Serverspace, для этого перейдем к созданию сервера, на любой из двух платформ vStack cloud или же VMware cloud. Нажмем на кнопку Создать сервер и выберем конфигурацию, подходящую под наши задачи, затем нажмем кнопку Создать:
Скриншот №1 — Создание сервера
Классически любая настройка начинается в CLI начинается с просмотра текущих пользователей и возможностей. Команда покажет список аутентифицированных пользователей на текущий момент:
show user 
Также можно просмотреть список когда-либо созданных:
show running-config | include username 
Предположим нам необходимо создать новую учетную запись сетевому инженеру, для этого перейдем в режим privilege:
enable После пропишем команду активации режима конфигурации и создадим пользователя с параметрами:
config
user user1
password <value>
privilege 15
exit
exit
commit
confirm
Прописав команду, user user1 мы создали нового пользака, у которого затем указали пароль. Затем 15-ый уровень привилегий, что свидетельствует, о том что у него максимальные полномочия, так как нам нужен был админ. Но если необходимо создать пользователя с более низкими правами, то можно указать уровень ниже. После чего вышли из настройки и подтвердили изменения командами commit и confirm.
Обратите внимание на строку с привилегиями или же privilege, которая свидетельствует, о том что выделены определенные права пользователю по 15 уровню. Чтобы понять какие права нужно выдать пользователю и по какому уровню, можно воспользоваться официальной документацией, где расписаны каждый из них.
Кажется, что пароль в предыдущей таске задали слишком легкий, его достаточно просто сбрутфорсить, изменим его на более сложный:
user user1
password NEW-strong-P@sSВ примере задан лишь шаблон, поэтому желательно создать более сложную последовательность длинной от 18 символов разных знаков и регистра.
Попробуем аутентифицироваться через нового пользователя с помощью консоли, выйдем из текущего сеанса и зайдем с новыми кредами. А так же убедимся в аутентифицированных пользователях:
show user 
Удалим не нужного старого, который мог заваляться в нашей ОС роутера после увольнения одного из инженеров. Ведь это тоже вектор атаки:
config
no user user1Достаточно, короткая команда позволяет удалить пользователя, после чего не забывайте применять настройки! Помните, что выполнить это действие можно, имея только определенный уровень привилегий. Храните данные от вашей учетной записи в безопасном месте!
